Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Configurazione del peering di rete VPC

Puoi configurare la piattaforma agentica Gemini Enterprise per il peering con Virtual Private Cloud (VPC) per connetterti direttamente a determinate risorse in Agent Platform, tra cui:

Questa guida mostra come configurare il peering di rete VPC per eseguire il peering della tua rete con le risorse di Agent Platform. Questa guida è consigliata agli amministratori di rete che hanno già familiarità con Google Cloud i concetti di rete.

Panoramica

Questa guida illustra le seguenti attività:

Configura l'accesso privato ai servizi per il VPC. In questo modo viene stabilita una connessione in peering tra il tuo VPC e la rete VPC condivisa di Google.
Considera l'intervallo IP che devi riservare per Agent Platform.
Se applicabile, esporta le route personalizzate in modo che Agent Platform possa importarle.

Prima di iniziare

Seleziona un VPC di cui vuoi eseguire il peering con le risorse di Agent Platform. È possibile eseguire il peering di Agent Platform con una sola rete per regione alla volta.
Seleziona o crea un Google Cloud progetto da utilizzare per Agent Platform.
Verifica che la fatturazione sia attivata per il tuo Google Cloud progetto.
Abilita le API Compute Engine, Agent Platform e Service Networking.
Ruoli richiesti per abilitare le API
Per abilitare le API, devi disporre del ruolo IAM Amministratore utilizzo servizi (roles/serviceusage.serviceUsageAdmin), che contiene l'autorizzazione serviceusage.services.enable. Scopri come concedere i ruoli.
Abilita le API

Facoltativamente, puoi utilizzare il VPC condiviso. Se utilizzi il VPC condiviso, in genere utilizzi Agent Platform in un progetto separato Google Cloud dal progetto host del VPC. Abilita le API Compute Engine e Service Networking in entrambi i progetti. Scopri come eseguire il provisioning del VPC condiviso.
Installa gcloud CLI se vuoi eseguire gli gcloud esempi in questa guida.

Ruoli obbligatori

Se non sei il proprietario o l'editor di un progetto, assicurati di disporre del ruolo Amministratore rete Compute (roles/compute.networkAdmin), che include i ruoli necessari per gestire le risorse di rete.

Peering con una rete on-premise

Per il peering di rete VPC con una rete on-premise, sono previsti passaggi aggiuntivi:

Connetti la rete on-premise al VPC. Puoi utilizzare un tunnel VPN o Interconnect.
Configura le route personalizzate dal VPC alla rete on-premise.
Esporta le route personalizzate in modo che Agent Platform possa importarle.

Configura l'accesso privato ai servizi per il VPC

Quando configuri l'accesso privato ai servizi, stabilisci una connessione privata tra la tua rete e una rete di proprietà di Google o di un servizio di terze parti (producer di servizi). In questo caso, Agent Platform è un producer di servizi. Per configurare l'accesso privato ai servizi, riserva un intervallo IP per i producer di servizi, e quindi crea una connessione in peering con Agent Platform.

Se hai già un VPC con l'accesso privato ai servizi configurato, passa all'esportazione delle route personalizzate.

Imposta le variabili di ambiente per l'ID progetto, il nome dell'intervallo riservato e il nome della rete. Se utilizzi il VPC condiviso, utilizza l'ID progetto del progetto host del VPC. In caso contrario, utilizza l'ID progetto del Google Cloud progetto che utilizzi per Agent Platform.
Abilita le API richieste. Se utilizzi il VPC condiviso, consulta Utilizzare il VPC condiviso con Agent Platform.
Imposta un intervallo riservato utilizzando gcloud compute addresses create.

Stabilisci una connessione in peering tra il progetto host del VPC e Service Networking di Google utilizzando gcloud services vpc-peerings connect.

Per gli endpoint di inferenza privati, ti consigliamo di riservare almeno un blocco /21 per la subnet per l'hosting dei modelli. La prenotazione di un blocco più piccolo può causare errori di deployment a causa di indirizzi IP insufficienti.

La subnet 172.16.0.0/16 è riservata per Vertex AI Training. Devi specificare una subnet che non si sovrapponga a questo intervallo CIDR.

