Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Utilizzo dell'interfaccia Private Service Connect con Agent Runtime

Agent Runtime supporta l'interfaccia Private Service Connect (interfaccia PSC) e il peering DNS per abilitare il traffico in uscita privato e sicuro. In questo modo, i tuoi agenti possono accedere in sicurezza alle risorse nelle reti VPC o on-premise.

Questo documento spiega la panoramica e i dettagli di configurazione per l'utilizzo dell'interfaccia PSC con Agent Runtime.

Panoramica

L'agente viene sottoposto a deployment in una rete sicura gestita da Google senza accesso alla rete Virtual Private Cloud (VPC). Un'interfaccia PSC crea un bridge privato e sicuro alla tua rete, il che la rende la soluzione consigliata per interagire con i servizi ospitati privatamente negli ambienti VPC, on-premise e multi-cloud.

Quando configuri un'interfaccia PSC, Agent Runtime esegue il provisioning di un'interfaccia in un progetto tenant di proprietà di Google in cui viene eseguito l'agente. Questa interfaccia si connette direttamente a un collegamento di rete nel tuo progetto. Tutto il traffico tra l'agente e il VPC viaggia in modo sicuro all'interno della rete di Google, senza mai attraversare la rete internet pubblica.

Oltre a fornire l'accesso privato, l'interfaccia PSC è necessaria per abilitare l'accesso a internet quando si utilizzano i Controlli di servizio VPC.

La capacità dell'agente di accedere alla rete internet pubblica dipende dalla configurazione di sicurezza del progetto, in particolare se utilizzi i Controlli di servizio VPC.

Senza i Controlli di servizio VPC: quando configuri l'agente solo con un'interfaccia PSC, il traffico dell'agente viene instradato nel VPC. Per impostazione predefinita, il VPC non fornisce un percorso in uscita verso la rete internet pubblica per questo traffico. Per abilitare l'accesso a internet per l'agente, devi configurare esplicitamente un percorso in uscita all'interno del VPC. Ad esempio, puoi configurare una VM proxy dedicata nel VPC. Per ulteriori informazioni, consulta il codelab dell'interfaccia PSC di Agent Runtime.
Con i Controlli di servizio VPC: quando il progetto fa parte di un perimetro dei Controlli di servizio VPC, l'accesso a internet predefinito dell'agente viene bloccato dal perimetro per impedire l'esfiltrazione di dati. Per consentire all'agente di accedere alla rete internet pubblica in questo scenario, devi configurare esplicitamente un percorso in uscita sicuro che instrada il traffico attraverso il VPC. Il modo consigliato per farlo è configurare un server proxy all'interno del perimetro VPC e creare un gateway Cloud NAT per consentire alla VM proxy di accedere a internet.

Dettagli di configurazione per l'interfaccia Private Service Connect

Per abilitare la connettività privata per l'agente di cui hai eseguito il deployment utilizzando l'interfaccia Private Service Connect, devi configurare una rete VPC, una subnet e un collegamento di rete nel progetto utente.

Requisiti dell'intervallo IP della subnet

Agent Runtime richiede una subnet /28 minima per ogni progetto utente di Agent Engine.

La subnet del collegamento di rete supporta gli indirizzi RFC 1918 e non RFC 1918, ad eccezione delle subnet 100.64.0.0/20 e 240.0.0.0/4. Agent Runtime può connettersi solo agli intervalli di indirizzi IP RFC 1918 instradabili dalla rete specificata. Agent Runtime non può raggiungere un indirizzo IP pubblico utilizzato privatamente o i seguenti intervalli non RFC 1918:

100.64.0.0/20
192.0.0.0/24
192.0.2.0/24
198.18.0.0/15
198.51.100.0/24
203.0.113.0/24
240.0.0.0/4

Per ulteriori informazioni, consulta Configurare un'interfaccia Private Service Connect.

