Private Service Connect für Onlinevorhersagen verwenden

Mit Private Service Connect können Sie sicher von mehreren Projekten und VPC-Netzwerken aus auf Vertex AI-Onlinevorhersagen zugreifen, ohne dass öffentliche IP-Adressen, ein öffentlicher Internetzugang oder ein expliziter interner Peering-IP-Adressbereich erforderlich sind.

Wir empfehlen Private Service Connect für Anwendungsfälle der Onlinevorhersage mit folgenden Anforderungen:

  • Private und sichere Verbindungen erforderlich machen
  • Niedrige Latenz erforderlich
  • Sie müssen nicht öffentlich zugänglich sein.

Private Service Connect verwendet eine Weiterleitungsregel in Ihrem VPC-Netzwerk, um Traffic unidirektional an den Vertex AI-Onlinevorhersagedienst zu senden. Die Weiterleitungsregel stellt eine Verbindung zu einem Dienstanhang her, der den Vertex AI-Dienst für Ihr VPC-Netzwerk verfügbar macht. Weitere Informationen finden Sie unter Zugriff auf Vertex AI-Dienste über Private Service Connect-Endpunkte. Weitere Informationen zum Einrichten von Private Service Connect finden Sie unter Private Service Connect – Übersicht in der Virtual Private Cloud-Dokumentation (VPC).

Endpunkt erstellen

Verwenden Sie eine der folgenden Methoden, um einen Onlinevorhersage-Endpunkt mit aktiviertem Private Service Connect zu erstellen:

Console

  1. Rufen Sie in der Google Cloud Console in Vertex AI die Seite Onlinevorhersage auf.

    Zur Onlinevorhersage

  2. Klicken Sie auf Erstellen.

  3. Geben Sie einen Anzeigenamen für den Endpunkt an.

  4. Klicken Sie auf Privat.

  5. Wählen Sie Private Service Connect aus.

  6. Klicken Sie auf Projekt-IDs auswählen.

  7. Wählen Sie Projekte aus, die der Zulassungsliste für den Endpunkt hinzugefügt werden sollen.

  8. Klicken Sie auf Weiter.

  9. Wählen Sie die Modellspezifikationen aus. Weitere Informationen finden Sie unter Modell auf einem Endpunkt bereitstellen.

  10. Klicken Sie auf Erstellen. um den Endpunkt zu erstellen und das Modell darauf bereitzustellen.

  11. Notieren Sie sich die Endpunkt-ID aus der Antwort. Sie benötigen ihn für den Wert VERTEXAI_ENDPOINT_ID, wenn Sie den Private Service Connect-Endpunkt in einem späteren Schritt erstellen.

API

REST

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • VERTEXAI_PROJECT_ID ist die ID des Google Cloud-Projekts, in dem der Endpunkt für Onlinevorhersagen erstellt werden soll.
  • REGION: Die Region, in der Sie Vertex AI verwenden.
  • VERTEXAI_ENDPOINT_NAME: Der Anzeigename für den Endpunkt der Onlinevorhersage.
  • ALLOWED_PROJECTS: eine durch Kommas getrennte Liste von Google Cloud-Projekt-IDs, die jeweils in Anführungszeichen gesetzt sind, z. B. ["PROJECTID1", "PROJECTID2"]. Wenn ein Projekt nicht in dieser Liste enthalten ist, können Sie von dort keine Vorhersageanfragen an den Vertex AI-Endpunkt senden. Achten Sie darauf, dass VERTEXAI_PROJECT_ID in diese Liste aufgenommen wird, damit Sie den Endpunkt aus demselben Projekt aufrufen können, in dem er sich befindet.

