Información sobre el acceso a la API de Vertex AI

Tus aplicaciones pueden conectarse a las APIs en el entorno de producción de Google desde Google Cloud o desde redes híbridas (locales y de múltiples nubes). Google Cloud ofrece las siguientes opciones de acceso público y privado, que ofrecen accesibilidad global y seguridad SSL/TLS:

  1. Acceso a Internet pública: envía tráfico a REGION-aiplatform.googleapis.com.
  2. Acceso privado a Google para hosts locales: usa el rango de subred de direcciones IP 199.36.153.8/30 (private.googleapis.com) o 199.36.153.4/30 (restricted.googleapis.com) para acceder a REGION-aiplatform.googleapis.com.
  3. Extremos de Private Service Connect para las APIs de Google: usa una dirección IP interna definida por el usuario, como 10.0.0.100, para acceder a REGION-aiplatform.googleapis.com o un nombre de DNS asignado, como como aiplatform-genai1.p.googleapis.com.

En el siguiente diagrama, se ilustran estas opciones de acceso.

Diagrama de arquitectura del acceso a la API de Vertex AI a través de métodos públicos y privados

Algunos productores de servicios de Vertex AI requieren que te conectes a sus servicios a través del acceso privado a servicios o con extremos de Private Service Connect. Estos servicios se enumeran en la tabla Opciones de acceso privado a Vertex AI.

Acceso público a Internet para la API de Vertex AI

Si tu aplicación usa un servicio de Google que se indica en la tabla de métodos de acceso compatibles con Vertex AI, tu aplicación puede acceder a la API a través una búsqueda de DNS en el extremo de servicio (REGION-aiplatform.googleapis.com), que muestra direcciones IP virtuales enrutables de forma pública. Puedes usar la API desde cualquier ubicación del mundo, siempre y cuando tengas una conexión a Internet. Sin embargo, el tráfico que se envía desde los recursos de Google Cloud a esas direcciones IP permanece dentro de la red de Google.

Acceso privado a la API de Vertex AI

El acceso privado es una alternativa a la conexión a las APIs y los servicios de Google a través de Internet. Proporciona mayor ancho de banda, confiabilidad y rendimiento coherente. Google Cloud admite las siguientes opciones para acceder de forma privada a las APIs de Google a través de servicios de redes híbridas, como Cloud Interconnect, Cross-Cloud Interconnect, VPN con alta disponibilidad a través de Cloud Interconnect y SD-WAN.

Acceso privado a Google para hosts locales

El Acceso privado a Google para hosts locales proporciona una forma para que los sistemas locales se conecten a las APIs y los servicios de Google con el enrutamiento del tráfico a través de servicios de redes híbridas.

El Acceso privado a Google requiere que anuncies uno de los siguientes rangos de direcciones IP de subred como un anuncio de ruta personalizado a través de Cloud Router:

  • private.googleapis.com: 199.36.153.8/30, 2600:2d00:0002:2000::/64
  • restricted.googleapis.com: 199.36.153.4/30, 2600:2d00:0002:1000::/64

Si deseas obtener más información, consulta Configura el Acceso privado a Google para hosts locales.

Extremos de Private Service Connect para la API de Vertex AI

Con Private Service Connect, puedes crear extremos privados con direcciones IP internas globales dentro de tu red de VPC. Puedes asignar nombres de DNS a estas direcciones IP internas con nombres significativos como aiplatform-genai1.p.googleapis.com y bigtable-adsteam.p.googleapis.com. Estos nombres y direcciones IP son internos de tu red de VPC y de cualquier red local que esté conectada a esta a través de servicios de redes híbridas. Puedes controlar qué tráfico se dirige a cada extremo y también puedes demostrar que el tráfico permanece dentro de Google Cloud.

  • Puedes crear una dirección IP (/32) de extremo de Private Service Connect global definida por el usuario. Para obtener más información, consulta Requisitos de dirección IP.
  • Debes crear el extremo de Private Service Connect en la misma red de VPC que el Cloud Router.
  • Puedes asignar nombres de DNS a estas direcciones IP internas con nombres significativos como aiplatform-prodpsc.p.googleapis.com. Para obtener más información, consulta Información sobre el acceso a las APIs de Google a través de extremos.

Consideraciones sobre la implementación

A continuación, se presentan algunas consideraciones importantes que afectan la forma en que usas el Acceso privado a Google y Private Service Connect para acceder a la API de Vertex AI.

Anuncio de IP

Debes anunciar el rango de subred de Acceso privado a Google o la dirección IP del extremo de Private Service Connect a entornos locales y de múltiples nubes desde Cloud Router como un anuncio de ruta personalizado. Para obtener más información, consulta Anuncia rangos de IP personalizados.

Reglas de firewall

Debes asegurarte de que la configuración de firewall de los entornos locales y de múltiples nubes permita el tráfico saliente de las direcciones IP de las subredes de Acceso privado a Google o Private Service Connect.

Configuración del DNS

  • Tu red local debe tener las zonas del DNS y los registros configurados para que una solicitud a REGION-aiplatform.googleapis.com se resuelva como la subred de Acceso privado a Google o la dirección IP del extremo de Private Service Connect.
  • Puedes crear zonas privadas administradas de Cloud DNS y usar una política de servidor entrante de Cloud DNS, o puedes configurar servidores de nombres locales. Por ejemplo, puedes usar BIND o Microsoft Active Directory DNS.
  • Si tu red local está conectada a una red de VPC, puedes usar Private Service Connect para acceder a las APIs y los servicios de Google desde hosts locales con la dirección IP interna del extremo. Para obtener más información, consulta Accede al extremo desde hosts locales.