Für einige Dienstersteller der Gemini Enterprise Agent Platform ist es erforderlich, dass Sie über Private Service Connect-Schnittstellen eine Verbindung zu ihren Diensten herstellen. Diese Dienste sind in der Tabelle Zugriffsmethoden für die Gemini Enterprise Agent Platform aufgeführt.
Wenn eine Private Service Connect-Schnittstelle erstellt wird, wird auch eine VM-Instanz mit mindestens zwei Netzwerkschnittstellen erstellt. Die erste Schnittstelle stellt eine Verbindung zu einem Subnetz in einem Ersteller-VPC-Netzwerk her. Die zweite Schnittstelle fordert eine Verbindung zum Subnetz Netzwerkanhang in einem Nutzer-Netzwerk an. Wenn die Anfrage akzeptiert wird, wird dieser Schnittstelle eine interne IP-Adresse aus dem Nutzersubnetz zugewiesen.
Auf der Diensterstellerseite der privaten Verbindung steht ein VPC-Netzwerk, in dem Ihre Dienstressourcen bereitgestellt werden. Dieses Netzwerk wird ausschließlich für Sie erstellt und enthält nur Ihre Ressourcen. Die Verbindung zwischen dem Ersteller- und dem Nutzer-Netzwerk wird über die Private Service Connect-Schnittstelle hergestellt.
Das folgende Diagramm zeigt eine Gemini Enterprise Agent Platform Pipelines-Architektur, in der Gemini Enterprise im Netzwerk des Nutzers aktiviert und verwaltet wird. Die Ressourcen von Gemini Enterprise Agent Platform Pipelines werden als von Google verwaltete Infrastructure-as-a-Service (IaaS) im VPC-Netzwerk des Diensterstellers bereitgestellt. Da die Private Service Connect-Schnittstelle mit einer IP-Adresse aus dem Subnetz des Nutzers bereitgestellt wird, hat das Netzwerk des Erstellers Zugriff auf die gelernten Routen des Nutzers, die VPC-Netzwerke, Multicloud-Umgebungen und lokale Netzwerke umfassen können.
Funktionen und Einschränkungen
Im Folgenden finden Sie die Funktionen und Einschränkungen von Private Service Connect-Schnittstellen (PSC):
- Der Dienstnutzer erstellt in seinem VPC-Netzwerk einen Netzwerkanhang, der seine Seite der privaten Verbindung darstellt.
- Der Dienstersteller erstellt die verwaltete Ressource mit einer PSC-Schnittstelle, die auf den Netzwerkanhang des Nutzers verweist.
- Sobald der Nutzer die Verbindung akzeptiert, wird der PSC-Schnittstelle eine interne IP-Adresse aus einem Subnetz im VPC-Netzwerk des Nutzers zugewiesen, was eine sichere, private und bidirektionale Kommunikation ermöglicht.
- Das Subnetz der Netzwerkverbindung unterstützt RFC 1918- und Nicht-RFC 1918-Adressen mit Ausnahme der Subnetze
100.64.0.0/10und240.0.0.0/4. - Die Gemini Enterprise Agent Platform kann nur eine Verbindung zu RFC 1918-IP-Adressbereichen herstellen, die über das angegebene Netzwerk geroutet werden können.
- Private Service Connect-Schnittstellen unterstützen externe IP-Adressen nicht.