HTTP-Methode und URL:

POST https://REGION-aiplatform.googleapis.com/v1/projects/VERTEXAI_PROJECT_ID/locations/REGION/endpoints

JSON-Text anfordern:

{
  "displayName": "VERTEXAI_ENDPOINT_NAME",
  "privateServiceConnectConfig": {
    "enablePrivateServiceConnect": true,
    "projectAllowlist": ["ALLOWED_PROJECTS"]
  }
}

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

Sie sollten in etwa folgende JSON-Antwort erhalten:

{
  "name": "projects/VERTEXAI_PROJECT_NUMBER/locations/REGION/endpoints/VERTEXAI_ENDPOINT_ID/operations/OPERATION_ID",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.aiplatform.v1.CreateEndpointOperationMetadata",
    "genericMetadata": {
      "createTime": "2020-11-05T17:45:42.812656Z",
      "updateTime": "2020-11-05T17:45:42.812656Z"
    }
  }
}
Notieren Sie sich den verwendeten VERTEXAI_ENDPOINT_ID. Sie benötigen ihn, um Ihr Modell in einem späteren Schritt bereitzustellen.

Modell bereitstellen

Nachdem Sie Ihren Onlinevorhersage-Endpunkt mit aktiviertem Private Service Connect erstellt haben, stellen Sie Ihr Modell darauf bereit. Führen Sie dazu die Schritte unter Modell auf einem Endpunkt bereitstellen aus.

Dienstanhang abrufen

Wenn Sie das Modell bereitstellen, wird für den Endpunkt der Onlinevorhersage ein Dienstanhang erstellt. Führen Sie den Befehl gcloud ai endpoints describe aus, um den URI des Dienstanhangs abzurufen.

  1. Listen Sie nur den Wert serviceAttachment aus den Endpunktdetails auf:

    gcloud ai endpoints describe VERTEXAI_ENDPOINT_ID \
    --project=VERTEXAI_PROJECT_ID \
    --region=REGION \
    | grep -i serviceAttachment
    

    Ersetzen Sie Folgendes:

    • VERTEXAI_ENDPOINT_ID: Die ID des Endpunkts für die Onlinevorhersage, den Sie gerade erstellt haben
    • VERTEXAI_PROJECT_ID: die ID des Google Cloud-Projekts, in dem Sie den Endpunkt für Onlinevorhersagen erstellt haben
    • REGION: Die Region für diese Anfrage

    Die Ausgabe sieht in etwa so aus:

    serviceAttachment: projects/ac74a9f84c2e5f2a1-tp/regions/us-central1/serviceAttachments/gkedpm-c6e6a854a634dc99472bb802f503c1
    
  2. Notieren Sie sich den gesamten String im Feld serviceAttachment. Dies ist der URI des Dienstanhangs.

Private Service Connect-Endpunkt erstellen

Sie können eine interne IP-Adresse für den Private Service Connect-Endpunkt reservieren und mit dieser Adresse einen Private Service Connect-Endpunkt erstellen. Sie benötigen den URI des Dienstanhangs, um den Endpunkt zu erstellen.

  1. Verwenden Sie den Befehl gcloud compute addresses create, um eine interne IP-Adresse für den Private Service Connect-Endpunkt zu reservieren:

    gcloud compute addresses create ADDRESS_NAME \
    --project=VPC_PROJECT_ID \
    --region=REGION \
    --subnet=SUBNETWORK \
    --addresses=INTERNAL_IP_ADDRESS
    

    Ersetzen Sie Folgendes:

    • ADDRESS_NAME: ein Name für die interne IP-Adresse
    • VPC_PROJECT_ID ist die ID des Google Cloud-Projekts, in dem Ihr VPC-Netzwerk gehostet wird. Wenn der Endpunkt für Onlinevorhersagen und der Private Service Connect-Endpunkt im selben Projekt gehostet werden, verwenden Sie für diesen Parameter VERTEXAI_PROJECT_ID.
    • REGION: die Google Cloud-Region, in der der Private Service Connect-Endpunkt erstellt werden soll
    • SUBNETWORK: der Name des VPC-Subnetzes, das die IP-Adresse enthält
    • INTERNAL_IP_ADDRESS: die interne IP-Adresse, die reserviert werden soll. Der Parameter ist optional.

