Se usó la API de Cloud Translation para traducir esta página.

Información sobre el acceso a la API de Vertex AI

Tus aplicaciones pueden conectarse a las APIs en el entorno de producción de Google desde Google Cloud o desde redes híbridas (locales y de múltiples nubes). Google Cloud ofrece las siguientes opciones de acceso público y privado, que ofrecen accesibilidad global y seguridad SSL/TLS:

Acceso a Internet pública: envía tráfico a REGION-aiplatform.googleapis.com.
Extremos de Private Service Connect para las APIs de Google: usa una dirección IP interna definida por el usuario, como 10.0.0.100, para acceder a REGION-aiplatform.googleapis.com o un nombre de DNS asignado, como como aiplatform-genai1.p.googleapis.com.

En el siguiente diagrama, se ilustran estas opciones de acceso.

Diagrama de arquitectura del acceso a la API de Vertex AI a través de métodos públicos y privados

Algunos productores de servicios de Vertex AI requieren que te conectes a sus servicios a través de extremos de Private Service Connect o interfaces de Private Service Connect. Estos servicios se enumeran en la tabla Opciones de acceso privado a Vertex AI.

Cómo elegir entre extremos regionales y globales de Vertex AI

El extremo regional de Vertex AI (REGION-aiplatform.googleapis.com) es la forma estándar de acceder a las APIs de Google. Para las aplicaciones implementadas en varias regiones de Google Cloud, te recomendamos que uses el extremo global (aiplatform.googleapis.com) para una llamada a la API coherente y un diseño más sólido, a menos que el modelo o la función que desees solo estén disponibles a nivel regional. Estos son algunos de los beneficios de usar el extremo global:

Disponibilidad de modelos y funciones: Algunos de los modelos y funciones más recientes, especializados o específicos de la región dentro de Vertex AI se ofrecen inicialmente, o de forma permanente, solo a través de un extremo regional (por ejemplo, us-central1-aiplatform.googleapis.com). Si tu aplicación depende de uno de estos recursos específicos, debes usar el extremo regional correspondiente a la ubicación de ese recurso. Esta es la restricción principal a la hora de determinar tu estrategia de extremos.
Simplificación del diseño multirregional: Si un modelo admite el extremo global, usarlo elimina la necesidad de que tu aplicación cambie de forma dinámica el extremo de API según su región de implementación actual. Una sola configuración estática funciona para todas las regiones, lo que simplifica en gran medida la implementación, las pruebas y las operaciones.
Mitigación de la limitación de frecuencia (evita errores de 429): En el caso de los modelos compatibles, el enrutamiento de solicitudes a través del extremo global distribuye el tráfico de forma interna en la red de Google al servicio regional disponible más cercano. Esta distribución suele ayudar a aliviar la congestión localizada del servicio o los errores regionales de límite de frecuencia (429), ya que aprovecha la red troncal de Google para el balanceo de cargas interno.

Para verificar la disponibilidad global de los modelos de socios, consulta la pestaña Global en la tabla de ubicaciones de extremos de modelos de Google Cloud , que también enumera las ubicaciones regionales.

Consideraciones sobre la VPC compartida de Vertex AI

Usar una VPC compartida es una Google Cloud práctica recomendada para establecer una sólida gobernanza de la organización y la red. Este modelo separa las responsabilidades designando un proyecto host central, administrado por administradores de seguridad de red, y varios proyectos de servicio, consumidos por equipos de aplicaciones.

Esta separación permite que los administradores de red administren y apliquen de forma centralizada la seguridad de la red (incluidas las reglas de firewall, las subredes y las rutas) y, al mismo tiempo, deleguen la creación y administración de recursos (por ejemplo, VMs, clústeres de GKE y facturación) a los proyectos de servicio.

Una VPC compartida desbloquea un enfoque de segmentación multicapa, ya que permite lo siguiente:

Segmentación administrativa y de facturación: Cada proyecto de servicio (por ejemplo, "Finance-AI-Project" o "Marketing-AI-Project") tiene su propia facturación, cuotas y propiedad de recursos. Esto evita que un solo equipo consuma toda la cuota de la organización y proporciona una atribución de costos clara.
IAM y segmentación del acceso: Puedes aplicar permisos detallados de Identity and Access Management (IAM) a nivel del proyecto, por ejemplo:
- Al Grupo de Google "Usuarios de finanzas" se le otorga el rol roles/aiplatform.user solo en el "Proyecto de IA de finanzas".
- Al grupo de Google "Usuarios de marketing" se le otorga el mismo rol solo en el proyecto "Marketing-AI-Project".
- Esta configuración garantiza que los usuarios del grupo de finanzas solo puedan acceder a los extremos, los modelos y los recursos de Vertex AI asociados con su propio proyecto. Están completamente aislados de las cargas de trabajo de IA del equipo de marketing.
Aplicación a nivel de la API: El extremo de API de Vertex AI está diseñado para aplicar esta segmentación basada en el proyecto. Como se muestra en la estructura de la llamada a la API, el ID del proyecto es una parte obligatoria del URI:
```
https://aiplatform.googleapis.com/v1/projects/${PROJECT_ID}/locations/global/publishers/google/models/${MODEL_ID}:streamGenerateContent
```

