この古いバージョンの AI Platform Training は非推奨になりました。2025 年 1 月 31 日を過ぎると Google Cloud で使用できなくなります。リソースを Vertex AI カスタムトレーニングに移行することで、AI Platform にはない新しい機械学習機能を利用できます。

トレーニングでの VPC ネットワークピアリングの使用

Virtual Private Cloud（VPC）とピアリングするように AI Platform Training ジョブを構成できます。これにより、トレーニングジョブで Google Cloud 内またはオンプレミスネットワーク内のプライベート IP アドレスにアクセスできます。プライベート IP を使用してトレーニングジョブに接続すると、パブリック IP を使用する場合よりも、ネットワークセキュリティが強化され、ネットワークレイテンシが短縮されます。

このガイドでは、VPC ネットワークピアリングを使用して AI Platform Training ジョブでネットワークをピアリングすることによって、AI Platform Training でプライベート IP を構成する方法について説明します。このガイドは、Google Cloud のネットワーキングのコンセプトに精通しているネットワーク管理者を対象としています。

概要

このガイドでは、次のタスクについて説明します。

VPC のプライベートサービスアクセスを構成する。これにより、VPC と Google の共有 VPC ネットワークの間にピアリング接続が確立されます。
AI Platform Training 用に予約する必要がある IP 範囲を検討する。
必要に応じて、AI Platform Training でインポートできるようにカスタムルートをエクスポートする。
ピアリング接続のステータスを確認する。
ネットワーク上でトレーニングジョブを送信する。
別のネットワーク上でジョブを送信する前に、あるネットワーク上でアクティブなトレーニングジョブを確認する。
トレーニングジョブでネットワーク内のプライベート IP にアクセスできることをテストする。

始める前に

AI Platform のトレーニングジョブとピアリングする VPC を選択する。
AI Platform Training でトレーニングジョブを実行する Google Cloud プロジェクトを選択するか、作成する。
Google Cloud プロジェクトで課金が有効になっていることを確認します。

Compute Engine API, AI Platform Training & Prediction, and the Service Networking API を有効にします。
API を有効にする

必要に応じて、共有 VPCを使用できます。共有 VPC を使用する場合、通常は VPC ホストプロジェクトとは別の Google Cloud プロジェクトでトレーニングジョブを実行します。両方のプロジェクトで Compute Engine API と Service Networking API を有効にします。共有 VPC のプロビジョニング方法を学習します。
このガイドの gcloud コマンドラインのサンプルを実行する場合は、gcloud CLI をインストールします。

権限

プロジェクトオーナーまたは編集者でない場合は、ネットワークリソースを管理するために必要な権限が含まれる Compute ネットワーク管理者のロールが必要です。

AI Platform Training でジョブを実行するには、AI Platform Training 管理者または AI Platform Training デベロッパーのロールに含まれている権限が必要です。詳しくは、AI Platform Training の IAM のロールをご覧ください。

オンプレミスネットワークとのピアリング

オンプレミスネットワークとの VPC ネットワークピアリングの場合、追加の手順があります。

オンプレミスネットワークを VPC に接続します。VPN トンネルまたは Interconnect を使用できます。
VPC からオンプレミスネットワークへのカスタムルートを設定します。
カスタムルートをエクスポートして、AI Platform Training でインポートできるようにします。

VPC のプライベートサービスアクセスを設定する

プライベートサービスアクセスを設定すると、お客様のネットワークと、Google またはサードパーティのサービス（サービスプロデューサー）が所有するネットワークの間にプライベート接続が確立されます。この場合、AI Platform Training がサービスプロデューサーです。プライベートサービスアクセスを設定するには、サービスプロデューサー用にIP 範囲を予約してから、AI Platform Training とのピアリング接続を作成します。

プライベートサービスアクセスが構成された VPC がすでに存在していて、その VPC を使用してトレーニングジョブとピアリングする場合は、カスタムルートのエクスポートに進みます。

プロジェクト ID、リージョン名、予約済み範囲の名前、ネットワーク名の環境変数を設定します。
- 共有 VPC を使用する場合は、VPC ホストプロジェクトのプロジェクト ID を使用します。それ以外の場合は、トレーニングジョブの実行に使用する Google Cloud プロジェクトのプロジェクト ID を使用します。
- AI Platform Training で使用する有効なリージョンを選択します。
必要な API を有効にします。共有 VPC を使用する場合は、VPC ホストプロジェクトの API と、トレーニングジョブの実行に使用する Google Cloud プロジェクトを有効にします。
gcloud compute addresses create を使用して予約済みの範囲を設定します。

gcloud services vpc-peerings connect を使用して、VPC ホストプロジェクトと Google のサービスネットワーキングの間にピアリング接続を確立します。