      • Wenn dieser Parameter angegeben ist, muss sich die IP-Adresse innerhalb des primären IP-Adressbereichs des Subnetzes befinden. Die IP-Adresse kann eine RFC 1918-Adresse oder ein Subnetz mit Nicht-RFC-Bereichen sein.
      • Wenn Sie diesen Parameter nicht angeben, wird automatisch eine interne IP-Adresse zugewiesen.
      • Weitere Informationen finden Sie unter Neue statische interne IPv4- oder IPv6-Adresse reservieren.
  2. Prüfen Sie mit dem Befehl gcloud compute addresses list, ob die IP-Adresse reserviert ist:

    gcloud compute addresses list --filter="name=(ADDRESS_NAME)" \
    --project=VPC_PROJECT_ID
    

    Prüfen Sie in der Antwort, ob für die IP-Adresse der Status RESERVED angezeigt wird.

  3. Verwenden Sie den Befehl gcloud compute forwarding-rules create, um den Private Service Connect-Endpunkt zu erstellen und auf den Anhang des Onlinevorhersagediensts zu verweisen:

    gcloud compute forwarding-rules create PSC_ENDPOINT_NAME \
        --address=ADDRESS_NAME \
        --project=VPC_PROJECT_ID \
        --region=REGION \
        --network=VPC_NETWORK_NAME \
        --target-service-attachment=SERVICE_ATTACHMENT_URI
    

    Ersetzen Sie Folgendes:

    • PSC_ENDPOINT_NAME: ein Name für den Private Service Connect-Endpunkt
    • VPC_NETWORK_NAME: der Name des VPC-Netzwerks, in dem der Endpunkt erstellt werden soll
    • SERVICE_ATTACHMENT_URI: den Dienstanhang, den Sie zuvor notiert haben.
  4. Prüfen Sie mit dem Befehl gcloud compute forwarding-rules describe, ob der Dienstanhang den Endpunkt akzeptiert:

    gcloud compute forwarding-rules describe PSC_ENDPOINT_NAME \
    --project=VPC_PROJECT_ID \
    --region=REGION
    

    Prüfen Sie in der Antwort, ob für das Feld pscConnectionStatus der Status ACCEPTED angezeigt wird.

Optional: Interne IP-Adresse abrufen

Wenn Sie beim Erstellen des Private Service Connect-Endpunkts keinen Wert für INTERNAL_IP_ADDRESS angegeben haben, erhalten Sie die automatisch zugewiesene Adresse mit dem Befehl gcloud compute forwarding-rules describe:

gcloud compute forwarding-rules describe PSC_ENDPOINT_NAME \
--project=VERTEXAI_PROJECT_ID \
--region=REGION \
| grep -i IPAddress

Ersetzen Sie Folgendes:

  • PSC_ENDPOINT_NAME: der Name Ihres Private Service Connect-Endpunkts
  • VERTEXAI_PROJECT_ID: Ihre Projekt-ID.
  • REGION ist der Name der Region für diese Anfrage.

Onlinevorhersagen abrufen

Das Abrufen von Onlinevorhersagen von einem Endpunkt mit Private Service Connect ähnelt dem Abrufen von Onlinevorhersagen von öffentlichen Endpunkten, mit folgenden Ausnahmen:

  • Die Anfrage muss von einem Projekt gesendet werden, das in projectAllowlist angegeben wurde, als der Endpunkt für die Onlinevorhersage erstellt wurde.
  • Wenn der globale Zugriff nicht aktiviert ist, muss die Anfrage aus derselben Region gesendet werden.
  • Zum Abrufen von Vorhersagen mit REST müssen Sie eine Verbindung über die statische IP-Adresse des Endpunkts herstellen, es sei denn, Sie erstellen einen DNS-Eintrag für die interne IP-Adresse. Sie müssen Ihre predict-Anfragen beispielsweise an den folgenden Endpunkt senden:

    https://INTERNAL_IP_ADDRESS/v1/projects/VERTEXAI_PROJECT_ID/locations/REGION/endpoints/VERTEXAI_ENDPOINT_ID:predict
    

    Ersetzen Sie INTERNAL_IP_ADDRESS durch die zuvor reservierte interne IP-Adresse.

