Configura un'interfaccia Private Service Connect per le risorse di Gemini Enterprise Agent Platform

Questa guida mostra come configurare un'interfaccia Private Service Connect per le risorse della piattaforma di agenti Gemini Enterprise.

Puoi configurare le connessioni dell'interfaccia Private Service Connect per determinate risorse nella piattaforma Gemini Enterprise Agent, tra cui:

A differenza delle connessioni di peering VPC, le connessioni di interfaccia Private Service Connect sono transitive. In questo modo sono necessari meno indirizzi IP nella rete VPC consumer. Ciò consente una maggiore flessibilità nella connessione ad altre reti VPC nel tuo progetto Google Cloud e on-premise.

Questa guida è rivolta agli amministratori di rete che hanno familiarità con i concetti di Google Cloud networking.

Obiettivi

Questa guida illustra le seguenti attività:

  • Configura una rete, una subnet e un collegamento di rete VPC consumer .
  • Aggiungi regole firewall al tuo progetto host di rete Google Cloud .
  • Crea una risorsa Agent Platform specificando l'allegato di rete per utilizzare un'interfaccia Private Service Connect.

Prima di iniziare

Utilizza le seguenti istruzioni per creare o selezionare un progetto Google Cloud e configurarlo per l'utilizzo con Gemini Enterprise Agent Platform e Private Service Connect.

  1. Accedi al tuo account Google Cloud . Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $di crediti senza costi per l'esecuzione, il test e il deployment dei workload.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Gemini Enterprise Agent Platform, Compute Engine, and Cloud Storage APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  5. Installa Google Cloud CLI.

  6. Se utilizzi un provider di identità (IdP) esterno, devi prima accedere a gcloud CLI con la tua identità federata.

  7. Per inizializzare gcloud CLI, esegui questo comando: 

    gcloud init

  8. Dopo aver inizializzato gcloud CLI, aggiornala e installa i componenti richiesti: 

    gcloud components update
gcloud components install beta

  9. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  10. Verify that billing is enabled for your Google Cloud project.

  11. Enable the Gemini Enterprise Agent Platform, Compute Engine, and Cloud Storage APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  12. Installa Google Cloud CLI.

  13. Se utilizzi un provider di identità (IdP) esterno, devi prima accedere a gcloud CLI con la tua identità federata.

  14. Per inizializzare gcloud CLI, esegui questo comando: 

    gcloud init

  15. Dopo aver inizializzato gcloud CLI, aggiornala e installa i componenti richiesti: 

    gcloud components update
gcloud components install beta
  16. Se non sei il proprietario del progetto e non disponi del ruolo Amministratore IAM progetto (roles/resourcemanager.projectIamAdmin), chiedi al proprietario di concederti un ruolo IAM che includa le autorizzazioni compute.networkAttachments.update, compute.networkAttachments.update e compute.regionOperations.get: ad esempio, il ruolo Amministratore rete Compute (roles/compute.networkAdmin), per gestire le risorse di rete.
  17. Assegna i ruoli richiesti a AI Platform Service Agent. Per informazioni dettagliate sui ruoli da concedere in diversi scenari, consulta la sezione Ruolo richiesto per il service agent di Gemini Enterprise Agent Platform di questo documento.

Configura una rete VPC e una subnet

Segui i passaggi di configurazione per creare una nuova rete VPC se non ne hai una esistente.

  1. Crea una rete VPC:

    gcloud compute networks create NETWORK \
    --subnet-mode=custom

    Sostituisci NETWORK con un nome per la rete VPC.

  2. Crea una subnet:

    gcloud compute networks subnets create SUBNET_NAME \
    --network=NETWORK \
    --range=PRIMARY_RANGE \
    --region=REGION

    Sostituisci quanto segue:

    • SUBNET_NAME: un nome per la subnet.

    • PRIMARY_RANGE: l'intervallo IPv4 primario per la nuova subnet, in notazione CIDR.

      Di seguito sono riportati i requisiti e le limitazioni IP per Agent Platform:

      • Agent Platform consiglia una subnet /28.
      • La subnet dell'allegato di rete supporta indirizzi RFC 1918 e non RFC 1918, ad eccezione delle subnet 100.64.0.0/20 e 240.0.0.0/4.
      • Agent Platform può connettersi solo a intervalli di indirizzi IP RFC 1918 instradabili dalla rete specificata.

      • Agent Platform non può raggiungere un indirizzo IP pubblico utilizzato privatamente o questi intervalli non RFC 1918:

        • 100.64.0.0/20
        • 192.0.0.0/24
        • 192.0.2.0/24
        • 198.18.0.0/15
        • 198.51.100.0/24
        • 203.0.113.0/24
        • 240.0.0.0/4

      Per saperne di più, consulta Intervalli di subnet IPv4.

