Alguns produtores de serviços da Vertex AI exigem que você se conecte aos serviços deles por meio de endpoints do Private Service Connect. Esses serviços estão listados na tabela Métodos de acesso da Vertex AI. Eles permitem a comunicação unidirecional das cargas de trabalho locais, de várias nuvens e de VPC de um consumidor de serviço com os serviços da Vertex AI gerenciados pelo Google. Os clientes se conectam ao endpoint por endereços IP internos. O Private Service Connect executa a conversão de endereços de rede (NAT, na sigla em inglês) para rotear solicitações para o serviço.
Os consumidores de serviços podem usar os próprios endereços IP internos para acessar esses serviços da Vertex AI sem sair das redes VPC ou usar endereços IP externos, criando um endpoint do consumidor. Um endpoint se conecta aos serviços em outra rede VPC usando uma regra de encaminhamento do Private Service Connect.
No lado do produtor de serviços, a conexão particular é uma rede VPC em que os recursos de serviço são provisionados. Essa rede é criada exclusivamente para você e contém apenas seus recursos.
O diagrama a seguir mostra uma arquitetura de pesquisa de vetores em que a
API Vector Search é ativada e gerenciada em um projeto de serviço
(serviceproject) como parte de uma VPC compartilhada.
implantação. Os recursos do Vector Search do Compute Engine
são implantados como uma infraestrutura como serviço (IaaS) gerenciada pelo Google na
rede VPC do produtor de serviços.
Os endpoints do Private Service Connect são implantados na rede
VPC do consumidor de serviço (hostproject) para consulta de índice, além dos
endpoints do Private Service Connect para APIs do Google. } para a criação de índices particulares.
Para mais informações, consulte Private Service Connect.
Antes de configurar os endpoints do Private Service Connect, saiba mais sobre as considerações de acesso.
Opções de implantação de endpoints do Private Service Connect
Um anexo de serviço do Private Service Connect é gerado pelo serviço do produtor (como a Vertex AI). Como consumidor, você pode acessar o produtor de serviços implantando um endpoint de consumidor em uma ou mais redes VPC.
Considerações sobre implantação
As seções a seguir discutem considerações para a comunicação das cargas de trabalho locais, de várias nuvens e da VPC com os serviços da Vertex AI gerenciados pelo Google.
Back-ends do Private Service Connect
O Google não permite o uso de back-ends do Private Service Connect com endpoints de previsão on-line da Vertex AI.
Divulgação de IP
Ao usar o Private Service Connect para se conectar a serviços em outra rede VPC, você escolhe um endereço IP em uma sub-rede normal na sua rede VPC.
Por padrão, o Cloud Router divulgará sub-redes VPC normais, a menos que um modo de divulgação personalizado esteja configurado. Para mais informações, consulte Modo de divulgação personalizado.
O endereço IP do endpoint do consumidor precisa estar na mesma região que o anexo de serviço do produtor de serviços. Para mais informações, consulte Anexos de serviço e Acessar serviços publicados por meio de endpoints.
Regras de firewall
É preciso atualizar as regras de firewall da rede VPC que conecta seus ambientes locais e de multicloud ao Google Cloud para permitir o tráfego de saída para a sub-rede de endpoint do Private Service Connect. Saiba mais em Regras de firewall.
Cohospedagem de modelos no nível do cluster
Quando os modelos são implantados no mesmo projeto e região, os endpoints deles podem ser hospedados no mesmo cluster de produtor no projeto de serviço.
Quando isso acontece, eles têm o mesmo ID de anexo de serviço e podem ser acessados usando a mesma regra de encaminhamento do Private Service Connect. Você ainda pode enviar solicitações de inferência para cada endpoint usando o padrão usual. A vinculação de serviço usa o ID do endpoint nas solicitações para roteá-las ao modelo correto.
Quando os endpoints recebem o mesmo ID de anexo de serviço, as regras de firewall não podem ser usadas para separar o acesso entre eles, já que têm o mesmo IP de regra de encaminhamento. Você ainda pode usar políticas do IAM para limitar o acesso a modelos específicos.