Puedes configurar Gemini Enterprise Agent Platform para que intercambie tráfico con la nube privada virtual (VPC) a fin de conectarse directamente con ciertos recursos en Agent Platform, incluidos los siguientes:
- Entrenamiento personalizado
- Recursos compartidos de NFS para el entrenamiento personalizado
- Extremos de inferencia privados
- Ray on Agent Platform
- Coincidencias de vector en consultas en línea
- Canalizaciones
En esta guía, se muestra cómo configurar el intercambio de tráfico entre redes de VPC para intercambiar tráfico con tu red de Agent Platform. Se recomienda esta guía a los administradores de redes que ya están familiarizados con Google Cloud los conceptos de redes.
Descripción general
En esta guía, se abarcan las siguientes tareas:
- Configurar el acceso a servicios privados para la VPC. Esto establece una conexión de intercambio de tráfico entre la VPC y la red de VPC compartida de Google
- Considerar el rango de IP que debes reservar para Agent Platform.
- Si corresponde, exporta las rutas personalizadas para que Agent Platform pueda importarlas.
Antes de comenzar
- Selecciona una VPC con la que quieras intercambiar tráfico con los recursos de Agent Platform. Agent Platform se puede vincular con una sola red por región a la vez.
- Selecciona o crea un Google Cloud proyecto de para usarlo con Agent Platform.
-
Verifica que la facturación esté habilitada para tu Google Cloud proyecto.
Habilita la API de Compute Engine, la API de Agent Platform y las APIs de Herramientas de redes de servicios.
Roles necesarios para habilitar las APIs
Para habilitar las APIs, necesitas el rol de IAM de administrador de Service Usage (
roles/serviceusage.serviceUsageAdmin), que contiene el permisoserviceusage.services.enable. Obtén más información para otorgar roles.- De forma opcional, puedes usar la VPC compartida. Por lo general, si usas una VPC compartida, utilizas Agent Platform en un proyecto de independiente Google Cloud que el proyecto host de VPC. Habilita las API de Compute Engine y las API de Herramientas de redes de servicios en ambos proyectos. Obtén más información sobre cómo aprovisionar una VPC compartida.
- Instala la CLI de gcloud si deseas ejecutar los
gcloudejemplos de esta guía.
Roles obligatorios
Si no eres propietario o editor de un proyecto, asegúrate de tener la función de administrador de red de Compute (roles/compute.networkAdmin), que incluya los permisos que necesitas para administrar los roles de herramientas de redes.
Intercambia tráfico con una red local
Hay pasos adicionales para el intercambio de tráfico entre redes de VPC con una red local:
- Conecta tu red local a tu VPC. Puedes usar un túnel VPN o una interconexión.
- Configura rutas personalizadas desde la VPC hasta tu red local.
- Exporta tus rutas personalizadas para que Agent Platform pueda importarlas.
Configura el acceso privado a servicios de tu VPC
Cuando configuras el acceso privado a servicios, debes establecer una conexión privada entre tu red y una red de Google o de un servicio de terceros (productores de servicios). En este caso, Agent Platform es un productor de servicios. Para configurar el acceso privado a servicios, debes reservar un rango de IP para los productores de servicios y, luego, crear una conexión de intercambio de tráfico con Agent Platform.
Si ya tienes una VPC con el acceso privado a servicios configurado, continúa con la exportación de las rutas personalizadas.
- Configura las variables de entorno del ID del proyecto, el nombre del rango reservado y el nombre de la red. Si usas una VPC compartida, usa el ID del proyecto de tu proyecto host de VPC. De lo contrario, usa el ID del proyecto de Google Cloud proyecto que usas para Agent Platform.
- Habilita las API necesarias. Si usas una VPC compartida, consulta Usa una VPC compartida con Agent Platform.
