Traffic der Laufzeit für KI-Agenten über das Agent Gateway weiterleiten

Auf dieser Seite wird beschrieben, wie Sie Agent Runtime-Traffic über Agent Gateway weiterleiten. Agent Gateway ist eine zentrale Netzwerk- und Sicherheitskomponente des Gemini Enterprise Agent Platform-Ökosystems. Es bietet sichere und verwaltete Verbindungen für alle agentischen Interaktionen, unabhängig davon, ob sie zwischen Nutzern und Agenten, Agenten und Tools oder zwischen Agenten selbst stattfinden.

Hinweis

  • Sie müssen mit der Bereitstellung von Agenten in Agent Runtime vertraut sein.

  • Weitere Informationen zu Agent Gateway. Sie können Agent Gateway im Modus „Agent zu beliebigem Ziel (ausgehend)“ verwenden, um alle ausgehenden Kommunikationen mit ausgehendem Traffic zu Tools, Modellen, APIs und anderen Agenten zu sichern und zu verwalten. Sie verwenden das Gateway im Modus „Client zu Agent (eingehend)“, um zu steuern, welche Clients auf Ihre Agenten zugreifen können. Mit dem Gateway können Sie auswählen, welche IAP-Richtlinien und Model Armor-Vorlagen auf diese Interaktionen angewendet werden müssen.

  • Erstellen Sie ein dediziertes Test projekt, um diesen Workflow auszuprobieren. Verwenden Sie keine Projekte, die auch für andere kritische Arbeitslasten vorgesehen sind.

Beschränkungen

  • Für ein bestimmtes Projekt und eine bestimmte Region kann es nur eine Instanz von Agent Gateway im Modus „Agent zu beliebigem Ziel (ausgehend)“ und eine Instanz im Modus „Client zu Agent (eingehend)“ geben. Alle Agent Runtime-Agenten in diesem Projekt und in dieser Region, die für die Verwendung von Agent Gateway konfiguriert sind, müssen diese bestimmten Gateway-Instanzen verwenden.
  • Der Security Command Center-Dienst zur Erkennung von Bedrohungen durch Agent Engine ist nicht verfügbar, wenn Agent Gateway für einen Agenten aktiviert ist.
  • Sie können die Bindung eines Runtime-Agenten an eine Agent Gateway-Ressource nicht aufheben. Verwenden Sie daher ein dediziertes Testprojekt.

Agent Runtime-Traffic über Agent Gateway weiterleiten

So leiten Sie Agent Runtime-Traffic über Agent Gateway weiter:

  1. Erstellen Sie eine Agent Gateway-Ressource und fügen Sie bei Bedarf Autorisierungsrichtlinien hinzu. Sie können ein Gateway entweder im Modus „Agent zu beliebigem Ziel (ausgehend)“ oder „Client zu Agent (eingehend)“ erstellen. Der Agent und das Gateway müssen im selben Projekt und in derselben Region erstellt werden. Eine Anleitung finden Sie unter Set up Agent Gateway.

    Achten Sie darauf, dass das Gateway so konfiguriert ist, dass es den Anforderungen Ihrer Bereitstellung entspricht. Wenn Ihr Agent beispielsweise LLM-Zugriff benötigt, konfigurieren Sie das Gateway so, dass dieser Zugriff zulässig ist, um potenzielle Fehler bei der Bereitstellung von Agent Runtime zu vermeiden.

  2. Geben Sie die Gateway-Ressource an, während Sie Ihren Agenten bereitstellen. Wenn Sie den Agenten beispielsweise in Agent Runtime bereitstellen möchten, verwenden Sie client.agent_engines.create, um das Objekt local_agent zusammen mit optionalen Konfigurationen zu übergeben.

    Außerdem müssen Sie dafür sorgen, dass der Runtime-Instanz eine Agentenidentität zugewiesen wird. Verwenden Sie dazu den identity_type Parameter, wie in diesem Beispiel gezeigt.

    remote_agent = client.agent_engines.create(
  agent=local_agent,
  config={
      "agent_gateway_config": {
        "agent_to_anywhere_config": {"agent_gateway": AGENT_GATEWAY_TO_ANYWHERE_NAME},
        # "client_to_agent_config": {"agent_gateway": AGENT_GATEWAY_CLIENT_TO_AGENT_NAME}
      },
      "identity_type": types.IdentityType.AGENT_IDENTITY,
      # Other optional configuration ...
      # "requirements": requirements,
      # "gcs_dir_name": gcs_dir_name,
      # https://docs.cloud.google.com/gemini-enterprise-agent-platform/scale/runtime/agent-identity#opt-out-caa
      "env_vars": {
        "GOOGLE_API_PREVENT_AGENT_TOKEN_SHARING_FOR_GCP_SERVICES": False,
      }
  },
)

    Ersetzen Sie AGENT_GATEWAY_TO_ANYWHERE_NAME durch den vollständigen Pfad des Agent Gateway, das Sie im Modus „Agent zu beliebigem Ziel (ausgehend)“ erstellt haben. Beispiel: projects/PROJECT/locations/REGION/agentGateways/AGENT_GATEWAY_ID.

