Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

VPC-Netzwerk-Peering einrichten

Sie können die Gemini Enterprise Agent Platform für das Peering mit Virtual Private Cloud (VPC) konfigurieren, um eine direkte Verbindung zu bestimmten Ressourcen in der Agent Platform herzustellen, darunter:

In dieser Anleitung wird beschrieben, wie Sie VPC-Netzwerk-Peering einrichten, um Ihr Netzwerk mit Agent Platform-Ressourcen zu verbinden. Dieser Leitfaden wird für Netzwerkadministratoren empfohlen, die bereits mit Google Cloud Netzwerkkonzepten vertraut sind.

Übersicht

In diesem Leitfaden werden folgende Aufgaben behandelt:

Zugriff auf private Dienste für die VPC konfigurieren. Dadurch wird eine Peering-Verbindung zwischen Ihrer VPC und dem freigegebenen VPC-Netzwerk von Google hergestellt.
Denken Sie über den IP-Bereich nach, den Sie für die Agent Platform reservieren müssen.
Exportieren Sie gegebenenfalls benutzerdefinierte Routen, damit sie von der Agent Platform importiert werden können.

Hinweis

Wählen Sie eine VPC aus, die Sie mit Agent Platform-Ressourcen verbinden möchten. Die Agent Platform kann jeweils nur mit einem Netzwerk pro Region verbunden werden.
Wählen Sie ein Google Cloud Projekt für die Agent Platform aus oder erstellen Sie eines.
Prüfen Sie, ob für Ihr Google Cloud Projekt die Abrechnung aktiviert ist.
Aktivieren Sie die Compute Engine API, die Agent Platform API und die Service Networking APIs.
Rollen, die zum Aktivieren von APIs erforderlich sind
Zum Aktivieren von APIs benötigen Sie die IAM-Rolle „Service Usage-Administrator“ (roles/serviceusage.serviceUsageAdmin), die die Berechtigung serviceusage.services.enable enthält. Rollen zuweisen.
APIs aktivieren

Optional können Sie eine gemeinsam genutzte VPC verwenden. Wenn Sie eine freigegebene VPC verwenden, verwenden Sie die Agent Platform in der Regel in einem anderen Projekt als Ihr VPC-Hostprojekt.Google CloudAktivieren Sie die Compute Engine API und die Service Networking APIs in beiden Projekten. Informationen zum Bereitstellen von gemeinsam genutzten VPCs .
Installieren Sie die gcloud CLI, wenn Sie die gcloud-Beispiele in dieser Anleitung ausführen möchten.

Erforderliche Rollen

Wenn Sie kein Projektinhaber oder -bearbeiter sind, benötigen Sie die Rolle Compute-Netzwerkadministrator (roles/compute.networkAdmin), die die erforderlichen Rollen zum Verwalten von Netzwerkressourcen enthält.

Peering mit einem lokalen Netzwerk

Für VPC-Netzwerk-Peering mit einem lokalen Netzwerk sind zusätzliche Schritte erforderlich:

Verbinden Sie Ihr lokales Netzwerk mit Ihrer VPC. Sie können einen VPN-Tunnel oder Interconnect verwenden.
Richten Sie benutzerdefinierte Routen von der VPC zu Ihrem lokalen Netzwerk ein.
Exportieren Sie Ihre benutzerdefinierten Routen, damit sie von der Agent Platform importiert werden können.

Zugriff auf private Dienste für Ihre VPC einrichten

Wenn Sie den Zugriff auf private Dienste einrichten, stellen Sie eine private Verbindung zwischen Ihrem Netzwerk und einem Netzwerk von Google oder einem Drittanbieterdienst (Dienstersteller) her. In diesem Fall ist die Agent Platform ein Dienstersteller. Zum Einrichten des Zugups auf private Dienste reservieren Sie einen IP-Bereich für Dienstersteller und erstellen dann eine Peering-Verbindung mit der Agent Platform.

Wenn Sie bereits eine VPC mit Zugriff auf private Dienste konfiguriert haben, fahren Sie mit dem Exportieren benutzerdefinierter Routen fort.

