A partir de 29 de abril de 2025, os modelos Gemini 1.5 Pro e Gemini 1.5 Flash não estarão disponíveis em projetos que não os usaram antes, incluindo novos projetos. Para mais detalhes, consulte Versões e ciclo de vida do modelo.

Esta página foi traduzida pela API Cloud Translation.

Usar a interface do Private Service Connect com o Vertex AI Agent Engine

O Vertex AI Agent Engine é compatível com a interface do Private Service Connect (interface do PSC) e o peering de DNS para tráfego de saída particular e seguro.

Visão geral

O agente é implantado em uma rede segura gerenciada pelo Google sem acesso à sua rede de nuvem privada virtual (VPC). Uma interface do PSC cria uma ponte privada e segura para sua rede, tornando-a a solução recomendada para interagir com serviços hospedados de forma privada em ambientes de VPC, locais e multicloud.

Quando você configura uma interface do PSC, o Agent Engine provisiona uma interface em um projeto de locatário do Google em que o agente é executado. Essa interface se conecta diretamente a um anexo de rede no seu projeto. Todo o tráfego entre o agente e a VPC viaja com segurança na rede do Google, sem passar pela Internet pública.

Além de fornecer acesso privado, a interface do PSC é necessária para ativar o acesso à Internet ao usar o VPC Service Controls.

A capacidade do agente de acessar a Internet pública depende da configuração de segurança do seu projeto, especificamente se você está usando o VPC Service Controls.

Sem o VPC Service Controls: quando você configura o agente apenas com uma interface do PSC, ele mantém o acesso padrão à Internet. Esse tráfego de saída sai diretamente do ambiente seguro gerenciado pelo Google em que o agente é executado.
Com o VPC Service Controls: quando seu projeto faz parte de um perímetro do VPC Service Controls, o acesso padrão à Internet do agente é bloqueado pelo perímetro para evitar a exfiltração de dados. Para permitir que o agente acesse a Internet pública nesse cenário, é preciso configurar explicitamente um caminho de saída seguro que roteie o tráfego pela sua VPC. A maneira recomendada de fazer isso é configurar um servidor proxy dentro do perímetro da VPC e criar um gateway do Cloud NAT para permitir que a VM proxy acesse a Internet.

Detalhes da configuração da interface do Private Service Connect

Para ativar a conectividade privada do agente implantado usando a interface do Private Service Connect, configure uma rede VPC, uma sub-rede e um anexo de rede no projeto do usuário.

Requisitos de intervalo de IP da sub-rede

O Agent Engine recomenda uma sub-rede /28.

A sub-rede do anexo de rede é compatível com endereços RFC 1918 e não RFC 1918, exceto as sub-redes 100.64.0.0/10 e 240.0.0.0/4. O Agent Engine só pode se conectar a intervalos de endereços IP RFC 1918 que podem ser roteados da rede especificada. O Agent Engine não consegue acessar um endereço IP público usado de maneira particular ou os seguintes intervalos não RFC 1918:

100.64.0.0/10
192.0.0.0/24
192.0.2.0/24
198.18.0.0/15
198.51.100.0/24
203.0.113.0/24
240.0.0.0/4

Consulte Configurar uma interface do Private Service Connect para mais informações.

Usar a interface do Private Service Connect com a VPC compartilhada

É possível usar a interface do Private Service Connect com uma arquitetura de VPC compartilhada, que permite criar o Agent Engine em um projeto de serviço usando uma rede de um projeto host central.

Ao configurar a interface do PSC em um ambiente de VPC compartilhada, crie a sub-rede no projeto host e, em seguida, crie o anexo de rede no projeto de serviço.

Para que o projeto de serviço use a rede do projeto host, conceda a permissão apropriada do IAM. O agente de serviço da Vertex AI do seu projeto de serviço precisa ter o papel de usuário da rede do Compute (roles/compute.networkUser) no projeto host.

Peering de DNS

Enquanto a interface do Private Service Connect fornece o caminho de rede seguro, o peering de DNS oferece o mecanismo de descoberta de serviços. Com a interface do PSC, você precisa saber o endereço IP específico do serviço na rede VPC. Embora seja possível se conectar a serviços usando os endereços IP internos deles, isso não é recomendado para sistemas de produção em que os IPs podem mudar. Com o peering de DNS, o agente implantado pode se conectar a serviços na rede VPC usando nomes DNS estáveis e legíveis por humanos em vez de endereços IP. Com o peering de DNS, os agentes implantados resolvem nomes de DNS usando os registros de uma zona privada do Cloud DNS na sua VPC. Consulte Configurar um peering de DNS particular para mais informações.

A seguir

Implante seu agente com a interface do Private Service Connect e o peering de DNS.

Usar a interface do Private Service Connect com o Vertex AI Agent Engine Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.