在 Vertex AI 的专用访问通道选项表的专用服务访问通道列中具有对勾标记的 Vertex AI 服务要求您通过专用服务访问通道连接到其服务。
这些 Google 管理的 Vertex AI 服务支持与服务使用方的本地、多云和 VPC 工作负载进行双向通信。
这种私密通信仅使用内部 IP 地址进行。虚拟机实例不需要访问互联网或具备外部 IP 地址,通过专用服务访问通道即可访问可用服务。
Vertex AI 提供在 Google 管理的 VPC 网络中托管的服务。借助专用服务访问通道,您可以通过 VPC 网络对等互连连接访问这些 Vertex AI 和第三方服务的内部 IP 地址。
下图展示了一个自定义训练架构,其中的服务项目 (serviceproject) 是共享 VPC 部署的一部分,在该服务项目中启用并管理用于训练作业和流水线作业的 Vertex AI API。
这些组件以 Google 管理的基础设施即服务 (IaaS) 的形式部署在服务提供方的 VPC 网络中。
服务使用方的 VPC 网络 (hostproject) 通过专用服务访问通道连接访问这些服务。
专用服务访问通道部署选项
您可以创建新的专用连接,也可以修改现有专用连接。 在配置专用服务访问通道之前,请先了解选择 VPC 网络和 IP 地址范围的注意事项。
如需创建新的专用连接,您必须先创建分配的 IP 范围,然后在 VPC 网络与 Google 管理的 Vertex AI 服务之间创建专用连接。
或者,您也可以修改现有连接。如需了解详情,请参阅修改专用连接。
Vertex AI 子网建议
下表列出了适用于 Vertex AI 服务的建议子网范围。
| Vertex AI 功能 | 建议子网范围 |
|---|---|
| 代管式笔记本实例 | /29 |
| Vertex AI Pipelines | /21 |
| 自定义训练作业 | /19 |
| Vector Search 在线查询 | /16 |
| 在线预测专用端点 | /21 |
部署考虑事项
以下是一些重要的注意事项,它们会影响您在本地、多云和 VPC 工作负载与 Google 管理的 Vertex AI 服务之间建立通信的方式。
IP 通告
您必须以自定义路由通告的形式,从 Cloud Router 通告专用服务访问通道子网范围。如需了解详情,请参阅通告自定义 IP 范围。
VPC 网络对等互连
服务提供方的网络可能不具备能将流量定向到您的本地网络的正确路由。默认情况下,服务提供方的网络仅会通过您的 VPC 网络获知子网路由。因此,来自子网 IP 范围以外的任何请求都会被服务提供方丢弃。
因此,您必须在您的 VPC 网络中更新对等互连连接,以将自定义路由导出到服务提供方的网络。导出路由时,您的 VPC 网络中符合条件的所有静态和动态路由(例如到您的本地网络的路由)会发送至服务提供方的网络。 服务提供方的网络会自动导入这些数据,随后便可以通过 VPC 网络将流量发回至您的本地网络。
防火墙规则
您必须更新将本地和多云环境连接到 Google Cloud 的 VPC 网络的防火墙规则,以允许从专用服务访问通道子网流出的入站流量以及流向这些子网的出站流量。