Vos applications peuvent se connecter aux API dans l'environnement de production de Google depuis Google Cloud ou depuis des réseaux hybrides (sur site et multicloud).Google Cloud propose les options d'accès public et privé suivantes, qui offrent une joignabilité globale et une sécurité SSL/TLS :
- Accès Internet public : envoyez du trafic vers
REGION-aiplatform.googleapis.com. - Points de terminaison Private Service Connect pour les API Google : utilisez une adresse IP interne définie par l'utilisateur, telle que
10.0.0.100, pour accéder àREGION-aiplatform.googleapis.comou un nom DNS alloué, par exempleaiplatform-genai1.p.googleapis.com.
Le schéma suivant illustre ces options d'accès.
Certains producteurs de services Vertex AI exigent que vous vous connectiez à leurs services via des points de terminaison Private Service Connect ou des interfaces Private Service Connect. Ces services sont répertoriés dans le tableau Options d'accès privé pour Vertex AI.
Choisir entre les points de terminaison Vertex AI régionaux et mondiaux
Le point de terminaison Vertex AI régional (REGION-aiplatform.googleapis.com) est la méthode standard pour accéder aux API Google. Pour les applications déployées dans plusieurs régions Google Cloud, nous vous recommandons vivement d'utiliser le point de terminaison global (aiplatform.googleapis.com) pour un appel d'API cohérent et une conception plus robuste, sauf si le modèle ou la fonctionnalité souhaités ne sont disponibles que dans une région spécifique. Voici les avantages de l'utilisation du point de terminaison global :
- Disponibilité des modèles et des fonctionnalités : certains des modèles et fonctionnalités les plus récents, spécialisés ou spécifiques à une région de Vertex AI ne sont proposés, initialement ou de manière permanente, que par le biais d'un point de terminaison régional (par exemple,
us-central1-aiplatform.googleapis.com). Si votre application dépend de l'une de ces ressources spécifiques, vous devez utiliser le point de terminaison régional correspondant à l'emplacement de cette ressource. Il s'agit de la principale contrainte à prendre en compte lorsque vous définissez votre stratégie de points de terminaison. - Simplification de la conception multirégionale : si un modèle est compatible avec le point de terminaison global, son utilisation élimine la nécessité pour votre application de changer dynamiquement le point de terminaison de l'API en fonction de sa région de déploiement actuelle. Une configuration statique unique fonctionne pour toutes les régions, ce qui simplifie considérablement le déploiement, les tests et les opérations.
- Atténuation de la limitation du débit (éviter les erreurs
429) : pour les modèles compatibles, le routage des requêtes via le point de terminaison mondial distribue le trafic en interne sur le réseau de Google vers le service régional disponible le plus proche. Cette distribution peut souvent aider à atténuer la congestion localisée des services ou les erreurs de limite de débit régionale (429), en tirant parti du backbone de Google pour l'équilibrage de charge interne.
Pour vérifier la disponibilité mondiale des modèles partenaires, consultez l'onglet Global (Mondial) du tableau des emplacements des points de terminaison des modèles Google Cloud , qui liste également les emplacements régionaux.
Considérations relatives au VPC partagé Vertex AI
L'utilisation d'un VPC partagé est une Google Cloud bonne pratique pour établir une gouvernance solide du réseau et de l'organisation. Ce modèle sépare les responsabilités en désignant un projet hôte central, géré par les administrateurs de la sécurité réseau, et plusieurs projets de service, utilisés par les équipes d'application.
Cette séparation permet aux administrateurs réseau de gérer et d'appliquer de manière centralisée la sécurité du réseau (y compris les règles de pare-feu, les sous-réseaux et les routes), tout en déléguant la création et la gestion des ressources (par exemple, les VM, les clusters GKE et la facturation) aux projets de service.
Un VPC partagé permet une approche multicouche de la segmentation en autorisant les éléments suivants :
- Segmentation administrative et de la facturation : chaque projet de service (par exemple, "Finance-AI-Project" ou "Marketing-AI-Project") possède sa propre facturation, ses propres quotas et sa propre propriété des ressources. Cela permet d'éviter qu'une seule équipe consomme l'intégralité du quota de l'organisation et fournit une attribution claire des coûts.
- IAM et segmentation des accès : vous pouvez appliquer des autorisations IAM (Identity and Access Management) précises au niveau du projet, par exemple :
- Le groupe Google "Finance Users" ne dispose du rôle roles/aiplatform.user que dans le projet "Finance-AI-Project".
- Le groupe Google "Marketing Users" se voit attribuer le même rôle uniquement dans "Marketing-AI-Project".
- Cette configuration garantit que les utilisateurs du groupe "Finance" ne peuvent accéder qu'aux points de terminaison, aux modèles et aux ressources Vertex AI associés à leur propre projet. Elles sont complètement isolées des charges de travail d'IA de l'équipe marketing.
