Certains producteurs de services Vertex AI exigent que vous vous connectiez à leurs services via des points de terminaison Private Service Connect. Ces services sont répertoriés dans le tableau Méthodes d'accès à Vertex AI. Ils permettent une communication unidirectionnelle entre les charges de travail sur site, multicloud et VPC d'un client de service, et les services Vertex AI gérés par Google. Les clients se connectent au point de terminaison à l'aide d'adresses IP internes. Private Service Connect effectue une traduction d'adresse réseau (NAT) pour acheminer les requêtes vers le service.
Les clients de service peuvent utiliser leurs propres adresses IP internes pour accéder à ces services Vertex AI sans quitter leurs réseaux VPC ou utiliser d'adresses IP externes en créant un point de terminaison client. Le point de terminaison se connecte aux services d'un autre réseau VPC à l'aide d'une règle de transfert Private Service Connect.
Du côté du producteur de services de la connexion privée, il y a un réseau VPC dans lequel les ressources de votre service sont provisionnées. Ce réseau est créé exclusivement pour vous et ne contient que vos ressources.
Le schéma suivant illustre une architecture Vector Search dans laquelle l'API Vector Search est activée et gérée dans un projet de service (serviceproject) lors du déploiement d'un VPC partagé. Les ressources Compute Engine de Vector Search sont déployées en tant que modèle Infrastructure-as-a-Service (IaaS) géré par Google dans le réseau VPC du producteur de services.
Les points de terminaison Private Service Connect sont déployés dans le réseau VPC du client de service (hostproject) pour la requête d'index, en plus des points de terminaison Private Service Connect pour les API Google pour la création d'index privés.
Pour en savoir plus, consultez Points de terminaison Private Service Connect.
Avant de configurer des points de terminaison Private Service Connect, consultez les considérations concernant les accès.
Options de déploiement des points de terminaison Private Service Connect
Un rattachement de service Private Service Connect est généré à partir du service producteur (tel que Vertex AI). En tant que client, vous pouvez accéder au producteur de services en déployant un point de terminaison client dans un ou plusieurs réseaux VPC.
Remarques relatives au déploiement
Les sections suivantes présentent les points à prendre en compte concernant la communication entre vos charges de travail sur site, multicloud et VPC, et les services Vertex AI gérés par Google.
Backends Private Service Connect
Google ne permet pas d'utiliser des backends Private Service Connect avec des points de terminaison de prédiction en ligne Vertex AI.
Annonce IP
Lorsque vous utilisez Private Service Connect pour vous connecter à des services sur un autre réseau VPC, vous choisissez une adresse IP d'un sous-réseau standard de votre réseau VPC.
Par défaut, le routeur Cloud Router annonce les sous-réseaux VPC standards, sauf si le mode d'annonce personnalisé est configuré. Pour en savoir plus, consultez Mode d'annonce personnalisé.
L'adresse IP du point de terminaison du client doit se trouver dans la même région que le rattachement de service du producteur de services. Pour en savoir plus, consultez les pages Rattachements de service et Accéder aux services publiés via des points de terminaison.
Règles de pare-feu
Vous devez mettre à jour les règles de pare-feu du réseau VPC qui connecte vos environnements sur site et multicloud à Google Cloud pour autoriser le trafic sortant vers le sous-réseau du point de terminaison Private Service Connect. Pour en savoir plus, consultez Règles de pare-feu.
Co-hébergement de modèles au niveau du cluster
Lorsque des modèles sont déployés dans le même projet et la même région, leurs points de terminaison peuvent être hébergés sur le même cluster de producteurs dans le projet de service.
Dans ce cas, ils auront le même ID de rattachement de service et seront accessibles à l'aide de la même règle de transfert Private Service Connect. Vous pouvez toujours envoyer des requêtes d'inférence à chaque point de terminaison en utilisant le schéma habituel. La pièce jointe de service utilise l'ID de point de terminaison dans les requêtes pour les acheminer vers le modèle approprié.
Lorsque des points de terminaison reçoivent le même ID de rattachement de service, il est impossible d'utiliser des règles de pare-feu pour séparer l'accès entre eux, car ils ont la même adresse IP de règle de transfert. Vous pouvez toujours utiliser des stratégies IAM pour limiter l'accès à des modèles spécifiques.