Vertex AI Agent Engine unterstützt Private Service Connect-Schnittstellen (PSC-Schnittstellen) und DNS-Peering für privaten und sicheren ausgehenden Traffic.
Übersicht
Ihr Agent wird in einem sicheren, von Google verwalteten Netzwerk bereitgestellt, ohne Zugriff auf Ihr VPC-Netzwerk (Virtual Private Cloud). Eine PSC-Schnittstelle stellt eine private und sichere Verbindung zu Ihrem Netzwerk her. Sie ist daher die empfohlene Lösung für die Interaktion mit privat gehosteten Diensten in Ihren VPC-, On-Premise- und Multi-Cloud-Umgebungen.
Wenn Sie eine PSC-Schnittstelle konfigurieren, stellt Agent Engine eine Schnittstelle in einem Google-eigenen Mandantenprojekt bereit, in dem Ihr Agent ausgeführt wird. Diese Schnittstelle wird direkt mit einem Netzwerkanhang in Ihrem Projekt verbunden. Der gesamte Traffic zwischen Ihrem Agent und Ihrer VPC wird sicher im Google-Netzwerk übertragen und durchläuft niemals das öffentliche Internet.
Neben dem privaten Zugriff ist eine PSC-Schnittstelle erforderlich, um den Internetzugriff bei Verwendung von VPC Service Controls zu ermöglichen.
Ob der Agent auf das öffentliche Internet zugreifen kann, hängt von der Sicherheitskonfiguration Ihres Projekts ab, insbesondere davon, ob Sie VPC Service Controls verwenden.
Ohne VPC Service Controls: Wenn Sie Ihren Agent nur mit einer PSC-Schnittstelle konfigurieren, behält er seinen standardmäßigen Internetzugang bei. Dieser ausgehende Traffic wird direkt aus der sicheren, von Google verwalteten Umgebung geleitet, in der Ihr Agent ausgeführt wird.
Mit VPC Service Controls: Wenn Ihr Projekt Teil eines VPC Service Controls-Perimeters ist, wird der standardmäßige Internetzugriff des Agents durch den Perimeter blockiert, um Daten-Exfiltration zu verhindern. Damit der Agent in diesem Szenario auf das öffentliche Internet zugreifen kann, müssen Sie explizit einen sicheren Pfad für ausgehenden Traffic konfigurieren, der Traffic über Ihre VPC weiterleitet. Die empfohlene Methode hierfür ist, einen Proxyserver in Ihrem VPC-Perimeter einzurichten und ein Cloud NAT-Gateway zu erstellen, damit die Proxy-VM auf das Internet zugreifen kann.
Einrichtungsdetails für die Private Service Connect-Schnittstelle
Wenn Sie private Verbindungen für Ihren bereitgestellten Agenten über die Private Service Connect-Schnittstelle aktivieren möchten, müssen Sie ein VPC-Netzwerk, ein Subnetzwerk und einen Netzwerkanhang in Ihrem Nutzerprojekt einrichten.
Anforderungen an Subnetzwerk-IP-Bereiche
Agent Engine empfiehlt ein /28-Subnetzwerk.
Das Subnetz der Netzwerkverbindung unterstützt RFC 1918- und Nicht-RFC 1918-Adressen, mit Ausnahme der Subnetze 100.64.0.0/10 und 240.0.0.0/4.
Agent Engine kann nur eine Verbindung zu RFC 1918-IP-Adressbereichen herstellen, die über das angegebene Netzwerk geroutet werden können. Die Agent Engine kann keine privat verwendete öffentliche IP-Adresse oder die folgenden Bereiche außerhalb von RFC 1918 erreichen:
100.64.0.0/10192.0.0.0/24192.0.2.0/24198.18.0.0/15198.51.100.0/24203.0.113.0/24240.0.0.0/4
Weitere Informationen finden Sie unter Private Service Connect-Schnittstelle einrichten.
Private Service Connect-Schnittstelle mit freigegebene VPC verwenden
Sie können die Private Service Connect-Schnittstelle mit einer Architektur für freigegebene VPC verwenden. So können Sie Ihre Agent Engine in einem Dienstprojekt erstellen und gleichzeitig ein Netzwerk aus einem zentralen Hostprojekt nutzen.
Damit das Dienstprojekt das Netzwerk des Hostprojekts verwenden kann, benötigt der Vertex AI-Dienst-Agent aus Ihrem Dienstprojekt die Rolle „Compute Network User“ (roles/compute.networkUser) für das Hostprojekt.
Gehen Sie folgendermaßen vor:
Netzwerkanhang erstellen: entweder im Dienstprojekt oder im Hostprojekt. Die Netzwerkverbindung kann in jedem Projekt erstellt werden, das mit der freigegebenen VPC verbunden ist. Wir empfehlen jedoch, die Netzwerkverbindung im Dienstprojekt zu platzieren, um die Berechtigungen zu vereinfachen:
Netzwerk-Attachment im Dienstprojekt (empfohlen): Weisen Sie dem Vertex AI-Dienst-Agent des Dienstprojekts die Rolle „Compute Network Admin“ (
roles/compute.networkAdmin) zu. Diese Rolle ist erforderlich, damit der Dienst-Agent die Netzwerkverbindung aktualisieren kann, um Traffic aus dem internen Projekt von Google zu akzeptieren.Netzwerkverbindung im Hostprojekt: Führen Sie die folgenden Schritte aus:
Aktivieren Sie die Vertex AI API im Hostprojekt. Weitere Informationen finden Sie unter Private Service Connect-Schnittstelle einrichten.
Wenn der Vertex AI-Dienst-Agent im Hostprojekt nicht vorhanden ist, erstellen Sie ihn mit dem folgenden Befehl:
gcloud beta services identity create --service=aiplatform.googleapis.com --project=PROJECT_IDDabei ist PROJECT_ID Ihre Projekt-ID.
Weisen Sie dem Vertex AI-Dienst-Agent des Hostprojekts die Rolle „Compute Network Admin“ (
roles/compute.networkAdmin) zu. Weitere Informationen finden Sie unter Private Service Connect-Schnittstelle einrichten.
DNS-Peering
Während die Private Service Connect-Schnittstelle den sicheren Netzwerkpfad bereitstellt, bietet DNS-Peering den Mechanismus zur Diensterkennung. Bei der PSC-Schnittstelle müssen Sie die spezifische IP-Adresse des Dienstes im VPC-Netzwerk kennen. Sie können zwar über die internen IP-Adressen eine Verbindung zu Diensten herstellen, dies wird jedoch für Produktionssysteme, in denen sich IP-Adressen ändern können, nicht empfohlen. Mit DNS-Peering kann der bereitgestellte Agent über stabile, für Menschen lesbare DNS-Namen anstelle von IP-Adressen eine Verbindung zu Diensten in Ihrem VPC-Netzwerk herstellen. Mit DNS-Peering können die bereitgestellten Agents DNS-Namen mithilfe der Einträge aus einer privaten Cloud DNS-Zone in Ihrer VPC auflösen. Weitere Informationen finden Sie unter Privates DNS-Peering einrichten.
Nächste Schritte
- Stellen Sie Ihren Agenten mit einer Private Service Connect-Schnittstelle und DNS-Peering bereit.