Vertex AI 리소스에 Private Service Connect 인터페이스 설정

이 가이드에서는 Vertex AI 리소스에 Private Service Connect 인터페이스를 설정하는 방법을 보여줍니다.

다음과 같은 Vertex AI의 특정 리소스에 대해 Private Service Connect 인터페이스 연결을 구성할 수 있습니다.

• Vertex AI 기반 Ray
• 커스텀 학습
• Vertex AI Pipelines

VPC 피어링 연결과 달리 Private Service Connect 인터페이스 연결은 전이 가능하므로 소비자 VPC 네트워크에서 더 적은 수의 IP 주소가 필요합니다. 이렇게 하면 프로젝트 및 온프레미스의 다른 VPC 네트워크에 더 유연하게 연결할 수 있습니다. Google Cloud

이 가이드는 네트워킹 개념에 익숙한 네트워크 관리자에게 권장됩니다. Google Cloud

목표

이 가이드에서는 다음 작업을 설명합니다.

• 프로듀서 VPC 네트워크, 서브넷, 네트워크 연결을 구성합니다.
• 네트워크 호스트 프로젝트에 방화벽 규칙을 추가합니다. Google Cloud
• Private Service Connect 인터페이스를 사용하기 위한 네트워크 연결을 지정하는 Vertex AI 리소스를 만듭니다.

시작하기 전에

다음 안내에 따라 Google Cloud 프로젝트를 만들거나 선택하고 Vertex AI 및 Private Service Connect에서 사용할 수 있도록 구성합니다.

1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

   Go to project selector

3. Make sure that billing is enabled for your Google Cloud project.

4. Enable the Vertex AI, Compute Engine, and Cloud Storage APIs.

   Enable the APIs

5. Install the Google Cloud CLI.

6. To initialize the gcloud CLI, run the following command:

   gcloud init

7. Update and install gcloud components:

   gcloud components update
   gcloud components install beta

8. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

   Go to project selector

9. Make sure that billing is enabled for your Google Cloud project.

10. Enable the Vertex AI, Compute Engine, and Cloud Storage APIs.

    Enable the APIs

11. Install the Google Cloud CLI.

12. To initialize the gcloud CLI, run the following command:

    gcloud init

13. Update and install gcloud components:

    gcloud components update
    gcloud components install beta

14. 프로젝트 소유자가 아니며 프로젝트 IAM 관리자 (roles/resourcemanager.projectIamAdmin) 역할이 없는 경우 소유자에게 네트워킹 리소스를 관리하는 데 필요한 역할이 포함된 Compute 네트워크 관리자 (roles/compute.networkAdmin) 역할을 부여해 달라고 요청합니다.
15. 네트워크 호스트 프로젝트의 Compute 네트워크 관리자 역할을 Vertex AI 학습 서비스를 사용하는 프로젝트의 AI Platform 서비스 에이전트 계정에 할당합니다. Google Cloud

VPC 네트워크 및 서브넷 설정

이 섹션에서는 기존 VPC 네트워크를 사용하거나 기존 네트워크가 없는 경우 구성 단계에 따라 새 VPC 네트워크를 만들 수 있습니다.

1. VPC 네트워크 만들기:

   gcloud compute networks create NETWORK \
       --subnet-mode=custom
   

   NETWORK을 VPC 네트워크의 이름으로 바꿉니다.

2. 서브넷 만들기:

   gcloud compute networks subnets create SUBNET_NAME \
       --network=NETWORK \
       --range=PRIMARY_RANGE \
       --region=REGION
   

   다음을 바꿉니다.

   • SUBNET_NAME: 서브넷의 이름입니다.

   • PRIMARY_RANGE: CIDR 표기법으로 표시된 새 서브넷의 기본 IPv4 주소 범위입니다. 자세한 내용은 IPv4 서브넷 범위를 참고하세요.

     Vertex AI에는 /28 하위 네트워크가 필요합니다.

     Vertex AI는 필수 PRIMARY_RANGE에 지정된 RFC 1918 범위에만 도달할 수 있습니다. 유효한 RFC 1918 범위 목록은 유효한 IPv4 범위를 참고하세요. Vertex AI는 다음과 같은 RFC 1918 이외의 범위에 도달할 수 없습니다.

