Dokumen ini dimulai dengan menguraikan opsi untuk memperluas jangkauan layanan Agent Platform yang di-deploy dengan akses layanan pribadi.
Hal ini diikuti dengan pembahasan singkat tentang motivasi untuk men-deploy layanan ke endpoint Private Service Connect jika lebih sesuai dengan kebutuhan Anda.
Karena akses layanan pribadi menghosting layanan Agent Platform di jaringan terkelola yang di-peering dengan jaringan Anda, pastikan Anda telah memahami materi di peering VPC sebelum membaca bagian lain dalam dokumen ini.
Secara default, konfigurasi peering hanya mengizinkan jaringan Platform Agen yang di-peering untuk menjangkau endpoint di subnet lokal Anda. Dengan mengekspor rute kustom, jaringan produsen dapat menjangkau jaringan lain yang memiliki rute statis atau dinamis ke jaringan Anda.
Karena peering transitif tidak didukung, koneksi dari Agent Platform tidak dapat menjangkau endpoint di jaringan lain yang di-peering langsung ke jaringan Anda, meskipun "Ekspor rute kustom" diaktifkan. Dalam contoh yang ditampilkan pada diagram berikut, paket dapat melewati Koneksi Peering #1, tetapi gagal melewati Koneksi Peering #2.
Agar Platform Agen dapat menjangkau Jaringan Pengguna #2, ganti Koneksi Peering #2 dengan VPN #2 seperti yang ditunjukkan pada diagram berikut.
Dengan mengaktifkan rute kustom di Koneksi Peering #1, paket IP dari jaringan Platform Agen dapat menjangkau Jaringan Pengguna #2.
Agar paket respons dari Jaringan Pengguna #2 dapat dirutekan kembali ke
jaringan Platform Agen, rute kembali juga harus ada di tabel perutean
untuk Jaringan Pengguna #2. Karena rute VPN dipertukarkan menggunakan Border Gateway Protocol (BGP)
di Cloud Router, maka kita dapat menyesuaikan konfigurasi BGP
pada Pengguna #1 untuk mengiklankan rute ke rentang jaringan Platform Agen
10.1.0.0/16 ke Jaringan Pengguna peering #2.
Perlu diperhatikan bahwa Anda dapat mengedit kedua sisi konfigurasi BGP VPN #1 agar jaringan lokal dan jaringan Agent Platform dapat saling mempelajari rute. Karena tidak ada upaya untuk mengirimkan paket jalur penerusan dari jaringan Platform Agen, atau paket respons melalui koneksi peering berurutan terkait jaringan tunggal mana pun, maka tidak satu pun dari upaya penerusan ini diblokir secara eksplisit.
Menyiapkan Konektivitas dari Agent Platform ke internet
Jika tidak ada jaringan yang ditentukan saat meluncurkan workload, workload akan berjalan di project produsen yang dikelola Google secara terpisah.
Jika jaringan ditentukan, workload akan berjalan di project produsen yang di-peering ke project konsumen.
Secara default, jaringan Platform Agen memiliki rutenya sendiri ke internet dan jaringan produsen memiliki rute defaultnya sendiri ke internet.
Untuk memaksa koneksi keluar dari jaringan produsen untuk dirutekan melalui jaringan Anda, Anda dapat mengaktifkan Kontrol Layanan VPC untuk peering. Perhatikan bahwa ini adalah konfigurasi terpisah dari Kontrol Layanan VPC.
Mengaktifkan Kontrol Layanan VPC untuk peering akan menyebabkan perubahan berikut di jaringan Platform Agen:
- Menghapus rute internet default.
- Membuat rute untuk tujuan
199.36.153.4/30dengan next hop gateway internet default. - Membuat zona pribadi yang dikelola Cloud DNS untuk
*.googleapis.comdengan data yang sesuai agar dapat memetakan nama host ke salah satu dari empat alamat tersebut. - Mengizinkan zona tersebut untuk digunakan oleh jaringan VPC
servicenetworking.
Dengan perubahan ini, Anda dapat mengekspor rute default dari jaringan Anda guna memastikan bahwa koneksi keluar ke internet dirutekan melalui Jaringan VPC Anda. Perubahan ini juga memungkinkan Anda menerapkan kebijakan yang diperlukan ke traffic keluar dari Agent Platform.
Anda dapat membuat kueri status Kontrol Layanan VPC untuk Peering dengan menjalankan perintah berikut;
gcloud services vpc-peerings get-vpc-service-controls \
--network YOUR_NETWORK
Metode ini akan menampilkan enabled: true jika konfigurasi diaktifkan dan daftar kosong ({}) jika dinonaktifkan.
