Ihre Anwendungen können aus oder aus hybriden Netzwerken (lokal und Multicloud) eine Verbindung zu APIs in der Produktionsumgebung von Google herstellen. Google Cloud bietet die folgenden öffentlichen und privaten Zugriffsoptionen, die globale Erreichbarkeit und SSL/TLS-Sicherheit bieten: Google Cloud
- Öffentlicher Internetzugriff: Senden Sie Traffic an
REGION-aiplatform.googleapis.com. - Private Service Connect-Endpunkte für Google APIs: Verwenden Sie eine
benutzerdefinierte interne IP-Adresse wie
10.0.0.100, um aufREGION-aiplatform.googleapis.comzuzugreifen, oder einen zugewiesenen DNS-Namen wieaiplatform-genai1.p.googleapis.com.
Das folgende Diagramm veranschaulicht diese Zugriffsoptionen.
Einige Dienstersteller der Gemini Enterprise Agent Platform erfordern, dass Sie über Private Service Connect-Endpunkte oder Private Service Connect-Schnittstelleneine Verbindung zu ihren Diensten herstellen. Diese Dienste sind in der Tabelle Private Zugriffsoptionen für die Gemini Enterprise Agent Platform aufgeführt.
Zwischen regionalen und globalen Gemini Enterprise Agent Platform-Endpunkten wählen
Der regionale Gemini Enterprise Agent Platform-Endpunkt
(REGION-aiplatform.googleapis.com) ist die Standardmethode für den
Zugriff auf Google APIs. Für Anwendungen, die in mehreren Google Cloud
Regionen bereitgestellt werden, sollten Sie den globalen Endpunkt
(aiplatform.googleapis.com) für einen konsistenten API-Aufruf und ein robusteres Design verwenden,
es sei denn, das gewünschte Modell oder die gewünschte Funktion ist nur regional verfügbar. Die Verwendung des globalen Endpunkts bietet unter anderem folgende Vorteile:
- Verfügbarkeit von Modellen und Funktionen: Einige der neuesten, spezialisierten oder
regionsspezifischen Modelle und Funktionen in der Gemini Enterprise Agent Platform werden anfangs
oder dauerhaft nur über einen regionalen Endpunkt angeboten
(z. B.
us-central1-aiplatform.googleapis.com). Wenn Ihre Anwendung von einer dieser spezifischen Ressourcen abhängt, müssen Sie den regionalen Endpunkt verwenden, der dem Standort dieser Ressource entspricht. Dies ist die wichtigste Einschränkung bei der Festlegung Ihrer Endpunktstrategie. - Vereinfachung des multiregionalen Designs: Wenn ein Modell den globalen Endpunkt unterstützt, muss Ihre Anwendung den API-Endpunkt nicht dynamisch basierend auf der aktuellen Bereitstellungsregion wechseln. Eine einzelne, statische Konfiguration funktioniert für alle Regionen und vereinfacht die Bereitstellung, das Testen und den Betrieb erheblich.
- Begrenzung der Ratenbegrenzung (Vermeidung von
429-Fehlern): Bei unterstützten Modellen werden Anfragen über den globalen Endpunkt intern über das Google-Netzwerk an den nächstgelegenen verfügbaren regionalen Dienst weitergeleitet. Diese Verteilung kann häufig dazu beitragen, lokale Dienstüberlastungen oder regionale Ratenbegrenzungsfehler (429) zu vermeiden, indem das Google-Backbone für das interne Load-Balancing genutzt wird.
Informationen zur globalen Verfügbarkeit von Partnermodellen finden Sie auf dem Tab „Global“ in der Tabelle mit den Google Cloud Standorten von Modellendpunkten. Dort sind auch regionale Standorteaufgeführt.
