Configurar uma interface do Private Service Connect para recursos da Gemini Enterprise Agent Platform

Neste guia, mostramos como configurar uma interface do Private Service Connect para recursos da Gemini Enterprise Agent Platform.

É possível configurar conexões de interface do Private Service Connect para determinados recursos na plataforma de agentes do Gemini Enterprise, incluindo:

Ao contrário das conexões de peering de VPC, as conexões de interface do Private Service Connect são transitivas. Isso requer menos endereços IP na rede VPC do consumidor. Isso permite mais flexibilidade na conexão com outras redes VPC no seu projeto Google Cloud e no ambiente local.

Este guia é destinado a administradores de rede familiarizados com os conceitos de rede Google Cloud .

Objetivos

Este guia abrange as seguintes tarefas:

  • Configure uma rede, uma sub-rede e um anexo de rede VPC consumidora .
  • Adicione regras de firewall ao projeto host da rede Google Cloud .
  • Crie um recurso da Agent Platform especificando o anexo de rede para usar uma interface do Private Service Connect.

Antes de começar

Use as instruções a seguir para criar ou selecionar um projeto do Google Cloud e configure-o para uso com a Gemini Enterprise Agent Platform e o Private Service Connect.

  1. Faça login na sua conta do Google Cloud . Se você começou a usar o Google Cloud, crie uma conta para avaliar o desempenho de nossos produtos em situações reais. Clientes novos também recebem US$ 300 em créditos para executar, testar e implantar cargas de trabalho.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Gemini Enterprise Agent Platform, Compute Engine, and Cloud Storage APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  5. Instale a CLI do Google Cloud.

  6. Ao usar um provedor de identidade (IdP) externo, primeiro faça login na CLI gcloud com sua identidade federada.

  7. Para inicializar a CLI gcloud, execute o seguinte comando: 

    gcloud init

  8. Depois de inicializar a CLI gcloud, atualize-a e instale os componentes necessários:

    gcloud components update
gcloud components install beta

  9. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  10. Verify that billing is enabled for your Google Cloud project.

  11. Enable the Gemini Enterprise Agent Platform, Compute Engine, and Cloud Storage APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  12. Instale a CLI do Google Cloud.

  13. Ao usar um provedor de identidade (IdP) externo, primeiro faça login na CLI gcloud com sua identidade federada.

  14. Para inicializar a CLI gcloud, execute o seguinte comando: 

    gcloud init

  15. Depois de inicializar a CLI gcloud, atualize-a e instale os componentes necessários:

    gcloud components update
gcloud components install beta
  16. Se você não for o proprietário do projeto e não tiver o papel de Administrador de IAM do projeto (roles/resourcemanager.projectIamAdmin), peça ao proprietário para conceder a você um papel do IAM que inclua as permissões compute.networkAttachments.update, compute.networkAttachments.update e compute.regionOperations.get. Por exemplo, o papel de administrador de rede do Compute (roles/compute.networkAdmin) para gerenciar recursos de rede.
  17. Atribua os papéis necessários ao Agente de serviço do AI Platform. Para detalhes sobre quais papéis conceder em diferentes cenários, consulte a seção Papel obrigatório do agente de serviço da plataforma de agentes do Gemini Enterprise deste documento.

Configurar uma rede e uma sub-rede VPC

Siga as etapas de configuração para criar uma rede VPC se você não tiver uma.

  1. Crie uma rede VPC:

    gcloud compute networks create NETWORK \
    --subnet-mode=custom

    Substitua NETWORK por um nome para a rede VPC.

  2. Criar uma sub-rede:

    gcloud compute networks subnets create SUBNET_NAME \
    --network=NETWORK \
    --range=PRIMARY_RANGE \
    --region=REGION

    Substitua:

    • SUBNET_NAME: um nome para a sub-rede.

    • PRIMARY_RANGE: o intervalo IPv4 principal da nova sub-rede, em notação CIDR.

      Confira abaixo os requisitos e limitações de IP para a Agent Platform:

      • O Agent Platform recomenda uma sub-rede /28.
      • A sub-rede do anexo de rede é compatível com endereços RFC 1918 e não RFC 1918, exceto as sub-redes 100.64.0.0/20 e 240.0.0.0/4.
      • A Agent Platform só pode se conectar a intervalos de endereços IP RFC 1918 que podem ser roteados da rede especificada.

      • A Agent Platform não consegue acessar um endereço IP público usado de modo privado ou estes intervalos não RFC 1918:

        • 100.64.0.0/20
        • 192.0.0.0/24
        • 192.0.2.0/24
        • 198.18.0.0/15
        • 198.51.100.0/24
        • 203.0.113.0/24
        • 240.0.0.0/4

      Para mais informações, consulte Intervalos de sub-rede IPv4.

