您的應用程式可以從 Google Cloud 或混合式 (地端部署和多雲) 網路連線至 Google 正式環境中的 API。Google Cloud 提供下列公開和私人存取選項,可提供全球可及性和 SSL/TLS 安全性:
- 公開網際網路存取:將流量傳送至
REGION-aiplatform.googleapis.com。 - Google API 的 Private Service Connect 端點:使用使用者定義的內部 IP 位址 (例如
10.0.0.100) 存取REGION-aiplatform.googleapis.com或指派的 DNS 名稱 (例如aiplatform-genai1.p.googleapis.com)。
下圖說明這些存取選項。
部分 Vertex AI 服務供應商會要求您透過 Private Service Connect 端點或 Private Service Connect 介面連線至他們的服務。這些服務列於「Vertex AI 的私人存取選項」表格中。
選擇地區或全球 Vertex AI 端點
區域性 Vertex AI 端點 (REGION-aiplatform.googleapis.com) 是存取 Google API 的標準方式。如果應用程式部署在多個 Google Cloud
區域,除非您需要的模型或功能僅適用於特定區域,否則強烈建議使用全域端點 (aiplatform.googleapis.com),確保 API 呼叫一致性,並設計出更穩健的應用程式。使用全域端點的好處包括:
- 模型和功能適用情形:Vertex AI 中部分最新、專用或特定區域的模型和功能,一開始或永久只會透過區域端點 (例如
us-central1-aiplatform.googleapis.com) 提供。如果應用程式依賴這些特定資源,就必須使用與資源位置對應的區域端點。這是決定端點策略時的主要限制。 - 簡化多區域設計:如果模型支援全域端點,應用程式就不必根據目前的部署區域動態切換 API 端點。單一靜態設定適用於所有區域,可大幅簡化部署、測試和作業。
- 減輕速率限制 (避免
429錯誤):對於支援的模型,透過全域端點轉送要求會在 Google 網路內部將流量分配至最近的可用區域服務。這種分配方式通常有助於減輕區域性服務壅塞或區域速率限制 (429) 錯誤,並利用 Google 的骨幹進行內部負載平衡。
如要查看合作夥伴模型在全球的適用情形,請參閱 Google Cloud 模型端點位置表格中的「全球」分頁,該表格也會列出區域位置。
Vertex AI 共用虛擬私有雲注意事項
使用共用虛擬私有雲是建立強大網路和機構管理機制的最佳做法。 Google Cloud 這個模式會指定由網路安全管理員管理中央主機專案,以及由應用程式團隊使用的多個服務專案,藉此劃分責任。
這種分離方式可讓網路管理員集中管理及強制執行網路安全措施 (包括防火牆規則、子網路和路徑),同時將資源建立和管理作業 (例如 VM、GKE 叢集和帳單) 委派給服務專案。
共用虛擬私有雲可啟用下列功能,解鎖多層區隔方法:
- 管理和帳單區隔:每個服務專案 (例如「Finance-AI-Project」或「Marketing-AI-Project」) 都有自己的帳單、配額和資源擁有權。這樣可避免單一團隊耗用整個機構的配額,並提供明確的費用歸因。
- IAM 和存取權區隔:您可以在專案層級套用精細的身分與存取權管理 (IAM) 權限,例如:
- 「Finance Users」Google 群組只在「Finance-AI-Project」中獲得 roles/aiplatform.user 角色。
- 「行銷使用者」Google 群組只會在「行銷 AI 專案」中獲得相同角色。
- 這項設定可確保財務群組中的使用者只能存取與自己專案相關聯的 Vertex AI 端點、模型和資源。與行銷團隊的 AI 工作負載完全隔離。
API 層級強制執行:Vertex AI API 端點本身即是為強制執行這項專案式區隔而設計。如 API 呼叫結構所示,專案 ID 是 URI 的必要部分:
https://aiplatform.googleapis.com/v1/projects/${PROJECT_ID}/locations/global/publishers/google/models/${MODEL_ID}:streamGenerateContent