Überlegungen zu gemeinsam genutzten VPC-Netzwerken für die Gemini Enterprise Agent Platform
Die Verwendung einer gemeinsam genutzten VPC ist eine Google Cloud Best Practice für die Einrichtung einer starken Netzwerk- und Organisationsverwaltung. Bei diesem Modell werden die Verantwortlichkeiten getrennt, indem ein zentrales Hostprojekt, das von Netzwerk- und Sicherheitsadministratoren verwaltet wird, und mehrere Dienstprojekte, die von Anwendungsteams genutzt werden, festgelegt werden.
Durch diese Trennung können Netzwerkadministratoren die Netzwerksicherheit (einschließlich Firewallregeln, Subnetze und Routen) zentral verwalten und erzwingen, während sie die Ressourcenerstellung und -verwaltung (z. B. VMs, GKE-Cluster und Abrechnung) an die Dienstprojekte delegieren.
Eine freigegebene VPC ermöglicht einen mehrschichtigen Ansatz zur Segmentierung, indem Folgendes ermöglicht wird:
- Administrative und Abrechnungssegmentierung: Jedes Dienstprojekt (z. B. „Finance-AI-Project“ oder „Marketing-AI-Project“) hat eine eigene Abrechnung, eigene Kontingente und eigene Ressourceninhaberschaft. Dadurch wird verhindert, dass ein einzelnes Team das gesamte Kontingent der Organisation verbraucht, und es wird eine klare Kostenzuordnung ermöglicht.
- IAM- und Zugriffsegmentierung: Sie können detaillierte
IAM-Berechtigungen (Identity and Access Management) auf Projektebene anwenden, z. B.:
- Der Google-Gruppe „Finance Users“ wird die Rolle „roles/aiplatform.user“ nur im Projekt „Finance-AI-Project“ gewährt.
- Der Google-Gruppe „Marketing Users“ wird dieselbe Rolle nur im Projekt „Marketing-AI-Project“ gewährt.
- Diese Konfiguration stellt sicher, dass Nutzer in der Finanzgruppe nur auf die Gemini Enterprise Agent Platform-Endpunkte, -Modelle und -Ressourcen zugreifen können, die mit ihrem eigenen Projekt verknüpft sind. Sie sind vollständig von den KI-Arbeitslasten des Marketingteams isoliert.
Erzwingung auf API-Ebene: Der Gemini Enterprise API-Endpunkt selbst ist so konzipiert, dass diese projektbasierte Segmentierung erzwungen wird. Wie in der Struktur des API-Aufrufs gezeigt, ist die Projekt-ID ein erforderlicher Bestandteil des URI:
https://aiplatform.googleapis.com/v1/projects/${PROJECT_ID}/locations/global/publishers/google/models/${MODEL_ID}:streamGenerateContent
Wenn ein Nutzer diesen Aufruf ausführt, prüft das System, ob die authentifizierte Identität die erforderlichen IAM-Berechtigungen für die in der URL angegebene ${PROJECT_ID} hat. Wenn der Nutzer nur Berechtigungen für „Finance-AI-Project“ hat, aber versucht, die API mit der ID „Marketing-AI-Project“ aufzurufen, wird die Anfrage abgelehnt. Dieser Ansatz bietet ein robustes und skalierbares Framework, das sicherstellt, dass Sie bei der Einführung von KI in Ihrem Unternehmen eine klare Trennung von Aufgaben, Kosten und Sicherheitsgrenzen beibehalten.
Öffentlicher Internetzugriff auf die Agent Platform API
Wenn Ihre Anwendung einen Google-Dienst verwendet, der in der
Tabelle der unterstützten Zugriffsmethoden für die Gemini Enterprise Agent Platform
als öffentliches Internet aufgeführt ist,
kann Ihre Anwendung auf die API zugreifen, indem sie einen DNS-Lookup gegen den
Dienstendpunkt
(REGION-aiplatform.googleapis.com oder aiplatform.googleapis.com) durchführt,
der
öffentlich routingfähige virtuelle IP-Adressen zurückgibt. Sie können die API von jedem Standort der Welt aus verwenden, sofern Sie eine Internetverbindung haben.
