O Vertex AI Agent Engine suporta a interface do Private Service Connect (interface do PSC) e o peering de DNS para tráfego de saída privado e seguro.
Vista geral
O seu agente é implementado numa rede segura gerida pela Google sem acesso à sua rede de nuvem privada virtual (VPC). Uma interface do PSC cria uma ponte privada e segura para a sua rede, o que a torna a solução recomendada para interagir com serviços alojados de forma privada na sua VPC, nas instalações e em ambientes de várias nuvens.
Quando configura uma interface de PSC, o Agent Engine aprovisiona uma interface num projeto de inquilino pertencente à Google onde o seu agente é executado. Esta interface liga-se diretamente a um anexo de rede no seu projeto. Todo o tráfego entre o seu agente e a sua VPC viaja em segurança na rede da Google, nunca atravessando a Internet pública.
Além de fornecer acesso privado, a interface do PSC é necessária para ativar o acesso à Internet quando usar os VPC Service Controls.
A capacidade do agente de aceder à Internet pública depende da configuração de segurança do seu projeto, especificamente se está a usar o VPC Service Controls.
Sem VPC Service Controls: quando configura o agente apenas com uma interface PSC, o agente mantém o acesso à Internet predefinido. Este tráfego de saída sai diretamente do ambiente seguro gerido pela Google onde o seu agente é executado.
Com os VPC Service Controls: quando o seu projeto faz parte de um perímetro dos VPC Service Controls, o acesso predefinido do agente à Internet é bloqueado pelo perímetro para evitar a exfiltração de dados. Para permitir que o agente aceda à Internet pública neste cenário, tem de configurar explicitamente um caminho de saída seguro que encaminhe o tráfego através da sua VPC. A forma recomendada de o fazer é configurar um servidor proxy no perímetro da VPC e criar um gateway Cloud NAT para permitir que a VM proxy aceda à Internet.
Detalhes da configuração da interface do Private Service Connect
Para ativar a conetividade privada para o agente implementado através da interface do Private Service Connect, tem de configurar uma rede VPC, uma sub-rede e uma associação da rede no seu projeto de utilizador.
Requisitos do intervalo de IP da sub-rede
O Agent Engine recomenda uma sub-rede /28.
A sub-rede da associação de rede suporta endereços RFC 1918 e não RFC 1918, com exceção das sub-redes 100.64.0.0/10 e 240.0.0.0/4.
O Agent Engine só pode estabelecer ligação a intervalos de endereços IP RFC 1918 encaminháveis a partir da rede especificada. O Agent Engine não consegue alcançar um endereço IP público usado de forma privada ou os seguintes intervalos não RFC 1918:
100.64.0.0/10192.0.0.0/24192.0.2.0/24198.18.0.0/15198.51.100.0/24203.0.113.0/24240.0.0.0/4
Consulte o artigo Configure uma interface do Private Service Connect para mais informações.
Usar a interface do Private Service Connect com a VPC partilhada
Pode usar a interface do Private Service Connect com uma arquitetura de VPC partilhada, que lhe permite criar o Agent Engine num projeto de serviço enquanto usa uma rede de um projeto anfitrião central.
Para que o projeto de serviço use a rede do projeto anfitrião, o agente de serviço do Vertex AI do seu projeto de serviço precisa da função de utilizador da rede de computação (roles/compute.networkUser) no projeto anfitrião.
Conclua os seguintes passos:
Crie a sub-rede no projeto anfitrião.
Crie a associação da rede no projeto de serviço ou no projeto anfitrião. A associação da rede pode ser criada em qualquer projeto ligado à VPC partilhada, mas recomendamos que coloque a associação da rede no projeto de serviço para simplificar as autorizações:
Anexo de rede no projeto de serviço (recomendado): conceda a função de administrador de rede de computação (
roles/compute.networkAdmin) ao agente de serviço do Vertex AI do projeto de serviço. Esta função é necessária para que o agente de serviço possa atualizar a associação de rede para aceitar tráfego do projeto interno da Google.Associação da rede no projeto anfitrião: conclua os seguintes passos:
Ative a API Vertex AI no projeto anfitrião. Consulte o artigo Configure uma interface do Private Service Connect para mais informações.
Se o agente de serviço do Vertex AI não existir no projeto anfitrião, crie-o com o seguinte comando:
gcloud beta services identity create --service=aiplatform.googleapis.com --project=PROJECT_IDem que PROJECT_ID é o ID do seu projeto.
Conceda a função de administrador de rede de computação (
roles/compute.networkAdmin) ao agente de serviço do Vertex AI do projeto anfitrião. Consulte o artigo Configure uma interface do Private Service Connect para mais informações.
Intercâmbio de DNS
Embora a interface do Private Service Connect forneça o caminho de rede seguro, o peering de DNS fornece o mecanismo de deteção de serviços. Com a interface do PSC, tem de saber o endereço IP específico do serviço na rede VPC. Embora possa estabelecer ligação a serviços através dos respetivos endereços IP internos, isto não é recomendado para sistemas de produção em que os IPs podem mudar. Com o peering de DNS, o agente implementado pode estabelecer ligação a serviços na sua rede VPC através de nomes DNS estáveis e legíveis por humanos, em vez de endereços IP. A interligação de DNS permite que os agentes implementados resolvam nomes DNS usando os registos de uma zona privada do Cloud DNS na sua VPC. Consulte o artigo Configure uma interligação de DNS privado para mais informações.
O que se segue?
- Implemente o seu agente com a interface do Private Service Connect e o peering de DNS.