Private Service Connect-Schnittstelle für Gemini Enterprise Agent Platform-Ressourcen einrichten

In dieser Anleitung wird beschrieben, wie Sie eine Private Service Connect-Schnittstelle für Gemini Enterprise Agent Platform-Ressourcen einrichten.

Sie können Private Service Connect-Schnittstellenverbindungen für bestimmte Ressourcen in Gemini Enterprise Agent Platform konfigurieren, darunter:

Im Gegensatz zu VPC-Peering Verbindungen sind Private Service Connect-Schnittstellenverbindungen transitiv. Dadurch sind weniger IP-Adressen im VPC-Netzwerk des Nutzers erforderlich. So können Sie flexibler eine Verbindung zu anderen VPC-Netzwerken in Ihrem Google Cloud Projekt und lokal herstellen.

Diese Anleitung richtet sich an Netzwerkadministratoren, die mit Google Cloud Netzwerk konzepten vertraut sind.

Ziele

In diesem Leitfaden werden folgende Aufgaben behandelt:

  • Konfigurieren Sie ein Nutzer-VPC -Netzwerk, ein Subnetz und einen Netzwerkanhang.
  • Fügen Sie Ihrem Google Cloud Netzwerk-Hostprojekt Firewallregeln hinzu.
  • Erstellen Sie eine Agent Platform-Ressource und geben Sie den Netzwerkanhang an, der eine Private Service Connect-Schnittstelle verwenden soll.

Hinweis

Folgen Sie der Anleitung, um ein Google Cloud Projekt zu erstellen oder auszuwählen und es für die Verwendung mit Gemini Enterprise Agent Platform und Private Service Connect zu konfigurieren.

  1. Melden Sie sich in Ihrem Google Cloud Konto an. Wenn Sie noch kein Google Cloud-Kunde sind, erstellen Sie ein Konto, um zu testen, wie sich unsere Produkte in realen Szenarien schlagen. Neukunden erhalten außerdem ein Guthaben von 300 $, um Arbeitslasten auszuführen, zu testen und bereitzustellen.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Gemini Enterprise Agent Platform, Compute Engine, and Cloud Storage APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  5. Installieren Sie die Google Cloud CLI.

  6. Wenn Sie einen externen Identitätsanbieter (IdP) verwenden, müssen Sie sich zuerst mit Ihrer föderierten Identität in der gcloud CLI anmelden.

  7. Führen Sie den folgenden Befehl aus, um die gcloud CLI zu initialisieren: 

    gcloud init

  8. Aktualisieren Sie die gcloud CLI nach der Initialisierung und installieren Sie die erforderlichen Komponenten: 

    gcloud components update
gcloud components install beta

  9. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  10. Verify that billing is enabled for your Google Cloud project.

  11. Enable the Gemini Enterprise Agent Platform, Compute Engine, and Cloud Storage APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  12. Installieren Sie die Google Cloud CLI.

  13. Wenn Sie einen externen Identitätsanbieter (IdP) verwenden, müssen Sie sich zuerst mit Ihrer föderierten Identität in der gcloud CLI anmelden.

  14. Führen Sie den folgenden Befehl aus, um die gcloud CLI zu initialisieren: 

    gcloud init

  15. Aktualisieren Sie die gcloud CLI nach der Initialisierung und installieren Sie die erforderlichen Komponenten: 

    gcloud components update
gcloud components install beta
  16. Wenn Sie nicht der Projektinhaber sind und nicht die Rolle „Projekt-IAM-Administrator“ (roles/resourcemanager.projectIamAdmin) haben, bitten Sie den Inhaber, Ihnen eine IAM-Rolle zuzuweisen, die die compute.networkAttachments.update, compute.networkAttachments.update, und compute.regionOperations.get Berechtigungen enthält, z. B. die Rolle „Compute-Netzwerkadministrator“ (roles/compute.networkAdmin), um Netzwerkressourcen zu verwalten.
  17. Weisen Sie dem AI Platform-Dienst-Agent die erforderlichen Rollen zu. Weitere Informationen zu den Rollen, die in verschiedenen Szenarien zugewiesen werden müssen, finden Sie im Abschnitt Erforderliche Rolle für den Dienst-Agent von Gemini Enterprise Agent Platform in diesem Dokument.

