Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Menggunakan antarmuka Private Service Connect dengan Agent Runtime

Agent Runtime mendukung antarmuka Private Service Connect (antarmuka PSC) dan peering DNS untuk mengaktifkan traffic keluar yang pribadi dan aman. Hal ini memungkinkan agen Anda mengakses resource dengan aman di jaringan VPC atau lokal.

Dokumen ini menjelaskan ringkasan dan detail penyiapan untuk menggunakan antarmuka PSC dengan Agent Runtime.

Ringkasan

Agen Anda di-deploy dalam jaringan yang aman dan dikelola Google tanpa akses ke jaringan Virtual Private Cloud (VPC) Anda. Antarmuka PSC membuat jembatan pribadi dan aman ke jaringan Anda, sehingga menjadi solusi yang direkomendasikan untuk berinteraksi dengan layanan yang dihosting secara pribadi di seluruh lingkungan VPC, lokal, dan multi-cloud.

Saat Anda mengonfigurasi antarmuka PSC, Agent Runtime akan menyediakan antarmuka di project tenant milik Google tempat agen Anda berjalan. Antarmuka ini terhubung langsung ke lampiran jaringan di project Anda. Semua traffic antara agen dan VPC Anda berjalan dengan aman dalam jaringan Google, dan tidak pernah melintasi internet publik.

Selain menyediakan akses pribadi, antarmuka PSC diperlukan untuk mengaktifkan akses internet saat menggunakan Kontrol Layanan VPC.

Kemampuan agen untuk mengakses internet publik bergantung pada konfigurasi keamanan project Anda, khususnya apakah Anda menggunakan Kontrol Layanan VPC.

Tanpa Kontrol Layanan VPC: Saat Anda mengonfigurasi agen hanya dengan antarmuka PSC, traffic dari agen Anda akan dirutekan ke VPC Anda. Secara default, VPC Anda tidak menyediakan jalur keluar ke internet publik untuk traffic ini. Untuk mengaktifkan akses internet bagi agen Anda, Anda harus mengonfigurasi jalur keluar secara eksplisit dalam VPC Anda. Misalnya, Anda dapat menyiapkan VM proxy khusus di VPC Anda. Untuk mengetahui informasi selengkapnya, lihat Codelab Antarmuka PSC Agent Runtime.
Dengan Kontrol Layanan VPC: Jika project Anda adalah bagian dari perimeter Kontrol Layanan VPC, akses internet default agen akan diblokir oleh perimeter untuk mencegah pemindahan data yang tidak sah. Untuk mengizinkan agen mengakses internet publik dalam skenario ini, Anda harus mengonfigurasi jalur keluar yang aman secara eksplisit yang merutekan traffic melalui VPC Anda. Cara yang direkomendasikan untuk melakukannya adalah dengan menyiapkan server proxy di dalam perimeter VPC Anda dan membuat gateway Cloud NAT untuk mengizinkan VM proxy mengakses internet.

Detail penyiapan untuk antarmuka Private Service Connect

Untuk mengaktifkan konektivitas pribadi bagi agen yang di-deploy menggunakan antarmuka Private Service Connect, Anda harus menyiapkan jaringan VPC, subnetwork, dan lampiran jaringan di project pengguna.

Persyaratan rentang IP subnetwork

Agent Runtime memerlukan subnetwork minimum /28 untuk setiap project pengguna Agent Engine.

Subnet lampiran jaringan mendukung alamat RFC 1918 dan non RFC 1918, kecuali subnet 100.64.0.0/20 dan 240.0.0.0/4. Agent Runtime hanya dapat terhubung ke rentang alamat IP RFC 1918 yang dapat dirutekan dari jaringan yang ditentukan. Agent Runtime tidak dapat menjangkau alamat IP publik yang digunakan secara pribadi atau rentang non-RFC 1918 berikut:

100.64.0.0/20
192.0.0.0/24
192.0.2.0/24
198.18.0.0/15
198.51.100.0/24
203.0.113.0/24
240.0.0.0/4

Lihat Menyiapkan antarmuka Private Service Connect untuk mengetahui informasi selengkapnya.

