Panduan ini menunjukkan cara menyiapkan antarmuka Private Service Connect untuk resource Gemini Enterprise Agent Platform.
Anda dapat mengonfigurasi koneksi antarmuka Private Service Connect untuk resource tertentu di Gemini Enterprise Agent Platform, termasuk:
Tidak seperti koneksi peering VPC, koneksi antarmuka Private Service Connect bersifat transitif. Hal ini memerlukan lebih sedikit alamat IP di jaringan VPC konsumen. Hal ini memungkinkan fleksibilitas yang lebih besar dalam menghubungkan ke jaringan VPC lain di Google Cloud project Anda dan lokal.
Panduan ini ditujukan untuk administrator jaringan yang memahami konsep Google Cloud jaringan.
Tujuan
Panduan ini mencakup tugas-tugas berikut:
- Mengonfigurasi jaringan, subnet, dan lampiran jaringan VPC konsumen .
- Menambahkan aturan firewall ke project host jaringan Anda. Google Cloud
- Membuat resource Agent Platform yang menentukan lampiran jaringan untuk menggunakan antarmuka Private Service Connect.
Sebelum memulai
Gunakan petunjuk berikut untuk membuat atau memilih Google Cloud project dan mengonfigurasinya untuk digunakan dengan Gemini Enterprise Agent Platform dan Private Service Connect.
- Login ke akun Anda. Google Cloud Jika Anda baru menggunakan Google Cloud, buat akun untuk mengevaluasi performa produk kami dalam skenario dunia nyata. Pelanggan baru juga mendapatkan kredit gratis senilai $300 untuk menjalankan, menguji, dan men-deploy workload.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator role
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
Verify that billing is enabled for your Google Cloud project.
Enable the Gemini Enterprise Agent Platform, Compute Engine, and Cloud Storage APIs.
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM role (
roles/serviceusage.serviceUsageAdmin), which contains theserviceusage.services.enablepermission. Learn how to grant roles.-
Instal Google Cloud CLI.
-
Jika Anda menggunakan penyedia identitas (IdP) eksternal, Anda harus login ke gcloud CLI dengan identitas gabungan Anda terlebih dahulu.
-
Untuk melakukan inisialisasi gcloud CLI, jalankan perintah berikut:
gcloud init -
Setelah menginisialisasi gcloud CLI, update gcloud CLI dan instal komponen yang diperlukan:
gcloud components update gcloud components install beta
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator role
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
Verify that billing is enabled for your Google Cloud project.
Enable the Gemini Enterprise Agent Platform, Compute Engine, and Cloud Storage APIs.
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM role (
roles/serviceusage.serviceUsageAdmin), which contains theserviceusage.services.enablepermission. Learn how to grant roles.-
Instal Google Cloud CLI.
-
Jika Anda menggunakan penyedia identitas (IdP) eksternal, Anda harus login ke gcloud CLI dengan identitas gabungan Anda terlebih dahulu.
-
Untuk melakukan inisialisasi gcloud CLI, jalankan perintah berikut:
gcloud init -
Setelah menginisialisasi gcloud CLI, update gcloud CLI dan instal komponen yang diperlukan:
gcloud components update gcloud components install beta
- Jika Anda bukan pemilik project dan tidak memiliki peran
Admin IAM Project (
roles/resourcemanager.projectIamAdmin), minta pemilik untuk memberi Anda peran IAM yang mencakup izincompute.networkAttachments.update,compute.networkAttachments.update, dancompute.regionOperations.get: misalnya, peran Admin Jaringan Compute (roles/compute.networkAdmin), untuk mengelola resource jaringan. - Tetapkan peran yang diperlukan ke Agen Layanan AI Platform. Untuk mengetahui detail tentang peran yang akan diberikan dalam berbagai skenario, lihat bagian peran yang diperlukan agen layanan Gemini Enterprise Agent Platform dalam dokumen ini.
Menyiapkan Jaringan VPC dan subnet
Ikuti langkah-langkah konfigurasi untuk membuat jaringan VPC baru jika Anda tidak memiliki jaringan.
-
gcloud compute networks create NETWORK \ --subnet-mode=customGanti NETWORK dengan nama untuk jaringan VPC.
-
gcloud compute networks subnets create SUBNET_NAME \ --network=NETWORK \ --range=PRIMARY_RANGE \ --region=REGIONGanti kode berikut:
- SUBNET_NAME: nama untuk subnet.
PRIMARY_RANGE: rentang IPv4 utama untuk subnet baru, dalam notasi CIDR.
Berikut adalah persyaratan dan batasan IP untuk Agent Platform:
- Agent Platform merekomendasikan subnetwork
/28. - Subnet lampiran jaringan mendukung alamat RFC 1918 dan non-RFC 1918, kecuali subnet 100.64.0.0/20 dan 240.0.0.0/4.
- Agent Platform hanya dapat terhubung ke rentang alamat IP RFC 1918 yang dapat dirutekan dari jaringan yang ditentukan.
Agent Platform tidak dapat menjangkau alamat IP publik yang digunakan secara pribadi atau rentang non-RFC 1918 berikut:
100.64.0.0/20192.0.0.0/24192.0.2.0/24198.18.0.0/15198.51.100.0/24203.0.113.0/24240.0.0.0/4
Untuk mengetahui informasi selengkapnya, lihat rentang subnet IPv4.