Die Gemini Enterprise Agent Platform kann keine privat verwendete öffentliche IP-Adresse oder die folgenden Bereiche außerhalb von RFC 1918 erreichen:
100.64.0.0/10192.0.0.0/24192.0.2.0/24198.18.0.0/15198.51.100.0/24203.0.113.0/24240.0.0.0/4
Private Service Connect-Verbindungseinstellung
Private Service Connect bietet beim Bereitstellen eines Netzwerkanhangs eine Verbindungseinstellung, die bestimmt, ob Verbindungsanfragen von einem Ersteller automatisch akzeptiert werden oder eine manuelle Genehmigung erforderlich ist. In der Gemini Enterprise Agent Platform wird der Zugriff auf einen Netzwerkanhang mit der Einstellung „Verbindungen für alle Projekte automatisch akzeptieren“ (ACCEPT_AUTOMATIC) oder „Verbindungen für ausgewählte Projekte akzeptieren“ (ACCEPT_MANUAL) so behandelt:
- Eine Netzwerkverbindung, die mit der Verbindungseinstellung
ACCEPT_MANUALkonfiguriert ist, wird in der Gemini Enterprise Agent Platform unterstützt, ohne dass die Projekt-ID der Gemini Enterprise Agent Platform im akzeptierten Projekt konfiguriert werden muss. - Die Gemini Enterprise Agent Platform verwendet die Berechtigungen (
compute.networkAttachments.updateundcompute.regionOperations.get), um das Mandantenprojekt, in dem die Gemini Enterprise Agent Platform gehostet wird, für die Verwendung der Netzwerkverbindung für die PSC-Schnittstellenbereitstellung für die VerbindungspräferenzenACCEPT_AUTOMATICundACCEPT_MANUALzu autorisieren.
Weitere Informationen zu IAM und Bereitstellungsrichtlinien finden Sie unter Private Service Connect-Schnittstelle für Gemini Enterprise Agent Platform-Ressourcen einrichten.
Bereitstellungsoptionen für Private Service Connect-Schnittstellen
Wenn Sie eine Private Service Connect-Schnittstelle erstellen möchten, stellen Sie zuerst ein Subnetz in der Nutzer-VPC bereit, das sich in derselben Region wie Ihr Erstellerdienst befindet. Prüfen Sie die spezifischen Anforderungen des Dienstes, um sicherzugehen, dass es keine Subnetzbereiche gibt, die Sie vermeiden sollten. Erstellen Sie dann einen Netzwerkanhang, der auf das Subnetz verweist. Wir empfehlen, das für den Netzwerkanhang zugewiesene Subnetz ausschließlich für die Bereitstellung von Private Service Connect-Schnittstellen zu verwenden.
Auf den folgenden Seiten werden spezifische Anwendungsfälle für Private Service Connect-Schnittstellen der Gemini Enterprise Agent Platform beschrieben:
- Private Service Connect-Schnittstelle für eine Pipeline konfigurieren
- Private Service Connect-Schnittstelle für das Training der Gemini Enterprise Agent Platform verwenden
- Ray-Cluster auf der Gemini Enterprise Agent Platform erstellen
- Private Service Connect-Schnittstelle mit Agent Runtime verwenden
VPC Service Controls – Überlegungen
Ob der Dienst von Gemini Enterprise Agent Platform-Produzenten auf das öffentliche Internet zugreifen kann, hängt von der Sicherheitskonfiguration Ihres Projekts ab, insbesondere davon, ob Sie VPC Service Controls verwenden.
- Ohne VPC Service Controls: Die von Google verwaltete Mandanten-Hosting-Gemini Enterprise Agent Platform behält ihren standardmäßigen Internetzugriff bei. Dieser ausgehende Traffic wird direkt aus der sicheren, von Google verwalteten Umgebung geleitet, in der Ihr Producer-Dienst ausgeführt wird. Die Ausnahme von diesem Verhalten ist die Agent Runtime, die keinen Internetzugriff bietet. Stattdessen müssen Sie eine Proxy-VM mit einer RFC 1918-Adresse für den Internetzugriff bereitstellen.
- Mit VPC Service Controls: Wenn Ihr Projekt Teil eines VPC Service Controls-Perimeters ist, wird der standardmäßige Internetzugriff des von Google verwalteten Gemini Enterprise Agent Platform-Zeltings durch den Perimeter blockiert, um Daten-Exfiltration zu verhindern. Damit der Zugriff auf das öffentliche Internet in diesem Szenario möglich ist, müssen Sie explizit einen sicheren Ausgangspfad konfigurieren, über den der Traffic durch Ihr VPC-Netzwerk geleitet wird. Die empfohlene Methode hierfür ist, einen Proxyserver in Ihrem VPC-Perimeter einzurichten und ein Cloud NAT-Gateway zu erstellen, damit die Proxy-VM auf das Internet zugreifen kann.
