Beberapa produsen layanan Gemini Enterprise Agent Platform mengharuskan Anda terhubung ke layanan mereka melalui antarmuka Private Service Connect. Layanan ini tercantum dalam tabel metode akses Gemini Enterprise Agent Platform.
Saat antarmuka Private Service Connect dibuat, instance VM dengan setidaknya dua antarmuka jaringan juga dibuat. Antarmuka pertama terhubung ke subnet di jaringan VPC produsen. Antarmuka kedua meminta koneksi ke subnet lampiran jaringan di jaringan konsumen. Jika diterima, antarmuka ini akan diberi alamat IP internal dari subnet konsumen.
Di sisi produsen layanan, koneksi pribadi adalah jaringan VPC tempat resource layanan Anda disediakan. Jaringan ini dibuat khusus untuk Anda dan hanya berisi resource Anda. Konektivitas antara jaringan produsen dan konsumen dibuat melalui antarmuka Private Service Connect.
Diagram berikut menunjukkan arsitektur Gemini Enterprise Agent Platform Pipelines tempat Gemini Enterprise diaktifkan dan dikelola di jaringan konsumen. Resource Gemini Enterprise Agent Platform Pipelines di-deploy sebagai infrastruktur sebagai layanan (IaaS) yang dikelola Google di jaringan VPC produsen layanan. Karena antarmuka Private Service Connect di-deploy dengan alamat IP dari subnet konsumen, jaringan produsen memiliki akses ke rute yang dipelajari konsumen yang dapat mencakup jaringan VPC, lingkungan multicloud, dan jaringan lokal.
Fitur dan batasan
Berikut adalah fitur dan batasan antarmuka Private Service Connect (PSC):
- Konsumen layanan membuat lampiran jaringan di jaringan VPC-nya, yang merupakan resource yang mewakili sisi koneksi pribadi.
- Produsen layanan membuat resource terkelola dengan antarmuka PSC yang mereferensikan lampiran jaringan konsumen.
- Setelah konsumen menerima koneksi, antarmuka PSC akan diberi alamat IP internal dari subnet di jaringan VPC konsumen, sehingga memungkinkan komunikasi yang aman, pribadi, dan dua arah.
- Subnet lampiran jaringan
mendukung alamat RFC 1918 dan non RFC 1918, kecuali subnet
100.64.0.0/10dan240.0.0.0/4. - Gemini Enterprise Agent Platform hanya dapat terhubung ke rentang alamat IP RFC 1918 yang dapat dirutekan dari jaringan yang ditentukan.
- Antarmuka Private Service Connect tidak mendukung alamat IP eksternal.
Gemini Enterprise Agent Platform tidak dapat menjangkau alamat IP publik yang digunakan secara pribadi atau rentang non-RFC 1918 ini:
100.64.0.0/10192.0.0.0/24192.0.2.0/24198.18.0.0/15198.51.100.0/24203.0.113.0/24240.0.0.0/4
Preferensi koneksi Private Service Connect
Private Service Connect menawarkan preferensi koneksi saat men-deploy lampiran jaringan yang menentukan apakah permintaan koneksi dari produsen akan diterima secara otomatis atau memerlukan persetujuan manual. Di Gemini Enterprise Agent Platform, mengakses lampiran jaringan dengan preferensi "Automatically accept connections for all projects" (ACCEPT_AUTOMATIC) atau "Accept connections for selected projects" (ACCEPT_MANUAL) diperlakukan sebagai berikut:
- Lampiran jaringan yang dikonfigurasi dengan preferensi koneksi
ACCEPT_MANUALdidukung di Gemini Enterprise Agent Platform tanpa mengonfigurasi project ID Gemini Enterprise Agent Platform di project yang diterima. - Gemini Enterprise Agent Platform menggunakan izin (
compute.networkAttachments.updatedancompute.regionOperations.get) untuk mengotorisasi project tenant yang menghosting Gemini Enterprise Agent Platform agar dapat menggunakan lampiran jaringan untuk deployment Antarmuka PSC untuk preferensi koneksiACCEPT_AUTOMATICdanACCEPT_MANUAL.
Untuk mempelajari lebih lanjut panduan IAM dan deployment, lihat Menyiapkan antarmuka Private Service Connect untuk resource Gemini Enterprise Agent Platform.
Opsi deployment antarmuka Private Service Connect
Untuk membuat antarmuka Private Service Connect, pertama-tama deploy subnet dalam VPC konsumen yang berbagi region yang sama dengan layanan produsen Anda. Periksa persyaratan layanan tertentu untuk memastikan tidak ada rentang subnet yang harus Anda hindari. Kemudian, buat lampiran jaringan yang mereferensikan subnet. Sebaiknya Anda mendedikasikan subnet yang dialokasikan untuk lampiran jaringan secara eksklusif ke deployment antarmuka Private Service Connect.