Utilizzo dell'interfaccia Private Service Connect con il VPC condiviso

Puoi utilizzare l'interfaccia Private Service Connect con un' architettura VPC condivisa, che ti consente di creare Agent Runtime in un progetto di servizio utilizzando una rete da un progetto host centrale.

Affinché il progetto di servizio possa utilizzare la rete del progetto host, l'agente di servizio di Agent Platform del progetto di servizio deve avere il ruolo Utente di rete Compute (roles/compute.networkUser) nel progetto host.

Completa i seguenti passaggi:

Crea la subnet nel progetto host.
Crea il collegamento di rete nel progetto di servizio o nel progetto host. Il collegamento di rete può essere creato in qualsiasi progetto connesso al VPC condiviso, ma ti consigliamo di inserirlo nel progetto di servizio per semplificare le autorizzazioni:
- Collegamento di rete nel progetto di servizio (consigliato): concedi il ruolo Amministratore rete Compute (roles/compute.networkAdmin) all'agente di servizio della piattaforma dell'agente del progetto di servizio. Questo ruolo è necessario affinché l'agente di servizio possa aggiornare il collegamento di rete per accettare il traffico dal progetto interno di Google. Se non vuoi utilizzare il ruolo Amministratore rete Compute, puoi creare un ruolo personalizzato con le seguenti autorizzazioni e concederlo all'agente di servizio di Agent Platform del progetto di servizio:
  - compute.networkAttachments.get
  - compute.networkAttachments.update
  - compute.regionOperations.get
- Collegamento di rete nel progetto host: completa i seguenti passaggi:
  1. Abilita l'API di Agent Platform nel progetto host. Per ulteriori informazioni, consulta Configurare un'interfaccia Private Service Connect.
  2. Se l'agente di servizio di Agent Platform non esiste nel progetto host, crealo utilizzando il seguente comando:
```
gcloud beta services identity create --service=aiplatform.googleapis.com --project=PROJECT_ID
```
    dove PROJECT_ID è l'ID progetto.
  3. Concedi il ruolo Amministratore rete Compute (roles/compute.networkAdmin) all'agente di servizio della piattaforma dell'agente del progetto host. Per ulteriori informazioni, consulta Configurare un'interfaccia Private Service Connect. Se non vuoi utilizzare il ruolo Amministratore rete Compute, puoi invece creare un ruolo personalizzato con le seguenti autorizzazioni e concedere tale ruolo all'agente di servizio di Agent Platform del progetto host:
    - compute.networkAttachments.get
    - compute.networkAttachments.update
    - compute.regionOperations.get

Peering DNS

Mentre l'interfaccia Private Service Connect fornisce il percorso di rete sicuro, il peering DNS fornisce il meccanismo di Service Discovery. Con l'interfaccia PSC, devi conoscere l'indirizzo IP specifico del servizio nella rete VPC. Sebbene tu possa connetterti ai servizi utilizzando i relativi indirizzi IP interni, questa operazione non è consigliata per i sistemi di produzione in cui gli IP possono cambiare. Con il peering DNS, l'agente di cui hai eseguito il deployment può connettersi ai servizi nella rete VPC utilizzando nomi DNS stabili e leggibili anziché indirizzi IP. Il peering DNS consente agli agenti di cui hai eseguito il deployment di risolvere i nomi DNS utilizzando i record di una zona privata Cloud DNS nel VPC. Per ulteriori informazioni, consulta Configurare un peering DNS privato.

Limitazioni

L'interfaccia Private Service Connect con Agent Runtime è soggetta alle seguenti limitazioni:

Non puoi modificare un'interfaccia Private Service Connect esistente per un agente Runtime senza ricreare le risorse.

Passaggi successivi

Guida

Eseguire il deployment degli agenti

Scopri i cinque modi per eseguire il deployment di un agente su Agent Platform Runtime in base alle tue esigenze di sviluppo.

Utilizzo dell'interfaccia Private Service Connect con Agent Runtime Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.