Private Service Connect エンドポイントを介した Vertex AI サービスへのアクセスについて

一部の Vertex AI サービス プロデューサーでは、Private Service Connect エンドポイントを介してそのサービスに接続する必要があります。こうしたサービスは、Vertex AI のプライベート アクセス オプションの表に記載されています。サービス ユーザーのオンプレミス、マルチクラウド、VPC ワークロードから Google が管理する Vertex AI サービスへの一方向通信をサポートします。クライアントは、内部 IP アドレスを使用してエンドポイントに接続します。Private Service Connect は、ネットワーク アドレス変換(NAT)を行い、リクエストをサービスにルーティングします。

サービス ユーザーは、コンシューマ エンドポイントを作成することで、VPC ネットワークを離れることや、外部 IP アドレスを使用することなく、独自の内部 IP アドレスを使用して Vertex AI サービスにアクセスできます。エンドポイントは、Private Service Connect 転送ルールを使用して、別の VPC ネットワーク内のサービスに接続します。

プライベート接続のサービス プロデューサー側には VPC ネットワークがあり、そこではサービス リソースがプロビジョニングされています。このネットワークはユーザー専用に作成されるもので、そこにはユーザーのリソースだけが含まれます。

次の図は、共有 VPC デプロイメントの一部としてサービス プロジェクト(serviceproject)で Vector Search API が有効になって管理されるベクトル検索のアーキテクチャを示しています。ベクトル検索の Compute Engine リソースは、サービス プロデューサーの VPC ネットワークに Google が管理する Infrastructure as a Service(IaaS)としてデプロイされます。

Private Service Connect エンドポイントは、インデックスをクエリするサービス ユーザーの VPC ネットワーク(hostproject)だけでなく、Google API の Private Service Connect エンドポイント(プライベート インデックスの作成用)でもデプロイされます。

詳細については、Private Service Connect エンドポイントをご覧ください。

イメージ

Private Service Connect エンドポイントを構成する前に、アクセスに関する考慮事項を確認してください。

Private Service Connect エンドポイントのデプロイ オプション

Private Service Connect エンドポイントは、単一テナントのデプロイとマルチテナントのデプロイをサポートしています。また、バックエンドはリージョンのまま、Google Cloud 内のどのリージョンからでもコンシューマ エンドポイントに到達できるグローバル アクセスにも対応しています。詳細については、エンドポイントを介した公開サービスへのアクセスについてをご覧ください。

デプロイに関する考慮事項

オンプレミス、マルチクラウド、VPC ワークロードから Google が管理する Vertex AI サービスへの通信に関する考慮事項を以下に示します。

Private Service Connect ネットワーク エンドポイント グループ(NEG)

Google では、Vertex AI オンライン予測エンドポイントでの Private Service Connect ネットワーク エンドポイント グループ(NEG)の使用をサポートしていません。

IP アドバタイズ

ファイアウォール ルール

Private Service Connect エンドポイント サブネットへの下り(外向き)トラフィックを許可するには、オンプレミス環境とマルチクラウド環境を Google Cloud に接続する VPC ネットワークのファイアウォール ルールを更新する必要があります。詳細については、ファイアウォール ルールをご覧ください。