    Wenn Sie ein Gateway im Modus „Client zu Agent (eingehend)“ erstellt haben, verwenden Sie stattdessen das Feld client_to_agent_config und ersetzen Sie AGENT_GATEWAY_CLIENT_TO_AGENT_NAME durch den vollständigen Pfad des Agent Gateway, das Sie für eingehenden Traffic erstellt haben.

  3. Registrieren Sie Ihren Agenten bei der Agent Registry-Instanz im selben Projekt und in derselben Region wie der Agent und das Gateway. Weitere Informationen finden Sie unter Agenten registrieren.

Agent Runtime auf genehmigte Agent Gateways beschränken

Sie können benutzerdefinierte Einschränkungen für Organisationsrichtlinien erstellen, um die Gruppe der infrage kommenden Agent Gateway-Ressourcen zu definieren, die beim Bereitstellen von Agenten verwendet werden können.

Benutzerdefinierte Einschränkungen für Organisationsrichtlinien erstellen

In diesem Beispiel werden benutzerdefinierte Einschränkungen erstellt, die nur Traffic zu und von einer vorab genehmigten Liste von Gateways zulassen.

Agent zu beliebigem Ziel

  1. Erstellen Sie eine Datei mit dem Namen constraint-agent-gateway-egress.yaml, um eine benutzerdefinierte Einschränkung für den Modus „Agent zu beliebigem Ziel (ausgehend)“ zu definieren.

    Im folgenden Beispiel gibt das Feld condition an, dass der Vorgang nur zulässig ist, wenn eine Agent Gateway-Ressource angegeben ist (Feld ist vorhanden und nicht leer) und wenn sich das angegebene Gateway in der vorab genehmigten Liste befindet.

    name: organizations/ORGANIZATION_ID/customConstraints/custom.allowlistedEgressAgentGatewaysForAgentEngine
resource_types:
- aiplatform.googleapis.com/ReasoningEngine
condition: >-
has(resource.spec.deploymentSpec.agentGatewayConfig.agentToAnywhereConfig.agentGateway) &&
resource.spec.deploymentSpec.agentGatewayConfig.agentToAnywhereConfig.agentGateway != '' &&
(resource.spec.deploymentSpec.agentGatewayConfig.agentToAnywhereConfig.agentGateway in [
  'projects/AGENT_PROJECT_ID_1/locations/REGION_1/agentGateways/AGENT_GATEWAY_ID_1',
  'projects/AGENT_PROJECT_ID_2/locations/REGION_2/agentGateways/AGENT_GATEWAY_ID_2',
])
method_types:
- CREATE
- UPDATE
action_type: ALLOW
display_name: Restrict Reasoning Engine Egress to Approved Agent Gateways
description: Reasoning Engines can only be bound to a pre-approved list of
Agent Gateway instances. Binding to any other gateway is denied.

    Ersetzen Sie Folgendes:

    • ORGANIZATION_ID: Ihre Organisations-ID.
    • AGENT_PROJECT_ID: Ihre Projekt-ID.
    • REGION: die Region, in der das Gateway erstellt wurde.
    • AGENT_GATEWAY_ID: Ihre Gateway-ID.

  2. Wenden Sie die benutzerdefinierte Einschränkung an.

    gcloud alpha org-policies set-custom-constraint EGRESS_CONSTRAINT_PATH

    Ersetzen Sie EGRESS_CONSTRAINT_PATH durch den vollständigen Pfad zur benutzerdefinierten Einschränkungsdatei, die Sie im vorherigen Schritt erstellt haben.

  3. Erstellen Sie die Organisationsrichtlinie, um die Einschränkung zu erzwingen. Erstellen Sie eine YAML-Datei für die Richtlinie mit dem Namen policy-agent-gateway-egress.yaml, um die Organisationsrichtlinie zu definieren. In diesem Beispiel wird diese Einschränkung auf Projektebene erzwungen. Sie können diese Einschränkung aber auch auf Organisations- oder Ordnerebene festlegen.

    name: projects/AGENT_PROJECT_ID/policies/custom.allowlistedEgressAgentGatewaysForAgentEngine
spec:
  rules:
  - enforce: true

    Ersetzen Sie AGENT_PROJECT_ID durch Ihre Projekt-ID.

