Acerca del acceso a la API de Vertex AI

Tus aplicaciones pueden conectarse a las APIs del entorno de producción de Google desde Google Cloud o desde redes híbridas (on-premise y multinube). Google Cloud ofrece las siguientes opciones de acceso público y privado, que proporcionan accesibilidad global y seguridad SSL/TLS:

  1. Acceso público a Internet: envía tráfico a REGION-aiplatform.googleapis.com.
  2. Puntos finales de Private Service Connect para APIs de Google: usa una dirección IP interna definida por el usuario, como 10.0.0.100, para acceder a REGION-aiplatform.googleapis.com o un nombre de DNS asignado, como aiplatform-genai1.p.googleapis.com.

En el siguiente diagrama se muestran estas opciones de acceso.

Diagrama de arquitectura del acceso a la API Vertex AI mediante métodos públicos y privados

Algunos productores de servicios de Vertex AI requieren que te conectes a sus servicios a través de puntos finales de Private Service Connect o interfaces de Private Service Connect. Estos servicios se enumeran en la tabla Opciones de acceso privado para Vertex AI.

Elegir entre endpoints regionales y globales de Vertex AI

El endpoint regional de Vertex AI (REGION-aiplatform.googleapis.com) es la forma estándar de acceder a las APIs de Google. En el caso de las aplicaciones implementadas en varias Google Cloud regiones, te recomendamos que utilices el endpoint global (aiplatform.googleapis.com) para que las llamadas a la API sean coherentes y el diseño sea más sólido, a menos que el modelo o la función que quieras usar solo estén disponibles en una región concreta. Estas son algunas de las ventajas de usar el endpoint global:

  • Disponibilidad de modelos y funciones: algunos de los modelos y funciones más recientes, especializados o específicos de una región de Vertex AI se ofrecen inicialmente o de forma permanente solo a través de un endpoint regional (por ejemplo, us-central1-aiplatform.googleapis.com). Si tu aplicación depende de uno de estos recursos específicos, debes usar el endpoint regional correspondiente a la ubicación de ese recurso. Esta es la restricción principal a la hora de determinar tu estrategia de endpoints.
  • Simplificación del diseño multirregión: si un modelo admite el endpoint global, al usarlo, tu aplicación no tendrá que cambiar dinámicamente el endpoint de la API en función de la región de implementación actual. Una sola configuración estática funciona en todas las regiones, lo que simplifica enormemente la implementación, las pruebas y las operaciones.
  • Mitigación de la limitación de la frecuencia (evitar errores 429): en los modelos admitidos, el enrutamiento de las solicitudes a través del endpoint global distribuye el tráfico internamente por la red de Google al servicio regional disponible más cercano. Esta distribución puede ayudar a aliviar la congestión de los servicios localizados o los errores de límite de frecuencia regional (429), aprovechando la red troncal de Google para el balanceo de carga interno.

Para consultar la disponibilidad global de los modelos de partners, consulta la pestaña Global de la tabla de Google Cloud ubicaciones de los endpoints de los modelos, que también incluye las ubicaciones regionales.

Consideraciones sobre la VPC compartida de Vertex AI

Usar una VPC compartida es una Google Cloud práctica recomendada para establecer una gobernanza de red y organizativa sólida. Este modelo separa las responsabilidades asignando un proyecto host central, gestionado por administradores de seguridad de red, y varios proyectos de servicio, consumidos por equipos de aplicaciones.

Esta separación permite a los administradores de redes gestionar y aplicar de forma centralizada la seguridad de la red (incluidas las reglas de cortafuegos, las subredes y las rutas), al tiempo que delegan la creación y la gestión de recursos (por ejemplo, máquinas virtuales, clústeres de GKE y facturación) en los proyectos de servicio.

Una VPC compartida permite adoptar un enfoque de segmentación multinivel, ya que ofrece las siguientes ventajas:

  • Segmentación administrativa y de facturación: cada proyecto de servicio (por ejemplo, "Finance-AI-Project" o "Marketing-AI-Project") tiene su propia facturación, cuotas y propiedad de los recursos. De esta forma, se evita que un solo equipo consuma toda la cuota de la organización y se proporciona una atribución de costes clara.
  • Gestión de identidades y accesos y segmentación del acceso: puedes aplicar permisos de gestión de identidades y accesos granulares a nivel de proyecto. Por ejemplo:
    • El grupo de Google "Usuarios de Finanzas" solo tiene el rol roles/aiplatform.user en el proyecto "Finanzas-IA".
    • Al grupo de Google "Marketing Users" solo se le ha asignado el mismo rol en el proyecto "Marketing-AI-Project".
    • Esta configuración asegura que los usuarios del grupo de finanzas solo puedan acceder a los endpoints, modelos y recursos de Vertex AI asociados a su proyecto. Están completamente aisladas de las cargas de trabajo de IA del equipo de marketing.