Menggunakan antarmuka Private Service Connect dengan VPC Bersama

Anda dapat menggunakan antarmuka Private Service Connect dengan arsitektur VPC Bersama, yang memungkinkan Anda membuat Agent Runtime di project layanan saat menggunakan jaringan dari project host pusat.

Agar project layanan dapat menggunakan jaringan project host, Agen Layanan Platform Agen dari project layanan Anda memerlukan peran Pengguna Jaringan Compute (roles/compute.networkUser) di project host.

Selesaikan langkah-langkah berikut:

Buat subnet di project host.
Buat lampiran jaringan di project layanan atau project host. Lampiran jaringan dapat dibuat di project mana pun yang terhubung ke VPC bersama, tetapi sebaiknya tempatkan lampiran jaringan di project layanan untuk menyederhanakan izin:
- Lampiran jaringan di project layanan (Direkomendasikan): Berikan peran Compute Network Admin (roles/compute.networkAdmin) ke Agen Layanan Platform Agen project layanan. Peran ini diperlukan agar agen layanan dapat memperbarui lampiran jaringan untuk menerima traffic dari project internal Google. Jika tidak ingin menggunakan peran Compute Network Admin, Anda dapat membuat peran khusus dengan izin berikut dan memberikan peran tersebut ke Agen Layanan Platform Agen project layanan:
  - compute.networkAttachments.get
  - compute.networkAttachments.update
  - compute.regionOperations.get
- Lampiran jaringan di project host: Selesaikan langkah-langkah berikut:
  1. Aktifkan Agent Platform API di project host. Lihat Menyiapkan antarmuka Private Service Connect untuk mengetahui informasi selengkapnya.
  2. Jika Agen Layanan Platform Agen tidak ada di project host, buat menggunakan perintah berikut:
```
gcloud beta services identity create --service=aiplatform.googleapis.com --project=PROJECT_ID
```
    dengan PROJECT_ID adalah ID project Anda.
  3. Berikan peran Compute Network Admin (roles/compute.networkAdmin) ke Agen Layanan Platform Agen project host. Lihat Menyiapkan antarmuka Private Service Connect untuk mengetahui informasi selengkapnya. Jika tidak ingin menggunakan peran Compute Network Admin, Anda dapat membuat peran khusus dengan izin berikut dan memberikan peran tersebut ke Agen Layanan Platform Agen project host:
    - compute.networkAttachments.get
    - compute.networkAttachments.update
    - compute.regionOperations.get

Peering DNS

Meskipun antarmuka Private Service Connect menyediakan jalur jaringan yang aman, peering DNS menyediakan mekanisme penemuan layanan. Dengan antarmuka PSC, Anda harus mengetahui alamat IP spesifik layanan di jaringan VPC. Meskipun Anda dapat terhubung ke layanan menggunakan alamat IP internalnya, hal ini tidak direkomendasikan untuk sistem produksi tempat IP dapat berubah. Dengan peering DNS, agen yang di-deploy dapat terhubung ke layanan di jaringan VPC Anda menggunakan nama DNS yang stabil dan mudah dibaca, bukan alamat IP. Peering DNS memungkinkan agen yang di-deploy me-resolve nama DNS menggunakan data dari zona pribadi Cloud DNS di VPC Anda. Lihat Menyiapkan peering DNS pribadi untuk mengetahui informasi selengkapnya.

Batasan

Antarmuka Private Service Connect dengan Agent Runtime tunduk pada batasan berikut:

Anda tidak dapat mengubah antarmuka Private Service Connect yang ada untuk agen Runtime tanpa membuat ulang resource.

Langkah berikutnya

Panduan

Men-deploy agen

Pelajari lima cara untuk men-deploy agen di Agent Platform Runtime berdasarkan kebutuhan pengembangan Anda.

Menggunakan antarmuka Private Service Connect dengan Agent Runtime Tetap teratur dengan koleksi Simpan dan kategorikan konten berdasarkan preferensi Anda.