Halaman berikut membahas kasus penggunaan tertentu untuk antarmuka Private Service Connect Gemini Enterprise Agent Platform:
- Mengonfigurasi antarmuka Private Service Connect untuk pipeline
- Menggunakan antarmuka Private Service Connect untuk Pelatihan Gemini Enterprise Agent Platform
- Membuat cluster Ray di Gemini Enterprise Agent Platform
- Menggunakan antarmuka Private Service Connect dengan Agent Runtime
Pertimbangan Kontrol Layanan VPC
Kemampuan layanan produsen Gemini Enterprise Agent Platform untuk mengakses internet publik bergantung pada konfigurasi keamanan project Anda, khususnya apakah Anda menggunakan Kontrol Layanan VPC.
- Tanpa Kontrol Layanan VPC: Tenting terkelola Google yang menghosting Gemini Enterprise Agent Platform mempertahankan akses internet default-nya. Traffic keluar ini keluar langsung dari lingkungan terkelola Google yang aman tempat layanan produsen Anda berjalan. Pengecualian untuk perilaku ini adalah Agent Runtime, yang tidak menyediakan egress internet. Sebagai gantinya, Anda harus men-deploy VM proxy dengan alamat RFC 1918 untuk egress internet.
- Dengan Kontrol Layanan VPC: Jika project Anda adalah bagian dari perimeter Kontrol Layanan VPC, akses internet default tenting terkelola Google yang menghosting Gemini Enterprise Agent Platform akan diblokir oleh perimeter untuk mencegah pemindahan data yang tidak sah. Untuk mengizinkan akses ke internet publik dalam skenario ini, Anda harus mengonfigurasi jalur egress yang aman secara eksplisit yang merutekan traffic melalui jaringan VPC Anda. Cara yang direkomendasikan untuk mencapainya adalah dengan menyiapkan server proxy di dalam perimeter VPC Anda dan membuat gateway Cloud NAT untuk mengizinkan VM proxy mengakses internet.
Untuk mempelajari lebih lanjut pertimbangan Kontrol Layanan VPC, lihat Kontrol Layanan VPC dengan Gemini Enterprise Agent Platform.
Pertimbangan deployment
Berikut adalah pertimbangan untuk komunikasi dari workload lokal, multicloud, dan VPC Anda ke layanan Gemini Enterprise Agent Platform yang dikelola Google.
Rekomendasi subnet Gemini Enterprise Agent Platform
Tabel berikut mencantumkan rentang subnet yang direkomendasikan untuk layanan Gemini Enterprise Agent Platform yang mendukung antarmuka Private Service Connect.
| Fitur Gemini Enterprise Agent Platform | Rentang subnet yang direkomendasikan |
|---|---|
| Pipeline Platform Agen | /28 |
| Tugas pelatihan kustom | /28 |
| Ray di Platform Agen | /28 |
| Agent Runtime | /28 |
Iklan IP
- Saat menggunakan antarmuka Private Service Connect untuk terhubung ke layanan di jaringan VPC konsumen, Anda memilih alamat IP dari daftar rentang IP yang didukung di jaringan VPC Anda.
- Secara default, Cloud Router akan mengiklankan subnet VPC reguler kecuali jika mode iklan kustom dikonfigurasi. Untuk mengetahui informasi selengkapnya, lihat Iklan kustom.
- Koneksi antara lampiran jaringan dan antarmuka Private Service Connect bersifat transitif. Workload di jaringan VPC produsen dapat berkomunikasi dengan workload yang terhubung ke jaringan VPC konsumen.
Aturan firewall
Antarmuka Private Service Connect dibuat dan dikelola oleh organisasi produsen, tetapi mereka berada di jaringan VPC konsumen. Untuk keamanan sisi konsumen, kami merekomendasikan aturan firewall yang didasarkan pada rentang alamat IP dari jaringan VPC konsumen. Anda harus memperbarui aturan firewall untuk mengizinkan akses subnet lampiran jaringan ke jaringan konsumen. Untuk mengetahui informasi selengkapnya, lihat Membatasi ingress produsen ke konsumen.
Resolusi nama domain
Menggunakan antarmuka Private Service Connect saja mengharuskan koneksi ke layanan melalui alamat IP internalnya. Hal ini bukan praktik yang direkomendasikan untuk sistem produksi, karena alamat IP dapat berubah, sehingga menyebabkan konfigurasi yang tidak stabil.
Dengan menerapkan peering DNS, produsen Gemini Enterprise Agent Platform dapat me-resolve dan terhubung ke layanan di VPC dan jaringan lokal atau multicloud Anda. Hal ini dicapai dengan membuat kueri data dari zona pribadi Cloud DNS dalam jaringan VPC Anda, yang memastikan akses layanan yang stabil dan andal meskipun alamat IP yang mendasarinya diubah.
Untuk mengetahui informasi selengkapnya, lihat Menyiapkan peering DNS pribadi.
Langkah berikutnya
- Pelajari tentang spesifikasi lampiran jaringan.
- Coba codelab tentang penggunaan antarmuka Private Service Connect dengan Agent Platform Pipelines.
- Coba codelab tentang penggunaan proxy eksplisit untuk menjangkau endpoint non-rfc1918 dengan Agent Platform Pipelines.