Vertex AI Agent Engine 支持 Private Service Connect 接口 (PSC 接口) 和 DNS 对等互连,以实现私密安全的出站流量。
概览
您的代理部署在安全的 Google 管理的网络中,无法访问您的虚拟私有云 (VPC) 网络。PSC 接口可为您的网络创建专用安全桥梁,因此是与 VPC、本地和多云环境中的私有托管服务进行交互的推荐解决方案。
配置 PSC 接口时,Agent Engine 会在 Google 拥有的租户项目中预配一个接口,您的代理会在该项目中运行。此接口直接连接到项目中的网络连接。您的代理与 VPC 之间的所有流量都会在 Google 的网络中安全传输,绝不会通过公共互联网传输。
除了提供专用访问权限之外,在使用 VPC Service Controls 时,还需要使用 PSC 接口来启用互联网访问权限。
代理能否访问公共互联网取决于项目的安全配置,特别是您是否在使用 VPC Service Controls。
不使用 VPC Service Controls:如果您仅使用 PSC 接口配置代理,则代理会保留其默认的互联网访问权限。此出站流量直接从代理运行的安全的 Google 管理环境中出站。
使用 VPC Service Controls:当您的项目属于 VPC Service Controls 边界时,该边界会阻止代理的默认互联网访问权限,以防止数据渗漏。如需在此场景中允许代理访问公共互联网,您必须明确配置一条安全的出站路径,以通过您的 VPC 路由流量。实现此目的的推荐方法是在 VPC 边界内设置代理服务器,并创建 Cloud NAT 网关以允许代理虚拟机访问互联网。
Private Service Connect 接口的设置详情
如需使用 Private Service Connect 接口为已部署的代理启用专用连接,您需要在用户项目中设置 VPC 网络、子网和网络连接。
子网 IP 地址范围要求
Agent Engine 建议使用 /28 子网。
网络连接的子网支持 RFC 1918 和非 RFC 1918 地址,但子网 100.64.0.0/10 和 240.0.0.0/4 除外。代理引擎只能连接到可从指定网络路由的 RFC 1918 IP 地址范围。Agent Engine 无法访问以非公开方式使用的公共 IP 地址或以下非 RFC 1918 范围:
100.64.0.0/10192.0.0.0/24192.0.2.0/24198.18.0.0/15198.51.100.0/24203.0.113.0/24240.0.0.0/4
如需了解详情,请参阅设置 Private Service Connect 接口。
将 Private Service Connect 接口与共享 VPC 搭配使用
您可以将 Private Service Connect 接口与共享 VPC 架构搭配使用,这样您就可以在服务项目中创建 Agent Engine,同时使用来自中央宿主项目的网络。
在共享 VPC 环境中设置 PSC 接口时,请在宿主项目中创建子网,然后在服务项目中创建网络连接。
如需让服务项目使用宿主项目的网络,您必须授予相应的 IAM 权限。服务项目中的 Vertex AI Service Agent 需要宿主项目中的 Compute Network User (roles/compute.networkUser) 角色。
DNS 对等互连
Private Service Connect 接口提供安全的网络路径,而 DNS 对等互联提供服务发现机制。使用 PSC 接口时,您需要知道 VPC 网络中服务的具体 IP 地址。虽然您可以使用服务的内部 IP 地址连接到服务,但不建议在 IP 地址可能会更改的生产系统中使用此方法。借助 DNS 对等互连,已部署的代理可以使用稳定且人类可读的 DNS 名称(而不是 IP 地址)连接到 VPC 网络中的服务。通过 DNS 对等互连,已部署的代理可以使用 VPC 中 Cloud DNS 专用区域的记录来解析 DNS 名称。如需了解详情,请参阅设置专用 DNS 对等互连。
后续步骤
- 使用 Private Service Connect 接口和 DNS 对等互连部署代理。