Vertex AI Agent Engine est compatible avec l'interface Private Service Connect (interface PSC) et l'appairage DNS pour un trafic de sortie privé et sécurisé.
Présentation
Votre agent est déployé dans un réseau sécurisé géré par Google, sans accès à votre réseau de cloud privé virtuel (VPC). Une interface PSC crée un pont privé et sécurisé vers votre réseau. Il s'agit donc de la solution recommandée pour interagir avec des services hébergés de manière privée dans vos environnements VPC, sur site et multicloud.
Lorsque vous configurez une interface PSC, Agent Engine provisionne une interface dans un projet locataire appartenant à Google, où votre agent s'exécute. Cette interface se connecte directement à un rattachement de réseau dans votre projet. Tout le trafic entre votre agent et votre VPC transite de manière sécurisée sur le réseau Google, sans jamais transiter par l'Internet public.
En plus de fournir un accès privé, l'interface PSC est requise pour activer l'accès à Internet lorsque vous utilisez VPC Service Controls.
La capacité de l'agent à accéder à l'Internet public dépend de la configuration de sécurité de votre projet, en particulier si vous utilisez VPC Service Controls.
Sans VPC Service Controls : lorsque vous configurez votre agent avec une interface PSC uniquement, il conserve son accès Internet par défaut. Ce trafic sortant quitte directement l'environnement sécurisé géré par Google dans lequel votre agent s'exécute.
Avec VPC Service Controls : lorsque votre projet fait partie d'un périmètre VPC Service Controls, l'accès Internet par défaut de l'agent est bloqué par le périmètre pour empêcher l'exfiltration de données. Pour permettre à l'agent d'accéder à l'Internet public dans ce scénario, vous devez configurer explicitement un chemin de sortie sécurisé qui achemine le trafic via votre VPC. La méthode recommandée consiste à configurer un serveur proxy dans votre périmètre VPC et à créer une passerelle Cloud NAT pour permettre à la VM du proxy d'accéder à Internet.
Détails de la configuration de l'interface Private Service Connect
Pour activer la connectivité privée pour votre agent déployé à l'aide de l'interface Private Service Connect, vous devez configurer un réseau VPC, un sous-réseau et un rattachement de réseau dans votre projet utilisateur.
Exigences concernant la plage d'adresses IP du sous-réseau
Agent Engine recommande un sous-réseau /28.
Le sous-réseau du rattachement réseau est compatible avec les adresses RFC 1918 et non-RFC 1918, à l'exception des sous-réseaux 100.64.0.0/10 et 240.0.0.0/4.
Agent Engine ne peut se connecter qu'aux plages d'adresses IP RFC 1918 routables à partir du réseau spécifié. Agent Engine ne peut pas accéder à une adresse IP publique utilisée en mode privé ni aux plages non-RFC 1918 suivantes :
100.64.0.0/10192.0.0.0/24192.0.2.0/24198.18.0.0/15198.51.100.0/24203.0.113.0/24240.0.0.0/4
Pour en savoir plus, consultez Configurer une interface Private Service Connect.
Utiliser une interface Private Service Connect avec un VPC partagé
Vous pouvez utiliser l'interface Private Service Connect avec une architecture VPC partagé, qui vous permet de créer votre Agent Engine dans un projet de service tout en utilisant un réseau provenant d'un projet hôte central.
Lorsque vous configurez une interface PSC dans un environnement VPC partagé, créez le sous-réseau dans le projet hôte, puis créez le rattachement réseau dans le projet de service.
Pour que le projet de service puisse utiliser le réseau du projet hôte, vous devez accorder l'autorisation IAM appropriée. L'agent de service Vertex AI de votre projet de service a besoin du rôle Utilisateur de réseau Compute (roles/compute.networkUser) dans le projet hôte.
Appairage DNS
Alors que l'interface Private Service Connect fournit le chemin réseau sécurisé, le peering DNS fournit le mécanisme de détection de services. Avec l'interface PSC, vous devez connaître l'adresse IP spécifique du service dans le réseau VPC. Bien que vous puissiez vous connecter aux services à l'aide de leurs adresses IP internes, cela n'est pas recommandé pour les systèmes de production où les adresses IP peuvent changer. Grâce à l'appairage DNS, l'agent déployé peut se connecter aux services de votre réseau VPC à l'aide de noms DNS stables et lisibles au lieu d'adresses IP. L'appairage DNS permet aux agents déployés de résoudre les noms DNS à l'aide des enregistrements d'une zone privée Cloud DNS dans votre VPC. Pour en savoir plus, consultez Configurer un peering DNS privé.
Étapes suivantes
- Déployez votre agent avec une interface Private Service Connect et l'appairage DNS.