部分 Vertex AI 服務供應商要求您透過 Private Service Connect 端點連線至他們的服務。這些服務列於「Vertex AI 存取方法」表格中。這些服務支援從服務取用者的地端、多雲端和 VPC 工作負載到 Google 代管 Vertex AI 服務的單向通訊。用戶端會使用內部 IP 位址連線至端點。Private Service Connect 會執行網路位址轉譯 (NAT),將要求轉送至服務。
服務消費者可以建立消費者端點,使用自己的內部 IP 位址存取這些 Vertex AI 服務,不必離開虛擬私有雲網路,也不必使用外部 IP 位址。端點會使用 Private Service Connect 轉送規則,連線至其他虛擬私有雲網路中的服務。
私人連線的服務供應商端是虛擬私有雲網路,其中佈建了您的服務資源。這個網路是專為您建立,並且只包含您的資源。
下圖顯示 Vector Search 架構,其中 Vector Search API 已在服務專案 (serviceproject) 中啟用及管理,做為共用虛擬私有雲部署作業的一部分。Vector Search Compute Engine 資源會以 Google 管理的基礎架構即服務 (IaaS) 形式,部署在服務生產者的 VPC 網路中。
除了用於建立私人索引的 Google API Private Service Connect 端點,服務取用者的虛擬私有雲網路 (hostproject) 也會部署 Private Service Connect 端點,用於索引查詢。
詳情請參閱「Private Service Connect 端點」。
設定 Private Service Connect 端點前,請先瞭解存取注意事項。
Private Service Connect 端點部署選項
Private Service Connect 服務連結是從生產端服務 (例如 Vertex AI) 產生。身為消費者,您可以在一或多個虛擬私有雲網路中部署消費者端點,藉此存取服務供應商。
部署考量事項
以下各節將討論從地端、多雲和 VPC 工作負載與 Google 代管 Vertex AI 服務通訊時的注意事項。
Private Service Connect 後端
Google 不支援搭配 Vertex AI 線上預測端點使用 Private Service Connect 後端。
IP 廣告
使用 Private Service Connect 連線至其他虛擬私有雲網路中的服務時,請從虛擬私有雲網路的一般子網路中選擇 IP 位址。
根據預設,Cloud Router 會通告一般 VPC 子網路,除非已設定自訂通告模式。詳情請參閱「自訂 advertisement 模式」。
消費者端點的 IP 位址必須與服務供應商的服務附件位於相同區域。詳情請參閱「服務附件」和「透過端點存取已發布的服務」。
防火牆規則
您必須更新連結內部部署和多雲環境的虛擬私有雲網路防火牆規則,允許輸出流量傳送至 Private Service Connect 端點子網路。 Google Cloud 詳情請參閱防火牆規則。
重複使用 ServiceAttachment
如果多個 Vertex AI 預測端點設定為使用 Private Service Connect,且專案允許清單相同,則這些端點可能會共用相同的 ServiceAttachment 資源。這樣一來,允許清單中的用戶專案就能透過相同的 ServiceAttachment 連線至這些預測端點。但無法保證一定會重複使用。
如果預測端點使用不同的專案允許清單,就會使用不同的 ServiceAttachment 資源,確保只接受來自各自允許清單中專案的連線。
如果多個預測端點共用 ServiceAttachment,建議您為該 ServiceAttachment 建立並重複使用一個 Private Service Connect 端點,而不是為每個預測端點建立個別的 Private Service Connect 端點。