Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Private Service Connect-Schnittstelle für Gemini Enterprise Agent Platform-Ressourcen einrichten

In dieser Anleitung wird beschrieben, wie Sie eine Private Service Connect-Schnittstelle für Gemini Enterprise Agent Platform-Ressourcen einrichten.

Sie können Private Service Connect-Schnittstellenverbindungen für bestimmte Ressourcen in der Gemini Enterprise Agent Platform konfigurieren, darunter:

Im Gegensatz zu VPC-Peering-Verbindungen sind Private Service Connect-Schnittstellenverbindungen transitiv. Dafür sind weniger IP-Adressen im VPC-Netzwerk des Nutzers erforderlich. So können Sie flexibler Verbindungen zu anderen VPC-Netzwerken in Ihrem Google Cloud -Projekt und lokal herstellen.

Dieser Leitfaden richtet sich an Netzwerkadministratoren, die mit Google Cloud Netzwerkkonzepten vertraut sind.

Ziele

In diesem Leitfaden werden folgende Aufgaben behandelt:

Konfigurieren Sie ein Nutzer-VPC-Netzwerk , ein Subnetz und einen Netzwerkanhang.
Fügen Sie Ihrem Hostprojekt für das Google Cloud -Netzwerk Firewallregeln hinzu.
Erstellen Sie eine Agent Platform-Ressource, in der der Netzwerkanhang für die Verwendung einer Private Service Connect-Schnittstelle angegeben wird.

Hinweis

Folgen Sie der Anleitung, um ein Google Cloud -Projekt zu erstellen oder auszuwählen und es für die Verwendung mit der Gemini Enterprise Agent Platform und Private Service Connect zu konfigurieren.

Melden Sie sich in Ihrem Google Cloud -Konto an. Wenn Sie mit Google Cloudnoch nicht vertraut sind, erstellen Sie ein Konto, um die Leistungsfähigkeit unserer Produkte in der Praxis sehen und bewerten zu können. Neukunden erhalten außerdem ein Guthaben von 300 $, um Arbeitslasten auszuführen, zu testen und bereitzustellen.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Gemini Enterprise Agent Platform, Compute Engine, and Cloud Storage APIs.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the APIs

Installieren Sie die Google Cloud CLI.

Wenn Sie einen externen Identitätsanbieter (IdP) verwenden, müssen Sie sich zuerst mit Ihrer föderierten Identität in der gcloud CLI anmelden.

Führen Sie den folgenden Befehl aus, um die gcloud CLI zu initialisieren:

gcloud init

Aktualisieren Sie die gcloud CLI nach der Initialisierung und installieren Sie die erforderlichen Komponenten:

gcloud components update
gcloud components install beta

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Gemini Enterprise Agent Platform, Compute Engine, and Cloud Storage APIs.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the APIs

Installieren Sie die Google Cloud CLI.

Wenn Sie einen externen Identitätsanbieter (IdP) verwenden, müssen Sie sich zuerst mit Ihrer föderierten Identität in der gcloud CLI anmelden.

Führen Sie den folgenden Befehl aus, um die gcloud CLI zu initialisieren:

gcloud init

Aktualisieren Sie die gcloud CLI nach der Initialisierung und installieren Sie die erforderlichen Komponenten:

gcloud components update
gcloud components install beta

Wenn Sie nicht der Projektinhaber sind und nicht die Rolle Projekt-IAM-Administrator (roles/resourcemanager.projectIamAdmin) haben, bitten Sie den Inhaber, Ihnen eine IAM-Rolle zuzuweisen, die die Berechtigungen compute.networkAttachments.update, compute.networkAttachments.update und compute.regionOperations.get enthält, z. B. die Rolle „Compute-Netzwerkadministrator“ (roles/compute.networkAdmin), um Netzwerkressourcen zu verwalten.
Weisen Sie dem AI Platform-Dienst-Agent die erforderlichen Rollen zu. Weitere Informationen dazu, welche Rollen in verschiedenen Szenarien gewährt werden müssen, finden Sie im Abschnitt Erforderliche Rolle für den Gemini Enterprise Agent Platform-Dienst-Agent in diesem Dokument.

VPC-Netzwerk und Subnetz einrichten

Folgen Sie der Anleitung, um ein neues VPC-Netzwerk zu erstellen, falls Sie noch keines haben.

VPC-Netzwerk erstellen:
```
gcloud compute networks create NETWORK \
    --subnet-mode=custom
```
Ersetzen Sie NETWORK durch einen Namen für das VPC-Netzwerk.
Subnetz erstellen:
```
gcloud compute networks subnets create SUBNET_NAME \
    --network=NETWORK \
    --range=PRIMARY_RANGE \
    --region=REGION
```
Ersetzen Sie Folgendes:
- SUBNET_NAME: Name für das Subnetz
- PRIMARY_RANGE: der primäre IPv4-Bereich für das neue Subnetz in CIDR-Notation.
  
  Es gelten die folgenden IP-Anforderungen und ‑Einschränkungen für die Agent Platform:
  - Die Agent Platform empfiehlt ein /28-Subnetzwerk.
  - Das Subnetz der Netzwerkverbindung unterstützt RFC 1918- und Nicht-RFC 1918-Adressen, mit Ausnahme der Subnetze 100.64.0.0/20 und 240.0.0.0/4.
  - Die Agent-Plattform kann nur eine Verbindung zu RFC 1918-IP-Adressbereichen herstellen, die über das angegebene Netzwerk geroutet werden können.
  - Die Agent-Plattform kann keine privat verwendete öffentliche IP-Adresse oder die folgenden Bereiche außerhalb von RFC 1918 erreichen:
    - 100.64.0.0/20
    - 192.0.0.0/24
    - 192.0.2.0/24
    - 198.18.0.0/15
    - 198.51.100.0/24
    - 203.0.113.0/24
    - 240.0.0.0/4
  Weitere Informationen finden Sie unter IPv4-Subnetzbereiche.
- REGION: die Google Cloud Region, in der Sie das neue Subnetz erstellen.