PROJECT_ID=YOUR_PROJECT_ID
gcloud config set project $PROJECT_ID

REGION=YOUR_REGION

# This is for display only; you can name the range anything.
PEERING_RANGE_NAME=google-reserved-range

NETWORK=YOUR_NETWORK_NAME

# NOTE: `prefix-length=16` means a CIDR block with mask /16 will be
# reserved for use by Google services, such as AI Platform Training.
gcloud compute addresses create $PEERING_RANGE_NAME \
  --global \
  --prefix-length=16 \
  --description="peering range for Google service" \
  --network=$NETWORK \
  --purpose=VPC_PEERING

# Create the VPC connection.
gcloud services vpc-peerings connect \
  --service=servicenetworking.googleapis.com \
  --network=$NETWORK \
  --ranges=$PEERING_RANGE_NAME \
  --project=$PROJECT_ID

プライベートサービスアクセスの詳細をご確認ください。

AI Platform Training 用の IP 範囲の予約

サービスプロデューサー用の IP 範囲を予約すると、その範囲は、AI Platform Training とその他のサービスの両方で使用できるようになります。したがって、他のサービスを同じ予約済み範囲に接続する予定がある場合は、その範囲が IP が枯渇することのない十分な大きさであるようにする必要があります。

各トレーニングジョブが使用するアドレスの数の控えめな見積もりは、次のように計算できます。

nextPow2(32 * NUMBER_OF_POOLS * max(POOL_SIZE))

次の表に、/16 から /19 までの予約済み範囲で実行できる並列トレーニングジョブの最大数を示します。この範囲は AI Platform Training がほぼ独占的に使用することが前提となっています。

トレーニングジョブのマシン構成	予約済み範囲	並列ジョブの最大数
最大 8 ノード。例: 6 つのワーカー、1 つのマスター、1 つのパラメータサーバー。	/16	63
	/17	31
	/18	15
	/19	7

最大 16 ノード。例: 14 個のワーカー、1 つのマスター、1 つのパラメータサーバー。	/16	31
	/17	15
	/18	7
	/19	3

最大 32 ノード。例: 30 個のワーカー、1 つのマスター、1 つのパラメータサーバー。	/16	15
	/17	7
	/18	3
	/19	1

詳細については、トレーニングジョブのマシンタイプの指定をご覧ください。

カスタムルートをエクスポートする

カスタムルートを使用する場合は、AI Platform Training でインポートできるようにエクスポートする必要があります。カスタムルートを使用しない場合は、トレーニングジョブの送信に進みます。

カスタムルートをエクスポートするには、VPC でピアリング接続を更新します。カスタムルートをエクスポートすると、VPC ネットワーク内のすべての有効な静的ルートと動的ルート（オンプレミスネットワークへのルートなど）がサービスプロデューサーのネットワーク（この場合は AI Platform Training）に送信されます。これにより、必要な接続が確立され、トレーニングジョブでオンプレミスネットワークにトラフィックを戻すことが可能になります。

オンプレミスネットワークとのプライベート接続について学習します。

コンソール

Google Cloud コンソールの [VPC ネットワークピアリング] ページに移動します。
[VPC ネットワークピアリング] ページに移動
更新するピアリング接続を選択します。
[編集] をクリックします。
[カスタムルートのエクスポート] を選択します。

gcloud

更新するピアリング接続の名前を探します。複数のピアリング接続がある場合は、--format フラグを省略します。

gcloud services vpc-peerings list \
  --network=$NETWORK \
  --service=servicenetworking.googleapis.com \
  --project=$PROJECT_ID \
  --format "value(peering)"

ピアリング接続を更新してカスタムルートをエクスポートします。

gcloud compute networks peerings update PEERING-NAME \
    --network=$NETWORK \
    --export-custom-routes \
    --project=$PROJECT_ID

ピアリング接続のステータスを確認する

ピアリング接続がアクティブであることを確認するには、以下を使用して一覧表示します。

gcloud compute networks peerings list --network $NETWORK

作成したピアリングの状態が ACTIVE と表示されているはずです。詳しくは、アクティブなピアリング接続をご覧ください。

トレーニングジョブを送信する

トレーニングジョブを送信するときに、AI Platform Training でアクセスするネットワークの名前を指定する必要があります。

ネットワーク名を指定せずにトレーニングジョブを送信すると、デフォルトでは、ピアリング接続なしで、プロジェクト内のプライベート IP にアクセスすることなくトレーニングジョブを実行します。

