Vertex AI Agent Engine admite la interfaz de Private Service Connect (interfaz de PSC) y el intercambio de tráfico de DNS para el tráfico de salida privado y seguro.
Descripción general
Tu agente se implementa en una red segura administrada por Google sin acceso a tu red de nube privada virtual (VPC). Una interfaz de PSC crea un puente privado y seguro a tu red, lo que la convierte en la solución recomendada para interactuar con servicios alojados de forma privada en tus entornos de VPC, locales y de múltiples nubes.
Cuando configuras una interfaz de PSC, Agent Engine aprovisiona una interfaz en un proyecto de usuario propiedad de Google en el que se ejecuta tu agente. Esta interfaz se conecta directamente a un archivo adjunto de red en tu proyecto. Todo el tráfico entre tu agente y tu VPC viaja de forma segura dentro de la red de Google y nunca atraviesa la Internet pública.
Además de proporcionar acceso privado, se requiere la interfaz de PSC para habilitar el acceso a Internet cuando se usan los Controles del servicio de VPC.
La capacidad del agente para acceder a Internet pública depende de la configuración de seguridad de tu proyecto, específicamente si usas los Controles del servicio de VPC.
Sin Controles del servicio de VPC: Cuando configuras tu agente solo con una interfaz de PSC, el agente conserva su acceso predeterminado a Internet. Este tráfico saliente sale directamente del entorno seguro administrado por Google en el que se ejecuta tu agente.
Con los Controles del servicio de VPC: Cuando tu proyecto forma parte de un perímetro de los Controles del servicio de VPC, el perímetro bloquea el acceso predeterminado a Internet del agente para evitar el robo de datos. Para permitir que el agente acceda a Internet pública en esta situación, debes configurar de forma explícita una ruta de salida segura que enrute el tráfico a través de tu VPC. La forma recomendada de lograr esto es configurar un servidor proxy dentro de tu perímetro de VPC y crear una puerta de enlace de Cloud NAT para permitir que la VM proxy acceda a Internet.
Detalles de configuración de la interfaz de Private Service Connect
Para habilitar la conectividad privada de tu agente implementado con la interfaz de Private Service Connect, debes configurar una red de VPC, una subred y un adjunto de red en tu proyecto de usuario.
Requisitos del rango de IP de la subred
Agent Engine recomienda una subred /28.
La subred de la vinculación de red admite direcciones RFC 1918 y que no son RFC 1918, con la excepción de las subredes 100.64.0.0/10 y 240.0.0.0/4.
Agent Engine solo puede conectarse a rangos de direcciones IP RFC 1918 que se puedan enrutar desde la red especificada. Agent Engine no puede acceder a una dirección IP pública de uso privado ni a los siguientes rangos que no son RFC 1918:
100.64.0.0/10192.0.0.0/24192.0.2.0/24198.18.0.0/15198.51.100.0/24203.0.113.0/24240.0.0.0/4
Consulta Cómo configurar una interfaz de Private Service Connect para obtener más información.
Usa la interfaz de Private Service Connect con la VPC compartida
Puedes usar la interfaz de Private Service Connect con una arquitectura de VPC compartida, que te permite crear tu Agent Engine en un proyecto de servicio mientras usas una red de un proyecto host central.
Cuando configures la interfaz de PSC en un entorno de VPC compartida, crea la subred en el proyecto host y, luego, crea el adjunto de red en el proyecto de servicio.
Para que el proyecto de servicio use la red del proyecto host, debes otorgar el permiso de IAM adecuado. El agente de servicio de Vertex AI de tu proyecto de servicio necesita el rol de usuario de red de Compute (roles/compute.networkUser) en el proyecto host.
Intercambio de tráfico de DNS
Si bien la interfaz de Private Service Connect proporciona la ruta de red segura, el peering de DNS proporciona el mecanismo de detección de servicios. Con la interfaz de PSC, debes conocer la dirección IP específica del servicio en la red de VPC. Si bien puedes conectarte a los servicios con sus direcciones IP internas, no se recomienda hacerlo en sistemas de producción en los que las IPs pueden cambiar. Con el intercambio de tráfico de DNS, el agente implementado puede conectarse a los servicios de tu red de VPC con nombres de DNS estables y legibles en lugar de direcciones IP. El intercambio de tráfico de DNS permite que los agentes implementados resuelvan nombres de DNS con los registros de una zona privada de Cloud DNS en tu VPC. Consulta Configura una interconexión de DNS privada para obtener más información.
¿Qué sigue?
- Implementa tu agente con la interfaz de Private Service Connect y el intercambio de tráfico de DNS.