Tentang mengakses Vertex AI API

Aplikasi Anda dapat terhubung ke API di lingkungan produksi Google dari dalam Google Cloud atau dari jaringan hybrid (lokal dan multicloud).Google Cloud menawarkan opsi akses publik dan pribadi berikut, yang menawarkan jangkauan global dan keamanan SSL/TLS:

  1. Akses internet publik: Kirim traffic ke REGION-aiplatform.googleapis.com.
  2. Endpoint Private Service Connect untuk Google API: Gunakan alamat IP internal yang ditentukan pengguna seperti 10.0.0.100 untuk mengakses REGION-aiplatform.googleapis.com atau nama DNS yang ditetapkan seperti aiplatform-genai1.p.googleapis.com.

Diagram berikut menggambarkan opsi akses ini.

Diagram arsitektur untuk mengakses Vertex AI API dengan metode publik dan pribadi

Beberapa produsen layanan Vertex AI mengharuskan Anda terhubung ke layanan mereka melalui endpoint Private Service Connect atau antarmuka Private Service Connect. Layanan ini tercantum dalam tabel Opsi akses pribadi untuk Vertex AI.

Memilih antara endpoint Vertex AI regional dan global

Endpoint Vertex AI regional (REGION-aiplatform.googleapis.com) adalah cara standar untuk mengakses Google API. Untuk aplikasi yang di-deploy di beberapa Google Cloud region, sebaiknya Anda mempertimbangkan untuk menggunakan endpoint global (aiplatform.googleapis.com) untuk panggilan API yang konsisten dan desain yang lebih andal, kecuali jika model atau fitur yang Anda inginkan hanya tersedia secara regional. Manfaat menggunakan endpoint global meliputi:

  • Ketersediaan Model dan Fitur: Beberapa model dan fitur terbaru, khusus, atau spesifik per region dalam Vertex AI awalnya, atau secara permanen, hanya ditawarkan melalui endpoint regional (misalnya, us-central1-aiplatform.googleapis.com). Jika aplikasi Anda bergantung pada salah satu resource spesifik ini, Anda harus menggunakan endpoint regional yang sesuai dengan lokasi resource tersebut. Ini adalah batasan utama saat menentukan strategi endpoint Anda.
  • Penyederhanaan desain multiregion: Jika model mendukung endpoint global, penggunaannya akan menghilangkan kebutuhan aplikasi Anda untuk mengganti endpoint API secara dinamis berdasarkan region deployment saat ini. Konfigurasi statis tunggal berfungsi untuk semua region, sehingga sangat menyederhanakan deployment, pengujian, dan operasi.
  • Mitigasi pembatasan kecepatan (menghindari error 429): Untuk model yang didukung, permintaan perutean melalui endpoint global mendistribusikan traffic secara internal di seluruh jaringan Google ke layanan regional terdekat yang tersedia. Distribusi ini sering kali membantu mengurangi kemacetan layanan lokal atau error batas kecepatan regional (429), dengan memanfaatkan backbone Google untuk load balancing internal.

Untuk memeriksa ketersediaan global model partner, lihat tab Global di tabel lokasi endpoint model Google Cloud , yang juga mencantumkan lokasi regional.

Pertimbangan VPC Bersama Vertex AI

Menggunakan VPC Bersama adalah Google Cloud praktik terbaik untuk menetapkan tata kelola jaringan dan organisasi yang kuat. Model ini memisahkan tanggung jawab dengan menetapkan project host pusat, yang dikelola oleh administrator keamanan jaringan, dan beberapa project layanan, yang digunakan oleh tim aplikasi.

Dengan pemisahan ini, administrator jaringan dapat mengelola dan menerapkan keamanan jaringan secara terpusat (termasuk aturan firewall, subnet, dan rute) sekaligus mendelegasikan pembuatan dan pengelolaan resource (misalnya, VM, cluster GKE, dan penagihan) ke project layanan.

VPC Bersama membuka pendekatan segmentasi berlapis-lapis dengan memungkinkan hal berikut:

  • Segmentasi administratif dan penagihan: Setiap project layanan (misalnya, "Finance-AI-Project" atau "Marketing-AI-Project") memiliki penagihan, kuota, dan kepemilikan resource sendiri. Hal ini mencegah satu tim menggunakan kuota seluruh organisasi dan memberikan atribusi biaya yang jelas.
  • IAM dan segmentasi akses: Anda dapat menerapkan izin Identity and Access Management (IAM) terperinci di tingkat project, misalnya:
    • Grup Google "Pengguna Keuangan" diberi peran roles/aiplatform.user hanya di "Finance-AI-Project".
    • Grup Google "Pengguna Pemasaran" diberi peran yang sama hanya di "Marketing-AI-Project".
    • Konfigurasi ini memastikan bahwa pengguna dalam grup keuangan hanya dapat mengakses endpoint, model, dan resource Vertex AI yang terkait dengan project mereka sendiri. Model ini sepenuhnya terisolasi dari beban kerja AI tim pemasaran.

