关于访问 Vertex AI API

您的应用可以从 Google Cloud 内部或混合（本地和多云）网络连接到 Google 生产环境中的 API。Google Cloud 提供以下公共和专用访问选项，这些选项可提供全球可达性和 SSL/TLS 安全性：

公共互联网访问：将流量发送到 REGION-aiplatform.googleapis.com。
适用于本地主机的专用 Google 访问通道：使用 IP 地址子网范围 199.36.153.8/30 (private.googleapis.com) 或 199.36.153.4/30 (restricted.googleapis.com) 访问 REGION-aiplatform.googleapis.com。
Google API 的 Private Service Connect 端点：使用用户定义的内部 IP 地址（例如 10.0.0.100）来访问 REGION-aiplatform.googleapis.com 或已分配的 DNS 名称（例如 vertexai-genai1.p.googleapis.com）。

下图展示了这些访问选项。

通过公共方法和私有方法访问 Vertex AI API 的架构图

一些 Vertex AI 服务提供方要求您通过专用服务访问通道或通过 Private Service Connect 端点连接到其服务。Vertex AI 的专用访问通道选项表中列出了这些服务。

对 Vertex AI API 的公共互联网访问权限

如果您的应用使用 Vertex AI 支持的访问方法表中列出的 Google 服务，则您的应用可以通过对服务端点 (REGION-aiplatform.googleapis.com) 执行 DNS 查找来访问 API，该端点会返回公共可路由的虚拟 IP 地址。只要有互联网连接，您就可以在世界上的任何位置使用该 API。但是，从 Google Cloud 资源发送到这些 IP 地址的流量仍在 Google 的网络中。

对 Vertex AI API 的专用访问通道

专用访问通道是通过互联网连接到 Google API 和服务的替代方案。它可提供更高的带宽、可靠性和一致的性能。Google Cloud 支持以下通过混合网络服务（例如 Cloud Interconnect、Cross-Cloud Interconnect、通过 Cloud Interconnect 实现的高可用性 VPN 和 SD-WAN）以私密方式访问 Google API 的选项。

适用于本地主机的专用 Google 访问权限

适用于本地主机的专用 Google 访问通道通过混合网络服务路由流量，让本地系统可以连接到 Google API 和服务。

专用 Google 访问通道要求您使用 Cloud Router 将以下子网 IP 地址范围通告为自定义路由通告：

private.googleapis.com：199.36.153.8/30、2600:2d00:0002:2000::/64
restricted.googleapis.com：199.36.153.4/30、2600:2d00:0002:1000::/64

如需了解详情，请参阅配置适用于本地主机的专用 Google 访问通道。

Vertex AI API 的 Private Service Connect 端点

通过 Private Service Connect，您可以使用 VPC 网络中的全局内部 IP 地址创建专用端点。您可以使用有意义的名称（例如 vertexai-genai1.p.googleapis.com 和 bigtable-adsteam.p.googleapis.com）将这些 DNS 名称分配给这些内部 IP 地址。这些名称和 IP 地址均属于 VPC 网络以及通过混合网络服务连接到该网络的任何本地网络的内部资源。您可以控制要将哪些流量引导至哪个端点，并且可以证明流量保留在 Google Cloud 中。

您可以创建用户定义的全球 Private Service Connect 端点 IP 地址 (/32)。如需了解详情，请参阅 IP 地址要求。
您需要在 Cloud Router 路由器所在的 VPC 网络中创建 Private Service Connect 端点。
您可以使用有意义的名称（例如 aiplatform-prodpsc.p.googleapis.com）将这些 DNS 名称分配给这些内部 IP 地址。如需了解详情，请参阅关于通过端点访问 Google API。

部署考虑事项

以下一些重要注意事项会影响您使用专用 Google 访问通道和 Private Service Connect 访问 Vertex AI API 的方式。

IP 通告

您必须将专用 Google 访问通道子网范围或 Private Service Connect 端点 IP 地址从 Cloud Router 路由器通告给本地和多云环境作为自定义路由通告。如需了解详情，请参阅通告自定义 IP 范围。

防火墙规则

您必须确保本地和多云端环境的防火墙配置允许来自专用 Google 访问通道或 Private Service Connect 子网 IP 地址的出站流量。

DNS 配置

您的本地网络必须配置 DNS 区域和记录，以便对 REGION-aiplatform.googleapis.com 的请求解析为专用 Google 访问通道子网或 Private Service Connect 端点 IP 地址。
您可以创建 Cloud DNS 托管专用区域并使用 Cloud DNS 入站服务器政策，也可以配置本地域名服务器。例如，您可以使用 BIND 或 Microsoft Active Directory DNS。
如果您的本地网络连接到 VPC 网络，您可以使用 Private Service Connect 和端点的内部 IP 地址从本地主机访问 Google API 和服务。如需了解详情，请参阅从本地主机访问端点。