某些 Vertex AI 服务提供方要求您通过 Private Service Connect 接口连接到其服务。Vertex AI 访问方法表中列出了这些服务。
创建 Private Service Connect 接口时,系统还会创建一个至少有两个网络接口的虚拟机实例。第一个接口连接到提供方 VPC 网络中的子网。第二个接口请求与使用方网络中的网络连接子网建立连接。如果接受,系统会为此接口分配使用方子网中的一个内部 IP 地址。
在专用连接的服务提供方一端有一个 VPC 网络,您可以在其中预配服务资源。此网络专门为您创建,仅包含您的资源。 提供方网络与使用方网络之间的连接是通过 Private Service Connect 接口建立的。
下图展示了一个 Vertex AI Pipelines 架构,其中在使用方的网络中启用并管理 Vertex AI API。Vertex AI Pipelines 资源以 Google 管理的基础设施即服务 (IaaS) 的形式部署在服务提供方的 VPC 网络中。由于 Private Service Connect 接口是使用来自使用方子网的 IP 地址部署的,因此提供方网络可以访问使用方学习到的路由,这些路由可以跨越 VPC 网络、多云环境和本地网络。
功能和限制
以下是 Private Service Connect (PSC) 接口的功能和限制:
- 服务使用方会在其 VPC 网络中创建一个网络连接,该连接是一种资源,表示专用连接的使用方一端。
- 服务提供方会创建一个具有 PSC 接口的受管资源,该接口引用使用方的网络连接。
- 使用方接受连接后,系统会从使用方 VPC 网络中的子网为 PSC 接口分配一个内部 IP 地址,从而实现安全、私密且双向的通信。
- 网络附件的子网支持 RFC 1918 和非 RFC 1918 地址,但子网
100.64.0.0/10和240.0.0.0/4除外。 - Vertex AI 只能连接到可从指定网络路由的 RFC 1918 IP 地址范围。
- Private Service Connect 接口不支持外部 IP 地址。
Vertex AI 无法访问以非公开方式使用的公共 IP 地址或以下非 RFC 1918 范围:
100.64.0.0/10192.0.0.0/24192.0.2.0/24198.18.0.0/15198.51.100.0/24203.0.113.0/24240.0.0.0/4
Private Service Connect 连接偏好设置
部署网络连接时,Private Service Connect 提供连接偏好设置,用于确定是否自动接受来自提供方的连接请求,或者是否需要手动批准。在 Vertex AI 中,如果网络连接的首选项为“自动接受所有项目的连接”(ACCEPT_AUTOMATIC) 或“接受所选项目的连接”(ACCEPT_MANUAL),则访问网络连接的方式如下:
- 在 Vertex AI 中,支持配置了
ACCEPT_MANUAL连接偏好的网络连接,而无需在接受的项目中配置 Vertex AI 项目 ID。 - Vertex AI 使用权限(
compute.networkAttachments.update和compute.regionOperations.get)授权托管 Vertex AI 的租户项目使用网络连接来部署 PSC 接口,以实现ACCEPT_AUTOMATIC和ACCEPT_MANUAL连接偏好设置。
如需详细了解 IAM 和部署指南,请参阅为 Vertex AI 资源设置 Private Service Connect 接口。
Private Service Connect 接口部署选项
如需创建 Private Service Connect 接口,请先在使用方 VPC 内部署一个与提供方服务位于同一区域的子网。查看具体服务的要求,确保没有需要避免的子网范围。 然后,创建一个引用该子网的网络连接。我们建议您将为网络连接分配的子网专门用于 Private Service Connect 接口部署。
以下页面讨论了 Vertex AI Private Service Connect 接口的具体使用场景:
- 为流水线配置 Private Service Connect 接口
- 将 Private Service Connect 接口用于 Vertex AI Training
- 创建 Ray on Vertex AI 集群
- 将 Private Service Connect 接口与 Vertex AI Agent Engine 搭配使用
VPC Service Controls 注意事项
Vertex AI 生产者的服务能否访问公共互联网取决于项目的安全配置,特别是您是否在使用 VPC Service Controls。
- 不使用 VPC Service Controls:Google 管理的 Vertex AI 临时托管环境会保留其默认的互联网访问权限。此出站流量直接从运行生产者服务的安全、Google 管理的环境中流出。
- 使用 VPC Service Controls:当您的项目属于 VPC Service Controls 边界时,该边界会阻止 Google 管理的临时托管环境(用于托管 Vertex AI)的默认互联网访问权限,以防止数据渗漏。如需在此场景中允许访问公共互联网,您必须明确配置一条安全的出站路径,以通过您的 VPC 网络路由流量。实现此目的的推荐方法是在 VPC 边界内设置代理服务器,并创建 Cloud NAT 网关以允许代理虚拟机访问互联网。
如需详细了解 VPC Service Controls 注意事项,请参阅将 VPC Service Controls 与 Vertex AI 搭配使用。
部署考虑事项
以下是有关从本地、多云和 VPC 工作负载与 Google 管理的 Vertex AI 服务进行通信的注意事项。
Vertex AI 子网建议
下表列出了支持 Private Service Connect 接口的 Vertex AI 服务的建议子网范围。
| Vertex AI 功能 | 建议子网范围 |
|---|---|
| Vertex AI Pipelines | /28 |
| 自定义训练作业 | /28 |
| Ray on Vertex AI | /28 |
| Vertex AI Agent Engine | /28 |
IP 通告
- 使用 Private Service Connect 接口连接到使用方 VPC 网络中的服务时,您可以从 VPC 网络中的受支持的 IP 范围列表中选择一个 IP 地址。
- 默认情况下,除非配置自定义通告模式,否则 Cloud Router 会通告常规 VPC 子网。如需了解详情,请参阅自定义通告。
- 网络连接与 Private Service Connect 接口之间的连接具有传递性。提供方 VPC 网络中的工作负载可以与连接到使用方 VPC 网络的工作负载通信。
防火墙规则
虽然 Private Service Connect 接口由提供方组织创建和管理,但它们位于使用方 VPC 网络中。为保护使用方端的安全,我们建议使用基于使用方 VPC 网络中的 IP 地址范围的防火墙规则。您必须更新防火墙规则,以允许网络连接子网访问消费者的网络。如需了解详情,请参阅限制从生产者到消费者的入站流量。
域名解析
仅使用 Private Service Connect 接口需要通过服务的内部 IP 地址连接到服务。对于生产系统,不建议采用这种做法,因为 IP 地址可能会发生变化,从而导致配置不稳定。
通过实现 DNS 对等互连,Vertex AI 提供方可以解析并连接到您的 VPC 以及本地或多云网络中的服务。为此,您需要查询 VPC 网络中 Cloud DNS 专用区域的记录,这样即使底层 IP 地址发生更改,也能确保稳定可靠地访问服务。
如需了解详情,请参阅设置专用 DNS 对等互连。
后续步骤
- 了解网络连接规范。
- 不妨尝试一下有关将 Private Service Connect 接口与 Vertex AI Pipelines 搭配使用的 Codelab。
- 不妨尝试一下有关使用显式代理通过 Vertex AI Pipelines 访问非 rfc1918 端点的 Codelab。