Private Service Connect 인터페이스를 통한 Vertex AI 서비스 액세스

일부 Vertex AI 서비스 프로듀서는 Private Service Connect 인터페이스를 통해 서비스에 연결해야 합니다. 이러한 서비스는 Vertex AI 액세스 방법 테이블에 나와 있습니다.

Private Service Connect 인터페이스가 생성되면 네트워크 인터페이스가 2개 이상 있는 VM 인스턴스도 생성됩니다. 첫 번째 인터페이스는 프로듀서 VPC 네트워크의 서브넷에 연결됩니다. 두 번째 인터페이스는 소비자 네트워크의 네트워크 연결 서브넷에 대한 연결을 요청합니다. 연결이 수락되면 이 인터페이스에 소비자 서브넷의 내부 IP 주소가 할당됩니다.

비공개 연결의 서비스 프로듀서 측에는 서비스 리소스가 프로비저닝되는 VPC 네트워크가 있습니다. 이 네트워크는 사용자 전용으로 구축되고 사용자의 리소스만 포함합니다. 프로듀서 네트워크와 소비자 네트워크 간의 연결은 Private Service Connect 인터페이스를 통해 설정됩니다.

다음 다이어그램은 소비자 네트워크에서 Vertex AI API가 사용 설정되고 관리되는 Vertex AI Pipelines 아키텍처를 보여줍니다. Vertex AI Pipelines 리소스는 서비스 프로듀서의 VPC 네트워크에 Google 관리 Infrastructure as a Service(IaaS)로 배포됩니다. Private Service Connect 인터페이스는 소비자 서브넷의 IP 주소로 배포되므로 프로듀서 네트워크는 VPC 네트워크, 멀티클라우드 환경, 온프레미스 네트워크에 걸쳐 있는 소비자의 학습된 경로에 액세스할 수 있습니다.

Private Service Connect 인터페이스 배포 옵션

Private Service Connect 인터페이스를 만들려면 먼저 프로듀서 서비스와 동일한 리전을 공유하는 소비자 VPC 내에 서브넷을 배포합니다. 특정 서비스 요구사항을 확인하여 피해야 할 서브넷 범위가 없는지 확인합니다. 그런 다음 서브넷을 참조하는 네트워크 연결을 만듭니다. 네트워크 연결에 할당된 서브넷을 Private Service Connect 인터페이스 배포 전용으로 사용하는 것이 좋습니다.

다음 페이지에서는 Vertex AI Private Service Connect 인터페이스의 특정 사용 사례를 설명합니다.

• 파이프라인에 Private Service Connect 인터페이스 구성
• Vertex AI Training에 Private Service Connect 인터페이스 사용
• Ray on Vertex AI 클러스터 만들기

배포 시 고려사항

다음은 온프레미스, 멀티 클라우드, VPC 워크로드에서 Google 관리형 Vertex AI 서비스로의 통신에 관한 고려사항입니다.

Vertex AI 서브넷 권장사항

다음 표에는 Private Service Connect 인터페이스를 지원하는 Vertex AI 서비스에 권장되는 서브넷 범위가 나와 있습니다.

Vertex AI 기능	권장 서브넷 범위
Vertex AI Pipelines	/28
커스텀 학습 작업	/28
Vertex AI 기반 Ray	/28

IP 공지

• Private Service Connect 인터페이스를 사용하여 소비자 VPC 네트워크의 서비스에 연결하는 경우 VPC 네트워크의 일반 서브넷에서 IP 주소를 선택합니다.
• 기본적으로 Cloud Router는 커스텀 공지 모드가 구성되지 않은 한 일반 VPC를 서브넷을 공지합니다. 자세한 내용은 커스텀 광고를 참고하세요.
• 네트워크 연결과 Private Service Connect 인터페이스 간의 연결은 전이적입니다. 프로듀서 VPC 네트워크의 워크로드가 소비자 VPC 네트워크에 연결된 워크로드와 통신할 수 있습니다.

방화벽 규칙

Private Service Connect 인터페이스는 프로듀서 조직에서 만들고 관리하지만 소비자 VPC 네트워크에 있습니다. 소비자 측 보안을 위해서는 소비자 VPC 네트워크의 IP 주소 범위를 기반으로 하는 방화벽 규칙을 사용하는 것이 좋습니다. 네트워크 연결 서브넷이 소비자 네트워크에 액세스할 수 있도록 방화벽 규칙을 업데이트해야 합니다. 자세한 내용은 프로듀서-소비자 인그레스 제한을 참조하세요.

도메인 이름 변환

Private Service Connect 인터페이스를 지원하는 Vertex AI API를 사용하는 경우 도메인 이름 변환 조회가 지원되지 않습니다. 공개 도메인을 사용하는 경우 DNS 조회는 제작자 네트워크 내에서 지원됩니다. 비공개 DNS 조회의 경우 소비자 레이어 3 IP 주소에 매핑된 호스트 이름 변수를 정의해야 합니다.

다음 단계

• 네트워크 연결 사양에 대해 알아보세요.
• Vertex AI Pipelines에서 Private Service Connect 인터페이스를 사용하는 방법에 관한 Codelab을 사용해 보세요.