I servizi Vertex AI con un segno di spunta nella colonna Accesso privato ai servizi della tabella Opzioni di accesso privato per Vertex AI richiedono la connessione ai loro servizi tramite l'accesso privato ai servizi.
Questi servizi Vertex AI gestiti da Google supportano la comunicazione bidirezionale con i carichi di lavoro on-premise, multi-cloud e VPC di un consumer di servizi.
Questa comunicazione privata avviene esclusivamente utilizzando indirizzi IP interni. Le istanze VM non hanno bisogno dell'accesso a internet o di indirizzi IP esterni per raggiungere i servizi disponibili tramite l'accesso privato ai servizi.
Vertex AI fornisce servizi ospitati in una rete VPC gestita da Google. L'accesso privato ai servizi consente di raggiungere gli indirizzi IP interni di questi servizi Vertex AI e di terze parti tramite una connessione di peering di rete VPC.
Il seguente diagramma mostra un'architettura di addestramento personalizzato in cui le API Vertex AI per i job di addestramento e i job di pipeline sono abilitate e gestite in un progetto di servizio (serviceproject) nell'ambito di un deployment di un VPC condiviso.
Il deployment di questi componenti viene eseguito come Infrastructure as a Service (IaaS) gestita da Google nella rete VPC del producer di servizi.
La rete VPC del consumer di servizi (hostproject) accede a questi servizi mediante una connessione di accesso privato ai servizi.
Opzioni di deployment dell'accesso privato ai servizi
Puoi creare una nuova connessione privata o modificarne una esistente. Prima di configurare l'accesso privato ai servizi, considera le considerazioni per la scelta di una rete VPC e di un intervallo di indirizzi IP.
Per creare una nuova connessione privata, devi prima creare un intervallo IP allocato, quindi una connessione privata tra la tua rete VPC e i servizi Vertex AI gestiti da Google.
In alternativa, puoi modificare una connessione esistente. Per maggiori informazioni, consulta Modificare una connessione privata.
Suggerimenti sulle subnet di Vertex AI
La seguente tabella elenca gli intervalli di subnet consigliati per i servizi Vertex AI.
| Funzionalità di Vertex AI | Intervallo di subnet consigliato |
|---|---|
| Istanze di blocco note gestite | /29 |
| Vertex AI Pipelines | /21 |
| Job di addestramento personalizzato | /19 |
| Query online di Vector Search | /16 |
| Endpoint privati per previsione online | /21 |
Considerazioni sul deployment
Di seguito sono riportate alcune considerazioni importanti che influiscono sul modo in cui stabilisci la comunicazione tra i carichi di lavoro on-premise, multi-cloud e VPC e i servizi Vertex AI gestiti da Google.
Annuncio IP
Devi pubblicizzare l'intervallo di subnet di accesso ai servizi privati dal router Cloud come annuncio di route personalizzata. Per maggiori informazioni, consulta Pubblicizzare intervalli IP personalizzati.
Peering di rete VPC
La rete del producer di servizi potrebbe non avere le route corrette per indirizzare il traffico alla rete on-premise. Per impostazione predefinita, la rete del producer di servizi apprende solo le route di subnet dalla rete VPC. Di conseguenza, qualsiasi richiesta che non provenga da un intervallo IP di subnet viene eliminata dal producer di servizi.
Per questo motivo, nella tua rete VPC devi aggiornare la connessione di peering per esportare le route personalizzate nella rete del producer di servizi. L'esportazione delle route invia tutte le route statiche e dinamiche idonee che si trovano nella tua rete VPC, ad esempio le route alla tua rete on-premise, alla rete del producer di servizi. La rete del producer di servizi li importa automaticamente, quindi può inviare il traffico alla tua rete on-premise attraverso la rete VPC.
Regole del firewall
Devi aggiornare le regole firewall per la rete VPC che connette i tuoi ambienti on-premise e multi-cloud a Google Cloud per consentire il traffico in entrata e in uscita verso le subnet di accesso ai servizi privati.