  4. Erzwingen Sie die Organisationsrichtlinie.

    gcloud alpha org-policies set-policy EGRESS_POLICY_PATH

    Ersetzen Sie EGRESS_POLICY_PATH durch den vollständigen Pfad zur YAML-Datei der Organisationsrichtlinie, die Sie im vorherigen Schritt erstellt haben. Es kann bis zu 15 Minuten dauern, bis die Richtlinie wirksam wird.

Client zu Agent

  1. Erstellen Sie eine Datei mit dem Namen constraint-agent-gateway-ingress.yaml, um eine benutzerdefinierte Einschränkung für den Modus „Client zu Agent (eingehend)“ zu definieren.

    Im folgenden Beispiel gibt das Feld condition an, dass der Vorgang nur zulässig ist, wenn eine Agent Gateway-Ressource angegeben ist (Feld ist vorhanden und nicht leer) und wenn sich das angegebene Gateway in der vorab genehmigten Liste befindet.

    name: organizations/ORGANIZATION_ID/customConstraints/custom.allowlistedIngressAgentGatewaysForAgentEngine
resource_types:
- aiplatform.googleapis.com/ReasoningEngine
condition: >-
has(resource.spec.deploymentSpec.agentGatewayConfig.clientToAgentConfig.agentGateway) &&
resource.spec.deploymentSpec.agentGatewayConfig.clientToAgentConfig.agentGateway != '' &&
(resource.spec.deploymentSpec.agentGatewayConfig.clientToAgentConfig.agentGateway in [
  'projects/AGENT_PROJECT_ID_1/locations/REGION_1/agentGateways/AGENT_GATEWAY_ID_1',
  'projects/AGENT_PROJECT_ID_2/locations/REGION_2/agentGateways/AGENT_GATEWAY_ID_2',
])
method_types:
- CREATE
- UPDATE
action_type: ALLOW
display_name: Restrict Reasoning Engine Ingress to Approved Agent Gateways
description: Reasoning Engines can only be bound to a pre-approved list of
Agent Gateway instances. Binding to any other gateway is denied.

    Ersetzen Sie Folgendes:

    • ORGANIZATION_ID: Ihre Organisations-ID.
    • AGENT_PROJECT_ID: Ihre Projekt-ID.
    • REGION: die Region, in der das Gateway erstellt wurde.
    • AGENT_GATEWAY_ID: Ihre Gateway-ID.

  2. Wenden Sie die benutzerdefinierte Einschränkung an.

    gcloud alpha org-policies set-custom-constraint INGRESS_CONSTRAINT_PATH

    Ersetzen Sie INGRESS_CONSTRAINT_PATH durch den vollständigen Pfad zur benutzerdefinierten Einschränkungsdatei, die Sie im vorherigen Schritt erstellt haben.

  3. Erstellen Sie die Organisationsrichtlinie, um die Einschränkung zu erzwingen. Erstellen Sie eine YAML-Datei für die Richtlinie mit dem Namen policy-agent-gateway-ingress.yaml, um die Organisationsrichtlinie zu definieren. In diesem Beispiel wird diese Einschränkung auf Projektebene erzwungen. Sie können diese Einschränkung aber auch auf Organisations- oder Ordnerebene festlegen.

    name: projects/AGENT_PROJECT_ID/policies/custom.allowlistedIngressAgentGatewaysForAgentEngine
spec:
  rules:
  - enforce: true

    Ersetzen Sie AGENT_PROJECT_ID durch Ihre Projekt-ID.

  4. Erzwingen Sie die Organisationsrichtlinie.

    gcloud alpha org-policies set-policy INGRESS_POLICY_PATH

    Ersetzen Sie INGRESS_POLICY_PATH durch den vollständigen Pfad zur YAML-Datei der Organisationsrichtlinie , die Sie im vorherigen Schritt erstellt haben. Es kann bis zu 15 Minuten dauern, bis die Richtlinie wirksam wird.

Weitere Informationen zur Verwendung benutzerdefinierter Einschränkungen für Organisationsrichtlinien finden Sie unter Benutzerdefinierte Einschränkungen erstellen.

Nächste Schritte

Codelab

Hier erfahren Sie, wie Sie agentische Arbeitslasten mit Agent Gateway auf der Gemini Enterprise Agent Platform verwalten.

Anleitung

Hier erfahren Sie, wie Sie die Autorisierung für Agent Gateway an IAP, Model Armor oder Ihren eigenen benutzerdefinierten Autorisierungsdienst delegieren.

Anleitung

Hier erfahren Sie, wie Sie Agent Gateway überwachen.