    • REGION: la regione Google Cloud in cui crei la nuova subnet.

Crea un collegamento di rete

In un deployment VPC condiviso, crea la subnet utilizzata per il collegamento di rete nel progetto host, quindi crea il collegamento di rete Private Service Connect nel progetto di servizio.

L'esempio seguente mostra come creare un collegamento di rete che accetta automaticamente le connessioni.

   gcloud compute network-attachments create NETWORK_ATTACHMENT_NAME \
       --region=REGION \
       --connection-preference=ACCEPT_AUTOMATIC \
       --subnets=SUBNET_NAME

Sostituisci NETWORK_ATTACHMENT_NAME con un nome per l'allegato di rete.

Se il collegamento di rete viene creato in un progetto diverso dal progetto di servizio, devi passare il percorso completo del collegamento di rete quando chiami Gemini Enterprise.

Ruolo obbligatorio per l'agente di servizio della piattaforma Gemini Enterprise Agent

Nel progetto in cui crei l'allegato di rete, assegna il ruolo compute.networkAdmin all'agente di servizio Gemini Enterprise Agent Platform dello stesso progetto. Abilita l'API Agent Platform in questo progetto in anticipo se è diverso dal progetto di servizio in cui utilizzi Agent Platform.

Se specifichi una rete VPC condiviso da utilizzare per Agent Platform e crei un collegamento di rete in un progetto di servizio, concedi il ruolo compute.networkUser al service agent di Agent Platform nel progetto di servizio in cui utilizzi Agent Platform al progetto host VPC.

Configura le regole firewall

Il sistema applica le regole firewall in entrata nella rete VPC consumer per abilitare la comunicazione con la subnet di collegamento di rete dell'interfaccia Private Service Connect dagli endpoint di calcolo e on-premise.

La configurazione delle regole firewall è facoltativa. Tuttavia, ti consigliamo di impostare regole firewall comuni come mostrato negli esempi seguenti.

  1. Crea una regola firewall che consenta l'accesso SSH sulla porta TCP 22:

    gcloud compute firewall-rules create NETWORK-firewall1 \
    --network NETWORK \
    --allow tcp:22

  2. Crea una regola firewall che consenta il traffico HTTPS sulla porta TCP 443:

    gcloud compute firewall-rules create NETWORK-firewall2 \
    --network NETWORK \
    --allow tcp:443

  3. Crea una regola firewall che consenta il traffico ICMP (ad esempio le richieste ping):

    gcloud compute firewall-rules create NETWORK-firewall3 \
    --network NETWORK \
    --allow icmp

Configura un peering DNS privato

Per consentire ai job di Vertex AI Training o agli agenti Agent Runtime configurati con PSC-I di risolvere i record DNS privati nelle zone Cloud DNS gestite dal cliente, l'API Agent Platform offre un meccanismo configurabile dall'utente per specificare i domini DNS da eseguire il peering con le risorse interne di Google. Apporta le seguenti configurazioni aggiuntive:

  1. Assegna il ruolo DNS Peer(roles/dns.peer) all'account agente di servizio AI Platform del progetto in cui utilizzi i servizi Vertex AI Training o Agent Runtime. Se specifichi una rete VPC condiviso da utilizzare per Gemini Enterprise Agent Platform e crei un collegamento di rete in un progetto di servizio, concedi il ruolo DNS Peer(roles/dns.peer) all'agente di servizio AI Platform nel progetto di servizio in cui utilizzi Agent Platform nel progetto host VPC.

  2. (Facoltativo) Crea una regola firewall che consenta tutto il traffico ICMP, TCP e UDP:

    gcloud compute firewall-rules create NETWORK-firewall4 \
    --network NETWORK
    --allow tcp:0-65535,udp:0-65535,icmp
    --source-ranges IP_RANGES

  3. Configura la zona DNS privata per la risoluzione DNS e il routing del traffico. Per aggiungere record DNS alla tua zona DNS privata, consulta Aggiungere un insieme di record di risorse.

Risoluzione dei problemi

Questa sezione tratta alcuni problemi comuni relativi alla configurazione di Private Service Connect con Gemini Enterprise Agent Platform.

Quando configuri Agent Platform con un VPC condiviso, crea il collegamento di rete nel progetto di servizio in cui utilizzi Agent Platform. Questo approccio aiuta a evitare determinati messaggi di errore, ad esempio:

_Please make sure that the Agent Platform API is enabled for the
project_, by ensuring the
necessary permissions and APIs are enabled in the correct project.

Passaggi successivi