您的应用可以从 Google Cloud 内部或混合(本地和多云)网络连接到 Google 的生产环境中的 API。Google Cloud 提供了以下公共和专用访问选项,可提供全球可访问性和 SSL/TLS 安全性:
- 公共互联网访问:将流量发送到
REGION-aiplatform.googleapis.com。 - Google API 的 Private Service Connect 端点:使用用户定义的内部 IP 地址(例如
10.0.0.100)来访问REGION-aiplatform.googleapis.com或已分配的 DNS 名称(例如aiplatform-genai1.p.googleapis.com)。
下图展示了这些访问选项。
某些 Vertex AI 服务提供方要求您通过 Private Service Connect 端点或 Private Service Connect 接口连接到其服务。Vertex AI 的专用访问通道选项表中列出了这些服务。
在区域 Vertex AI 端点和全球 Vertex AI 端点之间进行选择
区域性 Vertex AI 端点 (REGION-aiplatform.googleapis.com) 是访问 Google API 的标准方式。对于部署在多个 Google Cloud区域的应用,您应强烈考虑使用全球端点 (aiplatform.googleapis.com) 以实现一致的 API 调用和更稳健的设计,除非您所需的模型或功能仅在特定区域提供。使用全球端点的好处包括:
- 模型和功能可用性:Vertex AI 中的一些最新模型、专用模型或特定于区域的模型和功能最初或永久仅通过区域端点(例如
us-central1-aiplatform.googleapis.com)提供。如果您的应用依赖于这些特定资源,则必须使用与相应资源位置对应的区域端点。这是确定端点策略时的主要限制因素。 - 简化多区域设计:如果模型支持全球端点,使用该端点可避免应用根据当前部署区域动态切换 API 端点。单个静态配置适用于所有区域,可大幅简化部署、测试和运营。
- 缓解速率限制问题(避免
429错误):对于受支持的模型,通过全球端点路由请求可在 Google 的网络中将流量内部分配到最近的可用区域服务。这种分布通常有助于缓解本地化服务拥塞或区域速率限制 (429) 错误,从而利用 Google 的骨干网进行内部负载均衡。
如需查看合作伙伴模型的全球可用性,请参阅 Google Cloud 模型端点位置表中的“全球”标签页,该表格还列出了区域位置。
Vertex AI 共享 VPC 注意事项
使用共享 VPC 是建立强大的网络和组织治理的 Google Cloud 最佳实践。此模型通过指定由网络安全管理员管理的中央宿主项目和由应用团队使用的多个服务项目来划分责任。
这种分离可让网络管理员集中管理和强制执行网络安全措施(包括防火墙规则、子网和路由),同时将资源创建和管理(例如虚拟机、GKE 集群和结算)委托给服务项目。
共享 VPC 可实现多层分段方法,具体方式如下:
- 管理和结算分段:每个服务项目(例如“Finance-AI-Project”或“Marketing-AI-Project”)都有自己的结算、配额和资源所有权。这样可以防止单个团队耗尽整个组织的配额,并提供清晰的费用归因。
- IAM 和访问权限细分:您可以在项目级层应用精细的 Identity and Access Management (IAM) 权限,例如:
- “Finance Users”Google 群组仅在“Finance-AI-Project”中被授予 roles/aiplatform.user 角色。
- “Marketing Users”Google 群组仅在“Marketing-AI-Project”中被授予相同的角色。
- 此配置可确保财务组中的用户只能访问与其自己项目关联的 Vertex AI 端点、模型和资源。它们与营销团队的 AI 工作负载完全隔离。
API 级强制执行:Vertex AI API 端点本身旨在强制执行这种基于项目的细分。如 API 调用结构所示,项目 ID 是 URI 的必需部分:
https://aiplatform.googleapis.com/v1/projects/${PROJECT_ID}/locations/global/publishers/google/models/${MODEL_ID}:streamGenerateContent
当用户进行此调用时,系统会验证经过身份验证的身份是否具有网址中提供的特定 ${PROJECT_ID} 所需的 IAM 权限。如果用户仅拥有“Finance-AI-Project”的权限,但尝试使用“Marketing-AI-Project”ID 调用 API,则请求将被拒绝。这种方法可提供强大且可扩缩的框架,确保您的组织在采用 AI 时,能够清晰划分职责、成本和安全边界。
对 Vertex AI API 的公共互联网访问
如果您的应用使用 Vertex AI 支持的访问方法表中列出的 Google 服务,则您的应用可以通过对服务端点(REGION-aiplatform.googleapis.com 或 aiplatform.googleapis.com)执行 DNS 查找来访问 API,该端点会返回公共可路由的虚拟 IP 地址。只要有互联网连接,您就可以在世界任何地方使用该 API。但是,从 Google Cloud 资源发送到这些 IP 地址的流量仍保留在 Google 的网络中。如需限制对 Vertex AI API 的公开访问,必须使用 VPC Service Controls。
Vertex AI API 的 Private Service Connect 端点
通过 Private Service Connect,您可以使用 VPC 网络中的全局内部 IP 地址创建专用端点。
您可以使用有意义的名称(例如 aiplatform-genai1.p.googleapis.com 和 bigtable-adsteam.p.googleapis.com)将这些 DNS 名称分配给这些内部 IP 地址。这些名称和 IP 地址均属于 VPC 网络以及通过混合网络服务连接到该网络的任何本地网络的内部资源。您可以控制要将哪些流量引导至哪个端点,并且可以证明流量保留在 Google Cloud中。
- 您可以创建用户定义的全球 Private Service Connect 端点 IP 地址 (/32)。如需了解详情,请参阅 IP 地址要求。
- 您可以在与 Cloud Router 相同的 VPC 网络中创建 Private Service Connect 端点。
- 您可以使用有意义的名称(例如
aiplatform-prodpsc.p.googleapis.com)将这些 DNS 名称分配给这些内部 IP 地址。如需了解详情,请参阅关于通过端点访问 Google API。 - 在共享 VPC 中,在宿主项目中部署 Private Service Connect 端点。
部署考虑事项
以下是一些重要的注意事项,它们会影响您使用专用 Google 访问通道和 Private Service Connect 访问 Vertex AI API 的方式。
专用 Google 访问通道
作为最佳实践,您应在 VPC 子网上启用专用 Google 访问通道,以允许没有外部 IP 地址的计算资源(例如 Compute Engine 和 GKE 虚拟机实例)访问 Google Cloud API 和服务(例如 Vertex AI、Cloud Storage 和 BigQuery)。
IP 通告
您必须将专用 Google 访问通道子网范围或 Private Service Connect 端点 IP 地址从 Cloud Router 路由器通告给本地和多云环境作为自定义通告路由。如需了解详情,请参阅通告自定义 IP 范围。
防火墙规则
您必须确保本地和多云环境的防火墙配置允许从专用 Google 访问通道或 Private Service Connect 子网的 IP 地址发出的出站流量。
DNS 配置
- 您的本地网络必须配置 DNS 区域和记录,以便对
REGION-aiplatform.googleapis.com或aiplatform.googleapis.com的请求解析为专用 Google 访问通道子网或 Private Service Connect 端点 IP 地址。 - 您可以创建 Cloud DNS 托管专用区域并使用 Cloud DNS 入站服务器政策,也可以配置本地域名服务器。例如,您可以使用 BIND 或 Microsoft Active Directory DNS。
- 如果您的本地网络连接到 VPC 网络,您可以使用 Private Service Connect 和端点的内部 IP 地址从本地主机访问 Google API 和服务。如需了解详情,请参阅从本地主机访问端点。