Configura una interfaz de Private Service Connect para los recursos de la plataforma de agentes de Gemini Enterprise

En esta guía, se muestra cómo configurar una interfaz de Private Service Connect para los recursos de Gemini Enterprise Agent Platform.

Puedes configurar conexiones de interfaz de Private Service Connect para ciertos recursos en Gemini Enterprise Agent Platform, incluidos los siguientes:

• Ray on Vertex AI
• Entrenamiento personalizado
• Canalizaciones de Gemini Enterprise Agent Platform
• Entorno de ejecución del agente

A diferencia de las conexiones de intercambio de tráfico entre VPC, las conexiones de interfaz de Private Service Connect son transitivas. Esto requiere menos direcciones IP en la red de VPC del consumidor. Esto permite una mayor flexibilidad para conectarse a otras redes de VPC en tu Google Cloud proyecto y de forma local.

Esta guía está dirigida a administradores de redes que estén familiarizados con los Google Cloud conceptos de herramientas de redes.

Objetivos

En esta guía, se abarcan las siguientes tareas:

• Configurar una red de VPC , una subred y un adjunto de red del consumidor
• Agregar reglas de firewall a tu Google Cloud proyecto host de red
• Crear un recurso de Agent Platform que especifique el adjunto de red para usar una interfaz de Private Service Connect

Antes de comenzar

Usa las siguientes instrucciones para crear o seleccionar un Google Cloud proyecto y configurarlo para usarlo con Gemini Enterprise Agent Platform y Private Service Connect.

Accede a tu Google Cloud cuenta de. Si eres nuevo en Google Cloud, crea una cuenta para evaluar el rendimiento de nuestros productos en situaciones reales. Los clientes nuevos también obtienen $300 en créditos gratuitos para ejecutar, probar y, además, implementar cargas de trabajo.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Gemini Enterprise Agent Platform, Compute Engine, and Cloud Storage APIs.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the APIs

Instala Google Cloud CLI.

Si usas un proveedor de identidad externo (IdP), primero debes acceder a la gcloud CLI con tu identidad federada.

Para inicializar gcloud CLI, ejecuta el siguiente comando:

gcloud init

Después de inicializar gcloud CLI, actualízala y, luego, instala los componentes necesarios:

gcloud components update
gcloud components install beta

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Gemini Enterprise Agent Platform, Compute Engine, and Cloud Storage APIs.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the APIs

Instala Google Cloud CLI.

Si usas un proveedor de identidad externo (IdP), primero debes acceder a la gcloud CLI con tu identidad federada.

Para inicializar gcloud CLI, ejecuta el siguiente comando:

gcloud init

Después de inicializar gcloud CLI, actualízala y, luego, instala los componentes necesarios:

gcloud components update
gcloud components install beta

1. Si no eres el propietario del proyecto y no tienes el rol de administrador de IAM del proyecto (roles/resourcemanager.projectIamAdmin) , pídele al propietario que te otorgue un rol de IAM que incluya los permisos compute.networkAttachments.update, compute.networkAttachments.update, y compute.regionOperations.get: por ejemplo, el rol de administrador de red de Compute (roles/compute.networkAdmin) para administrar los recursos de red.
2. Asigna los roles necesarios al agente de servicio de AI Platform. Para obtener detalles sobre qué roles otorgar en diferentes situaciones, consulta la sección Rol necesario del agente de servicio de Gemini Enterprise Agent Platform de este documento.

Configura una red y subred de VPC

Sigue los pasos de configuración para crear una red de VPC nueva si no tienes una existente.

1. Crea una red de VPC:

   gcloud compute networks create NETWORK \
       --subnet-mode=custom
   

   Reemplaza NETWORK por un nombre para la red de VPC.

2. Crea una subred:

   gcloud compute networks subnets create SUBNET_NAME \
       --network=NETWORK \
       --range=PRIMARY_RANGE \
       --region=REGION
   

   Reemplaza lo siguiente:

   • SUBNET_NAME: Es un nombre de la subred.

   • PRIMARY_RANGE: Es el rango IPv4 principal para la subred nueva, en notación CIDR.

     A continuación, se muestran los requisitos y las limitaciones de IP para Agent Platform:

     • Agent Platform recomienda una subred /28.
     • La subred del adjunto de red admite direcciones RFC 1918 y que no sean RFC 1918, con la excepción de las subredes 100.64.0.0/20 y 240.0.0.0/4.
     • Agent Platform solo puede conectarse a rangos de direcciones IP de RFC 1918 que se puedan enrutar desde la red especificada.

     • Agent Platform no puede acceder a una dirección IP pública de uso privado ni a estos rangos que no sean RFC 1918:

       • 100.64.0.0/20
       • 192.0.0.0/24
       • 192.0.2.0/24
       • 198.18.0.0/15
       • 198.51.100.0/24
       • 203.0.113.0/24
       • 240.0.0.0/4

     Para obtener más información, consulta Rangos de subredes IPv4.