Der von Google Cloud Ressourcen an diese IP
Adressen gesendete Traffic verbleibt jedoch im Google-Netzwerk. Um den öffentlichen Zugriff auf die
Gemini Enterprise API
einzuschränken,
sind VPC Service Controls erforderlich.
Private Service Connect-Endpunkte für die Agent Platform API
Mit Private Service Connect können Sie private Endpunkte mit globalen internen IP-Adressen innerhalb Ihres VPC-Netzwerk erstellen.
Sie können diesen internen IP-Adressen DNS-Namen mit aussagekräftigen Namen wie aiplatform-genai1.p.googleapis.com und bigtable-adsteam.p.googleapis.com zuweisen. Diese Namen und IP-Adressen sind intern in Ihrem VPC-Netzwerk und allen lokalen Netzwerken vergeben, die über hybride Netzwerkdienste mit ihm verbunden sind.
Sie können steuern, welcher Traffic an welchen Endpunkt geleitet wird, und können demonstrieren,
dass der Traffic innerhalb von bleibt Google Cloud.
- Sie können eine benutzerdefinierte globale Private Service Connect-Endpunkt-IP-Adresse (/32) erstellen. Weitere Informationen finden Sie unter Anforderungen an IP-Adressen.
- Sie erstellen den Private Service Connect-Endpunkt im selben VPC-Netzwerk wie den Cloud Router.
- Sie können diesen internen IP-Adressen DNS-Namen mit aussagekräftigen Namen wie
aiplatform-prodpsc.p.googleapis.comzuweisen. Weitere Informationen finden Sie unter Zugriff auf Google APIs über Endpunkte. - Stellen Sie in einer freigegebene VPC den Private Service Connect-Endpunkt im Hostprojekt bereit.
Überlegungen zur Bereitstellung
Im Folgenden finden Sie einige wichtige Überlegungen, die sich darauf auswirken, wie Sie den privater Google-Zugriff und Private Service Connect für den Zugriff auf die Agent Platform API verwenden.
Privater Google-Zugriff
Als Best Practice sollten Sie den privaten Google-Zugriff in VPC-Subnetzen aktivieren, damit Compute-Ressourcen (z. B. Compute Engine- und GKE-VM-Instanzen) ohne externe IP-Adressen auf Google Cloud APIs und -Dienste (z. B. Gemini Enterprise Agent Platform, Cloud Storage und BigQuery) zugreifen können.
IP-Anzeigen
Sie müssen den Subnetzbereich für den privater Google-Zugriff oder die IP-Adresse des Private Service Connect-Endpunkts aus dem Cloud Router als benutzerdefinierte beworbene Route für lokale und Multicloud-Umgebungen bewerben. Weitere Informationen finden Sie unter Benutzerdefinierte IP-Bereiche bewerben.
Firewallregeln
Sie müssen dafür sorgen, dass die Firewallkonfiguration lokaler und Multicloud-Umgebungen ausgehenden Traffic von den IP-Adressen der Subnetze für den privater Google-Zugriff oder Private Service Connect zulässt.
DNS-Konfiguration
- In Ihrem lokalen Netzwerk müssen DNS-Zonen und -Einträge konfiguriert sein, damit
eine Anfrage an
REGION-aiplatform.googleapis.comoderaiplatform.googleapis.comin das Subnetz für den privaten Google-Zugriff oder die IP-Adresse des Private Service Connect-Endpunkts aufgelöst wird. - Sie können von Cloud DNS verwaltete private Zonen erstellen und eine Cloud DNS-Richtlinie für eingehenden Server verwenden oder lokale Nameserver konfigurieren. Beispielsweise können Sie BIND oder Microsoft Active Directory DNS verwenden.
- Wenn Ihr lokales Netzwerk mit einem VPC-Netzwerk verbunden ist, können Sie mit Private Service Connect von lokalen Hosts aus über die interne IP-Adresse des Endpunkts auf Google APIs und Google-Dienste zugreifen. Weitere Informationen finden Sie unter Über lokale Hosts auf den Endpunkt zugreifen.