  • Cumplimiento a nivel de API: el propio endpoint de la API Vertex AI se ha diseñado para aplicar esta segmentación basada en proyectos. Como se muestra en la estructura de la llamada a la API, el ID de proyecto es una parte obligatoria del URI:

    https://aiplatform.googleapis.com/v1/projects/${PROJECT_ID}/locations/global/publishers/google/models/${MODEL_ID}:streamGenerateContent

Cuando un usuario hace esta llamada, el sistema valida que la identidad autenticada tiene los permisos de IAM necesarios para el ${PROJECT_ID} específico proporcionado en la URL. Si el usuario solo tiene permisos para "Finance-AI-Project", pero intenta llamar a la API con el ID "Marketing-AI-Project", se denegará la solicitud. Este enfoque proporciona un marco de trabajo sólido y escalable que garantiza que, a medida que tu organización adopte la IA, mantengas una separación clara de las funciones, los costes y los límites de seguridad.

Acceso a Internet público a la API Vertex AI

Si tu aplicación usa un servicio de Google que aparece en la tabla de métodos de acceso admitidos para Vertex AI como Internet público, tu aplicación puede acceder a la API realizando una búsqueda de DNS en el endpoint del servicio (REGION-aiplatform.googleapis.com o aiplatform.googleapis.com), que devuelve direcciones IP virtuales con enrutamiento público. Puedes usar la API desde cualquier lugar del mundo siempre que tengas conexión a Internet. Sin embargo, el tráfico que se envía desde los recursos a esas direcciones IP permanece en la red de Google. Google Cloud Para restringir el acceso público a la API Vertex AI, se necesitan Controles de Servicio de VPC.

Puntos finales de Private Service Connect para la API de Vertex AI

Con Private Service Connect, puedes crear puntos finales privados con las direcciones IP internas globales de tu red de VPC. Puedes asignar nombres de DNS a estas direcciones IP internas con nombres significativos, como aiplatform-genai1.p.googleapis.com y bigtable-adsteam.p.googleapis.com. Estos nombres y direcciones IP son internos de tu red de VPC y de cualquier red local que esté conectada a ella a través de servicios de redes híbridas. Puedes controlar qué tráfico llega a cada endpoint y demostrar que el tráfico se mantiene dentro de Google Cloud.

  • Puedes crear una dirección IP de punto final de Private Service Connect global definida por el usuario (/32). Para obtener más información, consulta los requisitos de las direcciones IP.
  • El endpoint de Private Service Connect se crea en la misma red de VPC que Cloud Router.
  • Puedes asignar nombres de DNS a estas direcciones IP internas con nombres significativos, como aiplatform-prodpsc.p.googleapis.com. Para obtener más información, consulta Información sobre el acceso a las APIs de Google a través de endpoints.
  • En una VPC compartida, implementa el punto final de Private Service Connect en el proyecto host.

Consideraciones sobre la implementación

A continuación, se indican algunas consideraciones importantes que afectan a la forma en que usas el acceso privado a Google y Private Service Connect para acceder a la API Vertex AI.

Acceso privado de Google

Como práctica recomendada, debes habilitar el acceso privado de Google en las subredes de VPC para permitir que los recursos de computación (como las instancias de VM de Compute Engine y GKE) que no tienen direcciones IP externas accedan a las APIs y los servicios (como Vertex AI, Cloud Storage y BigQuery). Google Cloud

Anuncio de IP

Debes anunciar el intervalo de subred de Acceso privado a Google o la dirección IP del endpoint de Private Service Connect a los entornos on-premise y multicloud desde Cloud Router como una ruta anunciada personalizada. Para obtener más información, consulte Anunciar intervalos de direcciones IP personalizadas.

Reglas de cortafuegos

Debes asegurarte de que la configuración del cortafuegos de los entornos on-premise y multicloud permita el tráfico saliente desde las direcciones IP de las subredes de Acceso privado de Google o Private Service Connect.

Configuración de DNS

  • Tu red local debe tener zonas y registros DNS configurados para que una solicitud a REGION-aiplatform.googleapis.com o aiplatform.googleapis.com se resuelva en la dirección IP de la subred de acceso privado a Google o del punto final de Private Service Connect.
  • Puedes crear zonas privadas gestionadas de Cloud DNS y usar una política de servidor de entrada de Cloud DNS, o bien configurar servidores de nombres locales. Por ejemplo, puedes usar BIND o Microsoft Active Directory DNS.
  • Si tu red on-premise está conectada a una red VPC, puedes usar Private Service Connect para acceder a las APIs y los servicios de Google desde hosts on-premise mediante la dirección IP interna del endpoint. Para obtener más información, consulta Acceder al endpoint desde hosts locales.