- Configura un rango reservado mediante
gcloud compute addresses create. Establece una conexión de intercambio de tráfico entre tu proyecto host de VPC y las Herramientas de redes de servicios de Google mediante
gcloud services vpc-peerings connect.Para los extremos de inferencia privados, recomendamos reservar al menos un bloque
/21para la subred en el hosting del modelo. Reservar un bloque más pequeño puede generar errores de implementación debido a direcciones IP insuficientes.La subred
172.16.0.0/16está reservada para Vertex AI Training. Debes especificar una subred que no se superponga con este rango CIDR.PROJECT_ID=YOUR_PROJECT_ID gcloud config set project $PROJECT_ID # This is for display only; you can name the range anything. PEERING_RANGE_NAME=google-reserved-range NETWORK=YOUR_NETWORK_NAME # NOTE: `prefix-length=16` means a CIDR block with mask /16 will be # reserved for use by Google services, such as Agent Platform. gcloud compute addresses create $PEERING_RANGE_NAME \ --global \ --prefix-length=16 \ --description="peering range for Google service" \ --network=$NETWORK \ --purpose=VPC_PEERING # Create the VPC connection. gcloud services vpc-peerings connect \ --service=servicenetworking.googleapis.com \ --network=$NETWORK \ --ranges=$PEERING_RANGE_NAME \ --project=$PROJECT_ID
Obtén más información sobre el acceso privado a servicios.
Usa la VPC compartida con Agent Platform
Si usas una VPC compartida en tu proyecto, consulta cómo aprovisionar una VPC compartida y asegúrate de completar los siguientes pasos:
Habilita la API de Compute Engine y las APIs de Herramientas de redes de servicios en el proyecto host y el proyecto de servicio. La API de Agent Platform debe estar habilitada para el proyecto de servicio.
Crea la conexión de intercambio de tráfico entre redes de VPC entre tu VPC y los servicios de Google dentro del proyecto host.
Durante la creación de Agent Platform, debes especificar el nombre de la red a la que quieres que Agent Platform tenga acceso a la VPC compartida.
Verifica que la cuenta de usuario o servicio usada tenga el rol Usuario de la red de Compute (
roles/compute.networkUser).
Reserva rangos de IP para Agent Platform
Cuando reservas un rango de IP para productores de servicios, Agent Platform y otros servicios pueden usarlo. Si te conectas con varios productores de servicios mediante el mismo rango, asigna un rango más grande para alojarlos a fin de evitar el agotamiento de la IP.
Consulta la tabla de recomendaciones de subredes para asegurarte de que la reserva de IP para el acceso privado a servicios sea lo suficientemente amplia como para adaptarse a tu carga de trabajo.
Si se inicia un trabajo con el --network parámetro, se iniciará en una red administrada por Google
que intercambia tráfico con tu VPC:
--network = "projects/${host_project}/global/networks/${network}"
Cualquier trabajo que no necesite acceder a tus redes se puede iniciar sin esta declaración, lo que conserva tus asignaciones de IP.
Si no puedes reservar un rango de IP lo suficientemente amplio, considera migrar de Gemini Enterprise Agent Platform con acceso privado a servicios a Gemini Enterprise Agent Platform con Private Service Connect
Exportar rutas personalizadas
Si usas rutas personalizadas, debes exportarlas para que Agent Platform pueda importarlas. Si no usas rutas personalizadas, omite esta sección.
Para exportar rutas personalizadas, actualiza la conexión de intercambio de tráfico en tu VPC. Exportar las rutas personalizadas envía todas las rutas estáticas y dinámicas aptas que están en tu red de VPC, como las rutas a tu red local y a las redes de productores de servicios (en este caso, Agent Platform ). Esto establece las conexiones necesarias y permite que los trabajos de entrenamiento envíen el tráfico de vuelta a tu red local.
Asegúrate de que tu red local tenga rutas de regreso a los rangos de direcciones IP asignados para Agent Platform, de modo que las respuestas se enruten correctamente de vuelta a Agent Platform. Por ejemplo, usa anuncios de ruta personalizados de Cloud Router que incluyan los rangos de direcciones IP de Agent Platform.
Obtén más información sobre las conexiones privadas con redes locales.
Console
- Ve a la página Intercambio de tráfico entre redes de VPC en la Google Cloud consola.
Ir a la página Intercambio de tráfico entre redes de VPC - Selecciona la conexión de intercambio de tráfico que quieres actualizar.
- Haz clic en Editar.
- Selecciona Exportar rutas personalizadas.
gcloud
Busca el nombre de la conexión de intercambio de tráfico que deseas actualizar. Si tienes varias conexiones de intercambio de tráfico, omite la marca
--format.gcloud services vpc-peerings list \ --network=$NETWORK \ --service=servicenetworking.googleapis.com \ --project=$PROJECT_ID \ --format "value(peering)"
Actualiza la conexión de intercambio de tráfico a fin de exportar rutas personalizadas.
gcloud compute networks peerings update PEERING-NAME \ --network=$NETWORK \ --export-custom-routes \ --project=$PROJECT_ID
Verifica el estado de las conexiones de intercambio de tráfico
Para verificar que las conexiones de intercambio de tráfico estén activas, puedes enumerarlas mediante el siguiente comando:
gcloud compute networks peerings list --network $NETWORK
El estado del intercambio de tráfico que acabas de crear debería estar ACTIVE.