Application au niveau de l'API : le point de terminaison de l'API Vertex AI est conçu pour appliquer cette segmentation basée sur les projets. Comme indiqué dans la structure de l'appel d'API, l'ID du projet est une partie obligatoire de l'URI :
https://aiplatform.googleapis.com/v1/projects/${PROJECT_ID}/locations/global/publishers/google/models/${MODEL_ID}:streamGenerateContent
Lorsqu'un utilisateur effectue cet appel, le système valide que l'identité authentifiée dispose des autorisations IAM nécessaires pour le ${PROJECT_ID} spécifique fourni dans l'URL. Si l'utilisateur ne dispose d'autorisations que pour "Finance-AI-Project", mais qu'il tente d'appeler l'API à l'aide de l'ID "Marketing-AI-Project", la requête sera refusée. Cette approche fournit un framework robuste et évolutif, garantissant que votre organisation maintient une séparation claire des tâches, des coûts et des limites de sécurité à mesure qu'elle adopte l'IA.
Accès via l'Internet public à l'API Vertex AI
Si votre application utilise un service Google répertorié dans le tableau des méthodes d'accès compatibles avec Vertex AI en tant qu'Internet public, elle peut accéder à l'API en effectuant une résolution DNS sur le point de terminaison du service (REGION-aiplatform.googleapis.com ou aiplatform.googleapis.com), qui renvoie des adresses IP virtuelles routables publiquement. Vous pouvez utiliser l'API depuis n'importe quel endroit dans le monde, à condition de disposer d'une connexion Internet.
Toutefois, le trafic envoyé à partir des ressources Google Cloud vers ces adresses IP reste au sein du réseau de Google. Pour limiter l'accès public à l'API Vertex AI, VPC Service Controls est requis.
Points de terminaison Private Service Connect pour l'API Vertex AI
Avec Private Service Connect, vous pouvez créer des points de terminaison privés à l'aide d'adresses IP internes globales dans votre réseau VPC.
Vous pouvez attribuer des noms DNS explicites à ces adresses IP internes tels que aiplatform-genai1.p.googleapis.com et bigtable-adsteam.p.googleapis.com. Ces noms et adresses IP sont internes à votre réseau VPC et à tous les réseaux sur site qui y sont connectés via des services de mise en réseau hybrides.
Vous pouvez contrôler le trafic et décider de son point de terminaison, puis démontrer que le trafic reste au sein de Google Cloud.
- Vous pouvez créer une adresse IP globale du point de terminaison Private Service Connect (/32) définie par l'utilisateur. Pour en savoir plus, consultez Exigences relatives aux adresses IP.
- Vous créez le point de terminaison Private Service Connect dans le même réseau VPC que le routeur Cloud Router.
- Vous pouvez attribuer des noms DNS explicites à ces adresses IP internes, par exemple
aiplatform-prodpsc.p.googleapis.com. Pour en savoir plus, consultez la section À propos de l'accès aux API Google via des points de terminaison. - Dans un VPC partagé, déployez le point de terminaison Private Service Connect dans le projet hôte.
Remarques relatives au déploiement
Vous trouverez ci-dessous quelques considérations importantes qui affectent la manière dont vous utilisez l'accès privé à Google et Private Service Connect pour accéder à l'API Vertex AI.
Accès privé à Google
Nous vous recommandons d'activer l'accès privé à Google sur les sous-réseaux VPC pour permettre aux ressources de calcul (telles que les instances de VM Compute Engine et GKE) qui ne disposent pas d'adresses IP externes d'accéder aux API et services Google Cloud (tels que Vertex AI, Cloud Storage et BigQuery).
Annonce IP
Vous devez annoncer la plage de sous-réseau de l'accès privé à Google ou l'adresse IP du point de terminaison Private Service Connect aux environnements sur site et multicloud à partir du routeur Cloud Router en tant qu'annonce de routage personnalisée. Pour plus d'informations, consultez la section Annoncer des plages d'adresses IP personnalisées.
Règles de pare-feu
Vous devez vous assurer que la configuration du pare-feu des environnements sur site et multicloud autorise le trafic sortant depuis les adresses IP des sous-réseaux de l'accès privé à Google ou de Private Service Connect.
Configuration DNS
- Votre réseau sur site doit comporter des zones et enregistrements DNS configurés pour qu'une requête envoyée à
REGION-aiplatform.googleapis.comouaiplatform.googleapis.compointe vers le sous-réseau d'accès privé à Google ou l'adresse IP du point de terminaison Private Service Connect. - Vous pouvez créer des zones gérées privées de Cloud DNS et utiliser une règle de serveur entrant Cloud DNS, ou configurer des serveurs de noms sur site. Par exemple, vous pouvez utiliser BIND ou le système DNS dans Microsoft Active Directory.
- Si votre réseau sur site est connecté à un réseau VPC, vous pouvez utiliser Private Service Connect pour accéder aux API et services Google à partir d'hôtes sur site à l'aide de l'adresse IP interne du point de terminaison. Pour en savoir plus, consultez la section Accéder au point de terminaison à partir d'hôtes sur site.