Vertex AI Agent Engine 支援 Private Service Connect 介面 (PSC 介面) 和 DNS 對等互連,可確保輸出流量的隱私和安全。
總覽
代理程式會部署在安全的 Google 管理網路中,無法存取您的虛擬私有雲 (VPC) 網路。PSC 介面會建立安全私有橋接器連至您的網路,因此建議您使用這項解決方案,與虛擬私有雲、內部部署和多雲環境中私下代管的服務互動。
設定 PSC 介面時,Agent Engine 會在 Google 擁有的租戶專案中佈建介面,您的代理程式會在該專案中執行。這個介面會直接連結至專案中的網路連結。代理程式與 VPC 之間的所有流量都會在 Google 網路中安全傳輸,絕不會經過公開網際網路。
除了提供私人存取權,使用 VPC Service Controls 時,也必須有 PSC 介面才能啟用網際網路存取權。
代理程式能否存取公用網際網路,取決於專案的安全設定,特別是您是否使用 VPC Service Controls。
沒有 VPC Service Controls:如果只使用 PSC 介面設定代理程式,代理程式會保留預設的網際網路存取權。這類輸出流量會直接從代理程式執行的安全 Google 管理環境輸出。
使用 VPC Service Controls:如果專案屬於 VPC Service Controls 範圍,範圍會封鎖代理程式的預設網際網路存取權,防止資料外洩。如要允許代理程式在此情境中存取公開網際網路,您必須明確設定安全輸出路徑,將流量透過虛擬私有雲傳送。建議您在虛擬私有雲周邊設定 Proxy 伺服器,並建立 Cloud NAT 閘道,允許 Proxy VM 存取網際網路。
Private Service Connect 介面的設定詳細資料
如要使用 Private Service Connect 介面,為已部署的代理程式啟用私人連線,您需要在使用者專案中設定虛擬私有雲網路、子網路和網路連結。
子網路 IP 範圍規定
Agent Engine 會建議使用 /28 子網路。
網路附件的子網路支援 RFC 1918 和非 RFC 1918 位址,但 100.64.0.0/10 和 240.0.0.0/4 子網路除外。Agent Engine 只能連線至可從指定網路路由傳輸的 RFC 1918 IP 位址範圍。Agent Engine 無法連線至私用公開 IP 位址,或下列非 RFC 1918 範圍:
100.64.0.0/10192.0.0.0/24192.0.2.0/24198.18.0.0/15198.51.100.0/24203.0.113.0/24240.0.0.0/4
詳情請參閱「設定 Private Service Connect 介面」。
搭配共用 VPC 使用 Private Service Connect 介面
您可以搭配共用虛擬私有雲架構使用 Private Service Connect 介面,在服務專案中建立 Agent Engine,同時使用中央主專案的網路。
在共用虛擬私有雲環境中設定 PSC 介面時,請在主專案中建立子網路,然後在服務專案中建立網路連結。
如要讓服務專案使用主專案的網路,您必須授予適當的 IAM 權限。服務專案的 Vertex AI 服務代理程式需要主專案的 Compute 網路使用者 (roles/compute.networkUser) 角色。
DNS 對等互連
Private Service Connect 介面提供安全的網路路徑,而 DNS 對等互連則提供服務探索機制。使用 PSC 介面時,您需要知道 VPC 網路中服務的特定 IP 位址。雖然您可以使用服務的內部 IP 位址連線,但我們不建議在 IP 位址可能會變更的實際工作環境系統中這麼做。透過 DNS 對等互連,已部署的代理程式可以使用穩定且使用者能理解的 DNS 名稱 (而非 IP 位址),連線至虛擬私有雲網路中的服務。DNS 對等互連功能可讓已部署的代理程式,使用虛擬私有雲中 Cloud DNS 私人區域的記錄解析 DNS 名稱。詳情請參閱「設定私人 DNS 對等互連」。
後續步驟
- 使用 Private Service Connect 介面和 DNS 對等互連部署代理程式。