Les services Gemini Enterprise Agent Platform disposant d'une coche dans la colonne Accès aux services privés de la table Options d'accès privé pour Gemini Enterprise Agent Platform nécessitent que vous vous y connectiez via l'accès aux services privés.
Ces services Gemini Enterprise Agent Platform gérés par Google permettent une communication bidirectionnelle avec les charges de travail sur site, multicloud et VPC d'un client de service.
Cette communication privée s'effectue exclusivement à l'aide d'adresses IP internes. Les instances de VM n'ont pas besoin d'accès Internet ni d'adresses IP externes pour accéder aux services disponibles via l'accès aux services privés.
La plate-forme Gemini Enterprise Agent fournit des services hébergés dans un réseau VPC géré par Google. L'accès aux services privés vous permet d'atteindre les adresses IP internes de ces services Gemini Enterprise Agent et tiers via une connexion d'appairage de réseaux VPC.
Le schéma suivant présente une architecture d'entraînement personnalisé dans laquelle les API Agent Platform pour les jobs d'entraînement et les jobs de pipeline sont activées et gérées dans un projet de service (serviceproject) lors du déploiement d'un VPC partagé.
Ces composants sont déployés en tant que modèle Infrastructure as a Service (IaaS) géré par Google dans le réseau VPC du producteur de services.
Le réseau VPC du client de service (hostproject) accède à ces services via une connexion d'accès aux services privés.
Options de déploiement de l'accès aux services privés
Vous pouvez créer une connexion privée ou en modifier une existante. Avant de configurer l'accès aux services privés, tenez compte des considérations liées au choix d'un réseau VPC et d'une plage d'adresses IP.
Pour créer une connexion privée, vous devez d'abord créer une plage d'adresses IP allouée, puis créer une connexion privée entre votre réseau VPC et les services Gemini Enterprise Agent Platform gérés par Google.
Vous pouvez également modifier une connexion existante. Pour en savoir plus, consultez la section Modifier une connexion privée.
Recommandations concernant les sous-réseaux Gemini Enterprise Agent Platform
Le tableau suivant répertorie les plages de sous-réseau recommandées pour les services de la plate-forme d'agents Gemini Enterprise.
| Fonctionnalité Gemini Enterprise Agent Platform | Plage de sous-réseau recommandée |
|---|---|
| les instances de notebooks gérés | /29 |
| Pipelines Gemini Enterprise Agent Platform | /21 |
| Les tâches d'entraînement personnalisées | /19 |
| Requêtes en ligne Vector Search | /16 |
| Points de terminaison d'accès aux services privés | /21 |
Remarques relatives au déploiement
Vous trouverez ci-dessous quelques remarques importantes qui affectent la façon dont vous établissez la communication entre vos charges de travail sur site, multicloud et VPC, et les services de la plate-forme d'agents Gemini Enterprise gérés par Google.
Annonce IP
Vous devez annoncer la plage de sous-réseau d'accès aux services privés en tant que route annoncée personnalisée à partir du routeur Cloud Router. Pour plus d'informations, consultez la section Annoncer des plages d'adresses IP personnalisées.
Appairage de réseaux VPC
Il est possible que le réseau du producteur de services ne dispose pas des routes appropriées pour diriger le trafic vers votre réseau sur site. Par défaut, le réseau du producteur de services ne mémorise que les routes de sous-réseau émanant de votre réseau VPC. Par conséquent, toute requête qui ne provient pas d'une plage d'adresses IP de sous-réseau est ignorée par le producteur de services.
C'est pour cette raison que vous devez mettre à jour la connexion d'appairage dans votre réseau VPC pour exporter les routes personnalisées vers le réseau du producteur de services. L'exportation des routes envoie toutes les routes statiques et dynamiques éligibles de votre réseau VPC, telles que les routes vers votre réseau sur site, au réseau du producteur de services. Le réseau du producteur de services les importe automatiquement, puis peut renvoyer le trafic vers votre réseau sur site via le réseau VPC.
Règles de pare-feu
Vous devez mettre à jour les règles de pare-feu du réseau VPC qui connecte vos environnements sur site et multicloud à Google Cloud pour autoriser le trafic entrant depuis et le trafic sortant vers les sous-réseaux d'accès aux services privés.