Obtén más información sobre las conexiones de intercambio de tráfico activas.
Soluciona problemas
En esta sección, se enumeran algunos problemas comunes para configurar el intercambio de tráfico entre redes de VPC con Agent Platform.
Cuando configures Agent Platform para que use una red de VPC compartida, especifica el URI de la red de la siguiente manera.
"projects/YOUR_SHARED_VPC_HOST_PROJECT/global/networks/YOUR_SHARED_VPC_NETWORK"
Si especificas una red de VPC compartida para que la use Agent Platform, asegúrate de que cualquier usuario o actor de cuenta de servicio de Agent Platform en el proyecto de servicio tenga otorgado el rol
compute.networkUseren tu proyecto host.Asegúrate de haber asignado un rango de IP suficiente para todos los productores de servicios a los que se conecta tu red, incluido Agent Platform.
Si encuentras los mensajes de error
IP_SPACE_EXHAUSTED,RANGES_EXHAUSTEDoPEERING_RANGE_EXHAUSTED, debes aumentar la cantidad de direcciones IP disponibles para la reservaservicenetworkingen tu red. Puedes agregar un rango nuevo a la configuración de intercambio de tráfico entre redes de VPC existente o borrar algunos recursos de Agent Platform para liberar direcciones IP asignadas.Tiempos de espera de conexión: después de exportar rutas personalizadas, las conexiones de Agent Platform se enrutarán a través de tu red para llegar a los extremos de otras redes. Sin embargo, es posible que esos extremos no se enruten a través de tu red para enviar respuestas de vuelta a Agent Platform. Asegúrate de agregar también rutas estáticas o dinámicas en esas redes para la ruta de retorno al rango de IP asignado de Agent Platform.
Tiempos de espera de conexión o errores de host inaccesibles: Dado que el intercambio de tráfico transitivo no es compatible, las conexiones de Agent Platform no podrán llegar a los extremos en otras redes que intercambian tráfico de forma directa a tu red, incluso con la opción “Exportar rutas personalizadas” habilitada. Trabaja con tu administrador de red para asegurarte de que no haya intentos de enrutar directamente tu red de una red de intercambio de tráfico directo a otra. Si es necesario, puedes reemplazar uno de estos saltos de intercambio de tráfico por una solución que admita rutas estáticas o dinámicas.
Aloja errores de DNS inaccesibles: Si el trabajo de Gemini Enterprise Agent Platform necesita resolver nombres de host en tu VPC, asegúrate de que completaste la configuración para Compartir zonas del DNS privadas con los productores de servicios.
Si no se puede crear tu trabajo de canalización con el “error interno” identificado en el Explorador de registros, asegúrate de tener implementada una red de VPC además de la subred de acceso privado a servicios.
Puedes revisar qué direcciones IP usan los servicios para que, por ejemplo, puedas ver qué servicios usan grandes bloques de direcciones IP y evitar su agotamiento.
Si encuentras el error
Unable to create an instance within a Shared VPC network, consulta Solución de problemas de Agent Platform Workbench.Si encuentras el mensaje de error
For the peered network $network_name, couldn't find a free blocks in allocated IP ranges. This is needed to create the cluster., debes aumentar la cantidad de rangos asignados disponibles para el servicio. Puedes hacerlo de las siguientes maneras:- Agrega un rango asignado nuevo a tu red y agrégalo a tu
servicenetworking-googleapis-comconexión privada. Ten en cuenta que el tamaño mínimo requerido del rango asignado es/18. - Borra los recursos de Agent Platform existentes que no se usen para liberar direcciones IP asignadas.
- Usa Network Analyzer para identificar el uso de la subred y los posibles problemas.
- Agrega un rango asignado nuevo a tu red y agrégalo a tu
Para obtener información adicional sobre la solución de problemas, consulta la Guía de solución de problemas de intercambio de tráfico entre redes de VPC.
¿Qué sigue?
- Obtén más información sobre cómo usar una IP privada para el entrenamiento personalizado.
- Obtén más información sobre cómo usar extremos privados para la inferencia.
- Obtén más información sobre el intercambio de tráfico entre redes de VPC.
- Consulta las arquitecturas de referencia y prácticas recomendadas para el diseño de VPC.