애플리케이션은 Google Cloud 내에서 또는 하이브리드(온프레미스 및 멀티 클라우드) 네트워크에서 Google 프로덕션 환경의 API에 연결할 수 있습니다. Google Cloud는 전역 연결 가능성 및 SSL/TLS 보안을 제공하는 다음 공개 및 비공개 액세스 옵션을 제공합니다.
- 공개 인터넷 액세스: 트래픽을
REGION-aiplatform.googleapis.com
으로 전송합니다. - 온프레미스 호스트의 비공개 Google 액세스: IP 주소 서브넷 범위
199.36.153.8/30
(private.googleapis.com) 또는199.36.153.4/30
(restricted.googleapis.com)을 통해REGION-aiplatform.googleapis.com
에 액세스할 수 있습니다. - Google API용 Private Service Connect 엔드포인트:
10.0.0.100
과 같은 사용자 정의 내부 IP 주소를 사용하여REGION-aiplatform.googleapis.com
또는aiplatform-genai1.p.googleapis.com
과 같은 할당된 DNS 이름에 액세스합니다.
다음 다이어그램은 이러한 액세스 옵션을 보여줍니다.
일부 Vertex AI 서비스 프로듀서는 비공개 서비스 액세스 또는 Private Service Connect 엔드포인트를 통해 서비스에 연결해야 합니다. 이러한 서비스는 Vertex AI의 비공개 액세스 옵션 테이블에 나와 있습니다.
Vertex AI API에 대한 공개 인터넷 액세스
애플리케이션이 Vertex AI에 지원되는 액세스 방법 표에 나열된 Google 서비스를 사용하는 경우 애플리케이션은 서비스 엔드포인트(REGION-aiplatform.googleapis.com
)에 대한 DNS 조회를 수행하여 공개적으로 라우팅 가능한 가상 IP 주소를 반환함으로써 API에 액세스할 수 있습니다. 인터넷 연결만 있으면 전 세계 모든 위치에서 이 API를 사용할 수 있습니다.
하지만 Google Cloud 리소스에서 이러한 IP 주소로 전송되는 트래픽은 Google 네트워크 내부에 유지됩니다.
Vertex AI API에 대한 비공개 액세스
비공개 액세스는 인터넷을 통해 Google API 및 서비스에 연결하는 방법의 대안입니다. 이 방법은 더 높은 대역폭, 신뢰성, 일관적인 성능을 제공합니다. Google Cloud는 Cloud Interconnect, Cross-Cloud Interconnect, Cloud Interconnect를 통한 HA VPN, SD-WAN과 같은 하이브리드 네트워킹 서비스를 통해 Google API에 비공개로 액세스하기 위해 다음과 같은 옵션을 지원합니다.
온프레미스 호스트의 비공개 Google 액세스
온프레미스 호스트의 비공개 Google 액세스는 온프레미스 시스템이 하이브리드 네트워킹 서비스를 통해 트래픽을 라우팅하여 Google API 및 서비스에 연결할 수 있는 방법을 제공합니다.
비공개 Google 액세스에서는 사용자가 Cloud Router를 사용해서 다음 서브넷 IP 주소 범위 중 하나를 커스텀 공지 경로로 공지해야 합니다.
private.googleapis.com
:199.36.153.8/30
,2600:2d00:0002:2000::/64
restricted.googleapis.com
:199.36.153.4/30
,2600:2d00:0002:1000::/64
자세한 내용은 온프레미스 호스트의 비공개 Google 액세스 구성을 참조하세요.
Vertex AI API의 Private Service Connect 엔드포인트
Private Service Connect를 사용하면 VPC 네트워크 내에서 전역 내부 IP 주소를 사용하여 비공개 엔드포인트를 만들 수 있습니다.
aiplatform-genai1.p.googleapis.com
및 bigtable-adsteam.p.googleapis.com
과 같이 의미 있는 이름을 사용하여 DNS 이름을 이러한 내부 IP 주소에 할당할 수 있습니다. 이러한 이름과 IP 주소는 하이브리드 네트워킹 서비스를 통해 연결된 VPC 네트워크 및 모든 온프레미스 네트워크 내부의 이름과 IP 주소입니다.
어떤 트래픽이 어떤 엔드포인트로 전송되는지 제어할 수 있으며, 트래픽이 Google Cloud 내에서 유지되는 것을 보여줄 수 있습니다.
- 사용자 정의 전역 Private Service Connect 엔드포인트 IP 주소(/32)를 만들 수 있습니다. 자세한 내용은 IP 주소 요구사항을 참조하세요.
- Cloud Router와 동일한 VPC 네트워크에 Private Service Connect 엔드포인트를 만듭니다.
aiplatform-prodpsc.p.googleapis.com
과 같이 의미 있는 이름을 사용하여 DNS 이름을 이러한 내부 IP 주소에 할당할 수 있습니다. 자세한 내용은 엔드포인트를 통한 Google API 액세스 정보를 참조하세요.
배포 시 고려사항
다음은 Vertex AI API에 액세스하기 위해 비공개 Google 액세스 및 Private Service Connect를 사용하는 방법에 영향을 주는 중요한 고려사항입니다.
IP 공지
비공개 Google 액세스 서브넷 범위 또는 Private Service Connect 엔드포인트 IP 주소를 Cloud Router에서 커스텀 공지 경로로 온프레미스 및 멀티 클라우드 환경에 공지해야 합니다. 자세한 내용은 커스텀 IP 범위 공지를 참조하세요.
방화벽 규칙
온프레미스 및 멀티 클라우드 환경의 방화벽 구성에 따라 비공개 Google 액세스 또는 Private Service Connect 서브넷의 IP 주소에서 시작되는 아웃바운드 트래픽이 허용되는지 확인해야 합니다.
DNS 구성
REGION-aiplatform.googleapis.com
에 대한 요청을 비공개 Google 액세스 서브넷 또는 Private Service Connect 엔드포인트 IP 주소로 변환할 수 있도록 온프레미스 네트워크에 DNS 영역 및 레코드가 구성되어 있어야 합니다.- Cloud DNS 관리형 비공개 영역을 만들고 Cloud DNS 인바운드 서버 정책을 사용하거나 온프레미스 네임서버를 구성할 수 있습니다. 예를 들어 BIND 또는 Microsoft Active Directory DNS를 사용할 수 있습니다.
- 온프레미스 네트워크가 VPC 네트워크에 연결되어 있으면 Private Service Connect를 통해 엔드포인트의 내부 IP 주소를 사용하여 온프레미스 호스트에서 Google API 및 서비스에 액세스할 수 있습니다. 자세한 내용은 온프레미스 호스트에서 엔드포인트 액세스를 참조하세요.