Legen Sie Umgebungsvariablen für Ihre Projekt-ID, den Namen des reservierten Bereichs und den Namen Ihres Netzwerks fest. Wenn Sie eine freigegebene VPC verwenden, verwenden Sie die Projekt-ID Ihres VPC-Hostprojekts. Andernfalls verwenden Sie die Projekt-ID des Google Cloud Projekts das Sie für die Agent Platform verwenden.
Aktivieren Sie die erforderlichen APIs. Wenn Sie eine freigegebene VPC verwenden, finden Sie weitere Informationen unter Gemeinsam genutzte VPC mit der Agent Platform verwenden.
Legen Sie mit gcloud compute addresses create einen reservierten Bereich fest.

Stellen Sie mithilfe von gcloud services vpc-peerings connect eine Peering-Verbindung zwischen Ihrem VPC-Hostprojekt und dem Google-Dienstnetzwerk her.

Für private Inferenzendpunkte empfehlen wir, für das Modellhosting mindestens einen /21 Block für das Subnetz zu reservieren. Das Reservieren eines kleineren Blocks kann aufgrund unzureichender IP-Adressen zu Bereitstellungsfehlern führen.

Das Subnetz 172.16.0.0/16 ist für Vertex AI Training reserviert. Sie müssen ein Subnetz angeben, das sich nicht mit diesem CIDR-Bereich überschneidet.

PROJECT_ID=YOUR_PROJECT_ID
gcloud config set project $PROJECT_ID

# This is for display only; you can name the range anything.
PEERING_RANGE_NAME=google-reserved-range

NETWORK=YOUR_NETWORK_NAME

# NOTE: `prefix-length=16` means a CIDR block with mask /16 will be
# reserved for use by Google services, such as Agent Platform.
gcloud compute addresses create $PEERING_RANGE_NAME \
  --global \
  --prefix-length=16 \
  --description="peering range for Google service" \
  --network=$NETWORK \
  --purpose=VPC_PEERING

# Create the VPC connection.
gcloud services vpc-peerings connect \
  --service=servicenetworking.googleapis.com \
  --network=$NETWORK \
  --ranges=$PEERING_RANGE_NAME \
  --project=$PROJECT_ID

Weitere Informationen zum Zugriff auf private Dienste

Gemeinsam genutzte VPC mit der Agent Platform verwenden

Wenn Sie in Ihrem Projekt eine freigegebene VPC verwenden, gehen Sie wie unter Gemeinsam genutzte VPC bereitstellen beschrieben vor und führen Sie die folgenden Schritte aus:

Aktivieren Sie die Compute Engine API und die Service Networking APIs im Host- und Dienstprojekt. Die Agent Platform API muss für das Dienstprojekt aktiviert sein.
Erstellen Sie die VPC-Netzwerk-Peering-Verbindung zwischen Ihrer VPC und den Google-Diensten innerhalb des Hostprojekts.
Während der Erstellung der Agent Platform müssen Sie den Namen des Netzwerks angeben, auf das die Agent Platform Zugriff auf die freigegebene VPC haben soll.
Prüfen Sie, ob der verwendete Dienst oder das Nutzerkonto die Rolle „Compute-Netzwerknutzer“ (roles/compute.networkUser) hat.

IP-Bereiche für die Agent Platform reservieren

Wenn Sie einen IP-Bereich für Dienstersteller reservieren, kann der Bereich von der Agent Platform und anderen Diensten verwendet werden. Wenn Sie eine Verbindung zu mehreren Diensterstellern herstellen, die denselben Bereich verwenden, weisen Sie diesen einen größeren Bereich zu, um die IP-Auslastung zu vermeiden.

In der Tabelle mit den Subnetzempfehlungen können Sie prüfen, ob die IP-Reservierung für den Zugriff auf private Dienste groß genug für Ihre Arbeitslast ist.

Wenn ein Job mit dem --network Parameter gestartet wird, wird er in einem von Google verwalteten Netzwerk gestartet, das eine Peering-Verbindung zu Ihrer VPC herstellt:

--network = "projects/${host_project}/global/networks/${network}"

Alle Jobs, die nicht auf Ihre Netzwerke zugreifen müssen, können ohne diese Angabe gestartet werden, wodurch Ihre IP-Zuweisungen erhalten bleiben.

