Los servicios de Vertex AI que tienen un ícono de verificación en la columna Acceso privado a servicios de la tabla Opciones de acceso privado para Vertex AI requieren que te conectes a sus servicios a través del acceso privado a servicios.
Estos servicios de Vertex AI administrados por Google admiten la comunicación bidireccional con las cargas de trabajo locales, de múltiples nubes y de VPC de un consumidor de servicios.
Esta comunicación privada se realiza exclusivamente mediante el uso de direcciones IP internas. Las instancias de VM no necesitan acceso a Internet o direcciones IP externas para alcanzar los servicios que están disponibles a través del acceso privado a los servicios.
Vertex AI proporciona servicios alojados en una red de VPC administrada por Google. El acceso privado a los servicios te permite acceder a las direcciones IP internas de estos servicios de Vertex AI y de terceros a través de una conexión de intercambio de tráfico entre redes de VPC.
En el siguiente diagrama, se muestra una arquitectura de entrenamiento personalizado en la que se habilitan y administran las APIs de Vertex AI para trabajos de entrenamiento y de canalización en un proyecto de servicio (serviceproject) como parte de una implementación de VPC compartida.
Estos componentes se implementan como una infraestructura como servicio (IaaS) administrada por Google en la red de VPC del productor de servicios.
La red de VPC del consumidor de servicios (hostproject) accede a estos servicios a través de una conexión de acceso privado a servicios.
Opciones de implementación de acceso privado a servicios
Puedes crear una conexión privada nueva o modificar una existente. Antes de configurar el acceso privado a los servicios, debes comprender las consideraciones para elegir una red de VPC y un rango de direcciones IP.
Para crear una nueva conexión privada, primero debes crear un rango de IP asignado y, luego, crear una conexión privada entre tu red de VPC y los servicios de Vertex AI administrados por Google.
Como alternativa, puedes modificar una conexión existente. Para obtener más información, consulta Modifica una conexión privada.
Recomendaciones para las subredes de Vertex AI
En la siguiente tabla, se enumeran los rangos de subredes recomendados para los servicios de Vertex AI.
| Función de Vertex AI | Rango de subred recomendado |
|---|---|
| Las instancias de notebooks administrados | /29 |
| Vertex AI Pipelines | /21 |
| Trabajos de entrenamiento personalizados | /19 |
| Consultas en línea de Vector Search | /16 |
| Extremos privados de predicción en línea | /21 |
Consideraciones sobre la implementación
A continuación, se presentan algunas consideraciones importantes que afectan cómo estableces la comunicación entre tus cargas de trabajo locales, de múltiples nubes y de VPC, y los servicios de Vertex AI administrados por Google.
Anuncio de IP
Debes anunciar el rango de subred de acceso privado a servicios desde Cloud Router como un anuncio de ruta personalizado. Para obtener más información, consulta Anuncia rangos de IP personalizados.
Intercambio de tráfico entre redes de VPC
Es posible que la red del productor de servicios no tenga las rutas correctas para dirigir el tráfico a tu red local. De forma predeterminada, la red del productor de servicios solo aprende las rutas de la subred desde tu red de VPC. Por lo tanto, el productor de servicios descarta cualquier solicitud que no sea de un rango de IP de subred.
Por este motivo, en tu red de VPC, debes actualizar la conexión de intercambio de tráfico para exportar rutas personalizadas a la red del productor de servicios. La exportación de rutas envía todas las rutas estáticas y dinámicas aptas que se encuentran en la red de VPC, como las rutas a tu red local, a la red del productor de servicios. La red del productor de servicios los importa de forma automática y, luego, puede enviar el tráfico a tu red local a través de la red de VPC.
Reglas de firewall
Debes actualizar las reglas de firewall para la red de VPC que conecta tus entornos locales y de múltiples nubes a Google Cloud para permitir el tráfico de entrada desde las subredes de acceso privado a servicios y el tráfico de salida hacia estas.