Netzwerkanhang erstellen

Erstellen Sie in einer Bereitstellung mit freigegebene VPC das Subnetz, das für den Netzwerk-Anhang verwendet wird, im Hostprojekt und erstellen Sie dann den Private Service Connect-Netzwerk-Anhang im Dienstprojekt.

Das folgende Beispiel zeigt, wie Sie einen Netzwerkanhang erstellen, der Verbindungen automatisch akzeptiert.

   gcloud compute network-attachments create NETWORK_ATTACHMENT_NAME \
       --region=REGION \
       --connection-preference=ACCEPT_AUTOMATIC \
       --subnets=SUBNET_NAME

Ersetzen Sie NETWORK_ATTACHMENT_NAME durch einen Namen für den Netzwerkanhang.

Wenn der Netzwerkanhang in einem anderen Projekt als dem Dienstprojekt erstellt wird, müssen Sie den vollständigen Pfad des Netzwerkanhangs übergeben, wenn Sie Gemini Enterprise aufrufen.

Erforderliche Rolle für den Dienst-Agenten der Gemini Enterprise Agent Platform

Weisen Sie in dem Projekt, in dem Sie die Netzwerkverbindung erstellen, dem Gemini Enterprise Agent Platform-Dienst-Agent desselben Projekts die Rolle compute.networkAdmin zu. Aktivieren Sie die Agent Platform API in diesem Projekt im Voraus, wenn es sich vom Dienstprojekt unterscheidet, in dem Sie die Agent Platform verwenden.

Wenn Sie ein gemeinsam genutztes VPC-Netzwerk für die Verwendung durch die Agent Platform angeben und eine Netzwerkverbindung in einem Dienstprojekt erstellen, weisen Sie dem Agent Platform-Dienst-Agent im Dienstprojekt, in dem Sie die Agent Platform verwenden, die Rolle compute.networkUser für Ihr VPC-Hostprojekt zu.

Firewallregeln konfigurieren

Das System wendet Firewallregeln für eingehenden Traffic im Nutzer-VPC an, um die Kommunikation mit dem Subnetz des Netzwerkanhangs der Private Service Connect-Schnittstelle von Compute- und lokalen Endpunkten aus zu ermöglichen.

Die Konfiguration von Firewallregeln ist optional. Wir empfehlen jedoch, allgemeine Firewallregeln festzulegen, wie in den folgenden Beispielen gezeigt.

Erstellen Sie eine Firewallregel, die den SSH-Zugriff über den TCP-Port 22 zulässt:

gcloud compute firewall-rules create NETWORK-firewall1 \
    --network NETWORK \
    --allow tcp:22

Erstellen Sie eine Firewallregel, die HTTPS-Traffic an TCP-Port 443 zulässt:

gcloud compute firewall-rules create NETWORK-firewall2 \
    --network NETWORK \
    --allow tcp:443

Erstellen Sie eine Firewallregel, die ICMP-Traffic (z. B. Ping-Anfragen) zulässt:

gcloud compute firewall-rules create NETWORK-firewall3 \
    --network NETWORK \
    --allow icmp

Privates DNS-Peering einrichten

Damit Vertex AI Training-Jobs oder Agent Runtime-Agents, die mit PSC-I konfiguriert sind, private DNS-Einträge in von Kunden verwalteten Cloud DNS-Zonen auflösen können, bietet die Agent Platform API einen vom Nutzer konfigurierbaren Mechanismus, mit dem angegeben werden kann, welche DNS-Domains mit internen Google-Ressourcen verknüpft werden sollen. Nehmen Sie die folgenden zusätzlichen Konfigurationen vor:

Weisen Sie dem AI Platform-Dienst-Agent-Konto des Projekts, in dem Sie Vertex AI Training- oder Agent Runtime-Dienste verwenden, die DNS-Rolle Peer(roles/dns.peer) zu. Wenn Sie ein gemeinsam genutztes VPC-Netzwerk angeben, das die Gemini Enterprise Agent Platform verwenden soll, und eine Netzwerkverbindung in einem Dienstprojekt erstellen, weisen Sie dem AI Platform-Dienst-Agent im Dienstprojekt, in dem Sie die Agent Platform verwenden, die DNS-Rolle Peer(roles/dns.peer) in Ihrem VPC-Hostprojekt zu.

Erstellen Sie eine Firewallregel, die den gesamten ICMP-, TCP- und UDP-Traffic zulässt (optional):

gcloud compute firewall-rules create NETWORK-firewall4 \
    --network NETWORK
    --allow tcp:0-65535,udp:0-65535,icmp
    --source-ranges IP_RANGES

Richten Sie Ihre private DNS-Zone für die DNS-Auflösung und das Traffic-Routing ein. Informationen zum Hinzufügen von DNS-Einträgen zu Ihrer privaten DNS-Zone finden Sie unter Ressourceneintragsgruppe hinzufügen.

Fehlerbehebung

In diesem Abschnitt werden einige häufige Probleme bei der Konfiguration von Private Service Connect mit der Gemini Enterprise Agent Platform behandelt.

Wenn Sie die Agent Platform mit einer freigegebene VPC konfigurieren, erstellen Sie den Netzwerk-Anhang im Dienstprojekt, in dem Sie die Agent Platform verwenden. So lassen sich bestimmte Fehlermeldungen vermeiden, z. B.:

_Please make sure that the Agent Platform API is enabled for the
project_, by ensuring the
necessary permissions and APIs are enabled in the correct project.