Sobre o acesso à API Vertex AI

Os aplicativos podem se conectar a APIs no ambiente de produção do Google a partir do Google Cloud ou de redes híbridas (no local e multicloud). O Google Cloud oferece as seguintes opções de acesso público e privado, com acessibilidade global e segurança SSL/TLS:

  1. Acesso via Internet pública: envie tráfego para REGION-aiplatform.googleapis.com.
  2. Acesso privado do Google para hosts locais: use o intervalo de endereços IP de sub-rede 199.36.153.8/30 (private.googleapis.com) ou 199.36.153.4/30 (restricted.googleapis.com) para acessar REGION-aiplatform.googleapis.com.
  3. Endpoints do Private Service Connect para APIs do Google: use um endereço IP interno definido pelo usuário, como 10.0.0.100, para acessar REGION-aiplatform.googleapis.com ou um nome DNS atribuído, como aiplatform-genai1.p.googleapis.com.

O diagrama a seguir ilustra essas opções de acesso.

Diagrama de arquitetura do acesso à API Vertex AI por métodos públicos e privados

Alguns produtores de serviços da Vertex AI exigem que você se conecte aos serviços deles via acesso a serviços particulares ou via endpoints do Private Service Connect. Esses serviços estão listados na tabela Opções de acesso privado para a Vertex AI.

Acesso via Internet pública à API Vertex AI

Se seu aplicativo usar um serviço do Google listado na tabela de métodos de acesso compatíveis com a Vertex AI, ele poderá acessar a API realizando uma busca DNS no endpoint do serviço (REGION-aiplatform.googleapis.com), que retorna endereços IP virtuais roteáveis publicamente. É possível usar a API em qualquer lugar do mundo, desde que você tenha uma conexão de Internet. No entanto, o tráfego enviado de recursos do Google Cloud para esses endereços IP permanece dentro da rede do Google.

Acesso particular à API Vertex AI

O acesso particular é uma alternativa à conexão com APIs e serviços do Google pela Internet. Ele oferece maior largura de banda, confiabilidade e desempenho consistente. O Google Cloud é compatível com as opções a seguir para acessar as APIs do Google de maneira particular via serviços de rede híbrida, como o Cloud Interconnect, Cross-Cloud Interconnect, a VPN de alta disponibilidade pelo Cloud Interconnect e SD-WAN.

Acesso privado do Google para hosts locais

O Acesso privado do Google para hosts locais oferece uma maneira de conectar os sistemas locais a APIs e serviços do Google roteando o tráfego via serviços de rede híbrida.

O Acesso privado do Google exige que você divulgue um dos seguintes intervalos de endereços IP de sub-rede como uma divulgação de rota personalizada usando o Cloud Router:

  • private.googleapis.com: 199.36.153.8/30, 2600:2d00:0002:2000::/64
  • restricted.googleapis.com: 199.36.153.4/30, 2600:2d00:0002:1000::/64

Para mais informações, consulte Configurar o Acesso privado do Google para hosts locais.

Endpoints do Private Service Connect para a API Vertex AI

Com o Private Service Connect, é possível criar endpoints particulares usando endereços IP internos globais na sua rede VPC. É possível atribuir nomes DNS a esses endereços IP internos com nomes significativos como aiplatform-genai1.p.googleapis.com e bigtable-adsteam.p.googleapis.com. Esses nomes e endereços IP são internos da rede VPC e de todas as redes locais conectadas a via serviços de rede híbrida. É possível controlar qual tráfego vai para qual endpoint e demonstrar que o tráfego permanece no Google Cloud.

  • É possível criar um endereço IP de endpoint do Private Service Connect global definido pelo usuário (/32). Para mais informações, consulte Requisitos de endereço IP.
  • Crie o endpoint do Private Service Connect na mesma rede VPC que o Cloud Router.
  • É possível atribuir nomes DNS a esses endereços IP internos com nomes significativos como aiplatform-prodpsc.p.googleapis.com. Para mais informações, consulte Sobre como acessar APIs do Google por endpoints.

Considerações sobre implantação

Veja a seguir algumas considerações importantes que afetam o modo de uso do Acesso privado do Google e o Private Service Connect para acessar a API Vertex AI.

Divulgação de IP

É preciso divulgar o intervalo da sub-rede do Acesso privado do Google ou o endereço IP do endpoint do Private Service Connect para ambientes locais e multicloud do Cloud Router como uma divulgação de rota personalizada. Para mais informações, consulte Divulgar intervalos de IP personalizados.

Regras de firewall

Você precisa garantir que a configuração de firewall nos ambientes locais e multicloud permita o tráfego de saída dos endereços IP das sub-redes do Acesso privado do Google ou do Private Service Connect.

Configuração do DNS

  • Sua rede local precisa ter zonas e registros DNS configurados para que uma solicitação a REGION-aiplatform.googleapis.com seja resolvida com a sub-rede do Acesso privado do Google ou com o endereço IP do endpoint do Private Service Connect.
  • É possível criar zonas particulares gerenciadas do Cloud DNS e usar uma política de servidor de entrada do Cloud DNS ou configurar servidores de nomes locais. Por exemplo, é possível usar o BIND ou o DNS do Microsoft Active Directory.
  • Se sua rede local estiver conectada a uma rede VPC, será possível usar o Private Service Connect para acessar APIs e serviços do Google de hosts locais usando o endereço IP interno do endpoint. Para mais informações, consulte Acessar o endpoint de hosts locais.