Vertex AI Agent Engine admite la interfaz Private Service Connect (interfaz PSC) y el emparejamiento de DNS para el tráfico de salida privado y seguro.
Información general
Tu agente se implementa en una red segura gestionada por Google sin acceso a tu red de nube privada virtual (VPC). Una interfaz de PSC crea un puente privado y seguro a tu red, por lo que es la solución recomendada para interactuar con servicios alojados de forma privada en tus entornos de VPC, on-premise y multicloud.
Cuando configuras una interfaz de PSC, Agent Engine aprovisiona una interfaz en un proyecto de arrendatario propiedad de Google en el que se ejecuta tu agente. Esta interfaz se conecta directamente a un archivo adjunto de red de tu proyecto. Todo el tráfico entre tu agente y tu VPC se transmite de forma segura en la red de Google, sin pasar nunca por la red pública de Internet.
Además de proporcionar acceso privado, se necesita una interfaz de PSC para habilitar el acceso a Internet cuando se usan Controles de Servicio de VPC.
La capacidad del agente para acceder a Internet público depende de la configuración de seguridad de tu proyecto, en concreto, de si usas Controles de servicio de VPC.
Sin Controles de Servicio de VPC: si configuras tu agente solo con una interfaz de PSC, el agente conservará su acceso a Internet predeterminado. Este tráfico saliente sale directamente del entorno seguro gestionado por Google en el que se ejecuta tu agente.
Con Controles de Servicio de VPC: cuando tu proyecto forma parte de un perímetro de Controles de Servicio de VPC, el perímetro bloquea el acceso a Internet predeterminado del agente para evitar la exfiltración de datos. Para permitir que el agente acceda a Internet pública en este caso, debes configurar explícitamente una ruta de salida segura que dirija el tráfico a través de tu VPC. La forma recomendada de hacerlo es configurar un servidor proxy dentro de tu perímetro de VPC y crear una pasarela Cloud NAT para permitir que la VM proxy acceda a Internet.
Detalles de configuración de la interfaz de Private Service Connect
Para habilitar la conectividad privada de tu agente implementado mediante la interfaz de Private Service Connect, debes configurar una red VPC, una subred y una vinculación de red en tu proyecto de usuario.
Requisitos del intervalo de IP de la subred
Agent Engine recomienda una subred /28.
La subred del adjunto de red admite direcciones RFC 1918 y no RFC 1918, excepto las subredes 100.64.0.0/10 y 240.0.0.0/4.
Agent Engine solo puede conectarse a intervalos de direcciones IP RFC 1918 que se puedan enrutar desde la red especificada. Agent Engine no puede acceder a una dirección IP pública utilizada de forma privada ni a los siguientes intervalos que no son RFC 1918:
100.64.0.0/10192.0.0.0/24192.0.2.0/24198.18.0.0/15198.51.100.0/24203.0.113.0/24240.0.0.0/4
Para obtener más información, consulta el artículo Configurar una interfaz de Private Service Connect.
Usar una interfaz de Private Service Connect con VPC compartida
Puedes usar la interfaz de Private Service Connect con una arquitectura de VPC compartida, que te permite crear tu Agent Engine en un proyecto de servicio mientras usas una red de un proyecto host central.
Cuando configures la interfaz de PSC en un entorno de VPC compartida, crea la subred en el proyecto del host y, a continuación, crea la vinculación de red en el proyecto de servicio.
Para que el proyecto de servicio pueda usar la red del proyecto host, debes conceder el permiso de gestión de identidades y accesos adecuado. El agente de servicio de Vertex AI de tu proyecto de servicio necesita el rol Usuario de red de Compute (roles/compute.networkUser) en el proyecto host.
Emparejamiento de DNS
Aunque la interfaz de Private Service Connect proporciona la ruta de red segura, el peering de DNS proporciona el mecanismo de detección de servicios. Con la interfaz de PSC, debes conocer la dirección IP específica del servicio en la red de VPC. Aunque puedes conectarte a los servicios mediante sus direcciones IP internas, no se recomienda hacerlo en sistemas de producción en los que las IPs pueden cambiar. Con el emparejamiento de DNS, el agente implementado puede conectarse a los servicios de tu red VPC mediante nombres de DNS estables y legibles en lugar de direcciones IP. El peering de DNS permite que los agentes implementados resuelvan nombres de DNS mediante los registros de una zona privada de Cloud DNS en tu VPC. Para obtener más información, consulta Configurar un peering de DNS privado.
Siguientes pasos
- Despliega tu agente con la interfaz Private Service Connect y el peering de DNS.