Certains producteurs de services Gemini Enterprise Agent Platform exigent que vous vous connectiez à leurs services via des interfaces Private Service Connect. Ces services sont répertoriés dans le tableau Méthodes d'accès à Gemini Enterprise Agent Platform.
Lorsqu'une interface Private Service Connect est créée, une instance de VM dotée d'au moins deux interfaces réseau est également créée. La première interface se connecte à un sous-réseau d'un réseau VPC producteur. La deuxième interface demande une connexion au sous-réseau du rattachement de réseau dans un réseau consommateur. Si elle est acceptée, cette interface se voit attribuer une adresse IP interne à partir du sous-réseau consommateur.
Du côté du producteur de services de la connexion privée, il y a un réseau VPC dans lequel les ressources de votre service sont provisionnées. Ce réseau est créé exclusivement pour vous et ne contient que vos ressources. La connectivité entre le réseau producteur et le réseau consommateur est établie via l'interface Private Service Connect.
Le schéma suivant montre une architecture de pipelines de la plate-forme Gemini Enterprise Agent dans laquelle Gemini Enterprise est activé et géré dans le réseau du consommateur. Les ressources des pipelines de la plate-forme Gemini Enterprise Agent sont déployées en tant qu'infrastructure as a service (IaaS) gérée par Google dans le réseau VPC du producteur de services. Étant donné que l'interface Private Service Connect est déployée avec une adresse IP du sous-réseau du consommateur, le réseau du producteur a accès aux routes apprises du consommateur, qui peuvent s'étendre aux réseaux VPC, aux environnements multicloud et aux réseaux sur site.
Fonctionnalités et limites
Voici les fonctionnalités et les limites des interfaces Private Service Connect (PSC) :
- Le client de services crée un rattachement de réseau dans son réseau VPC. Il s'agit d'une ressource qui représente son côté de la connexion privée.
- Le producteur de services crée la ressource gérée avec une interface PSC qui fait référence au rattachement de réseau du consommateur.
- Une fois que le consommateur a accepté la connexion, une adresse IP interne est attribuée à l'interface PSC à partir d'un sous-réseau du réseau VPC du consommateur, ce qui permet une communication sécurisée, privée et bidirectionnelle.
- Le sous-réseau du rattachement réseau est compatible avec les adresses RFC 1918 et non-RFC 1918, à l'exception des sous-réseaux
100.64.0.0/10et240.0.0.0/4. - La plate-forme d'agents Gemini Enterprise ne peut se connecter qu'aux plages d'adresses IP RFC 1918 routables à partir du réseau spécifié.
- Les interfaces Private Service Connect ne sont pas compatibles avec les adresses IP externes.
La plate-forme d'agents Gemini Enterprise ne peut pas accéder à une adresse IP publique utilisée en mode privé ni à ces plages non-RFC 1918 :
100.64.0.0/10192.0.0.0/24192.0.2.0/24198.18.0.0/15198.51.100.0/24203.0.113.0/24240.0.0.0/4
Préférence de connexion Private Service Connect
Private Service Connect propose une préférence de connexion lors du déploiement d'un rattachement de réseau. Cette préférence détermine si les demandes de connexion d'un producteur sont automatiquement acceptées ou nécessitent une approbation manuelle. Dans Gemini Enterprise Agent Platform, l'accès à un rattachement de réseau avec la préférence "Accepter automatiquement les connexions pour tous les projets" (ACCEPT_AUTOMATIC) ou "Accepter les connexions pour les projets sélectionnés" (ACCEPT_MANUAL) est traité comme suit :
- Un rattachement de réseau configuré avec la préférence de connexion
ACCEPT_MANUALest compatible avec Gemini Enterprise Agent Platform sans configurer l'ID du projet Gemini Enterprise Agent Platform dans le projet accepté. - Gemini Enterprise Agent Platform utilise les autorisations (
compute.networkAttachments.updateetcompute.regionOperations.get) pour autoriser le projet locataire hébergeant Gemini Enterprise Agent Platform à utiliser l'association réseau pour le déploiement de l'interface PSC pour les préférences de connexionACCEPT_AUTOMATICetACCEPT_MANUAL.
Pour en savoir plus sur IAM et les consignes de déploiement, consultez Configurer une interface Private Service Connect pour les ressources Gemini Enterprise Agent Platform.
Options de déploiement des interfaces Private Service Connect
Pour créer une interface Private Service Connect, commencez par déployer un sous-réseau dans le VPC consommateur qui partage la même région que votre service producteur. Vérifiez les exigences spécifiques du service pour vous assurer qu'il n'y a pas de plages de sous-réseaux à éviter. Créez ensuite un rattachement de réseau qui fait référence au sous-réseau. Nous vous recommandons de dédier le sous-réseau alloué au rattachement de réseau exclusivement aux déploiements d'interfaces Private Service Connect.
