Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Configurer une interface Private Service Connect pour les ressources de la plate-forme d'agents Gemini Enterprise

Ce guide explique comment configurer une interface Private Service Connect pour les ressources Gemini Enterprise Agent Platform.

Vous pouvez configurer des connexions d'interface Private Service Connect pour certaines ressources de Gemini Enterprise Agent Platform, y compris les suivantes :

Contrairement aux connexions d'appairage VPC, les connexions d'interface Private Service Connect sont transitives. Cela nécessite moins d'adresses IP dans le réseau VPC consommateur. Cela offre une plus grande flexibilité pour se connecter à d'autres réseaux VPC dans votre Google Cloud projet et sur site.

Ce guide s'adresse aux administrateurs réseau qui connaissent les concepts de Google Cloud mise en réseau.

Objectifs

Ce guide couvre les tâches suivantes :

Configurer un réseau VPC consommateur , un sous-réseau et un rattachement de réseau.
Ajouter des règles de pare-feu à votre Google Cloud projet hôte de réseau.
Créer une ressource Agent Platform en spécifiant le rattachement de réseau à utiliser une interface Private Service Connect.

Avant de commencer

Suivez les instructions ci-dessous pour créer ou sélectionner un Google Cloud projet et le configurer pour l'utiliser avec Gemini Enterprise Agent Platform et Private Service Connect.

Connectez-vous à votre Google Cloud compte. Si vous n'avez jamais utilisé Google Cloud, créez un compte pour évaluer les performances de nos produits dans des scénarios réels. Les nouveaux clients bénéficient également de 300 $de crédits sans frais pour exécuter, tester et déployer des charges de travail.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Gemini Enterprise Agent Platform, Compute Engine, and Cloud Storage APIs.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the APIs

Installez la Google Cloud CLI.

Si vous utilisez un fournisseur d'identité (IdP) externe, vous devez d'abord vous connecter à la gcloud CLI avec votre identité fédérée.

Pour initialiser la gcloud CLI, exécutez la commande suivante :

gcloud init

Après avoir initialisé la gcloud CLI, mettez-la à jour et installez les composants requis :

gcloud components update
gcloud components install beta

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Gemini Enterprise Agent Platform, Compute Engine, and Cloud Storage APIs.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the APIs

Installez la Google Cloud CLI.

Si vous utilisez un fournisseur d'identité (IdP) externe, vous devez d'abord vous connecter à la gcloud CLI avec votre identité fédérée.

Pour initialiser la gcloud CLI, exécutez la commande suivante :

gcloud init

Après avoir initialisé la gcloud CLI, mettez-la à jour et installez les composants requis :

gcloud components update
gcloud components install beta

Si vous n'êtes pas le propriétaire du projet et que vous ne disposez pas du rôle Administrateur IAM du projet (roles/resourcemanager.projectIamAdmin) , demandez au propriétaire de vous attribuer un rôle IAM incluant les autorisations compute.networkAttachments.update, compute.networkAttachments.update, et compute.regionOperations.get. Par exemple, le rôle Administrateur de réseaux Compute (roles/compute.networkAdmin) permet de gérer les ressources réseau.
Attribuez les rôles requis à l' agent de service AI Platform. Pour savoir quels rôles attribuer dans différents scénarios, consultez la section Rôle requis de l'agent de service Gemini Enterprise Agent Platform de ce document.

Configurer un réseau et un sous-réseau VPC

Suivez les étapes de configuration pour créer un réseau VPC si vous n'en avez pas déjà un.

Créez un réseau VPC :
```
gcloud compute networks create NETWORK \
    --subnet-mode=custom
```
Remplacez NETWORK par le nom que vous souhaitez donner au réseau VPC.
Créez un sous-réseau :
```
gcloud compute networks subnets create SUBNET_NAME \
    --network=NETWORK \
    --range=PRIMARY_RANGE \
    --region=REGION
```
Remplacez les éléments suivants :
- SUBNET_NAME : nom du sous-réseau.
- PRIMARY_RANGE : plage d'adresses IPv4 principales pour le nouveau sous-réseau, au format CIDR.
  
  Voici les exigences et limites concernant les adresses IP pour Agent Platform :
  - Agent Platform recommande un sous-réseau /28.
  - Le sous-réseau du rattachement de réseau est compatible avec les adresses RFC 1918 et non-RFC 1918, à l'exception des sous-réseaux 100.64.0.0/20 et 240.0.0.0/4.
  - Agent Platform ne peut se connecter qu'aux plages d'adresses IP RFC 1918 routables à partir du réseau spécifié.
  - Agent Platform ne peut pas atteindre une adresse IP publique utilisée en mode privé ni les plages non-RFC 1918 suivantes :
    - 100.64.0.0/20
    - 192.0.0.0/24
    - 192.0.2.0/24
    - 198.18.0.0/15
    - 198.51.100.0/24
    - 203.0.113.0/24
    - 240.0.0.0/4
  Pour en savoir plus, consultez la section sur les plages de sous-réseaux IPv4 .
- REGION : région dans laquelle vous créez le nouveau sous-réseau. Google Cloud

Créer un rattachement de réseau

Dans un déploiement VPC partagé, créez le sous-réseau utilisé pour le rattachement de réseau dans le projet hôte, puis créez le rattachement de réseau Private Service Connect dans le projet de service.