VPC-Netzwerk und Subnetz einrichten

Folgen Sie der Konfigurationsanleitung, um ein neues VPC-Netzwerk zu erstellen, wenn Sie noch keines haben.

  1. VPC-Netzwerk erstellen:

    gcloud compute networks create NETWORK \
    --subnet-mode=custom

    Ersetzen Sie NETWORK durch einen Namen für das VPC-Netzwerk.

  2. Subnetz erstellen:

    gcloud compute networks subnets create SUBNET_NAME \
    --network=NETWORK \
    --range=PRIMARY_RANGE \
    --region=REGION

    Ersetzen Sie Folgendes:

    • SUBNET_NAME: Ein Name für das Subnetz.

    • PRIMARY_RANGE: Der primäre IPv4-Bereich für das neue Subnetz in CIDR-Notation.

      Im Folgenden finden Sie die IP-Anforderungen und -Beschränkungen für Agent Platform:

      • Für Agent Platform wird ein /28-Subnetz empfohlen.
      • Das Subnetz des Netzwerkanhangs unterstützt RFC 1918- und Nicht-RFC 1918-Adressen, mit Ausnahme der Subnetze 100.64.0.0/20 und 240.0.0.0/4.
      • Agent Platform kann nur eine Verbindung zu RFC 1918-IP-Adressbereichen herstellen, die vom angegebenen Netzwerk aus weitergeleitet werden können.

      • Agent Platform kann keine privat verwendete öffentliche IP-Adresse oder diese Nicht-RFC 1918-Bereiche erreichen:

        • 100.64.0.0/20
        • 192.0.0.0/24
        • 192.0.2.0/24
        • 198.18.0.0/15
        • 198.51.100.0/24
        • 203.0.113.0/24
        • 240.0.0.0/4

      Weitere Informationen finden Sie unter IPv4-Subnetzbereiche.

    • REGION: die Google Cloud Region, in der Sie das neue Subnetz erstellen.

Netzwerkanhang erstellen

Erstellen Sie bei einer Bereitstellung mit freigegebene VPC das Subnetz, das für den Netzwerkanhang verwendet wird, im Hostprojekt und dann den Private Service Connect-Netzwerkanhang im Dienstprojekt.

Das folgende Beispiel zeigt, wie Sie einen Netzwerkanhang erstellen, der Verbindungen automatisch akzeptiert.

   gcloud compute network-attachments create NETWORK_ATTACHMENT_NAME \
       --region=REGION \
       --connection-preference=ACCEPT_AUTOMATIC \
       --subnets=SUBNET_NAME

Ersetzen Sie NETWORK_ATTACHMENT_NAME durch einen Namen für den Netzwerkanhang.

Wenn der Netzwerkanhang in einem anderen Projekt als dem Dienstprojekt erstellt wird, müssen Sie den vollständigen Pfad des Netzwerkanhangs übergeben, wenn Sie Gemini Enterprise aufrufen.

Erforderliche Rolle für den Dienst-Agent von Gemini Enterprise Agent Platform

Weisen Sie in dem Projekt, in dem Sie den Netzwerkanhang erstellen, dem Dienst-Agent von Gemini Enterprise Agent Platform desselben Projekts die Rolle compute.networkAdmin zu. Aktivieren Sie die Agent Platform API in diesem Projekt im Voraus, wenn es sich vom Dienstprojekt unterscheidet, in dem Sie Agent Platform verwenden.

Wenn Sie ein freigegebenes VPC-Netzwerk angeben, das von Agent Platform verwendet werden soll und einen Netzwerkanhang in einem Dienstprojekt erstellen, weisen Sie dem Dienst-Agent von Agent Platform im Dienstprojekt, in dem Sie Agent Platform verwenden, die compute.networkUser-Rolle für Ihr VPC-Hostprojekt zu.

