将 Private Service Connect 接口与 Vertex AI Agent Engine 搭配使用

Vertex AI Agent Engine 支持 Private Service Connect 接口 (PSC 接口) 和 DNS 对等互连,以实现私密安全的出站流量。

概览

您的代理部署在安全的 Google 管理的网络中,无法访问您的虚拟私有云 (VPC) 网络。PSC 接口可为您的网络创建专用安全桥梁,因此是与 VPC、本地和多云环境中的私有托管服务进行交互的推荐解决方案。

配置 PSC 接口时,Agent Engine 会在 Google 拥有的租户项目中预配一个接口,您的代理会在该项目中运行。此接口直接连接到项目中的网络连接。您的代理与 VPC 之间的所有流量都会在 Google 的网络中安全传输,绝不会通过公共互联网传输。

除了提供专用访问权限之外,在使用 VPC Service Controls 时,还需要使用 PSC 接口来启用互联网访问权限。

代理能否访问公共互联网取决于项目的安全配置,特别是您是否在使用 VPC Service Controls。

  • 不使用 VPC Service Controls:如果您仅使用 PSC 接口配置代理,则来自代理的流量会路由到您的 VPC 中。默认情况下,您的 VPC 不会为此流量提供通往公共互联网的出站路径。如需为代理启用互联网访问权限,您必须在 VPC 内明确配置出站流量路径。例如,您可以在 VPC 中设置专用代理虚拟机。如需了解详情,请参阅 Agent Engine PSC 接口 Codelab

  • 使用 VPC Service Controls:当您的项目属于 VPC Service Controls 边界时,该边界会阻止代理的默认互联网访问权限,以防止数据渗漏。如需在此场景中允许代理访问公共互联网,您必须明确配置一条安全的出站路径,以通过您的 VPC 路由流量。实现此目的的推荐方法是在 VPC 边界内设置代理服务器,并创建 Cloud NAT 网关以允许代理虚拟机访问互联网。

Private Service Connect 接口的设置详情

如需使用 Private Service Connect 接口为已部署的代理启用专用连接,您需要在用户项目中设置 VPC 网络、子网和网络连接。

子网 IP 地址范围要求

Agent Engine 建议使用 /28 子网。

网络连接的子网支持 RFC 1918 和非 RFC 1918 地址,但子网 100.64.0.0/10240.0.0.0/4 除外。代理引擎只能连接到可从指定网络路由的 RFC 1918 IP 地址范围。Agent Engine 无法访问以非公开方式使用的公共 IP 地址或以下非 RFC 1918 范围:

  • 100.64.0.0/10
  • 192.0.0.0/24
  • 192.0.2.0/24
  • 198.18.0.0/15
  • 198.51.100.0/24
  • 203.0.113.0/24
  • 240.0.0.0/4

如需了解详情,请参阅设置 Private Service Connect 接口

将 Private Service Connect 接口与共享 VPC 搭配使用

您可以将 Private Service Connect 接口与共享 VPC 架构搭配使用,这样您就可以在服务项目中创建 Agent Engine,同时使用来自中央宿主项目的网络。

为了让服务项目使用宿主项目的网络,服务项目中的 Vertex AI Service Agent 需要在宿主项目上拥有 Compute Network User (roles/compute.networkUser) 角色。

请完成以下步骤:

  1. 在宿主项目中创建子网

  2. 在服务项目或宿主项目中创建网络连接。可以在连接到共享 VPC 的任何项目中创建网络连接,但我们建议将网络连接放置在服务项目中,以简化权限:

    • 服务项目中的网络连接(推荐):向服务项目的 Vertex AI Service Agent 授予 Compute Network Admin (roles/compute.networkAdmin) 角色。此角色是必需的,以便服务代理可以更新网络连接,以接受来自 Google 内部项目的流量。

    • 宿主项目中的网络连接:完成以下步骤:

      1. 在宿主项目中启用 Vertex AI API。如需了解详情,请参阅设置 Private Service Connect 接口

      2. 如果宿主项目中不存在 Vertex AI 服务代理,请使用以下命令创建该代理:

        gcloud beta services identity create --service=aiplatform.googleapis.com --project=PROJECT_ID

        其中,PROJECT_ID 是您的项目 ID。

      3. 向宿主项目的 Vertex AI Service Agent 授予 Compute Network Admin (roles/compute.networkAdmin) 角色。如需了解详情,请参阅设置 Private Service Connect 接口

DNS 对等互连

Private Service Connect 接口提供安全的网络路径,而 DNS 对等互联提供服务发现机制。使用 PSC 接口时,您需要知道 VPC 网络中服务的具体 IP 地址。虽然您可以使用服务的内部 IP 地址连接到服务,但不建议在 IP 地址可能会更改的生产系统中使用此方法。借助 DNS 对等互连,已部署的代理可以使用稳定且人类可读的 DNS 名称(而不是 IP 地址)连接到 VPC 网络中的服务。通过 DNS 对等互连,已部署的代理可以使用 VPC 中 Cloud DNS 专用区域的记录来解析 DNS 名称。如需了解详情,请参阅设置专用 DNS 对等互连

后续步骤

  • 使用 Private Service Connect 接口和 DNS 对等互连部署代理