Vos applications peuvent se connecter aux API dans l'environnement de production de Google depuis Google Cloud ou depuis des réseaux hybrides (sur site et multicloud). Google Cloud propose les options d'accès public et privé suivantes, qui offrent une joignabilité globale et une sécurité SSL/TLS :
- Accès Internet public : envoyez du trafic vers
REGION-aiplatform.googleapis.com. - Accès privé à Google pour les hôtes sur site : utilisez la plage d'adresses IP de sous-réseaux
199.36.153.8/30(private.googleapis.com) ou199.36.153.4/30(restricted.googleapis.com) pour accéder àREGION-aiplatform.googleapis.com. - Points de terminaison Private Service Connect pour les API Google : utilisez une adresse IP interne définie par l'utilisateur, telle que
10.0.0.100, pour accéder àREGION-aiplatform.googleapis.comou un nom DNS alloué, par exempleaiplatform-genai1.p.googleapis.com.
Le schéma suivant illustre ces options d'accès.
Certains producteurs de services Vertex AI exigent que vous vous connectiez à leurs services via un accès aux services privés ou via des points de terminaison Private Service Connect. Ces services sont répertoriés dans le tableau Options d'accès privé pour Vertex AI.
Accès Internet public à l'API Vertex AI
Si votre application utilise un service Google répertorié dans le tableau des méthodes d'accès compatibles avec Vertex AI, votre application peut accéder à l'API en effectuant une résolution DNS sur le point de terminaison du service
(REGION-aiplatform.googleapis.com), qui renvoie des adresses IP virtuelles routables publiquement. Vous pouvez utiliser l'API depuis n'importe quel emplacement dans le monde, à condition de disposer d'une connexion Internet.
Toutefois, le trafic envoyé depuis les ressources Google Cloud vers ces adresses IP reste au sein du réseau de Google.
Accès privé à l'API Vertex AI
L'accès privé est une alternative à la connexion aux API et services Google via Internet. Il offre davantage de bande passante, de fiabilité et de performances constantes. Google Cloud accepte les options suivantes pour accéder aux API Google en mode privé via des services de mise en réseau hybrides tels que Cloud Interconnect, Cross-Cloud Interconnect, VPN haute disponibilité via Cloud Interconnect et SD-WAN.
Accès privé à Google pour les hôtes sur site
L'accès privé à Google pour les hôtes sur site permet aux systèmes sur site de se connecter aux API et services Google en acheminant le trafic via des services de mise en réseau hybride.
L'accès privé à Google nécessite que vous annonciez l'une des plages d'adresses IP de sous-réseau suivantes en tant qu'annonce de routage personnalisée à l'aide de Cloud Router :
private.googleapis.com:199.36.153.8/30,2600:2d00:0002:2000::/64restricted.googleapis.com:199.36.153.4/30,2600:2d00:0002:1000::/64
Pour plus d'informations sur la configuration, consultez la section Configurer l'accès privé à Google pour les hôtes sur site.
Points de terminaison Private Service Connect pour l'API Vertex AI
Avec Private Service Connect, vous pouvez créer des points de terminaison privés à l'aide d'adresses IP internes globales dans votre réseau VPC.
Vous pouvez attribuer des noms DNS explicites à ces adresses IP internes tels que aiplatform-genai1.p.googleapis.com et bigtable-adsteam.p.googleapis.com. Ces noms et adresses IP sont internes à votre réseau VPC et à tous les réseaux sur site qui y sont connectés via des services de mise en réseau hybride.
Vous pouvez contrôler le trafic et décider de son point de terminaison, puis démontrer que le trafic reste au sein de Google Cloud.
- Vous pouvez créer une adresse IP globale du point de terminaison Private Service Connect (/32) définie par l'utilisateur. Pour en savoir plus, consultez la section Exigences relatives à l'adresse IP.
- Vous créez le point de terminaison Private Service Connect dans le même réseau VPC que le routeur Cloud Router.
- Vous pouvez attribuer des noms DNS explicites à ces adresses IP internes, par exemple
aiplatform-prodpsc.p.googleapis.com. Pour en savoir plus, consultez la section À propos de l'accès aux API Google via des points de terminaison.
Remarques relatives au déploiement
Vous trouverez ci-dessous quelques considérations importantes qui affectent la manière dont vous utilisez l'accès privé à Google et Private Service Connect pour accéder à l'API Vertex AI.
Annonce IP
Vous devez annoncer la plage de sous-réseau de l'accès privé à Google ou l'adresse IP du point de terminaison Private Service Connect aux environnements sur site et multicloud à partir du routeur Cloud Router en tant qu'annonce de routage personnalisée. Pour plus d'informations, consultez la section Annoncer des plages d'adresses IP personnalisées.
Règles de pare-feu
Vous devez vous assurer que la configuration du pare-feu des environnements sur site et multicloud autorise le trafic sortant des adresses IP des sous-réseaux Private Service Connect ou de l'accès privé à Google.
Configuration DNS
- Votre réseau sur site doit comporter des zones et enregistrements DNS configurés pour qu'une requête envoyée à
REGION-aiplatform.googleapis.compointe vers le sous-réseau d'accès privé à Google ou l'adresse IP du point de terminaison Private Service Connect. - Vous pouvez créer des zones gérées privées de Cloud DNS et utiliser une règle de serveur entrant Cloud DNS, ou configurer des serveurs de noms sur site. Par exemple, vous pouvez utiliser BIND ou le système DNS dans Microsoft Active Directory.
- Si votre réseau sur site est connecté à un réseau VPC, vous pouvez utiliser Private Service Connect pour accéder aux API et services Google à partir d'hôtes sur site à l'aide de l'adresse IP interne du point de terminaison. Pour en savoir plus, consultez la section Accéder au point de terminaison à partir d'hôtes sur site.