Firewallregeln konfigurieren

Das System wendet Ingress-Firewallregeln in der Nutzer-VPC an, um die Kommunikation mit dem Subnetz des Netzwerkanhangs der Private Service Connect-Schnittstelle von Compute- und lokalen Endpunkten aus zu ermöglichen.

Die Konfiguration von Firewallregeln ist optional. Wir empfehlen jedoch, allgemeine Firewallregeln festzulegen, wie in den folgenden Beispielen gezeigt.

  1. Erstellen Sie eine Firewallregel, die SSH-Zugriff auf TCP-Port 22 zulässt:

    gcloud compute firewall-rules create NETWORK-firewall1 \
    --network NETWORK \
    --allow tcp:22

  2. Erstellen Sie eine Firewallregel, die HTTPS-Traffic auf TCP-Port 443 zulässt:

    gcloud compute firewall-rules create NETWORK-firewall2 \
    --network NETWORK \
    --allow tcp:443

  3. Erstellen Sie eine Firewallregel, die ICMP-Traffic zulässt (z. B. Ping-Anfragen):

    gcloud compute firewall-rules create NETWORK-firewall3 \
    --network NETWORK \
    --allow icmp

Privates DNS-Peering einrichten

Damit Vertex AI-Trainingsjobs oder Agent-Laufzeit-Agents, die mit PSC-I konfiguriert wurden, private DNS-Einträge in von Kunden verwalteten Cloud DNS-Zonen auflösen können, bietet die Agent Platform API einen vom Nutzer konfigurierbaren Mechanismus, mit dem angegeben werden kann, mit welchen DNS-Domains Google-interne Ressourcen gepairt werden sollen. Nehmen Sie die folgenden zusätzlichen Konfigurationen vor:

  1. Weisen Sie dem AI Platform-Dienst-Agent -Konto des Projekts, in dem Sie Vertex AI Training oder Agent-Laufzeit-Dienste verwenden, die Rolle „DNS“ Peer(roles/dns.peer) zu. Wenn Sie ein freigegebenes VPC-Netzwerk angeben, das von Gemini Enterprise Agent Platform verwendet werden soll, und einen Netzwerkanhang in einem Dienst projekt erstellen, weisen Sie dem AI Platform-Dienst-Agent im Dienstprojekt, in dem Sie Agent Platform verwenden, die Rolle „DNS“ Peer(roles/dns.peer) in Ihrem VPC-Hostprojekt zu.

  2. Erstellen Sie eine Firewallregel, die den gesamten ICMP-, TCP- und UDP-Traffic zulässt (optional):

    gcloud compute firewall-rules create NETWORK-firewall4 \
    --network NETWORK
    --allow tcp:0-65535,udp:0-65535,icmp
    --source-ranges IP_RANGES

  3. Richten Sie Ihre private DNS-Zone für die DNS-Auflösung und das Traffic-Routing ein. Informationen zum Hinzufügen von DNS-Einträgen zu Ihrer privaten DNS-Zone finden Sie unter Ressourceneintragssatz hinzufügen.

Fehlerbehebung

In diesem Abschnitt werden einige häufige Probleme bei der Konfiguration von Private Service Connect mit Gemini Enterprise Agent Platform behandelt.

Wenn Sie Agent Platform mit einer freigegebene VPC konfigurieren, erstellen Sie den Netzwerkanhang im Dienstprojekt, in dem Sie Agent Platform verwenden. So lassen sich bestimmte Fehlermeldungen vermeiden, z. B.:

_Please make sure that the Agent Platform API is enabled for the
project_, by ensuring the
necessary permissions and APIs are enabled in the correct project.

Nächste Schritte

  • Ausgehenden Traffic über die Private Service Connect-Schnittstelle für Ray in Vertex AI verwenden
  • Ausgehenden Traffic über die Private Service Connect-Schnittstelle für benutzerdefiniertes Training verwenden
  • Ausgehenden Traffic über die Private Service Connect-Schnittstelle für Agent Platform-Pipelines verwenden
  • Ausgehenden Traffic über die Private Service Connect-Schnittstelle für die Agent-Laufzeit verwenden