PROJECT_ID=YOUR_PROJECT_ID
gcloud config set project $PROJECT_ID

# This is for display only; you can name the range anything.
PEERING_RANGE_NAME=google-reserved-range

NETWORK=YOUR_NETWORK_NAME

# NOTE: `prefix-length=16` means a CIDR block with mask /16 will be
# reserved for use by Google services, such as Agent Platform.
gcloud compute addresses create $PEERING_RANGE_NAME \
  --global \
  --prefix-length=16 \
  --description="peering range for Google service" \
  --network=$NETWORK \
  --purpose=VPC_PEERING

# Create the VPC connection.
gcloud services vpc-peerings connect \
  --service=servicenetworking.googleapis.com \
  --network=$NETWORK \
  --ranges=$PEERING_RANGE_NAME \
  --project=$PROJECT_ID

Scopri di più sull'accesso privato ai servizi .

Utilizzare il VPC condiviso con Agent Platform

Se utilizzi il VPC condiviso nel tuo progetto, consulta la sezione relativa al provisioning del VPC condiviso e assicurati di completare i seguenti passaggi:

Abilita le API Compute Engine e Service Networking nel progetto host e di servizio. L'API Agent Platform deve essere abilitata per il progetto di servizio.
Crea la connessione di peering di rete VPC tra il tuo VPC e i servizi Google all'interno del progetto host.
Durante la creazione di Agent Platform, devi specificare il nome della rete a cui vuoi che Agent Platform abbia accesso al VPC condiviso.
Verifica che il servizio o l'account utente utilizzato abbia il ruolo Utente di rete Compute (roles/compute.networkUser).

Riservare intervalli IP per Agent Platform

Quando riserva un intervallo IP per i producer di servizi, l'intervallo può essere utilizzato da Agent Platform e da altri servizi. Se ti connetti a più producer di servizi utilizzando lo stesso intervallo, alloca un intervallo più ampio per ospitarli, in modo da evitare l'esaurimento degli IP.

Consulta la tabella delle raccomandazioni per le subnet per assicurarti che la prenotazione IP per l'accesso privato ai servizi sia sufficientemente ampia per il tuo carico di lavoro.

Se un job viene avviato con il --network parametro, verrà avviato in una rete gestita da Google di cui è stato eseguito il peering con il tuo VPC:

--network = "projects/${host_project}/global/networks/${network}"

Tutti i job che non devono accedere alle tue reti possono essere avviati senza questa dichiarazione, preservando così le allocazioni IP.

Se non riesci a riservare un intervallo IP sufficientemente ampio, valuta la migrazione da Gemini Enterprise Agent Platform con accesso privato ai servizi a Gemini Enterprise Agent Platform con Private Service Connect

Esportare route personalizzate

Se utilizzi route personalizzate, devi esportarle in modo che Agent Platform possa importarle. Se non utilizzi route personalizzate, salta questa sezione.

Per esportare le route personalizzate, aggiorna la connessione in peering nel VPC. L'esportazione delle route personalizzate invia tutte le route statiche e dinamiche idonee presenti nella rete VPC, ad esempio le route alla rete on-premise, alle reti dei producer di servizi (in questo caso Agent Platform ). In questo modo vengono stabilite le connessioni necessarie e i job di addestramento possono inviare il traffico alla rete on-premise.

Assicurati che la rete on-premise abbia route di ritorno agli intervalli di indirizzi IP allocati per Agent Platform in modo che le risposte vengano instradate correttamente ad Agent Platform. Ad esempio, utilizza gli annunci di route personalizzate del router Cloud che includono gli intervalli di indirizzi IP di Agent Platform.

Scopri di più sulle connessioni private con le reti on-premise.

Console

Vai alla pagina Peering di rete VPC nella Google Cloud console.
Vai alla pagina Peering di rete VPC
Seleziona la connessione in peering da aggiornare.
Fai clic su Modifica.
Seleziona Esporta route personalizzate.

gcloud

Trova il nome della connessione in peering da aggiornare. Se hai più connessioni in peering, ometti il flag --format.

gcloud services vpc-peerings list \
  --network=$NETWORK \
  --service=servicenetworking.googleapis.com \
  --project=$PROJECT_ID \
  --format "value(peering)"

Aggiorna la connessione in peering per esportare le route personalizzate.

gcloud compute networks peerings update PEERING-NAME \
    --network=$NETWORK \
    --export-custom-routes \
    --project=$PROJECT_ID

Controllare lo stato delle connessioni in peering

Per verificare che le connessioni in peering siano attive, puoi elencarle utilizzando il seguente comando:

gcloud compute networks peerings list --network $NETWORK

Dovresti vedere che lo stato del peering appena creato è ACTIVE. Scopri di più sulle connessioni in peering attive.

