Vertex AI API へのアクセスについて

アプリケーションは、Google Cloud 内またはハイブリッド(オンプレミスとマルチクラウド)ネットワークから Google の本番環境の API に接続できます。Google Cloud では、グローバルなネットワーク到達性と SSL/TLS セキュリティを提供する、次のパブリック アクセスとプライベート アクセスのオプションを提供しています。

  1. 公共のインターネット アクセス: REGION-aiplatform.googleapis.com にトラフィックを送信します。
  2. オンプレミス ホスト用の限定公開の Google アクセス: IP アドレスのサブネット範囲 199.36.153.8/30(private.googleapis.com)または 199.36.153.4/30(restricted.googleapis.com)から REGION-aiplatform.googleapis.com にアクセスします。
  3. Google API の Private Service Connect エンドポイント: ユーザー定義の内部 IP アドレス(10.0.0.100 など)を使用して、REGION-aiplatform.googleapis.com または割り当てられた DNS 名(vertexai-genai1.p.googleapis.com など)にアクセスします。

次の図は、これらのアクセス オプションを示しています。

パブリック メソッドとプライベート メソッドで Vertex AI API にアクセスするアーキテクチャ図

一部の Vertex AI サービス プロデューサーでは、プライベート サービス アクセスまたは Private Service Connect エンドポイントを介してサービスに接続する必要があります。これらのサービスは、Vertex AI のプライベート アクセス オプションの表に一覧表示されています。

Vertex AI API への公共インターネット アクセス

アプリケーションで Vertex AI でサポートされているアクセス方法の表に記載されている Google サービスを使用する場合、アプリケーションは、サービス エンドポイントREGION-aiplatform.googleapis.com)に対して DNS ルックアップを実行することで API にアクセスでき、これにより、一般公開されたルーティング可能な仮想 IP アドレスを返します。インターネット接続がある限り、世界中のどこからでも API を使用できます。ただし、Google Cloud リソースからこれらの IP アドレスに送信されたトラフィックは、Google のネットワーク内に残ります。

Vertex AI API へのプライベート アクセス

プライベート アクセスは、インターネット経由で Google API とサービスに接続するための代替手段として使用できます。これにより、より高い帯域幅、信頼性、一貫したパフォーマンスが実現します。Google Cloud では、Cloud Interconnect、Cross-Cloud Interconnect、Cloud Interconnect を介した HA VPN、SD-WAN などのハイブリッド ネットワーキング サービスを介して Google API に非公開でアクセスするために、次のオプションをサポートしています。

オンプレミス ホスト用の限定公開の Google アクセス

オンプレミス ホスト用の限定公開の Google アクセスを使用すると、ハイブリッド ネットワーキング サービス経由でトラフィックをルーティングすることで、オンプレミス システムから Google API とサービスに接続できます。

限定公開の Google アクセスでは、Cloud Router を使用して、次のいずれかのサブネット IP アドレス範囲をカスタム ルート アドバタイズとしてアドバタイズする必要があります。

  • private.googleapis.com: 199.36.153.8/302600:2d00:0002:2000::/64
  • restricted.googleapis.com: 199.36.153.4/302600:2d00:0002:1000::/64

詳細については、オンプレミス ホスト用の限定公開の Google アクセスの構成をご覧ください。

Vertex AI API の Private Service Connect エンドポイント

Private Service Connect を使用すると、VPC ネットワーク内のグローバル内部 IP アドレスを使用してプライベート エンドポイントを作成できます。これらの内部 IP アドレスには、vertexai-genai1.p.googleapis.combigtable-adsteam.p.googleapis.com など、意味のある名前で DNS 名を割り当てることができます。これらの名前と IP アドレスは、VPC ネットワークと、ハイブリッド ネットワーク サービスを介してそれに接続されたオンプレミス ネットワークに対して内部的なものです。エンドポイントに配信されるトラフィックを制御し、トラフィックを Google Cloud 内にとどめることができます。

  • ユーザー定義のグローバル Private Service Connect エンドポイント IP アドレス(/32)を作成できます。詳細については、IP アドレスの要件をご覧ください。
  • Private Service Connect エンドポイントは、Cloud Router と同じ VPC ネットワークに作成します。
  • これらの内部 IP アドレスには、aiplatform-prodpsc.p.googleapis.com などの意味のある名前で DNS 名を割り当てることができます。詳細については、エンドポイントを介した Google API へのアクセスについてをご覧ください。

デプロイに関する考慮事項

限定公開の Google アクセスと Private Service Connect を使用して Vertex AI API にアクセスする方法に影響する重要な考慮事項は次のとおりです。

IP アドバタイズ

限定公開の Google アクセスのサブネット範囲または Private Service Connect エンドポイントの IP アドレスを、Cloud Router からオンプレミス環境とマルチクラウド環境にカスタム ルート アドバタイズとしてアドバタイズする必要があります。詳細については、カスタム IP 範囲のアドバタイズをご覧ください。

ファイアウォール ルール

オンプレミス環境とマルチクラウド環境のファイアウォール構成で、限定公開の Google アクセスまたは Private Service Connect のサブネットの IP アドレスからの送信トラフィックが許可されていることを確認する必要があります。

DNS 構成

  • オンプレミス ネットワークには、REGION-aiplatform.googleapis.com へのリクエストが限定公開の Google アクセス サブネットまたは Private Service Connect エンドポイントの IP アドレスに解決されるように構成された DNS ゾーンとレコードが必要です。
  • Cloud DNS の限定公開マネージド ゾーンを作成して、Cloud DNS 受信サーバー ポリシーを使用できます。また、オンプレミスのネームサーバーを構成することもできます。たとえば、BINDMicrosoft Active Directory DNS を使用できます。
  • オンプレミス ネットワークが VPC ネットワークに接続されている場合、Private Service Connect を使用すると、エンドポイントの内部 IP アドレスを使用して、オンプレミス ホストから Google API とサービスにアクセスできます。詳細については、オンプレミス ホストからエンドポイントにアクセスするをご覧ください。