Optional: DNS-Eintrag für die interne IP-Adresse erstellen

Wir empfehlen, einen DNS-Eintrag zu erstellen, damit Sie Onlinevorhersagen von Ihrem für Private Service Connect aktivierten Endpunkt erhalten können, ohne die interne IP-Adresse angeben zu müssen.

Weitere Informationen finden Sie unter Andere Möglichkeiten zur Konfiguration von DNS.

  1. Erstellen Sie mit dem Befehl gcloud dns managed-zones create eine private DNS-Zone. Diese Zone ist dem VPC-Netzwerk zugeordnet, in dem der Private Service Connect-Endpunkt erstellt wurde.

    DNS_NAME_SUFFIX="prediction.p.vertexai.goog."  # DNS names have "." at the end.
    gcloud dns managed-zones create ZONE_NAME \
    --project=VPC_PROJECT_ID \
    --dns-name=$DNS_NAME_SUFFIX \
    --networks=VPC_NETWORK_NAME \
    --visibility=private \
    --description="A DNS zone for Vertex AI endpoints using Private Service Connect."
    
    

    Ersetzen Sie Folgendes:

    • ZONE_NAME: der Name der DNS-Zone
  2. Verwenden Sie zum Erstellen eines DNS-Eintrags in der Zone den Befehl gcloud dns record-sets create:

    DNS_NAME=VERTEXAI_ENDPOINT_ID.REGION-VERTEXAI_PROJECT_NUMBER.$DNS_NAME_SUFFIX
    gcloud dns record-sets create $DNS_NAME \
    --rrdatas=INTERNAL_IP_ADDRESS \
    --zone=ZONE_NAME \
    --type=A \
    --ttl=60 \
    --project=VPC_PROJECT_ID
    

    Ersetzen Sie Folgendes:

    • VERTEXAI_PROJECT_NUMBER ist Ihre VERTEXAI_PROJECT_ID Projektnummer. Sie finden diese Projektnummer in der Google Cloud Console. Weitere Informationen finden Sie unter Projekte identifizieren.
    • INTERNAL_IP_ADDRESS: die interne IP-Adresse Ihres Private Service Connect-fähigen Endpunkts

    Jetzt können Sie Ihre predict-Anfragen an folgende VMs senden:

    https://VERTEXAI_ENDPOINT_ID.REGION-VERTEXAI_PROJECT_NUMBER.prediction.p.vertexai.goog/v1/projects/VERTEXAI_PROJECT_ID/locations/REGION/endpoints/VERTEXAI_ENDPOINT_ID:predict
    

Beschränkungen

Vertex AI-Endpunkte mit Private Service Connect unterliegen den folgenden Einschränkungen:

  • Privater ausgehender Traffic innerhalb des Endpunkts wird nicht unterstützt. Da der Private Service Connect-Endpunkt unidirektional ist, sind andere private Google Cloud-Arbeitslasten in Ihrem Container nicht zugänglich.
  • Die projectAllowlist-Konfiguration eines Endpunkts kann nicht geändert werden.
  • Zugriffs-Logging wird nicht unterstützt.
  • Das Anfrage- und Antwort-Logging wird nicht unterstützt.
  • Vertex Explainable AI wird nicht unterstützt.

Vorschau Einschränkungen

In der Vorschau gelten die folgenden zusätzlichen Einschränkungen:

  • Wenn Sie die Bereitstellung aller Private Service Connect-Modelle aufheben und sie noch einmal bereitstellen, müssen Sie den Private Service Connect-Endpunkt neu erstellen, auch wenn der Name des Dienstanhangs identisch ist.
  • Alle Endpunkte müssen dieselbe projectAllowlist-Konfiguration haben.

Nächste Schritte