Risoluzione dei problemi

Questa sezione elenca alcuni problemi comuni relativi alla configurazione del peering di rete VPC con Agent Platform.

Quando configuri Agent Platform per utilizzare una rete VPC condiviso, specifica l'URI di rete nel seguente modo.

"projects/YOUR_SHARED_VPC_HOST_PROJECT/global/networks/YOUR_SHARED_VPC_NETWORK"
Se specifichi una rete VPC condivisa da utilizzare per Agent Platform, assicurati che tutti gli utenti o gli attori del service account per Agent Platform nel progetto di servizio abbiano il ruolo compute.networkUser concesso nel progetto host.
Assicurati di aver allocato un intervallo IP sufficiente per tutti i producer di servizi a cui si connette la tua rete, inclusa Agent Platform.
Se visualizzi i messaggi di errore IP_SPACE_EXHAUSTED, RANGES_EXHAUSTED o PEERING_RANGE_EXHAUSTED, devi aumentare la quantità di indirizzi IP disponibili per la prenotazione servicenetworking nella tua rete. Puoi aggiungere un nuovo intervallo alla configurazione di peering di rete VPC esistente o eliminare alcune risorse di Agent Platform per rilasciare gli indirizzi IP allocati.
Timeout di connessione: dopo l'esportazione delle route personalizzate, le connessioni da Agent Platform verranno instradate attraverso la tua rete per raggiungere gli endpoint in altre reti. Tuttavia, questi endpoint potrebbero non essere instradati attraverso la tua rete per inviare le risposte a Agent Platform. Assicurati di aggiungere anche route statiche o dinamiche in queste reti per il percorso di ritorno all'intervallo IP allocato di Agent Platform.
Errori di timeout di connessione / host non raggiungibile: poiché il peering transitivo non è supportato, le connessioni da Agent Platform non potranno raggiungere gli endpoint in altre reti di cui è stato eseguito il peering diretto con la tua rete, anche se l'opzione "Esporta route personalizzate" è abilitata. Collabora con l'amministratore di rete per assicurarti che non vengano effettuati tentativi di instradare direttamente la tua rete da una rete di cui è stato eseguito il peering diretto a un'altra. Se necessario, puoi sostituire uno di questi hop di peering con una soluzione che supporta route statiche o dinamiche.
Errori DNS host non raggiungibile: se il job della piattaforma agentica Gemini Enterprise deve risolvere i nomi host nel VPC, assicurati di aver completato la configurazione per condividere le zone DNS private con i producer di servizi.
Se il job della pipeline non riesce a essere creato con "errore interno" identificato in Esplora log, assicurati di aver eseguito il deployment di una rete VPC oltre alla subnet di accesso privato ai servizi.
Puoi controllare quali servizi utilizzano quali indirizzi IP in modo che, ad esempio, tu possa vedere quali servizi utilizzano blocchi di indirizzi IP di grandi dimensioni ed evitare l'esaurimento degli indirizzi IP.
Se visualizzi il messaggio di errore Unable to create an instance within a Shared VPC network, consulta Risoluzione dei problemi di Vertex AI Workbench.
Se visualizzi il messaggio di errore For the peered network $network_name, couldn't find a free blocks in allocated IP ranges. This is needed to create the cluster., devi aumentare la quantità di intervalli allocati disponibili per il servizio. Puoi farlo nei seguenti modi:
- Aggiungi un nuovo intervallo allocato alla tua rete e aggiungilo alla tua servicenetworking-googleapis-com connessione privata. Tieni presente che la dimensione minima dell'intervallo allocato richiesta è /18.
- Elimina le risorse di Agent Platform esistenti non utilizzate per rilasciare gli indirizzi IP allocati.
- Utilizza Network Analyzer per identificare l'utilizzo della subnet e i potenziali problemi.

Per ulteriori informazioni sulla risoluzione dei problemi, consulta la guida alla risoluzione dei problemi relativi al peering di rete VPC .

Passaggi successivi

Scopri come utilizzare l'IP privato per l'addestramento personalizzato.
Scopri come utilizzare gli endpoint privati per l'inferenza.
Scopri di più sul peering di rete VPC.
Consulta le architetture di riferimento e le best practice per la progettazione di VPC.