應用程式可從 Google Cloud 內部或混合 (內部部署和多雲端) 網路連線至 Google 正式版環境中的 API。Google Cloud 提供下列公用和私人存取權選項,可提供全球可及性和 SSL/TLS 安全性:
- 公開網際網路存取:將流量傳送至
REGION-aiplatform.googleapis.com。 - 私人 Google 存取權 (適用於內部部署主機):使用 IP 位址子網路範圍
199.36.153.8/30(private.googleapis.com) 或199.36.153.4/30(restricted.googleapis.com) 存取REGION-aiplatform.googleapis.com。 - Google API 適用的 Private Service Connect 端點:使用使用者定義的內部 IP 位址 (例如
10.0.0.100) 存取REGION-aiplatform.googleapis.com,或使用指派的 DNS 名稱 (例如aiplatform-genai1.p.googleapis.com)。
下圖說明這些存取選項。
部分 Vertex AI 服務供應商要求您透過私人服務存取權或Private Service Connect 端點連線至其服務。這些服務列於「Vertex AI 的私人存取權選項」表格中。
透過公開網際網路存取 Vertex AI API
如果應用程式使用 Vertex AI 支援的存取方法表格中列出的 Google 服務,應用程式就能針對服務端點 (REGION-aiplatform.googleapis.com) 執行 DNS 查詢,並傳回可公開路由的虛擬 IP 位址。只要有網際網路連線,您就能在世界各地使用這個 API。不過,從 Google Cloud 資源傳送至這些 IP 位址的流量仍會保留在 Google 的網路內。
Vertex AI API 的私人存取權
私人存取權是透過網際網路連線至 Google API 和服務的替代方案。它可提供更高的頻寬、可靠性和一致的效能。 Google Cloud 支援下列選項,可透過混合式網路服務 (例如 Cloud Interconnect、Cross-Cloud Interconnect、採用 Cloud Interconnect 的高可用性 VPN 和 SD-WAN) 私下存取 Google API。
內部部署主機的私人 Google 存取
「內部部署主機的私人 Google 存取權」可讓內部部署系統透過混合式網路服務將流量路由,連線至 Google API 和服務。
私人 Google 存取權要求您使用 Cloud Router 宣告下列任一子網路 IP 位址範圍,做為自訂宣告路徑:
private.googleapis.com:199.36.153.8/30、2600:2d00:0002:2000::/64restricted.googleapis.com:199.36.153.4/30、2600:2d00:0002:1000::/64
詳情請參閱「為內部部署主機設定私人 Google 存取權」。
Vertex AI API 的 Private Service Connect 端點
使用 Private Service Connect,您可以在虛擬私有雲網路中使用全域內部 IP 位址建立私人端點。您可以為這些內部 IP 位址指派 DNS 名稱,例如 aiplatform-genai1.p.googleapis.com 和 bigtable-adsteam.p.googleapis.com 等有意義的名稱。這些名稱和 IP 位址是虛擬私有雲網路的內部名稱和 IP 位址,以及透過混合式網路服務連線至該網路的任何地端部署網路。您可以控管哪些流量傳至哪個端點,並證實這些流量會留在 Google Cloud中。
- 您可以建立使用者定義的全球 Private Service Connect 端點 IP 位址 (/32)。詳情請參閱「IP 位址相關規定」。
- 您可以在與 Cloud Router 相同的 VPC 網路中建立 Private Service Connect 端點。
- 您可以為這些內部 IP 位址指派 DNS 名稱,例如
aiplatform-prodpsc.p.googleapis.com等有意義的名稱。詳情請參閱「關於透過端點存取 Google API」。
部署考量事項
以下是一些重要考量事項,會影響您使用私人 Google 存取權和 Private Service Connect 存取 Vertex AI API 的方式。
私人 Google 存取權
最佳做法是在 VPC 子網路上啟用私人 Google 存取權,讓沒有外部 IP 位址的運算資源 (例如 Compute Engine 和 GKE VM 執行個體) 能夠連上 Google Cloud API 和服務 (例如 Vertex AI、Cloud Storage 和 BigQuery)。
IP 廣告
您必須透過 Cloud Router 將 Private Google Access 子網路範圍或 Private Service Connect 端點 IP 位址,做為自訂宣傳路徑,宣傳至內部部署和多雲環境。詳情請參閱「通告自訂 IP 範圍」。
防火牆規則
您必須確保內部部署和多雲環境的防火牆設定,允許來自私人 Google 存取權或 Private Service Connect 子網路 IP 位址的傳出流量。
DNS 設定
- 您的內部部署網路必須設定 DNS 區域和記錄,讓系統將對
REGION-aiplatform.googleapis.com的要求解析為私人 Google 存取權子網路或Private Service Connect 端點 IP 位址。 - 您可以建立 Cloud DNS 代管不公開區域,並使用 Cloud DNS 傳入伺服器政策,也可以設定內部部署名稱伺服器。舉例來說,您可以使用 BIND 或 Microsoft Active Directory DNS。
- 如果內部部署網路已連線至虛擬私有雲網路,您可以使用 Private Service Connect,透過端點的內部 IP 位址,從內部部署主機存取 Google API 和服務。詳情請參閱「透過 on-premises 主機存取端點」。