Weitere Informationen zu VPC Service Controls finden Sie unter VPC Service Controls mit der Gemini Enterprise Agent Platform.
Überlegungen zur Bereitstellung
Im Folgenden finden Sie einige Überlegungen zur Kommunikation von Ihren lokalen, Multicloud- und VPC-Arbeitslasten mit von Google verwalteten Gemini Enterprise Agent Platform-Diensten.
Empfehlungen für Subnetze für die Gemini Enterprise Agent Platform
In der folgenden Tabelle sind die empfohlenen Subnetzbereiche für Gemini Enterprise Agent Platform-Dienste aufgeführt, die Private Service Connect-Schnittstellen unterstützen.
| Funktion der Gemini Enterprise Agent Platform | Empfohlener Subnetzbereich |
|---|---|
| Agent Platform Pipelines | /28 |
| Benutzerdefinierte Trainingsjobs | /28 |
| Ray in Agent Platform | /28 |
| Laufzeit für KI-Agenten | /28 |
IP-Anzeigen
- Wenn Sie über die Private Service Connect-Schnittstelle eine Verbindung zu Diensten im VPC-Netzwerk des Kunden herstellen, wählen Sie eine IP-Adresse aus einer Liste der unterstützten IP-Bereiche in Ihrem VPC-Netzwerk aus.
- Standardmäßig bewirbt der Cloud Router reguläre VPC-Subnetze, sofern kein benutzerdefinierter Advertising-Modus konfiguriert ist. Weitere Informationen finden Sie unter Benutzerdefinierte Werbung.
- Verbindungen zwischen einem Netzwerkanhang und einer Private Service Connect-Schnittstelle sind transitiv. Arbeitslasten im VPC-Netzwerk des Erstellers können mit Arbeitslasten kommunizieren, die mit dem VPC-Netzwerk des Nutzers verbunden sind.
Firewallregeln
Private Service Connect-Schnittstellen werden von einer Erstellerorganisation erstellt und verwaltet, befinden sich aber in einem Nutzer-VPC-Netzwerk. Für die Sicherheit auf der Nutzerseite empfehlen wir Firewallregeln, die auf IP-Adressbereichen aus dem VPC-Netzwerk des Nutzers basieren. Sie müssen die Firewallregeln aktualisieren, damit das Subnetzwerk für die Netzwerkverbindung auf das Netzwerk des Kunden zugreifen kann. Weitere Informationen finden Sie unter Eingehenden Traffic von Produzenten zu Verbrauchern begrenzen.
Auflösung von Domainnamen
Wenn Sie nur eine Private Service Connect-Schnittstelle verwenden, müssen Sie über die internen IP-Adressen eine Verbindung zu Diensten herstellen. Dies ist für Produktionssysteme nicht empfehlenswert, da sich IP-Adressen ändern können, was zu instabilen Konfigurationen führt.
Durch die Implementierung von DNS-Peering können Gemini Enterprise Agent Platform-Produzenten stattdessen Dienste in Ihrer VPC und in lokalen oder Multicloud-Netzwerken auflösen und eine Verbindung zu ihnen herstellen. Dies wird durch das Abfragen von Einträgen aus einer privaten Cloud DNS-Zone in Ihrem VPC-Netzwerk erreicht. So wird ein stabiler, zuverlässiger Dienstzugriff gewährleistet, auch wenn die zugrunde liegenden IP-Adressen geändert werden.
Weitere Informationen finden Sie unter Private DNS-Peering einrichten.
Nächste Schritte
- Weitere Informationen zu Netzwerkanhängen
- Codelab zur Verwendung von Private Service Connect-Schnittstellen mit Agent Platform Pipelines
- Codelab zum Verwenden eines expliziten Proxys, um mit Agent Platform Pipelines Endpunkte außerhalb von RFC1918 zu erreichen