Wenn Sie keinen ausreichend großen IP-Bereich reservieren können, sollten Sie von der Gemini Enterprise Agent Platform mit Zugriff auf private Dienste zur Gemini Enterprise Agent Platform mit Private Service Connect migrieren.

Benutzerdefinierte Routen exportieren

Wenn Sie benutzerdefinierte Routen verwenden, müssen Sie diese exportieren, damit die Agent Platform sie importieren kann. Wenn Sie keine benutzerdefinierten Routen verwenden, überspringen Sie diesen Abschnitt.

Zum Exportieren benutzerdefinierter Routen aktualisieren Sie die Peering-Verbindung in Ihrer VPC. Beim Exportieren von benutzerdefinierten Routen werden alle aktiven statischen und dynamischen Routen, die sich in Ihrem VPC-Netzwerk befinden, z. B. Routen zu Ihrem lokalen Netzwerk, an die Netzwerke der Dienstersteller gesendet (in diesem Fall die Agent Platform ). Dadurch werden die erforderlichen Verbindungen hergestellt und Trainingsjobs können Traffic an Ihr lokales Netzwerk zurücksenden.

Achten Sie darauf, dass Ihr lokales Netzwerk Routen zurück zu den für die Agent Platform zugewiesenen IP-Adressbereichen hat, damit Antworten korrekt an die Agent Platform zurückgeleitet werden. Verwenden Sie beispielsweise benutzerdefinierte Routen-Ankündigungen für Cloud Router, die die IP-Adressbereiche der Agent Platform enthalten.

Weitere Informationen zu privaten Verbindungen mit lokalen Netzwerken.

Console

Rufen Sie in der Google Cloud Console die Seite „VPC-Netzwerk-Peering“ auf.
Zur Seite "VPC-Netzwerk-Peering"
Wählen Sie die zu aktualisierende Peering-Verbindung aus.
Klicken Sie auf Bearbeiten.
Wählen Sie Benutzerdefinierte Routen exportieren aus.

gcloud

Suchen Sie den Namen der zu aktualisierenden Peering-Verbindung. Wenn Sie mehrere Peering-Verbindungen haben, lassen Sie das Flag --format weg.

gcloud services vpc-peerings list \
  --network=$NETWORK \
  --service=servicenetworking.googleapis.com \
  --project=$PROJECT_ID \
  --format "value(peering)"

Aktualisieren Sie die Peering-Verbindung, um benutzerdefinierte Routen zu exportieren.

gcloud compute networks peerings update PEERING-NAME \
    --network=$NETWORK \
    --export-custom-routes \
    --project=$PROJECT_ID

Status der Peering-Verbindungen prüfen

Wenn Sie sehen möchten, dass Peering-Verbindungen aktiv sind, können Sie sie mit dem folgenden Befehl auflisten:

gcloud compute networks peerings list --network $NETWORK

Der Status des gerade erstellten Peerings sollte ACTIVE lauten. Weitere Informationen zu aktiven Peering-Verbindungen

Fehlerbehebung

In diesem Abschnitt werden einige häufige Probleme bei der Konfiguration von VPC-Netzwerk-Peering mit der Agent Platform aufgeführt.

Wenn Sie die Agent Platform für die Verwendung eines freigegebene VPC-Netzwerks konfigurieren, geben Sie die Netzwerk-URI so an:

"projects/YOUR_SHARED_VPC_HOST_PROJECT/global/networks/YOUR_SHARED_VPC_NETWORK"
Wenn Sie ein gemeinsam genutztes VPC-Netzwerk angeben, das die Agent Platform verwenden soll, achten Sie darauf, dass allen Nutzern oder Dienstkontonutzern für die Agent Platform im Dienstprojekt die Rolle compute.networkUser im Hostprojekt zugewiesen ist.
Achten Sie darauf, dass Sie allen Diensterstellern, mit denen Ihr Netzwerk verbunden ist, einen ausreichenden IP-Bereich zugewiesen haben, einschließlich der Agent Platform.
Wenn die Fehlermeldungen IP_SPACE_EXHAUSTED, RANGES_EXHAUSTED oder PEERING_RANGE_EXHAUSTED auftreten, müssen Sie die Anzahl der verfügbaren IP-Adressen für die Reservierung servicenetworking in Ihrem Netzwerk erhöhen. Sie können der vorhandenen VPC-Netzwerk-Peering-Konfiguration einen neuen Bereich hinzufügen oder einige Agent Platform Ressourcen löschen, um zugewiesene IP-Adressen freizugeben.
Zeitüberschreitungen bei der Verbindung: Nach dem Export benutzerdefinierter Routen werden Verbindungen von der Agent Platform über Ihr Netzwerk weitergeleitet, um Endpunkte in anderen Netzwerken zu erreichen. Diese Endpunkte leiten jedoch möglicherweise keine Antworten über Ihr Netzwerk zurück an die Agent Platform. Achten Sie darauf, dass Sie in diesen Netzwerken auch statische oder dynamische Routen für den Rückgabepfad zum zugewiesenen IP-Bereich der Agent Platform hinzufügen.
Fehler „Verbindungszeitüberschreitungen“ / „Host nicht erreichbar“: Da transaktives Peering nicht unterstützt wird, können Verbindungen von der Agent Platform keine Endpunkte in anderen Netzwerken erreichen, die direkt mit Ihrem Netzwerk verbunden sind. Dies gilt auch, wenn „Benutzerdefinierte Routen exportieren“ aktiviert ist. Sorgen Sie mit Ihrem Netzwerkadministrator dafür, dass nicht versucht wird, Ihr Netzwerk direkt von einem mit Peering verbundenen Netzwerk zu einem anderen zu leiten. Bei Bedarf können Sie einen dieser Peering-Hops durch eine Lösung ersetzen, die statische oder dynamische Routen unterstützt.
DNS-Fehler bezüglich nicht erreichbarem Host: Wenn Ihr Gemini Enterprise Agent Platform-Job Hostnamen in Ihrer VPC auflösen muss, müssen Sie die Konfiguration zum Freigeben privater DNS-Zonen für Dienstersteller abschließen.
Wenn die Erstellung Ihres Pipeline-Jobs mit einem „internen Fehler“ fehlschlägt, der im Logs Explorer identifiziert wurde, muss zusätzlich zum Subnetz für den Zugriff auf private Dienste ein VPC-Netzwerk bereitgestellt sein.
Sie können prüfen, welche Dienste welche IP-Adressen verwenden, damit Sie beispielsweise sehen können, welche Dienste große Blöcke von IP-Adressen verwenden und die Ausschöpfung der IP-Adressen vermeiden.
Wenn der Fehler Unable to create an instance within a Shared VPC network auftritt, finden Sie weitere Informationen unter Fehlerbehebung bei Vertex AI Workbench.
Wenn die Fehlermeldung For the peered network $network_name, couldn't find a free blocks in allocated IP ranges. This is needed to create the cluster., angezeigt wird, müssen Sie die Anzahl der verfügbaren zugewiesenen Bereiche für den Dienst erhöhen. Dazu haben Sie folgende Möglichkeiten:
- Fügen Sie Ihrem Netzwerk einen neuen zugewiesenen Bereich hinzu und fügen Sie ihn Ihrer servicenetworking-googleapis-com privaten Verbindung hinzu. Die Mindestgröße für den zugewiesenen Bereich ist /18.
- Löschen Sie vorhandene nicht verwendete Agent Platform-Ressourcen, um zugewiesene IP-Adressen freizugeben.
- Verwenden Sie Network Analyzer, um die Subnetzauslastung und potenzielle Probleme zu ermitteln.

Weitere Informationen zur Fehlerbehebung finden Sie in der Anleitung zur Fehlerbehebung für VPC-Netzwerk-Peering.

Nächste Schritte

Erfahren Sie, wie Sie private IP-Adressen für benutzerdefiniertes Training verwenden.
Erfahren Sie, wie Sie private Endpunkte für Inferenz verwenden.
Weitere Informationen zum VPC-Netzwerk-Peering.
Informationen zum VPC-Design finden Sie unter Referenzarchitekturen und Best Practices.