某些 Vertex AI 服务提供方要求您通过 Private Service Connect 接口连接到其服务。 Vertex AI 访问方法表中列出了这些服务。
创建 Private Service Connect 接口时,系统还会创建至少有两个网络接口的虚拟机实例。第一个接口连接到提供方 VPC 网络中的子网。第二个接口用于请求与使用方网络中的网络连接子网的连接。如果接受连接,系统会为此接口分配使用方子网中的内部 IP 地址。
在专用连接的服务提供方一端有一个 VPC 网络,您可以在其中预配服务资源。此影音平台专门为您创建,仅包含您的资源。提供方网络与使用方网络之间的连接是通过 Private Service Connect 接口建立的。
下图展示了一个 Vertex AI Pipelines 架构,其中的使用方网络中启用并管理 Vertex AI API。Vertex AI Pipelines 资源以 Google 管理的基础架构即服务 (IaaS) 的形式部署在服务提供方的 VPC 网络中。由于 Private Service Connect 接口是使用使用方子网中的 IP 地址部署的,因此提供方的网络可以访问使用方学到的路由,这些路由可以跨 VPC 网络、多云环境和本地网络。
Private Service Connect 接口部署选项
如需创建 Private Service Connect 接口,请先在使用方 VPC 中部署与提供方服务位于同一区域的子网。请查看具体服务要求,确保没有您应避免的子网范围。然后,创建一个引用该子网的网络连接。我们建议您将为网络连接分配的子网专用于 Private Service Connect 接口部署。
以下页面介绍了 Vertex AI Private Service Connect 接口的具体用例:
- 为流水线配置 Private Service Connect 接口
- 将 Private Service Connect 接口用于 Vertex AI Training
- 创建 Ray on Vertex AI 集群
部署考虑事项
以下是有关从本地、多云和 VPC 工作负载与 Google 管理的 Vertex AI 服务进行通信的注意事项。
Vertex AI 子网建议
下表列出了适用于支持 Private Service Connect 接口的 Vertex AI 服务的建议子网范围。
| Vertex AI 功能 | 建议子网范围 |
|---|---|
| Vertex AI Pipelines | /28 |
| 自定义训练作业 | /28 |
| Ray on Vertex AI | /28 |
IP 通告
- 使用 Private Service Connect 接口连接到使用方 VPC 网络中的服务时,您可以从您的 VPC 网络的常规子网中选择一个 IP 地址。
- 默认情况下,除非配置自定义通告模式,否则 Cloud Router 会通告常规 VPC 子网。如需了解详情,请参阅自定义通告。
- 网络连接与 Private Service Connect 接口之间的连接具有传递性。提供方 VPC 网络中的工作负载可以与连接到使用方 VPC 网络的工作负载通信。
防火墙规则
虽然 Private Service Connect 接口由提供方组织创建和管理,但它们位于使用方 VPC 网络中。为保护使用方端的安全,我们建议使用基于使用方 VPC 网络中的 IP 地址范围的防火墙规则。您必须更新防火墙规则,以允许网络附加子网访问使用方的网络。如需了解详情,请参阅限制生产方到使用方的入站流量。
域名解析
使用支持 Private Service Connect 接口的 Vertex AI API 时,不支持域名解析查找。如果您使用的是公共网域,则提供方网络支持 DNS 查找。对于私有 DNS 查找,您必须定义映射到消费者第 3 层 IP 地址的主机名变量。