   • REGION: es la Google Cloud región en la que se crea la subred nueva.

Crea un adjunto de red

En una implementación de VPC compartida, crea la subred que se usa para el adjunto de red en el proyecto host y, luego, crea el adjunto de red de Private Service Connect en el proyecto de servicio.

En el siguiente ejemplo, se muestra cómo crear un adjunto de red que acepta conexiones automáticamente.

   gcloud compute network-attachments create NETWORK_ATTACHMENT_NAME \
       --region=REGION \
       --connection-preference=ACCEPT_AUTOMATIC \
       --subnets=SUBNET_NAME

Reemplaza NETWORK_ATTACHMENT_NAME por un nombre para el adjunto de red.

Si el adjunto de red se crea en un proyecto diferente del proyecto de servicio, debes pasar la ruta de acceso completa del adjunto de red cuando llames a Gemini Enterprise.

Rol necesario del agente de servicio de Gemini Enterprise Agent Platform

En el proyecto en el que creas el adjunto de red, otorga el compute.networkAdmin rol al agente de servicio de Gemini Enterprise Agent Platform del mismo proyecto. Habilita la API de Agent Platform en este proyecto con anticipación si difiere del proyecto de servicio en el que usas Agent Platform.

Si especificas una red de VPC compartida para que la use Agent Platform y creas un adjunto de red en un proyecto de servicio, otorga al agente de servicio de Agent Platform en el proyecto de servicio en el que usas Agent Platform el rol compute.networkUser a tu proyecto host de VPC.

Configura reglas de firewall

El sistema aplica reglas de firewall de entrada en la VPC del consumidor para habilitar la comunicación con la subred del adjunto de red de la interfaz de Private Service Connect desde extremos de procesamiento y locales.

La configuración de reglas de firewall es opcional. Sin embargo, te recomendamos que establezcas reglas de firewall comunes como se muestra en los siguientes ejemplos.

1. Crea una regla de firewall que permita el acceso SSH en el puerto TCP 22:

   gcloud compute firewall-rules create NETWORK-firewall1 \
       --network NETWORK \
       --allow tcp:22
   

2. Crea una regla de firewall que permita el tráfico HTTPS en el puerto TCP 443:

   gcloud compute firewall-rules create NETWORK-firewall2 \
       --network NETWORK \
       --allow tcp:443
   

3. Crea una regla de firewall que permita el tráfico ICMP (como las solicitudes de ping):

   gcloud compute firewall-rules create NETWORK-firewall3 \
       --network NETWORK \
       --allow icmp
   

Configura un intercambio de tráfico de DNS privado

Para habilitar los trabajos de Vertex AI Training o los agentes del entorno de ejecución del agente configurados con PSC-I para resolver registros DNS privados en zonas de Cloud DNS administradas por el cliente, la API de Agent Platform ofrece un mecanismo configurable por el usuario para especificar con qué dominios de DNS se realizará el intercambio de tráfico con los recursos internos de Google. Realiza las siguientes configuraciones adicionales:

1. Asigna el rol Peer(roles/dns.peer) de DNS a la cuenta del agente de servicio de AI Platform del proyecto en el que usas los servicios de Vertex AI Training o del entorno de ejecución del agente. Si especificas una red de VPC compartida para que la use Gemini Enterprise Agent Platform y creas un adjunto de red en un proyecto de servicio, otorga al agente de servicio de AI Platform en el proyecto de servicio en el que usas Agent Platform el rol Peer(roles/dns.peer) de DNS en tu proyecto host de VPC.

2. Crea una regla de firewall que permita todo el tráfico ICMP, TCP y UDP (opcional):

   gcloud compute firewall-rules create NETWORK-firewall4 \
       --network NETWORK
       --allow tcp:0-65535,udp:0-65535,icmp
       --source-ranges IP_RANGES
   

3. Configura tu zona de DNS privada para la resolución de DNS y el enrutamiento del tráfico. Para agregar registros DNS a tu zona de DNS privada, consulta Agrega un conjunto de registros de recursos.

Soluciona problemas

En esta sección, se abarcan algunos problemas comunes para configurar Private Service Connect con Gemini Enterprise Agent Platform.

Cuando configures Agent Platform con una VPC compartida, crea el adjunto de red en el proyecto de servicio en el que usas Agent Platform. Este enfoque ayuda a evitar ciertos mensajes de error, como los siguientes:

_Please make sure that the Agent Platform API is enabled for the
project_, by ensuring the
necessary permissions and APIs are enabled in the correct project.

¿Qué sigue?

• Obtén información para usar la salida de la interfaz de Private Service Connect para Ray on Vertex AI.
• Obtén información para usar la salida de la interfaz de Private Service Connect para el entrenamiento personalizado.
• Obtén información para usar la salida de la interfaz de Private Service Connect para las canalizaciones de Agent Platform.
• Obtén información para usar la salida de la interfaz de Private Service Connect para el entorno de ejecución del agente.