Configurar uma interface do Private Service Connect para recursos da plataforma de agentes do Gemini Enterprise

Este guia mostra como configurar uma interface do Private Service Connect para recursos da Gemini Enterprise Agent Platform.

É possível configurar conexões de interface do Private Service Connect para determinados recursos na plataforma de agentes do Gemini Enterprise, incluindo:

Ao contrário das conexões de peering de VPC, as conexões de interface do Private Service Connect são transitivas. Isso exige menos endereços IP na rede VPC do consumidor. Isso permite maior flexibilidade na conexão com outras redes VPC no seu Google Cloud projeto e no local.

Este guia é destinado a administradores de rede familiarizados com Google Cloud conceitos de rede.

Objetivos

Este guia abrange as seguintes tarefas:

  • Configurar uma rede VPC, uma sub-rede e um anexo de rede do consumidor .
  • Adicionar regras de firewall ao projeto host da Google Cloud rede.
  • Criar um recurso do Agent Platform especificando o anexo de rede para usar uma interface do Private Service Connect.

Antes de começar

Use as instruções a seguir para criar ou selecionar um Google Cloud projeto e configurá-lo para uso com a plataforma de agentes do Gemini Enterprise e o Private Service Connect.

  1. Faça login na sua Google Cloud conta do. Se você não conhece o Google Cloud, crie uma conta para avaliar o desempenho dos nossos produtos em cenários reais. Clientes novos também recebem US $300 em créditos para executar, testar e implantar cargas de trabalho.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Gemini Enterprise Agent Platform, Compute Engine, and Cloud Storage APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  5. Instale a Google Cloud CLI.

  6. Ao usar um provedor de identidade (IdP) externo, primeiro faça login na CLI gcloud com sua identidade federada.

  7. Para inicializar a CLI gcloud, execute o seguinte comando: 

    gcloud init

  8. Depois de inicializar a CLI gcloud, atualize-a e instale os componentes necessários: 

    gcloud components update
gcloud components install beta

  9. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  10. Verify that billing is enabled for your Google Cloud project.

  11. Enable the Gemini Enterprise Agent Platform, Compute Engine, and Cloud Storage APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  12. Instale a Google Cloud CLI.

  13. Ao usar um provedor de identidade (IdP) externo, primeiro faça login na CLI gcloud com sua identidade federada.

  14. Para inicializar a CLI gcloud, execute o seguinte comando: 

    gcloud init

  15. Depois de inicializar a CLI gcloud, atualize-a e instale os componentes necessários: 

    gcloud components update
gcloud components install beta
  16. Se você não for proprietário do projeto e não tiver o papel de administrador de IAM do projeto (roles/resourcemanager.projectIamAdmin) , peça ao proprietário para conceder a você um papel do IAM que inclua as permissões compute.networkAttachments.update, compute.networkAttachments.update, e compute.regionOperations.get. Por exemplo, o papel de administrador de rede de computação (roles/compute.networkAdmin) para gerenciar recursos de rede.
  17. Atribua os papéis necessários ao agente de serviço do AI Platform. Para detalhes sobre quais papéis conceder em diferentes cenários, consulte a seção Papel necessário do agente de serviço da plataforma de agentes do Gemini Enterprise deste documento.

Configurar uma rede e uma sub-rede VPC

Siga as etapas de configuração para criar uma nova rede VPC se você não tiver uma.

  1. Crie uma rede VPC:

    gcloud compute networks create NETWORK \
    --subnet-mode=custom

    Substitua NETWORK por um nome para a rede VPC.

  2. Crie uma sub-rede:

    gcloud compute networks subnets create SUBNET_NAME \
    --network=NETWORK \
    --range=PRIMARY_RANGE \
    --region=REGION

    Substitua:

    • SUBNET_NAME: um nome para a sub-rede.

    • PRIMARY_RANGE: o intervalo IPv4 principal da nova sub-rede, em notação CIDR.

      A seguir estão os requisitos e limitações de IP para a Agent Platform:

      • O Agent Platform recomenda uma sub-rede /28.
      • A sub-rede do anexo de rede oferece suporte a endereços RFC 1918 e não RFC 1918, com exceção das sub-redes 100.64.0.0/20 e 240.0.0.0/4.
      • A Agent Platform só pode se conectar a intervalos de endereços IP RFC 1918 que podem ser roteados da rede especificada.

      • A Agent Platform não pode acessar um endereço IP público usado de forma particular ou estes intervalos não RFC 1918:

        • 100.64.0.0/20
        • 192.0.0.0/24
        • 192.0.2.0/24
        • 198.18.0.0/15
        • 198.51.100.0/24
        • 203.0.113.0/24
        • 240.0.0.0/4

      Para mais informações, consulte Intervalos de sub-rede IPv4.