ネットワークを指定する config.yaml を作成します。共有 VPC を使用している場合は、VPC ホストプロジェクト番号を使用します。

ネットワーク名が正しくフォーマットされていることを確認します。
```
PROJECT_NUMBER=$(gcloud projects describe $PROJECT_ID --format="value(projectNumber)")
cat << EOF > config.yaml
trainingInput:
  scaleTier: BASIC
  network: projects/$PROJECT_NUMBER/global/networks/$NETWORK
EOF
```
AI Platform Training に送信するトレーニングアプリケーションを作成します。

トレーニングジョブ用のその他のパラメータを指定します。トレーニングジョブの送信に必要なパラメータについて学習します。

TRAINER_PACKAGE_PATH="PATH_TO_YOUR_TRAINING_APPLICATION"
now=$(date +"%Y%m%d_%H%M%S")
JOB_NAME="YOUR_JOB_NAME_$now"
MAIN_TRAINER_MODULE="trainer.task"
JOB_DIR="gs://PATH_TO_OUTPUT_DIRECTORY"
REGION="us-east1"
RUNTIME_VERSION="2.11"
PYTHON_VERSION="3.7"

config.yaml ファイルを渡して、ジョブを送信します。

gcloud ai-platform jobs submit training $JOB_NAME \
  --module-name $MAIN_TRAINER_MODULE \
  --job-dir $JOB_DIR \
  --region $REGION \
  --runtime-version $RUNTIME_VERSION \
  --python-version $PYTHON_VERSION \
  --package-path $TRAINER_PACKAGE_PATH \
  --config config.yaml

異なるネットワークでのジョブの実行

別のネットワークにアクティブなトレーニングジョブがある場合、新しいネットワークにトレーニングジョブを送信することはできません。別のネットワークに切り替える前に、すべてのトレーニングジョブの送信が完了するまで待つか、キャンセルする必要があります。たとえば、テスト用にネットワークを設定し、そのテスト用ネットワークでトレーニングジョブを送信した場合は、そのテスト用ネットワークでアクティブなジョブを検索して、本番環境用に別のネットワーク上でトレーニングジョブを送信する前に、それらが完了しているかキャンセルされたことを確認する必要があります。

ネットワーク上でまだアクティブなトレーニングジョブを一覧表示します。

PROJECT_NUMBER=$(gcloud projects describe $PROJECT_ID --format="value(projectNumber)")
NETWORK_FULL_NAME="projects/$PROJECT_NUMBER/global/networks/$NETWORK"

gcloud ai-platform jobs list \
  --filter "(state=queued OR state=running) AND (trainingInput.network=$NETWORK_FULL_NAME)"

出力は次のように表示されます。

JOB_ID                                             STATUS     CREATED
job_20200502_151443                                QUEUED     2020-05-02T15:14:47

表示されているジョブがある場合は、完了するまで待つか、gcloud ai-platform jobs cancel を使用して各ジョブをキャンセルできます。

トレーニングジョブへのアクセスをテストする

トレーニングジョブがネットワーク内のエンドポイントにアクセスできることをテストするには、ネットワーク内にエンドポイントを設定し、それにアクセスするトレーニングジョブを送信する必要があります。詳しくは、ピアリング接続のテストに関するガイドをご覧ください。

トラブルシューティング

このセクションでは、AI Platform Training との VPC ネットワークピアリングの構成に関する一般的な問題について説明します。

トレーニングジョブを送信するときは、完全なネットワーク名を使用します。

"projects/YOUR_PROJECT_NUMBER/global/networks/YOUR_NETWORK_NAME"
ネットワークとピアリングされたトレーニングジョブでは TPU を使用しないでください。TPU は、AI Platform Training での VPC ネットワークピアリングではサポートされていません。
別のネットワークでトレーニングジョブを送信する前に、ネットワークにアクティブなトレーニングジョブがないことを確認します。
ネットワークで接続するすべてのサービスプロデューサー（AI Platform Training を含む）に対して十分な IP 範囲が割り振られていることを確認します。

その他のトラブルシューティング情報については、VPC ネットワークピアリングのトラブルシューティングガイドをご覧ください。