I servizi Vertex AI con un segno di spunta nella colonna Accesso privato ai servizi della tabella Opzioni di accesso privato per Vertex AI richiedono la connessione ai servizi tramite l'accesso privato ai servizi.
Questi servizi Vertex AI gestiti da Google supportano la comunicazione bidirezionale con i carichi di lavoro on-premise, multicloud e VPC di un consumer di servizi.
Questa comunicazione privata avviene esclusivamente tramite indirizzi IP interni. Le istanze VM non hanno bisogno dell'accesso a internet o di indirizzi IP esterni per raggiungere i servizi disponibili tramite l'accesso privato ai servizi.
Vertex AI fornisce servizi ospitati in una rete VPC gestita da Google. L'accesso privato ai servizi consente di raggiungere gli indirizzi IP interni di questi servizi Vertex AI e di terze parti tramite una connessione di peering di rete VPC.
Il seguente diagramma mostra un'architettura di addestramento personalizzato in cui le API Vertex AI per i job di addestramento e i job della pipeline sono abilitate e gestite in un progetto di servizio (serviceproject) nell'ambito di un deployment VPC condiviso.
Questi componenti vengono implementati come
Infrastructure as a Service (IaaS) gestito da Google nella rete VPC delproducer di servizii.
La rete VPC del consumer di servizi (hostproject) accede
a questi servizi tramite una connessione di accesso privato ai servizi.
Opzioni di deployment dell'accesso privato ai servizi
Puoi creare una nuova connessione privata o modificarne una esistente. Prima di configurare l'accesso privato ai servizi, comprendi le considerazioni per la scelta di una rete VPC e di un intervallo di indirizzi IP.
Per creare una nuova connessione privata, devi prima creare un intervallo IP allocato e poi una connessione privata tra la tua rete VPC e i servizi Vertex AI gestiti da Google.
In alternativa, puoi modificare una connessione esistente. Per saperne di più, vedi Modificare una connessione privata.
Suggerimenti per le subnet Vertex AI
La tabella seguente elenca gli intervalli di subnet consigliati per i servizi Vertex AI.
| Funzionalità di Vertex AI | Intervallo di subnet consigliato |
|---|---|
| Istanze notebook gestite | /29 |
| Vertex AI Pipelines | /21 |
| Job di addestramento personalizzato | /19 |
| Query online di Vector Search | /16 |
| Endpoint di accesso ai servizi privati | /21 |
Considerazioni sul deployment
Di seguito sono riportate alcune considerazioni importanti che influiscono sul modo in cui stabilisci la comunicazione tra i tuoi carichi di lavoro on-premise, multicloud e VPC e i servizi Vertex AI gestiti da Google.
Pubblicità IP
Devi annunciare l'intervallo di subnet di accesso privato ai servizi dal router Cloud come route annunciato personalizzato. Per ulteriori informazioni, consulta Annuncio di intervalli IP personalizzati.
Peering di rete VPC
La rete del producer di servizi potrebbe non avere le route corrette per indirizzare il traffico alla tua rete on-premise. Per impostazione predefinita, la rete del producer di servizi apprende solo le route di subnet dalla tua rete VPC. Pertanto, qualsiasi richiesta che non proviene da un intervallo IP di subnet viene eliminata dalproducer di serviziio.
Per questo motivo, nella tua rete VPC devi aggiornare la connessione di peering per esportare le route personalizzate nella rete del producer di servizi. L'esportazione delle route invia tutte le route statiche e dinamiche idonee presenti nella tua rete VPC, ad esempio le route alla tua rete on-premise, alla rete del producer di servizi. La rete del producer di servizi li importa automaticamente e poi può inviare il traffico alla tua rete on-premise tramite la rete VPC.
Regole firewall
Devi aggiornare le regole firewall per la rete VPC che collega gli ambienti on-premise e multicloud a Google Cloud per consentire il traffico in entrata e in uscita verso le subnet di accesso ai servizi privati.