L'exemple suivant montre comment créer un rattachement de réseau qui accepte automatiquement les connexions.

   gcloud compute network-attachments create NETWORK_ATTACHMENT_NAME \
       --region=REGION \
       --connection-preference=ACCEPT_AUTOMATIC \
       --subnets=SUBNET_NAME

Remplacez NETWORK_ATTACHMENT_NAME par le nom du rattachement de réseau.

Si le rattachement de réseau est créé dans un projet différent du projet de service, vous devez transmettre le chemin d'accès complet du rattachement de réseau lorsque vous appelez Gemini Enterprise.

Rôle requis de l'agent de service Gemini Enterprise Agent Platform

Dans le projet où vous créez le rattachement de réseau, attribuez le rôle compute.networkAdmin à l' agent de service Gemini Enterprise Agent Platform du même projet. Activez l'API Agent Platform dans ce projet à l'avance s'il diffère du projet de service dans lequel vous utilisez Agent Platform.

Si vous spécifiez un réseau VPC partagé à utiliser pour Agent Platform et que vous créez un rattachement de réseau dans un projet de service, attribuez le rôle compute.networkUser à l' agent de service Agent Platform dans le projet de service où vous utilisez Agent Platform pour votre projet hôte VPC.

Configurer des règles de pare-feu

Le système applique des règles de pare-feu d'entrée dans le VPC consommateur pour permettre la communication avec le sous-réseau de rattachement de réseau de l'interface Private Service Connect à partir de points de terminaison de calcul et sur site.

La configuration des règles de pare-feu est facultative. Cependant, nous vous recommandons de définir des règles de pare-feu courantes, comme illustré dans les exemples suivants.

Créez une règle de pare-feu qui autorise l'accès SSH sur le port TCP 22 :

gcloud compute firewall-rules create NETWORK-firewall1 \
    --network NETWORK \
    --allow tcp:22

Créez une règle de pare-feu qui autorise le trafic HTTPS sur le port TCP 443 :

gcloud compute firewall-rules create NETWORK-firewall2 \
    --network NETWORK \
    --allow tcp:443

Créez une règle de pare-feu qui autorise le trafic ICMP (par exemple, les requêtes ping) :

gcloud compute firewall-rules create NETWORK-firewall3 \
    --network NETWORK \
    --allow icmp

Configurer un appairage DNS privé

Pour permettre aux tâches Vertex AI Training ou aux agents d'environnement d'exécution configurés avec PSC-I de résoudre les enregistrements DNS privés dans les zones Cloud DNS gérées par le client, l'API Agent Platform offre un mécanisme configurable par l'utilisateur pour spécifier les domaines DNS à appairer avec les ressources internes de Google. Effectuez les configurations supplémentaires suivantes :

Attribuez le rôle DNS Peer(roles/dns.peer) au compte de l'agent de service AI Platform du projet dans lequel vous utilisez les services Vertex AI Training ou Agent Runtime. Si vous spécifiez un réseau VPC partagé à utiliser pour Gemini Enterprise Agent Platform et que vous créez un rattachement de réseau dans un projet de service, attribuez le rôle DNS Peer(roles/dns.peer) à l'agent de service AI Platform dans le projet de service où vous utilisez Agent Platform pour votre projet hôte VPC.

Créez une règle de pare-feu qui autorise tout le trafic ICMP, TCP et UDP (facultatif) :

gcloud compute firewall-rules create NETWORK-firewall4 \
    --network NETWORK
    --allow tcp:0-65535,udp:0-65535,icmp
    --source-ranges IP_RANGES

Configurez votre zone DNS privée pour la résolution DNS et le routage du trafic. Pour ajouter des enregistrements DNS à votre zone DNS privée, consultez Ajouter un ensemble d'enregistrements de ressources.

Dépannage

Cette section aborde certains problèmes courants liés à la configuration de Private Service Connect avec Gemini Enterprise Agent Platform.

Lorsque vous configurez Agent Platform avec un VPC partagé, créez le rattachement de réseau dans le projet de service où vous utilisez Agent Platform. Cette approche permet d'éviter certains messages d'erreur, tels que :

_Please make sure that the Agent Platform API is enabled for the
project_, by ensuring the
necessary permissions and APIs are enabled in the correct project.

Étape suivante

Découvrez comment utiliser la sortie de l'interface Private Service Connect pour Ray sur Vertex AI.
Découvrez comment utiliser la sortie de l'interface Private Service Connect pour l' entraînement personnalisé.
Découvrez comment utiliser la sortie de l'interface Private Service Connect pour les pipelines Agent Platform.
Découvrez comment utiliser la sortie de l'interface Private Service Connect pour l'environnement d'exécution de l'agent.