Private Service Connect インターフェースが作成されると、2 つ以上のネットワーク インターフェースを持つ VM インスタンスも作成されます。最初のインターフェースはプロデューサー VPC ネットワーク内のサブネットに接続します。2 番目のインターフェースは、コンシューマ ネットワークのネットワーク アタッチメント サブネットへの接続をリクエストします。承認されると、このインターフェースにはコンシューマ サブネットの内部 IP アドレスが割り当てられます。
プライベート接続のサービス プロデューサー側には、サービス リソースがプロビジョニングされる VPC ネットワークがあります。このネットワークはユーザー専用に作成されるもので、そこにはユーザーのリソースだけが含まれます。プロデューサー ネットワークとコンシューマ ネットワーク間の接続は、Private Service Connect インターフェースを介して確立されます。
次の図は、Vertex AI API がコンシューマのネットワークで有効になっていて、管理されている Vertex AI Pipelines のアーキテクチャを示しています。Vertex AI Pipelines リソースは、サービス プロデューサーの VPC ネットワークに Google が管理する Infrastructure as a Service(IaaS)としてデプロイされます。Private Service Connect インターフェースはコンシューマのサブネットの IP アドレスでデプロイされるため、プロデューサーのネットワークは、VPC ネットワーク、マルチクラウド環境、オンプレミス ネットワークにまたがるコンシューマの学習済みルートにアクセスできます。
Private Service Connect インターフェースのデプロイ オプション
Private Service Connect インターフェースを作成するには、まず、プロデューサー サービスと同じリージョンを共有するサブネットをコンシューマ VPC 内にデプロイします。特定のサービス要件を確認し、避けるべきサブネット範囲がないことを確認します。次に、サブネットを参照するネットワーク アタッチメントを作成します。ネットワーク アタッチメントに割り振られたサブネットは、Private Service Connect インターフェースのデプロイ専用にすることをおすすめします。
次のページでは、Vertex AI Private Service Connect インターフェースの特定のユースケースについて説明します。
ネットワーク アタッチメントと Private Service Connect インターフェース間の接続は推移的です。プロデューサー VPC ネットワーク内のワークロードは、コンシューマー VPC ネットワークに接続されたワークロードと通信できます。
ファイアウォール ルール
Private Service Connect インターフェースはプロデューサー組織によって作成、管理されますが、コンシューマ VPC ネットワーク内にあります。コンシューマー側のセキュリティでは、コンシューマーの VPC ネットワークの IP アドレス範囲に基づくファイアウォール ルールを作成することをおすすめします。ネットワーク アタッチメント サブネットがコンシューマのネットワークにアクセスできるように、ファイアウォール ルールを更新する必要があります。詳細については、プロデューサーからコンシューマへの上り(内向き)を制限するをご覧ください。
ドメイン名の解決
Private Service Connect インターフェースをサポートする Vertex AI API を使用する場合、ドメイン名解決ルックアップはサポートされていません。パブリック ドメインを使用している場合、DNS ルックアップはプロデューサーのネットワーク内でサポートされます。プライベート DNS ルックアップの場合は、コンシューマ レイヤ 3 IP アドレスにマッピングされるホスト名変数を定義する必要があります。
[[["わかりやすい","easyToUnderstand","thumb-up"],["問題の解決に役立った","solvedMyProblem","thumb-up"],["その他","otherUp","thumb-up"]],[["わかりにくい","hardToUnderstand","thumb-down"],["情報またはサンプルコードが不正確","incorrectInformationOrSampleCode","thumb-down"],["必要な情報 / サンプルがない","missingTheInformationSamplesINeed","thumb-down"],["翻訳に関する問題","translationIssue","thumb-down"],["その他","otherDown","thumb-down"]],["最終更新日 2025-09-10 UTC。"],[],[],null,["# About accessing Vertex AI services through Private Service Connect interfaces\n\nSome Vertex AI service producers require you to connect to their\nservices through\n[Private Service Connect interfaces](/vpc/docs/about-private-service-connect-interfaces).\nThese services are listed in the\n[Vertex AI access methods](/vertex-ai/docs/general/netsec-overview#access-methods)\ntable.\n\nWhen a Private Service Connect interface is created, a VM instance with\nat least two network interfaces is also created. The first interface connects to\na subnet in a producer VPC network. The second interface requests a connection\nto the [network attachment](/vpc/docs/about-network-attachments) subnet in a\nconsumer network. If accepted, this interface is assigned an internal IP address\nfrom the consumer subnet.\n\nOn the service producer's side of the private connection, there is a\nVPC network where your service resources are provisioned. This\nnetwork is created exclusively for you and contains only your resources.\nConnectivity between the producer and consumer network is established through the\nPrivate Service Connect interface.\n\nThe following diagram shows a Vertex AI Pipelines architecture in which\nthe Vertex AI API is enabled and managed in the consumer's network. The\nVertex AI Pipelines resources are deployed as a Google-managed\ninfrastructure as a service (IaaS) in the service producer's VPC\nnetwork. Since the Private Service Connect interface is deployed with\nan IP address from the consumer's subnet, the producer's network has access to\nthe consumer's learned routes that can span VPC networks,\nmulticloud environments, and on-premises networks.