  • Penerapan tingkat API: Endpoint Vertex AI API itu sendiri dirancang untuk menerapkan segmentasi berbasis project ini. Seperti yang ditunjukkan dalam struktur panggilan API, ID project adalah bagian yang wajib ada dalam URI:

    https://aiplatform.googleapis.com/v1/projects/${PROJECT_ID}/locations/global/publishers/google/models/${MODEL_ID}:streamGenerateContent

Saat pengguna melakukan panggilan ini, sistem akan memvalidasi bahwa identitas yang diautentikasi memiliki izin IAM yang diperlukan untuk ${PROJECT_ID} tertentu yang diberikan di URL. Jika pengguna hanya memiliki izin untuk "Finance-AI-Project" tetapi mencoba memanggil API menggunakan ID "Marketing-AI-Project", permintaan akan ditolak. Pendekatan ini menyediakan framework yang kuat dan skalabel, sehingga memastikan bahwa saat organisasi Anda mengadopsi AI, Anda tetap mempertahankan pemisahan tugas, biaya, dan batas keamanan yang jelas.

Akses internet publik ke Vertex AI API

Jika aplikasi Anda menggunakan layanan Google yang tercantum dalam tabel metode akses yang didukung untuk Vertex AI sebagai internet publik, aplikasi Anda dapat mengakses API dengan melakukan pencarian DNS terhadap endpoint layanan (REGION-aiplatform.googleapis.com atau aiplatform.googleapis.com), yang menampilkan alamat IP virtual yang dapat dirutekan secara publik. Anda dapat menggunakan API dari lokasi mana pun di dunia selama Anda memiliki koneksi internet. Namun, traffic yang dikirim dari resource Google Cloud ke alamat IP tersebut tetap berada dalam jaringan Google. Untuk membatasi akses publik ke Vertex AI API, Kontrol Layanan VPC diperlukan.

Endpoint Private Service Connect untuk Vertex AI API

Dengan Private Service Connect, Anda dapat membuat endpoint pribadi menggunakan alamat IP internal global dalam jaringan VPC Anda. Anda dapat menetapkan nama DNS ke alamat IP internal ini dengan nama yang bermakna seperti aiplatform-genai1.p.googleapis.com dan bigtable-adsteam.p.googleapis.com. Nama dan alamat IP ini bersifat internal untuk jaringan VPC Anda dan jaringan lokal apa pun yang terhubung ke jaringan tersebut melalui layanan jaringan hybrid. Anda dapat mengontrol traffic mana yang menuju ke endpoint, dan dapat menunjukkan bahwa traffic tetap berada di dalam Google Cloud.

  • Anda dapat membuat alamat IP endpoint Private Service Connect global yang ditentukan pengguna (/32). Untuk mengetahui informasi selengkapnya, lihat Persyaratan alamat IP.
  • Anda membuat endpoint Private Service Connect di jaringan VPC yang sama dengan Cloud Router.
  • Anda dapat menetapkan nama DNS ke alamat IP internal ini dengan nama yang bermakna seperti aiplatform-prodpsc.p.googleapis.com. Untuk mengetahui informasi selengkapnya, lihat Tentang mengakses Google API melalui endpoint.
  • Di VPC Bersama, deploy endpoint Private Service Connect di project host.

Pertimbangan deployment

Berikut beberapa pertimbangan penting yang memengaruhi cara Anda menggunakan Akses Google Pribadi dan Private Service Connect untuk mengakses Vertex AI API.

Akses Google Pribadi

Sebagai praktik terbaik, Anda harus mengaktifkan Akses Google Pribadi di subnet VPC untuk mengizinkan resource komputasi (seperti instance VM Compute Engine dan GKE) yang tidak memiliki alamat IP eksternal untuk menjangkau API dan layanan (seperti Vertex AI, Cloud Storage, dan BigQuery). Google Cloud

Iklan IP

Anda harus mengiklankan rentang subnet Akses Google Pribadi atau alamat IP endpoint Private Service Connect ke lingkungan lokal dan multicloud dari Cloud Router sebagai rute yang diiklankan kustom. Untuk mengetahui informasi selengkapnya, lihat Memberitahukan rentang IP kustom.

Aturan firewall

Anda harus memastikan bahwa konfigurasi firewall lingkungan lokal dan multicloud mengizinkan traffic keluar dari alamat IP subnet Private Google Access atau Private Service Connect.

Konfigurasi DNS

  • Jaringan lokal Anda harus memiliki zona dan data DNS yang telah dikonfigurasi sehingga permintaan ke REGION-aiplatform.googleapis.com atau aiplatform.googleapis.com di-resolve ke alamat IP subnet Akses Google Pribadi atau endpoint Private Service Connect.
  • Anda dapat membuat zona pribadi terkelola Cloud DNS dan menggunakan kebijakan server masuk Cloud DNS, atau Anda dapat mengonfigurasi server nama lokal. Misalnya, Anda dapat menggunakan BIND atau Microsoft Active Directory DNS.
  • Jika jaringan lokal Anda terhubung ke jaringan VPC, Anda dapat menggunakan Private Service Connect untuk mengakses Google API dan layanan Google dari host lokal menggunakan alamat IP internal endpoint. Untuk informasi selengkapnya, lihat Mengakses endpoint dari host lokal.