- Agent Platform merekomendasikan subnetwork
REGION: Google Cloud region tempat Anda membuat subnet baru.
Membuat lampiran jaringan
Dalam deployment VPC Bersama, buat subnet yang digunakan untuk Lampiran Jaringan di Project Host, lalu buat Lampiran Jaringan Private Service Connect di Project Layanan.
Contoh berikut menunjukkan cara Membuat lampiran jaringan yang secara otomatis menerima koneksi.
gcloud compute network-attachments create NETWORK_ATTACHMENT_NAME \
--region=REGION \
--connection-preference=ACCEPT_AUTOMATIC \
--subnets=SUBNET_NAME
Ganti NETWORK_ATTACHMENT_NAME dengan nama untuk lampiran jaringan.
Jika lampiran jaringan dibuat di project yang berbeda dengan Project Layanan, Anda harus meneruskan jalur lampiran jaringan lengkap saat memanggil Gemini Enterprise.
Peran yang diperlukan agen layanan Gemini Enterprise Agent Platform
Di project tempat Anda membuat lampiran jaringan, berikan
peran compute.networkAdmin ke
agen layanan Gemini Enterprise Agent Platform
dari project yang sama. Aktifkan Agent Platform API di project ini terlebih dahulu jika berbeda dengan project layanan tempat Anda menggunakan Agent Platform.
Jika Anda menentukan jaringan
VPC Bersama untuk digunakan oleh
Agent Platform
dan membuat lampiran jaringan di project layanan, berikan peran
agen layanan Agent Platform
di project layanan tempat Anda menggunakan
Agent Platform compute.networkUser ke project host VPC Anda.
Mengonfigurasi aturan firewall
Sistem menerapkan aturan firewall Ingress di VPC konsumen untuk mengaktifkan komunikasi dengan subnet lampiran jaringan antarmuka Private Service Connect dari endpoint komputasi dan lokal.
Mengonfigurasi aturan firewall bersifat opsional. Namun, sebaiknya tetapkan aturan firewall umum seperti yang ditunjukkan dalam contoh berikut.
Buat aturan firewall yang mengizinkan akses SSH di port TCP 22:
gcloud compute firewall-rules create NETWORK-firewall1 \ --network NETWORK \ --allow tcp:22Buat aturan firewall yang mengizinkan traffic HTTPS di port TCP 443:
gcloud compute firewall-rules create NETWORK-firewall2 \ --network NETWORK \ --allow tcp:443Buat aturan firewall yang mengizinkan traffic ICMP (seperti permintaan ping):
gcloud compute firewall-rules create NETWORK-firewall3 \ --network NETWORK \ --allow icmp
Menyiapkan peering DNS pribadi
Untuk mengaktifkan tugas Vertex AI Training atau agen Agent Runtime yang dikonfigurasi dengan PSC-I untuk me-resolve data DNS pribadi di zona Cloud DNS yang dikelola pelanggan, Agent Platform API menawarkan mekanisme yang dapat dikonfigurasi pengguna untuk menentukan domain DNS mana yang akan di-peering dengan resource internal Google. Lakukan konfigurasi tambahan berikut:
Tetapkan peran DNS
Peer(roles/dns.peer)ke akun Agen Layanan AI Platform dari project tempat Anda menggunakan layanan Vertex AI Training atau Agent Runtime. Jika Anda menentukan jaringan VPC Bersama untuk digunakan oleh Gemini Enterprise Agent Platform dan membuat lampiran jaringan di project layanan, berikan peran DNSPeer(roles/dns.peer)ke Agen Layanan AI Platform di project layanan tempat Anda menggunakan Agent Platform di project host VPC Anda.Buat aturan firewall yang mengizinkan semua traffic ICMP, TCP, dan UDP (opsional):
gcloud compute firewall-rules create NETWORK-firewall4 \ --network NETWORK --allow tcp:0-65535,udp:0-65535,icmp --source-ranges IP_RANGESSiapkan zona DNS pribadi Anda untuk resolusi DNS dan perutean traffic. Untuk menambahkan data DNS ke zona DNS pribadi, lihat Menambahkan kumpulan data resource.
Pemecahan masalah
Bagian ini membahas beberapa masalah umum untuk mengonfigurasi Private Service Connect dengan Gemini Enterprise Agent Platform.
Saat mengonfigurasi Agent Platform dengan VPC Bersama, buat lampiran jaringan di project layanan tempat Anda menggunakan Agent Platform. Pendekatan ini membantu mencegah pesan error tertentu, seperti:
_Please make sure that the Agent Platform API is enabled for the
project_, by ensuring the
necessary permissions and APIs are enabled in the correct project.
Langkah berikutnya
- Pelajari cara menggunakan egress antarmuka Private Service Connect untuk Ray di Vertex AI.
- Pelajari cara menggunakan egress antarmuka Private Service Connect untuk pelatihan kustom.
- Pelajari cara menggunakan egress antarmuka Private Service Connect untuk Agent Platform Pipelines.
- Pelajari cara menggunakan egress antarmuka Private Service Connect untuk Agent Runtime