使用者發出這項呼叫時,系統會驗證經過驗證的身分是否具備 URL 中提供的特定 ${PROJECT_ID} 所需的 IAM 權限。如果使用者只有「Finance-AI-Project」的權限,但嘗試使用「Marketing-AI-Project」ID 呼叫 API,系統會拒絕要求。這種做法可提供穩固且可擴充的架構,確保貴機構採用 AI 時,您能清楚劃分職責、成本和安全界線。
可公開存取網際網路的 Vertex AI API
如果您的應用程式使用Vertex AI 支援的存取方法表中列出的 Google 服務,且存取方法為公用網際網路,應用程式可以對服務端點 (REGION-aiplatform.googleapis.com 或 aiplatform.googleapis.com) 執行 DNS 查詢,傳回可公開路由的虛擬 IP 位址,藉此存取 API。只要連上網際網路,您就能在世界各地使用 API。不過,從 Google Cloud 資源傳送到這些 IP 位址的流量仍會保留在 Google 網路中。如要限制 Vertex AI API 的公開存取權,請使用 VPC Service Controls。
Vertex AI API 的 Private Service Connect 端點
透過 Private Service Connect,您可以使用虛擬私有雲網路中的全域內部 IP 位址建立私人端點。您可以將 DNS 名稱指派給這些內部 IP 位址,並使用有意義的名稱,例如 aiplatform-genai1.p.googleapis.com 和 bigtable-adsteam.p.googleapis.com。這些名稱和 IP 位址是虛擬私有雲網路的內部名稱和 IP 位址,以及透過混合式網路服務連線至虛擬私有雲網路的任何地端部署網路。您可以控管哪些流量傳至哪個端點,並證實這些流量會留在 Google Cloud中。
- 您可以建立使用者定義的全域 Private Service Connect 端點 IP 位址 (/32)。詳情請參閱IP 位址規定。
- 您會在與 Cloud Router 相同的虛擬私有雲網路中,建立 Private Service Connect 端點。
- 您可以將 DNS 名稱指派給這些內部 IP 位址,並使用有意義的名稱,例如
aiplatform-prodpsc.p.googleapis.com。詳情請參閱「透過端點存取 Google API」。 - 在共用虛擬私有雲中,於主專案部署 Private Service Connect 端點。
部署考量事項
以下是幾個重要考量事項,會影響您如何使用私人 Google 存取權和 Private Service Connect 存取 Vertex AI API。
私人 Google 存取權
最佳做法是在 VPC 子網路上啟用私人 Google 存取權,讓沒有外部 IP 位址的運算資源 (例如 Compute Engine 和 GKE VM 執行個體) 能夠存取 Google Cloud API 和服務 (例如 Vertex AI、Cloud Storage 和 BigQuery)。
IP 廣告
您必須從 Cloud Router 將 Private Google Access 子網路範圍或 Private Service Connect 端點 IP 位址,通告至內部部署和多雲環境,做為自訂通告路徑。詳情請參閱「通告自訂 IP 範圍」。
防火牆規則
您必須確保地端部署和多雲環境的防火牆設定,允許從私人 Google 存取權或 Private Service Connect 子網路的 IP 位址傳出的輸出流量。
DNS 設定
- 您必須設定地端部署網路的 DNS 區域和記錄,讓系統將對
REGION-aiplatform.googleapis.com或aiplatform.googleapis.com的要求解析為私人 Google 存取權子網路或Private Service Connect 端點的 IP 位址。 - 您可以建立 Cloud DNS 代管私人區域,並使用 Cloud DNS 傳入伺服器政策,也可以設定地端部署名稱伺服器。舉例來說,您可以使用 BIND 或 Microsoft Active Directory DNS。
- 如果您的內部部署網路已連上虛擬私有雲網路,您可以使用 Private Service Connect,透過端點的內部 IP 位址,從內部部署主機存取 Google API 和服務。詳情請參閱「透過地端部署主機存取端點」。