    • REGION: a Google Cloud região em que você cria a nova sub-rede.

Criar um anexo de rede

Em uma implantação de VPC compartilhada, crie a sub-rede usada para o anexo de rede no projeto host e, em seguida, crie o anexo de rede do Private Service Connect no projeto de serviço.

O exemplo a seguir mostra como criar um anexo de rede que aceite conexões automaticamente.

   gcloud compute network-attachments create NETWORK_ATTACHMENT_NAME \
       --region=REGION \
       --connection-preference=ACCEPT_AUTOMATIC \
       --subnets=SUBNET_NAME

Substitua NETWORK_ATTACHMENT_NAME por um nome para o anexo de rede.

Se o anexo de rede for criado em um projeto diferente do projeto de serviço, será necessário transmitir o caminho completo do anexo de rede ao chamar o Gemini Enterprise.

Papel necessário do agente de serviço da plataforma de agentes do Gemini Enterprise

No projeto em que você cria o anexo de rede, conceda o compute.networkAdmin papel ao agente de serviço da plataforma de agentes do Gemini Enterprise do mesmo projeto. Ative a API Agent Platform nesse projeto com antecedência se ele for diferente do projeto de serviço em que você usa a plataforma de agentes.

Se você especificar uma rede VPC compartilhada para a plataforma de agentes usar e criar um anexo de rede em um projeto de serviço, conceda ao agente de serviço da plataforma de agentes no projeto de serviço em que você usa a plataforma de agentes o papel compute.networkUser no projeto host da VPC.

Configurar regras de firewall

O sistema aplica regras de firewall de entrada na VPC do consumidor para permitir a comunicação com a sub-rede de anexo de rede da interface do Private Service Connect de endpoints de computação e locais.

A configuração de regras de firewall é opcional. No entanto, recomendamos que você defina regras de firewall comuns, conforme mostrado nos exemplos a seguir.

  1. Crie uma regra de firewall que permita o acesso SSH na porta TCP 22:

    gcloud compute firewall-rules create NETWORK-firewall1 \
    --network NETWORK \
    --allow tcp:22

  2. Crie uma regra de firewall que permita o tráfego HTTPS na porta TCP 443:

    gcloud compute firewall-rules create NETWORK-firewall2 \
    --network NETWORK \
    --allow tcp:443

  3. Crie uma regra de firewall que permita o tráfego ICMP (como solicitações de ping):

    gcloud compute firewall-rules create NETWORK-firewall3 \
    --network NETWORK \
    --allow icmp

Configurar um peering de DNS particular

Para permitir que os jobs de Vertex AI Training ou os agentes do Agent Runtime configurados com PSC-I resolvam registros DNS particulares em zonas do Cloud DNS gerenciadas pelo cliente, a API Agent Platform oferece um mecanismo configurável pelo usuário para especificar quais domínios DNS fazer peering com recursos internos do Google. Faça as seguintes configurações adicionais:

  1. Atribua o papel Peer(roles/dns.peer) do DNS à conta do agente de serviço do AI Platform do projeto em que você está usando os serviços do Vertex AI Training ou do ambiente de execução do agente. Se você especificar uma rede VPC compartilhada para a plataforma de agentes do Gemini Enterprise usar e criar um anexo de rede em um projeto de serviço, conceda ao agente de serviço do AI Platform no projeto de serviço em que você usa a plataforma de agentes o papel Peer(roles/dns.peer) do DNS no projeto host da VPC.

  2. Crie uma regra de firewall que permita todo o tráfego ICMP, TCP e UDP (opcional):

    gcloud compute firewall-rules create NETWORK-firewall4 \
    --network NETWORK
    --allow tcp:0-65535,udp:0-65535,icmp
    --source-ranges IP_RANGES

  3. Configure sua zona de DNS particular para resolução de DNS e roteamento de tráfego. Para adicionar registros DNS à sua zona de DNS particular, consulte Adicionar um conjunto de registros de recursos.

Solução de problemas

Esta seção aborda alguns problemas comuns ao configurar o Private Service Connect com a plataforma de agentes do Gemini Enterprise.

Ao configurar o Agent Platform com uma VPC compartilhada, crie o anexo de rede no projeto de serviço em que você usa o Agent Platform. Essa abordagem ajuda a evitar determinadas mensagens de erro, como:

_Please make sure that the Agent Platform API is enabled for the
project_, by ensuring the
necessary permissions and APIs are enabled in the correct project.

A seguir