\n\nPrivate Service Connect interface deployment options\n----------------------------------------------------\n\nTo create a Private Service Connect interface, first deploy a subnet\nwithin the consumer VPC that shares the same region as your producer service.\nCheck the specific service requirements to make sure there are no subnet ranges\nthat you should avoid.\nThen create a network attachment that references the subnet. We recommend\nthat you dedicate the subnet allocated for the network attachment exclusively to\nPrivate Service Connect interface deployments.\n\nThe following pages discuss specific use cases for Vertex AI\nPrivate Service Connect interfaces:\n\n- [Configure Private Service Connect interface for a pipeline](/vertex-ai/docs/pipelines/configure-private-service-connect)\n- [Use Private Service Connect interface for Vertex AI Training](/vertex-ai/docs/training/psc-i-egress)\n- [Create a Ray cluster on Vertex AI](/vertex-ai/docs/open-source/ray-on-vertex-ai/create-cluster#enable_interface)\n\nDeployment considerations\n-------------------------\n\nThe following are considerations for communication from your on-premises,\nmulticloud, and VPC workloads to Google-managed\nVertex AI services.\n\n### Vertex AI subnet recommendations\n\nThe following table lists the recommended subnet ranges for Vertex AI\nservices that support Private Service Connect interfaces.\n\n### IP advertisement\n\n- When you use the Private Service Connect interface to connect to services in the consumer VPC network, you choose an IP address from a [regular subnet](/vpc/docs/subnets#purpose) in your VPC network.\n- By default, the Cloud Router will advertise regular VPC subnets unless custom advertisement mode is configured. For more information, see [Custom advertisement](/network-connectivity/docs/router/concepts/advertised-routes#am-custom).\n- A connection between a network attachment and a Private Service Connect interface is [transitive](/vpc/docs/about-private-service-connect-interfaces#other-networks). Workloads in the producer VPC network can communicate with workloads that are connected to the consumer VPC network.\n\n### Firewall rules\n\nPrivate Service Connect interfaces are created and managed by a\nproducer organization, but they are located in a consumer VPC\nnetwork. For consumer-side security, we recommend firewall rules that are based\non IP address ranges from the consumer VPC network. You must\nupdate firewall rules to allow the network attachment subnet access to the\nconsumer's network. For more information, see\n[Limit producer-to-consumer ingress](/vpc/docs/configure-security-network-attachments#producer-to-consumer-ingress).\n\n### Domain name resolution\n\nWhen using Vertex AI APIs that support Private Service Connect\ninterfaces, domain name resolution lookup isn't supported. If you're using a\npublic domain, DNS lookup is supported within the producer's network. For\nprivate DNS lookup, you must define hostname variables that are mapped to\nconsumer Layer 3 IP addresses.\n\nWhat's next\n-----------\n\n- Learn about [network attachment specifications](/vpc/docs/about-network-attachments#specifications).\n- Try a [codelab on using Private Service Connect interfaces with Vertex AI Pipelines](https://codelabs.developers.google.com/psc-interface-pipelines)."]]