Zugriff auf die Vertex AI API

Ihre Anwendungen können von Google Cloud aus oder aus hybriden Netzwerken (lokale Umgebung und Multi-Cloud) eine Verbindung zu APIs in der Produktionsumgebung von Google herstellen. Google Cloud bietet die folgenden öffentlichen und privaten Zugriffsoptionen, die globale Erreichbarkeit und SSL/TLS-Sicherheit bieten:

Öffentlicher Internetzugriff: Senden Sie Traffic an REGION-aiplatform.googleapis.com.
Privater Google-Zugriff für lokale Hosts: Verwenden Sie den IP-Adressbereich-Subnetzbereich 199.36.153.8/30 (private.googleapis.com) oder 199.36.153.4/30 (restricted.googleapis.com), um auf REGION-aiplatform.googleapis.com zuzugreifen.
Private Service Connect-Endpunkte für Google APIs: Verwenden Sie eine benutzerdefinierte interne IP-Adresse wie 10.0.0.100, um auf REGION-aiplatform.googleapis.com oder einen zugewiesenen DNS-Namen wie aiplatform-genai1.p.googleapis.com zuzugreifen.

Das folgende Diagramm veranschaulicht diese Zugriffsoptionen.

Architekturdiagramm für den Zugriff auf die Vertex AI API über öffentliche und private Methoden

Einige Vertex AI-Dienstersteller erfordern, dass Sie über den Zugriff auf private Dienste oder über Private Service Connect-Endpunkte eine Verbindung zu ihren Diensten herstellen. Diese Dienste sind in der Tabelle Private Zugriffsoptionen für Vertex AI aufgeführt.

Öffentlicher Internetzugriff auf die Vertex AI API

Wenn Ihre Anwendung einen Google-Dienst verwendet, der in der Tabelle der unterstützten Zugriffsmethoden für Vertex AI aufgeführt ist, kann Ihre Anwendung auf die API zugreifen, indem Sie einen DNS-Lookup gegen den Dienstendpunkt (REGION-aiplatform.googleapis.com) durchführen, der öffentlich routingfähige virtuelle IP-Adressen zurückgibt. Sie können die API von jedem Ort auf der Welt aus verwenden, sofern Sie über eine Internetverbindung verfügen. Traffic, der von Google Cloud-Ressourcen an diese IP-Adressen gesendet wird, verbleibt jedoch im Google-Netzwerk.

Privater Zugriff auf die Vertex AI API

Der private Zugriff ist eine Alternative zum Herstellen einer Verbindung zu Google APIs und Google-Diensten über das Internet. Sie bietet eine höhere Bandbreite, Zuverlässigkeit und konsistente Leistung. Google Cloud unterstützt die folgenden Optionen für den privaten Zugriff auf Google APIs über hybride Netzwerkdienste wie Cloud Interconnect, Cross-Cloud Interconnect, HA VPN über Cloud Interconnect und SD-WAN.

Privater Google-Zugriff für lokale Hosts

Mit privatem Google-Zugriff für lokale Hosts können lokale Systeme eine Verbindung zu Google APIs und Google-Diensten herstellen, indem der Traffic über hybride Netzwerkdienste weitergeleitet wird.

Für den privaten Google-Zugriff müssen Sie einen der folgenden Subnetz-IP-Adressbereiche als benutzerdefiniertes Route Advertisement mithilfe von Cloud Router anbieten:

private.googleapis.com: 199.36.153.8/30, 2600:2d00:0002:2000::/64
restricted.googleapis.com: 199.36.153.4/30, 2600:2d00:0002:1000::/64

Konfigurations-Informationen finden Sie unter Privaten Google-Zugriff für lokale Hosts konfigurieren.

Private Service Connect-Endpunkte für die Vertex AI API

Mit Private Service Connect können Sie private Endpunkte mit globalen internen IP-Adressen innerhalb Ihres VPC-Netzwerks erstellen. Sie können diesen internen IP-Adressen DNS-Namen mit aussagekräftigen Namen wie aiplatform-genai1.p.googleapis.com und bigtable-adsteam.p.googleapis.com zuweisen. Diese Namen und IP-Adressen sind intern in Ihrem VPC-Netzwerk und in allen lokalen Netzwerken vergeben, die über hybride Netzwerkdienste mit ihm verbunden sind. Sie können steuern, welcher Traffic an welchen Endpunkt geleitet wird, und ob der Traffic innerhalb der Google Cloud bleiben soll.

Sie können eine benutzerdefinierte globale IP-Adresse für Private Service Connect-Endpunkte (/32) erstellen. Weitere Informationen finden Sie unter Anforderungen an IP-Adressen.
Sie erstellen den Private Service Connect-Endpunkt im selben VPC-Netzwerk wie der Cloud Router.
Sie können diesen internen IP-Adressen DNS-Namen mit aussagekräftigen Namen wie aiplatform-prodpsc.p.googleapis.com zuweisen. Weitere Informationen finden Sie unter Zugriff auf Google APIs über Endpunkte.

Überlegungen zur Bereitstellung

Im Folgenden finden Sie einige wichtige Überlegungen, die sich darauf auswirken, wie Sie den privaten Google-Zugriff und Private Service Connect für den Zugriff auf die Vertex AI API verwenden.

IP-Advertising

Sie müssen den Subnetzbereich des privaten Google-Zugriffs oder die IP-Adresse des Private Service Connect-Endpunkts gegenüber lokalen und Multi-Cloud-Umgebungen vom Cloud Router als benutzerdefiniertes Route Advertisement bewerben. Weitere Informationen finden Sie unter Benutzerdefinierte IP-Bereiche bewerben.

Firewallregeln

Sie müssen dafür sorgen, dass die Firewallkonfiguration von lokalen und Multi-Cloud-Umgebungen ausgehenden Traffic von den IP-Adressen des privaten Google-Zugriffs oder von Private Service Connect-Subnetzen zulässt.

DNS-Konfiguration

In Ihrem lokalen Netzwerk müssen DNS-Zonen und -Einträge konfiguriert sein, damit eine Anfrage an REGION-aiplatform.googleapis.com in das Subnetz für privaten Google-Zugriff oder die IP-Adresse des Private Service Connect-Endpunkts aufgelöst wird.
Sie können von Cloud DNS verwaltete private Zonen erstellen und eine Cloud DNS-Richtlinie für eingehenden Server verwenden oder lokale Nameserver konfigurieren. Beispielsweise können Sie BIND oder Microsoft Active Directory DNS verwenden.
Wenn Ihr lokales Netzwerk mit einem VPC-Netzwerk verbunden ist, können Sie mit Private Service Connect von lokalen Hosts aus über die interne IP-Adresse des Endpunkts auf Google APIs und Google-Dienste zugreifen. Weitere Informationen finden Sie unter Über lokale Hosts auf den Endpunkt zugreifen.