    • REGION: a região do Google Cloud em que você cria a nova sub-rede.

Criar um anexo de rede

Em uma implantação de VPC compartilhada, crie a sub-rede usada para o anexo de rede no projeto host e, em seguida, crie o anexo de rede do Private Service Connect no projeto de serviço.

O exemplo a seguir mostra como criar um anexo de rede que aceite conexões automaticamente.

   gcloud compute network-attachments create NETWORK_ATTACHMENT_NAME \
       --region=REGION \
       --connection-preference=ACCEPT_AUTOMATIC \
       --subnets=SUBNET_NAME

Substitua NETWORK_ATTACHMENT_NAME por um nome para o anexo de rede.

Se o anexo de rede for criado em um projeto diferente do projeto de serviço, transmita o caminho completo do anexo de rede ao chamar o Gemini Enterprise.

Função obrigatória do agente de serviço da Gemini Enterprise Agent Platform

No projeto em que você cria o anexo de rede, conceda a função compute.networkAdmin ao agente de serviço da Gemini Enterprise Agent Platform do mesmo projeto. Ative a API Agent Platform neste projeto com antecedência se ele for diferente do projeto de serviço em que você usa a plataforma de agente.

Se você especificar uma rede de VPC compartilhada para a plataforma de agentes usar e criar um anexo de rede em um projeto de serviço, conceda ao agente de serviço da plataforma de agentes no projeto de serviço em que você usa a plataforma de agentes a função compute.networkUser no projeto host da VPC.

Configurar regras de firewall

O sistema aplica regras de firewall de entrada na VPC do consumidor para permitir a comunicação com a sub-rede de anexo de rede da interface do Private Service Connect de endpoints de computação e locais.

A configuração de regras de firewall é opcional. No entanto, recomendamos que você defina regras de firewall comuns, conforme mostrado nos exemplos a seguir.

  1. Crie uma regra de firewall que permita o acesso SSH na porta TCP 22:

    gcloud compute firewall-rules create NETWORK-firewall1 \
    --network NETWORK \
    --allow tcp:22

  2. Crie uma regra de firewall que permita o tráfego HTTPS na porta TCP 443:

    gcloud compute firewall-rules create NETWORK-firewall2 \
    --network NETWORK \
    --allow tcp:443

  3. Crie uma regra de firewall que permita o tráfego ICMP (como solicitações de ping):

    gcloud compute firewall-rules create NETWORK-firewall3 \
    --network NETWORK \
    --allow icmp

Configurar um peering de DNS particular

Para permitir que os jobs do Vertex AI Training ou os agentes do Agent Runtime configurados com PSC-I resolvam registros DNS particulares em zonas do Cloud DNS gerenciadas pelo cliente, a API Agent Platform oferece um mecanismo configurável pelo usuário para especificar quais domínios DNS serão pareados com recursos internos do Google. Faça as seguintes configurações adicionais:

  1. Atribua o papel Peer(roles/dns.peer) do DNS à conta do agente de serviço da AI Platform do projeto em que você está usando os serviços do Vertex AI Training ou do Agent Runtime. Se você especificar uma rede de VPC compartilhada para a plataforma do Gemini Enterprise Agent usar e criar um anexo de rede em um projeto de serviço, conceda ao agente de serviço da AI Platform no projeto de serviço em que você usa a plataforma do agente o papel Peer(roles/dns.peer) do DNS no projeto host da VPC.

  2. Crie uma regra de firewall que permita todo o tráfego ICMP, TCP e UDP (opcional):

    gcloud compute firewall-rules create NETWORK-firewall4 \
    --network NETWORK
    --allow tcp:0-65535,udp:0-65535,icmp
    --source-ranges IP_RANGES

  3. Configure sua zona de DNS particular para resolução de DNS e roteamento de tráfego. Para adicionar registros DNS à sua zona de DNS particular, consulte Adicionar um conjunto de registros de recursos.

Solução de problemas

Esta seção aborda alguns problemas comuns ao configurar o Private Service Connect com a Gemini Enterprise Agent Platform.

Ao configurar o Agent Platform com uma VPC compartilhada, crie o anexo de rede no projeto de serviço em que você usa o Agent Platform. Essa abordagem ajuda a evitar determinadas mensagens de erro, como:

_Please make sure that the Agent Platform API is enabled for the
project_, by ensuring the
necessary permissions and APIs are enabled in the correct project.

A seguir