Bekerja dengan Kontrol Layanan VPC
Jika jaringan ditentukan untuk beban kerja dan Kontrol Layanan VPC diaktifkan, beban kerja akan berjalan di jaringan produsen yang di-peering ke project konsumen dan tunduk pada kebijakan yang sama dengan jaringan konsumen.
Jika kebijakan ini memblokir traffic keluar, workload juga tidak akan dapat mengakses internet. Dalam hal ini, Anda harus mengikuti langkah-langkah di bagian sebelumnya untuk memaksa traffic keluar dari workload melewati instance NAT di jaringan VPC Anda.
Menyiapkan Konektivitas dari Agent Platform menggunakan proxy
Pola lain untuk mengontrol IP keluar dari Platform Agen adalah dengan memaksa koneksi keluar dari beban kerja untuk melewati proxy web yang Anda kontrol. Hal ini juga memungkinkan pemeriksaan koneksi keluar untuk kepatuhan.
Namun, penggunaan proxy pihak ketiga memaksa pengguna untuk mengelola sertifikat proxy agar sesuai dengan keluhan autentikasi. Selain itu, proxy ini mungkin tidak mengusulkan daftar cipher suite yang beririsan dengan yang diharapkan oleh SDK dan API Agent Platform.
Google Cloud kini menawarkan Secure Web Proxy untuk memfasilitasi pola ini. Sekarang Anda dapat mengikuti panduan memulai Men-deploy instance Secure Web Proxy dan menyesuaikan beban kerja Anda untuk menggunakannya bagi koneksi keluar. Koneksi ini akan tampak berasal dari alamat IP sumber proxy.
Jika library KFP belum diinstal di image komponen, pipeline akan mencoba menginstalnya sebelum menjalankan kode apa pun yang mungkin telah Anda tentukan proksinya.
Jika pipeline bergantung pada proxy untuk menginstal paket dari internet, upaya ini akan gagal dan Anda mungkin melihat error seperti berikut:
Could not find a version that satisfies the requirement kfp==2.7.0
Dalam kasus seperti ini, jika Anda tidak dapat menginstal KFP sebelum menjalankan kode, Anda harus menggunakan image dengan KFP yang sudah diinstal.
Anda dapat menambahkan KFP ke gambar dasar apa pun dan mengirimkannya ke repositori Anda.
Contoh Dockerfile berikut menambahkan KFP ke image dasar python:3.8.
FROM python:3.8
RUN pip install kfp==2.7.0
Kemudian, Anda dapat mengonfigurasi @component pipeline untuk menggunakan image ini:
@component(base_image="$PATH_TO_YOUR_REPOSITORY:YOUR_IMAGE")
Setelah komponen pipeline berjalan, kode Anda dapat menginstal paket lain secara bebas melalui proxy. Contoh berikut menginstal numpy
menggunakan proxy di https://10.10.10.10:443.
import subprocess
subprocess.call(['pip', 'install', '--proxy', 'https://10.10.10.10:443', 'numpy'])`
Menyiapkan daftar yang diizinkan untuk akses API
Untuk transaksi antara workload Gemini Enterprise Agent Platform dan Google API, Anda harus mengizinkan akses dari workload ke rentang IP yang digunakan oleh Google API. Untuk melakukannya, Anda dapat menjalankan skrip yang disediakan untuk menampilkan alamat IP untuk domain default.
Menyediakan konektivitas hybrid dengan Private Service Connect
Men-deploy layanan Agent Platform dengan akses layanan pribadi memiliki beberapa batasan.
- Anda mungkin perlu mencadangkan kumpulan besar alamat IP pribadi per beban kerja sekaligus menghindari konflik
dengan pengalamatan VPC Anda.
- Menjalankan beberapa beban kerja secara paralel masih dapat menyebabkan RANGES_EXHAUSTED meskipun setelah konfigurasi awal yang benar.
- Kompleksitas deployment dan pemecahan masalah jaringan:
- Karena peering transitif tidak didukung, Anda perlu men-deploy solusi sementara yang rumit untuk memberikan konektivitas antara jaringan yang berbeda yang di-peering ke jaringan VPC Anda.
- Status tabel perutean di lingkungan produsen tidak langsung terlihat. Karena Anda tidak memiliki akses ke project tenant, sering kali sulit untuk menentukan target yang sebenarnya dapat dicapai oleh workload Agent Platform tanpa pengujian ekstensif.
Pola alternatifnya adalah men-deploy layanan ini ke endpoint Private Service Connect.
- Layanan ini menggunakan satu alamat IP dalam jaringan VPC Anda, sehingga Anda dapat mempertahankan ruang alamat pribadi untuk penggunaan Anda sendiri.
- Karena IP layanan Agent Platform berada di jaringan Anda sendiri, membuat dan menjalankan Tes konektivitas untuk menilai jangkauannya ke dan dari tempat lain di lingkungan Anda menjadi lebih mudah.