Configura un'interfaccia Private Service Connect per le risorse di Gemini Enterprise Agent Platform

Questa guida mostra come configurare un' interfaccia Private Service Connect per le risorse di Gemini Enterprise Agent Platform.

Puoi configurare le connessioni dell'interfaccia Private Service Connect per determinate risorse in Gemini Enterprise Agent Platform, tra cui:

• Ray on Vertex AI
• Addestramento personalizzato
• Pipeline di Gemini Enterprise Agent Platform
• Runtime dell'agente

A differenza delle connessioni di peering VPC, le connessioni dell'interfaccia Private Service Connect sono transitive. Ciò richiede meno indirizzi IP nella rete VPC consumer. Ciò consente una maggiore flessibilità nella connessione ad altre reti VPC nel tuo Google Cloud progetto e on-premise.

Questa guida è rivolta agli amministratori di rete che hanno familiarità con i concetti di Google Cloud networking.

Obiettivi

Questa guida illustra le seguenti attività:

• Configura una rete VPC consumer , una subnet e un collegamento di rete.
• Aggiungi regole firewall al progetto host di rete Google Cloud .
• Crea una risorsa Agent Platform specificando il collegamento di rete da utilizzare per un'interfaccia Private Service Connect.

Prima di iniziare

Utilizza le seguenti istruzioni per creare o selezionare un Google Cloud progetto e configurarlo per l'utilizzo con Gemini Enterprise Agent Platform e Private Service Connect.

Accedi al tuo Google Cloud account. Se non hai mai utilizzato Google Cloud, crea un account per valutare il rendimento dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $di crediti senza costi per l'esecuzione, il test e il deployment dei carichi di lavoro.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Gemini Enterprise Agent Platform, Compute Engine, and Cloud Storage APIs.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the APIs

Installa Google Cloud CLI.

Se utilizzi un provider di identità (IdP) esterno, devi prima accedere a gcloud CLI con la tua identità federata.

Per inizializzare gcloud CLI, esegui questo comando:

gcloud init

Dopo aver inizializzato gcloud CLI, aggiornala e installa i componenti richiesti:

gcloud components update
gcloud components install beta

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Gemini Enterprise Agent Platform, Compute Engine, and Cloud Storage APIs.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the APIs

Installa Google Cloud CLI.

Se utilizzi un provider di identità (IdP) esterno, devi prima accedere a gcloud CLI con la tua identità federata.

Per inizializzare gcloud CLI, esegui questo comando:

gcloud init

Dopo aver inizializzato gcloud CLI, aggiornala e installa i componenti richiesti:

gcloud components update
gcloud components install beta

1. Se non sei il proprietario del progetto e non hai il ruolo Amministratore IAM progetto (roles/resourcemanager.projectIamAdmin), chiedi al proprietario di concederti un ruolo IAM che includa le autorizzazioni compute.networkAttachments.update, compute.networkAttachments.update, e compute.regionOperations.get, ad esempio il ruolo Amministratore di rete Compute (roles/compute.networkAdmin), per gestire le risorse di rete.
2. Assegna i ruoli richiesti all' agente di servizio AI Platform. Per informazioni dettagliate sui ruoli da concedere in diversi scenari, consulta la sezione Ruolo richiesto dell'agente di servizio di Gemini Enterprise Agent Platform di questo documento.

Configura una rete VPC e una subnet

Segui i passaggi di configurazione per creare una nuova rete VPC se non ne hai una esistente.

1. Crea una rete VPC:

   gcloud compute networks create NETWORK \
       --subnet-mode=custom
   

   Sostituisci NETWORK con un nome per la rete VPC.

2. Crea una subnet:

   gcloud compute networks subnets create SUBNET_NAME \
       --network=NETWORK \
       --range=PRIMARY_RANGE \
       --region=REGION
   

   Sostituisci quanto segue:

   • SUBNET_NAME: un nome per la subnet.

   • PRIMARY_RANGE: l'intervallo IPv4 primario per la nuova subnet, in notazione CIDR.

     Di seguito sono riportati i requisiti e le limitazioni IP per Agent Platform:

     • Agent Platform consiglia una subnet /28.
     • La subnet del collegamento di rete supporta gli indirizzi RFC 1918 e non RFC 1918, ad eccezione delle subnet 100.64.0.0/20 e 240.0.0.0/4.
     • Agent Platform può connettersi solo agli intervalli di indirizzi IP RFC 1918 instradabili dalla rete specificata.

     • Agent Platform non può raggiungere un indirizzo IP pubblico utilizzato privatamente o questi intervalli non RFC 1918:

       • 100.64.0.0/20
       • 192.0.0.0/24
       • 192.0.2.0/24
       • 198.18.0.0/15
       • 198.51.100.0/24
       • 203.0.113.0/24
       • 240.0.0.0/4

     Per saperne di più, vedi Intervalli di subnet IPv4.

   • REGION: la Google Cloud regione in cui crei la nuova subnet.