Cuando un usuario realiza esta llamada, el sistema valida que la identidad autenticada tenga los permisos de IAM necesarios para el ${PROJECT_ID} específico proporcionado en la URL. Si el usuario solo tiene permisos para "Finance-AI-Project", pero intenta llamar a la API con el ID de "Marketing-AI-Project", se rechazará la solicitud. Este enfoque proporciona un marco de trabajo sólido y escalable, lo que garantiza que, a medida que tu organización adopte la IA, mantendrás una clara separación de las tareas, los costos y los límites de seguridad.

Acceso público a Internet para la API de Vertex AI

Si tu aplicación usa un servicio de Google que se indica en la tabla de métodos de acceso compatibles con Vertex AI como Internet pública, tu aplicación puede acceder a la API a través de una búsqueda de DNS en el extremo de servicio (REGION-aiplatform.googleapis.com o aiplatform.googleapis.com), que muestra direcciones IP virtuales enrutables de forma pública. Puedes usar la API desde cualquier ubicación del mundo, siempre y cuando tengas una conexión a Internet. Sin embargo, el tráfico que se envía desde los recursos de Google Cloud a esas direcciones IP permanece dentro de la red de Google. Para restringir el acceso público a la API de Vertex AI, se requieren los Controles del servicio de VPC.

Extremos de Private Service Connect para la API de Vertex AI

Con Private Service Connect, puedes crear extremos privados con direcciones IP internas globales dentro de tu red de VPC. Puedes asignar nombres de DNS a estas direcciones IP internas con nombres significativos como aiplatform-genai1.p.googleapis.com y bigtable-adsteam.p.googleapis.com. Estos nombres y direcciones IP son internos de tu red de VPC y de cualquier red local que esté conectada a esta a través de servicios de redes híbridas. Puedes controlar qué tráfico se dirige a cada extremo y también puedes demostrar que el tráfico permanece dentro de Google Cloud.

Puedes crear una dirección IP (/32) de extremo de Private Service Connect global definida por el usuario. Para obtener más información, consulta Requisitos de dirección IP.
Debes crear el extremo de Private Service Connect en la misma red de VPC que el Cloud Router.
Puedes asignar nombres de DNS a estas direcciones IP internas con nombres significativos como aiplatform-prodpsc.p.googleapis.com. Para obtener más información, consulta Información sobre el acceso a las APIs de Google a través de extremos.
En una VPC compartida, implementa el extremo de Private Service Connect en el proyecto host.

Consideraciones sobre la implementación

A continuación, se presentan algunas consideraciones importantes que afectan la forma en que usas el Acceso privado a Google y Private Service Connect para acceder a la API de Vertex AI.

Acceso privado a Google

Como práctica recomendada, debes habilitar el Acceso privado a Google en las subredes de VPC para permitir que los recursos de procesamiento (como las instancias de VM de Compute Engine y GKE) que no tienen direcciones IP externas accedan a las APIs y los servicios de Google Cloud (como Vertex AI, Cloud Storage y BigQuery).

Anuncio de IP

Debes anunciar el rango de subred de Acceso privado a Google o la dirección IP del extremo de Private Service Connect a entornos locales y de múltiples nubes desde Cloud Router comoa ruta de anuncio personalizada. Para obtener más información, consulta Anuncia rangos de IP personalizados.

Reglas de firewall

Debes asegurarte de que la configuración de firewall de los entornos locales y de múltiples nubes permita el tráfico saliente de las direcciones IP de las subredes de Acceso privado a Google o Private Service Connect.

Configuración del DNS

Tu red local debe tener las zonas de DNS y los registros configurados para que una solicitud a REGION-aiplatform.googleapis.com o aiplatform.googleapis.com se resuelva como la subred de Acceso privado a Google o la dirección IP del extremo de Private Service Connect.
Puedes crear zonas privadas administradas de Cloud DNS y usar una política de servidor entrante de Cloud DNS, o puedes configurar servidores de nombres locales. Por ejemplo, puedes usar BIND o Microsoft Active Directory DNS.
Si tu red local está conectada a una red de VPC, puedes usar Private Service Connect para acceder a las APIs y los servicios de Google desde hosts locales con la dirección IP interna del extremo. Para obtener más información, consulta Accede al extremo desde hosts locales.

Información sobre el acceso a la API de Vertex AI Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.