Les pages suivantes présentent des cas d'utilisation spécifiques des interfaces Private Service Connect pour Gemini Enterprise Agent Platform :
- Configurer une interface Private Service Connect pour un pipeline
- Utiliser l'interface Private Service Connect pour l'entraînement de Gemini Enterprise Agent Platform
- Créer un cluster Ray sur Gemini Enterprise Agent Platform
- Utiliser l'interface Private Service Connect avec Agent Runtime
Points à prendre en compte concernant VPC Service Controls
La capacité du service des producteurs de Gemini Enterprise Agent Platform à accéder à l'Internet public dépend de la configuration de sécurité de votre projet, en particulier de l'utilisation ou non de VPC Service Controls.
- Sans VPC Service Controls : la plate-forme d'agents Gemini Enterprise hébergée dans un locataire géré par Google conserve son accès Internet par défaut. Ce trafic sortant sort directement de l'environnement sécurisé géré par Google dans lequel votre service de producteur s'exécute. L'exception à ce comportement est Agent Runtime, qui ne fournit pas de sortie Internet. Vous devez plutôt déployer une VM proxy avec une adresse RFC 1918 pour la sortie Internet.
- Avec VPC Service Controls : lorsque votre projet fait partie d'un périmètre VPC Service Controls, l'accès à Internet par défaut de la plate-forme d'agents Gemini Enterprise avec location gérée par Google est bloqué par le périmètre pour empêcher l'exfiltration de données. Pour autoriser l'accès à Internet public dans ce scénario, vous devez configurer explicitement un chemin de sortie sécurisé qui achemine le trafic via votre réseau VPC. La méthode recommandée pour y parvenir consiste à configurer un serveur proxy dans votre périmètre VPC et à créer une passerelle Cloud NAT pour permettre à la VM proxy d'accéder à Internet.
Pour en savoir plus sur les considérations relatives à VPC Service Controls, consultez VPC Service Controls avec la plate-forme d'agents Gemini Enterprise.
Remarques relatives au déploiement
Vous trouverez ci-dessous les points à prendre en compte concernant la communication entre vos charges de travail sur site, multicloud et VPC, et les services Gemini Enterprise Agent Platform gérés par Google.
Recommandations concernant les sous-réseaux Gemini Enterprise Agent Platform
Le tableau suivant répertorie les plages de sous-réseau recommandées pour les services Gemini Enterprise Agent Platform compatibles avec les interfaces Private Service Connect.
| Fonctionnalité Gemini Enterprise Agent Platform | Plage de sous-réseau recommandée |
|---|---|
| Agent Platform Pipelines | /28 |
| Les tâches d'entraînement personnalisées | /28 |
| Ray sur Agent Platform | /28 |
| Environnement d'exécution de l'agent | /28 |
Annonce IP
- Lorsque vous utilisez l'interface Private Service Connect pour vous connecter à des services sur le réseau VPC du consommateur, vous choisissez une adresse IP dans une liste de plages d'adresses IP compatibles de votre réseau VPC.
- Par défaut, le routeur Cloud Router annonce les sous-réseaux VPC standards, sauf si le mode d'annonce personnalisé est configuré. Pour en savoir plus, consultez Annonce personnalisée.
- Une connexion entre un rattachement de réseau et une interface Private Service Connect est transitive. Les charges de travail du réseau VPC producteur peuvent communiquer avec les charges de travail connectées au réseau VPC consommateur.
Règles de pare-feu
Les interfaces Private Service Connect sont créées et gérées par une organisation de producteurs, mais elles se trouvent sur un réseau VPC utilisateur. Pour la sécurité côté client, nous recommandons les règles de pare-feu basées sur les plages d'adresses IP du réseau VPC utilisateur. Vous devez mettre à jour les règles de pare-feu pour autoriser le sous-réseau de rattachement réseau à accéder au réseau du consommateur. Pour en savoir plus, consultez Limiter le trafic entrant du producteur vers le consommateur.
Résolution de nom de domaine
L'utilisation d'une interface Private Service Connect seule nécessite de se connecter aux services via leurs adresses IP internes. Il n'est pas recommandé de procéder ainsi pour les systèmes de production, car les adresses IP peuvent changer, ce qui entraîne des configurations fragiles.
En implémentant l'appairage DNS, les producteurs de la plate-forme d'agents Gemini Enterprise peuvent résoudre les services dans votre VPC et sur vos réseaux multicloud ou sur site, et s'y connecter. Pour ce faire, ils interrogent les enregistrements d'une zone privée Cloud DNS dans votre réseau VPC, ce qui garantit un accès stable et fiable aux services, même si les adresses IP sous-jacentes sont modifiées.
Pour en savoir plus, consultez Configurer un appairage DNS privé.
Étapes suivantes
- En savoir plus sur les spécifications des rattachements de réseau
- Essayez un atelier de programmation sur l'utilisation des interfaces Private Service Connect avec les pipelines Agent Platform.
- Essayez un atelier de programmation sur l'utilisation d'un proxy explicite pour accéder aux points de terminaison non-RFC1918 avec Agent Platform Pipelines.