Crea un collegamento di rete

In un deployment VPC condiviso, crea la subnet utilizzata per il collegamento di rete nel progetto host, quindi crea il collegamento di rete Private Service Connect nel progetto di servizio.

L'esempio seguente mostra come creare un collegamento di rete che accetta automaticamente le connessioni.

   gcloud compute network-attachments create NETWORK_ATTACHMENT_NAME \
       --region=REGION \
       --connection-preference=ACCEPT_AUTOMATIC \
       --subnets=SUBNET_NAME

Sostituisci NETWORK_ATTACHMENT_NAME con un nome per il collegamento di rete.

Se il collegamento di rete viene creato in un progetto diverso dal progetto di servizio, devi passare il percorso completo del collegamento di rete quando chiami Gemini Enterprise.

Ruolo richiesto dell'agente di servizio di Gemini Enterprise Agent Platform

Nel progetto in cui crei il collegamento di rete, concedi il compute.networkAdmin ruolo all' agente di servizio di Gemini Enterprise Agent Platform dello stesso progetto. Abilita in anticipo l'API Agent Platform in questo progetto se è diverso dal progetto di servizio in cui utilizzi Agent Platform.

Se specifichi una rete VPC condivisa da utilizzare per Agent Platform e crei un collegamento di rete in un progetto di servizio, concedi all' agente di servizio di Agent Platform nel progetto di servizio in cui utilizzi Agent Platform il ruolo compute.networkUser al progetto host VPC.

Configurazione delle regole del firewall

Il sistema applica regole firewall in entrata nel VPC consumer per consentire la comunicazione con la subnet del collegamento di rete dell'interfaccia Private Service Connect da endpoint di Compute Engine e on-premise.

La configurazione delle regole firewall è facoltativa. Tuttavia, ti consigliamo di impostare regole firewall comuni come mostrato negli esempi seguenti.

1. Crea una regola firewall che consenta l'accesso SSH sulla porta TCP 22:

   gcloud compute firewall-rules create NETWORK-firewall1 \
       --network NETWORK \
       --allow tcp:22
   

2. Crea una regola firewall che consenta il traffico HTTPS sulla porta TCP 443:

   gcloud compute firewall-rules create NETWORK-firewall2 \
       --network NETWORK \
       --allow tcp:443
   

3. Crea una regola firewall che consenta il traffico ICMP (ad esempio le richieste ping):

   gcloud compute firewall-rules create NETWORK-firewall3 \
       --network NETWORK \
       --allow icmp
   

Configura un peering DNS privato

Per consentire ai job di Vertex AI Training o agli agenti di Agent Runtime configurati con PSC-I di risolvere i record DNS privati nelle zone Cloud DNS gestite dal cliente, l'API Agent Platform offre un meccanismo configurabile dall'utente per specificare i domini DNS con cui eseguire il peering con le risorse interne di Google. Esegui le seguenti configurazioni aggiuntive:

1. Assegna il ruolo DNS Peer(roles/dns.peer) all' account dell'agente di servizio AI Platform del progetto in cui utilizzi i servizi Vertex AI Training o Agent Runtime. Se specifichi una rete VPC condivisa da utilizzare per Gemini Enterprise Agent Platform e crei un collegamento di rete in un progetto di servizio, concedi all'agente di servizio AI Platform nel progetto di servizio in cui utilizzi Agent Platform il ruolo DNS Peer(roles/dns.peer) nel progetto host VPC.

2. Crea una regola firewall che consenta tutto il traffico ICMP, TCP e UDP (facoltativo):

   gcloud compute firewall-rules create NETWORK-firewall4 \
       --network NETWORK
       --allow tcp:0-65535,udp:0-65535,icmp
       --source-ranges IP_RANGES
   

3. Configura la zona DNS privata per la risoluzione DNS e il routing del traffico. Per aggiungere record DNS alla zona DNS privata, vedi Aggiungere un insieme di record di risorse.

Risoluzione dei problemi

Questa sezione illustra alcuni problemi comuni relativi alla configurazione di Private Service Connect con Gemini Enterprise Agent Platform.

Quando configuri Agent Platform con un VPC condiviso, crea il collegamento di rete nel progetto di servizio in cui utilizzi Agent Platform. Questo approccio aiuta a evitare determinati messaggi di errore, ad esempio:

_Please make sure that the Agent Platform API is enabled for the
project_, by ensuring the
necessary permissions and APIs are enabled in the correct project.

Passaggi successivi

• Scopri come utilizzare l'uscita dell'interfaccia Private Service Connect per Ray on Vertex AI.
• Scopri come utilizzare l'uscita dell'interfaccia Private Service Connect per l'addestramento personalizzato.
• Scopri come utilizzare l'uscita dell'interfaccia Private Service Connect per le pipeline di Agent Platform.
• Scopri come utilizzare l'uscita dell'interfaccia Private Service Connect per il runtime dell'agente.