Private Service Connect エンドポイントを介した Vertex AI サービスへのアクセスについて

一部の Vertex AI サービス プロデューサーでは、Private Service Connect エンドポイントを介してそのサービスに接続する必要があります。こうしたサービスは、Vertex AI のプライベート アクセス オプションの表に記載されています。それらは、サービス ユーザーのオンプレミス、マルチクラウド、VPC ワークロードから Google が管理する Vertex AI サービスへの一方向通信をサポートします。クライアントは、内部 IP アドレスを使用してエンドポイントに接続します。Private Service Connect は、ネットワーク アドレス変換(NAT)を行い、リクエストをサービスに転送します。

サービス ユーザーは、コンシューマ エンドポイントを作成することで、VPC ネットワークを離れることや、外部 IP アドレスを使用することなく、独自の内部 IP アドレスを使用して Vertex AI サービスにアクセスできます。このエンドポイントは、Private Service Connect 転送ルールを使用して、別の VPC ネットワーク内のサービスに接続します。

プライベート接続のサービス プロデューサー側には、サービス リソースがプロビジョニングされる VPC ネットワークがあります。このネットワークはユーザー専用に作成されるもので、そこにはユーザーのリソースだけが含まれます。

下の図に、共有 VPC デプロイメントの一部としてサービス プロジェクト(serviceproject)で Vector Search API が有効され管理されているベクトル検索のアーキテクチャを示します。ベクトル検索の Compute Engine リソースは、サービス プロデューサーの VPC ネットワークに Google が管理する Infrastructure as a Service(IaaS)としてデプロイされます。

Private Service Connect エンドポイントは、Google API の Private Service Connect エンドポイント(プライベート インデックス作成用)だけでなく、インデックスのクエリ用にサービス ユーザーの VPC ネットワーク(hostproject)にもデプロイされます。

詳細については、Private Service Connect エンドポイント をご覧ください。

画像

Private Service Connect エンドポイントを構成する前に、アクセスに関する考慮事項を確認してください。

Private Service Connect エンドポイントのデプロイ オプション

Private Service Connect エンドポイントは、単一テナントのデプロイとマルチテナントのデプロイをサポートしています。また、バックエンドはリージョンのまま、Google Cloud 内のどのリージョンからでもコンシューマ エンドポイントに到達できるグローバル アクセスにも対応しています。詳細については、エンドポイントを介した公開サービスへのアクセスについてをご覧ください。

デプロイに関する考慮事項

オンプレミス、マルチクラウド、VPC ワークロードから Google が管理する Vertex AI サービスへの通信に関する考慮事項を以下に示します。

Private Service Connect ネットワーク エンドポイント グループ(NEG)

Google では、Vertex AI オンライン予測エンドポイントでの Private Service Connect ネットワーク エンドポイント グループ(NEG)の使用をサポートしていません。

IP アドバタイズ

ファイアウォール ルール

Private Service Connect エンドポイント サブネットへの下り(外向き)トラフィックを許可するには、オンプレミス環境とマルチクラウド環境を Google Cloud に接続する VPC ネットワークのファイアウォール ルールを更新する必要があります。詳細については、ファイアウォール ルールをご覧ください。