某些 Vertex AI 服务提供方要求您通过 Private Service Connect 接口连接到其服务。 Vertex AI 访问方法表中列出了这些服务。
创建 Private Service Connect 接口时,系统还会创建一个至少有两个网络接口的虚拟机实例。第一个接口连接到提供方 VPC 网络中的子网。第二个接口请求与使用方网络中的网络连接子网建立连接。如果接受,系统会为此接口分配使用方子网中的一个内部 IP 地址。
在专用连接的服务提供方一端有一个 VPC 网络,您可以在其中预配服务资源。此网络专门为您创建,仅包含您的资源。 提供方网络与使用方网络之间的连接是通过 Private Service Connect 接口建立的。
下图展示了一个 Vertex AI Pipelines 架构,其中在使用方的网络中启用并管理 Vertex AI API。Vertex AI Pipelines 资源以 Google 管理的基础设施即服务 (IaaS) 的形式部署在服务提供方的 VPC 网络中。由于 Private Service Connect 接口是使用来自使用方子网的 IP 地址部署的,因此提供方网络可以访问使用方学习到的路由,这些路由可以跨越 VPC 网络、多云环境和本地网络。
功能和限制
以下是 Private Service Connect 接口的功能和限制:
- 服务使用方会在其 VPC 网络中创建一个网络连接,该连接是一种资源,表示专用连接的使用方一端。
- 服务提供方会创建一个具有 PSC 接口的受管资源,该接口引用使用方的网络连接。
- 使用方接受连接后,系统会从使用方 VPC 网络中的子网为 PSC 接口分配一个内部 IP 地址,从而实现安全、私密且双向的通信。
- 网络附件的子网支持 RFC 1918 和非 RFC 1918 地址,但子网
100.64.0.0/10和240.0.0.0/4除外。 - Vertex AI 只能连接到可从指定网络路由的 RFC 1918 IP 地址范围。
- Private Service Connect 接口不支持外部 IP 地址。
Vertex AI 无法访问以非公开方式使用的公共 IP 地址或以下非 RFC 1918 范围:
100.64.0.0/10192.0.0.0/24192.0.2.0/24198.18.0.0/15198.51.100.0/24203.0.113.0/24240.0.0.0/4
Private Service Connect 接口部署选项
如需创建 Private Service Connect 接口,请先在使用方 VPC 内部署一个与提供方服务位于同一区域的子网。查看具体服务的要求,确保没有需要避免的子网范围。 然后,创建一个引用该子网的网络连接。我们建议您将为网络连接分配的子网专门用于 Private Service Connect 接口部署。
以下页面讨论了 Vertex AI Private Service Connect 接口的具体使用场景:
- 为流水线配置 Private Service Connect 接口
- 将 Private Service Connect 接口用于 Vertex AI Training
- 创建 Ray on Vertex AI 集群
部署考虑事项
以下是有关从本地、多云和 VPC 工作负载与 Google 管理的 Vertex AI 服务进行通信的注意事项。
Vertex AI 子网建议
下表列出了支持 Private Service Connect 接口的 Vertex AI 服务的建议子网范围。
| Vertex AI 功能 | 建议子网范围 |
|---|---|
| Vertex AI Pipelines | /28 |
| 自定义训练作业 | /28 |
| Ray on Vertex AI | /28 |
IP 通告
- 使用 Private Service Connect 接口连接到使用方 VPC 网络中的服务时,您可以从 VPC 网络中的受支持的 IP 范围列表中选择一个 IP 地址。
- 默认情况下,除非配置自定义通告模式,否则 Cloud Router 会通告常规 VPC 子网。如需了解详情,请参阅自定义通告。
- 网络连接与 Private Service Connect 接口之间的连接具有传递性。提供方 VPC 网络中的工作负载可以与连接到使用方 VPC 网络的工作负载通信。
防火墙规则
虽然 Private Service Connect 接口由提供方组织创建和管理,但它们位于使用方 VPC 网络中。为保护使用方端的安全,我们建议使用基于使用方 VPC 网络中的 IP 地址范围的防火墙规则。您必须更新防火墙规则,以允许网络连接子网访问消费者的网络。如需了解详情,请参阅限制从生产者到消费者的入站流量。
域名解析
使用支持 Private Service Connect 接口的 Vertex AI API 时,不支持域名解析查找。如果您使用的是公共网域,则支持在提供方网络内进行 DNS 查找。对于专用 DNS 查找,您必须定义映射到消费者第 3 层 IP 地址的主机名变量。