部分 Vertex AI 服務供應商要求您透過 Private Service Connect 端點連線至他們的服務。這些服務列於「Vertex AI 存取方法」表格中。這些服務支援從服務取用者的地端、多雲端和 VPC 工作負載,到 Google 代管 Vertex AI 服務的單向通訊。用戶端會使用內部 IP 位址連線至端點。Private Service Connect 會執行網路位址轉譯 (NAT),將要求轉送至服務。
服務消費者可以建立消費者端點,使用自己的內部 IP 位址存取這些 Vertex AI 服務,不必離開虛擬私有雲網路,也不必使用外部 IP 位址。端點會使用 Private Service Connect 轉送規則,連線至其他虛擬私有雲網路中的服務。
私人連線的服務供應商端是虛擬私有雲網路,其中佈建了您的服務資源。這個網路是專為您建立,並且只包含您的資源。
下圖顯示 Vector Search 架構,其中 Vector Search API 已在服務專案 (serviceproject) 中啟用及管理,做為共用虛擬私有雲部署作業的一部分。Vector Search Compute Engine 資源會以 Google 管理的基礎架構即服務 (IaaS) 形式,部署在服務生產者的 VPC 網路中。
除了用於建立私人索引的 Google API Private Service Connect 端點,服務取用者的虛擬私有雲網路 (hostproject) 也會部署 Private Service Connect 端點,用於索引查詢。
詳情請參閱「Private Service Connect 端點」。
設定 Private Service Connect 端點前,請先瞭解存取注意事項。
Private Service Connect 端點部署選項
Private Service Connect 服務連結是從生產端服務 (例如 Vertex AI) 產生。身為消費者,您可以在一或多個虛擬私有雲網路中部署消費者端點,藉此存取服務供應商。
部署考量事項
以下各節將討論從地端、多雲和 VPC 工作負載與 Google 代管 Vertex AI 服務通訊時的注意事項。
Private Service Connect 後端
Google 不支援搭配 Vertex AI 線上預測端點使用 Private Service Connect 後端。
IP 廣告
使用 Private Service Connect 連線至其他虛擬私有雲網路中的服務時,請從虛擬私有雲網路的一般子網路中選擇 IP 位址。
根據預設,除非設定自訂通告模式,否則 Cloud Router 會通告一般 VPC 子網路。詳情請參閱「自訂 advertisement 模式」。
消費者端點的 IP 位址必須與服務供應商的服務附件位於相同區域。詳情請參閱「服務附件」和「透過端點存取已發布的服務」。
防火牆規則
您必須更新連結內部部署和多雲環境的虛擬私有雲網路防火牆規則,允許輸出流量傳送至 Private Service Connect 端點子網路。 Google Cloud 詳情請參閱防火牆規則。
叢集層級模型共同代管
在相同專案和區域中部署模型時,端點可以託管在服務專案的相同生產者叢集上。
這時,這些執行個體會共用服務連結 ID,並可透過相同的 Private Service Connect 轉送規則存取。您仍可使用一般模式,向各個端點傳送推論要求。服務附件會使用要求中的端點 ID,將要求路由至正確的模型。
如果端點收到相同的服務附件 ID,由於這些端點具有相同的轉送規則 IP,因此無法使用防火牆規則區隔端點之間的存取權。您還是可以使用 IAM 政策,限制特定模型的存取權。