     • 100.64.0.0/10
     • 192.0.0.0/24
     • 192.0.2.0/24
     • 198.18.0.0/15
     • 198.51.100.0/24
     • 203.0.113.0/24
     • 240.0.0.0/4

   • REGION: 새 서브넷이 생성되는 Google Cloud 리전입니다.

네트워크 연결 만들기

공유 VPC 배포에서 호스트 프로젝트의 네트워크 연결에 사용되는 서브넷을 만든 다음 서비스 프로젝트에서 Private Service Connect 네트워크 연결을 만듭니다.

다음 예는 연결을 수동으로 수락하는 네트워크 연결을 만드는 방법을 보여줍니다.

   gcloud compute network-attachments create NETWORK_ATTACHMENT_NAME \
       --region=REGION \
       --connection-preference=ACCEPT_MANUAL \
       --subnets=SUBNET_NAME

NETWORK_ATTACHMENT_NAME을 네트워크 연결 이름으로 바꿉니다.

Vertex AI 서비스 상담사 필수 역할

네트워크 첨부파일을 만드는 프로젝트에서 동일한 프로젝트의 Vertex AI 서비스 에이전트에 compute.networkAdmin 역할이 부여되었는지 확인합니다. 이 프로젝트가 Vertex AI를 사용하는 서비스 프로젝트와 다른 경우 이 프로젝트에서 Vertex AI API를 미리 사용 설정해야 합니다.

방화벽 규칙 구성

인그레스 방화벽 규칙은 컴퓨팅 및 온프레미스 엔드포인트에서 Private Service Connect 인터페이스 네트워크 연결 서브넷과의 통신을 사용 설정하기 위해 소비자 VPC에 적용됩니다.

방화벽 규칙 구성은 선택사항입니다. 하지만 다음 예와 같이 일반적인 방화벽 규칙을 설정하는 것이 좋습니다.

1. TCP 포트 22에서 SSH 액세스를 허용하는 방화벽 규칙을 만듭니다.

   gcloud compute firewall-rules create NETWORK-firewall1 \
       --network NETWORK \
       --allow tcp:22
   

2. TCP 포트 443에서 HTTPS 트래픽을 허용하는 방화벽 규칙을 만듭니다.

   gcloud compute firewall-rules create NETWORK-firewall2 \
       --network NETWORK \
       --allow tcp:443
   

3. ICMP 트래픽 (예: 핑 요청)을 허용하는 방화벽 규칙을 만듭니다.

   gcloud compute firewall-rules create NETWORK-firewall3 \
       --network NETWORK \
       --allow tcp:icmp
   

문제 해결

이 섹션에는 Vertex AI로 Private Service Connect 인터페이스를 구성할 때 발생하는 일반적인 문제가 나와 있습니다.

• 공유 VPC 네트워크를 사용하도록 Vertex AI를 구성할 때는 Vertex AI 리소스에 네트워크 첨부 파일을 지정합니다. 예를 들어 CustomJob 만들기 요청에서 다음 형식을 사용합니다. "projects/YOUR_SHARED_VPC_HOST_PROJECT_NUMBER/regions/REGION/networkAttachments/NETWORK_ATTACHMENT_NAME"
• Vertex AI에서 사용할 공유 VPC 네트워크를 지정하는 경우 서비스 프로젝트의 AI Platform 서비스 에이전트에 VPC 호스트 프로젝트에서 부여된 compute.networkUser 역할이 있는지 확인합니다.
• 프로듀서 (Vertex AI)가 할당된 리소스를 삭제하지 않으면 네트워크 연결을 삭제할 수 없습니다. 삭제 절차를 시작하려면 Vertex AI 지원팀에 문의해야 합니다.

다음 단계

• Vertex AI의 Ray에 Private Service Connect 인터페이스 이그레스를 사용하는 방법을 알아봅니다.
• 커스텀 학습에 Private Service Connect 인터페이스 이그레스를 사용하는 방법을 알아봅니다.
• Vertex AI Pipelines에서 Private Service Connect 인터페이스 이그레스를 사용하는 방법을 알아봅니다.