如果 Vertex AI 的私人存取權選項 表格中 私人服務存取權欄位顯示勾號 ,表示您必須透過私人服務存取權連線至這些 Vertex AI 服務。
這些由 Google 代管的 Vertex AI 服務支援與服務消費者的內部部署、多雲端和 VPC 工作負載進行雙向通訊。
這項私人通訊只會使用內部 IP 位址。VM 執行個體不需要網際網路存取權或外部 IP 位址,就可以透過私人服務存取權與服務連線。
Vertex AI 提供在 Google 代管的 VPC 網路中代管的服務。私人服務存取權可讓您透過虛擬私有雲網路對等互連連線,存取這些 Vertex AI 和第三方服務的內部 IP 位址。
下圖顯示自訂訓練架構,其中 Vertex AI API 會在共用虛擬私人雲端部署中啟用及管理訓練工作和管道工作。serviceproject這些元件會在服務供應者的虛擬私有雲網路中,以 Google 管理的基礎架構式服務 (IaaS) 形式部署。服務使用者的虛擬私有雲網路 (hostproject) 會透過私人服務存取權連線存取這些服務。
私人服務存取權部署選項
您可以建立新的私人連線,或修改現有連線。設定私人服務存取權之前,請先瞭解選擇虛擬私有雲網路和 IP 位址範圍的注意事項。
如要建立新的私人連線,您必須先建立已分配的 IP 範圍,然後在虛擬私有雲網路與 Google 管理的 Vertex AI 服務之間建立私人連線。
或者,您也可以修改現有的連結。詳情請參閱「修改私人連線」。
Vertex AI 子網路建議
下表列出 Vertex AI 服務的建議子網路範圍。
| Vertex AI 功能 | 建議的子網路範圍 |
|---|---|
| 受管理的筆記本執行個體 | /29 |
| Vertex AI Pipelines | /21 |
| 自訂訓練工作 | /19 |
| Vector Search 線上查詢 | /16 |
| 私人服務存取端點 | /21 |
部署考量事項
以下是一些重要考量,會影響您如何在內部部署、多雲端和 VPC 工作負載與 Google 管理的 Vertex AI 服務之間建立通訊。
IP 廣告
您必須將 Cloud Router 的私人服務存取子網路範圍做為自訂通告路徑進行通告。詳情請參閱「通告自訂 IP 範圍」。
虛擬私有雲網路對等互連
服務供應商的網路可能沒有正確的路徑,無法將流量導向內部部署網路。根據預設,服務供應商的網路只會學習來自 VPC 網路的子網路路徑。因此,服務供應器會捨棄任何非來自子網路 IP 範圍的要求。
因此,您必須在 VPC 網路中更新對等互連連線,才能將自訂路徑匯出至服務供應商的網路。匯出路徑會將虛擬私人雲端網路中所有符合資格的靜態和動態路徑 (例如前往內部部署網路的路徑) 傳送至服務供應商的網路。服務供應商的網路會自動匯入這些路徑,然後透過虛擬私人雲端網路,將流量傳送回您的內部部署網路。
防火牆規則
您必須更新防火牆規則,讓連線至 Google Cloud 的內部部署和多雲環境虛擬私有雲網路,允許私人服務的傳入和傳出流量存取子網路。