VPC 서비스 제어는 Vertex AI에서 데이터 무단 반출 위험을 완화하는 데 도움을 줍니다. VPC 서비스 제어를 사용하여 지정한 리소스 및 데이터를 보호하는 서비스 경계를 만듭니다. 예를 들어 VPC 서비스 제어를 사용하여 Vertex AI를 보호하면 다음 아티팩트는 서비스 경계를 벗어날 수 없습니다.
- AutoML 모델 또는 커스텀 모델의 학습 데이터
- 사용자가 만든 모델
- 신경망 아키텍처 검색을 사용하여 검색한 모델
- 온라인 예측 요청
- 일괄 예측 요청의 결과
서비스 경계 만들기
서비스 경계를 만들 때는 Vertex AI(aiplatform.googleapis.com
) 및 Vertex AI Workbench(notebooks.googleapis.com
)를 보호 서비스로 포함합니다. Vertex AI을 작동시키기 위해 추가 서비스를 포함할 필요는 없습니다. 그러나 Vertex AI는 경계 외부의 리소스(예: 경계 외부에 있는 Cloud Storage 버킷에 있는 파일)에 연결할 수 없습니다.
서비스 경계를 만드는 방법에 대한 자세한 내용은 VPC 서비스 제어 문서의 서비스 경계 만들기를 참조하세요.
피어링용 VPC 서비스 제어를 사용 설정하여 기본 경로 없이 servicenetworking
VPC 네트워크를 구성합니다. 이름이 명시적으로 VPC-SC 구성이 아니므로 약간 오해의 소지가 있으며 VPC-SC를 사용할 때 일반적으로 사용됩니다. 기본 경로가 없으면 servicenetworking
VPC 네트워크의 관점에서 볼 수 있습니다.
199.36.153.4/30
(restricted.googleapis.com)로의 패킷은servicenetworking
VPC 네트워크의 기본 인터넷 게이트웨이로 전송됩니다. 명령어는 이 대상에 커스텀 경로를 만들기 때문입니다.다음 도메인에 대한 DNS 항목이
servicenetworking
VPC 네트워크에 추가되어 비공개 Google 액세스를 지원합니다.backupdr.cloud.google.com
backupdr.googleusercontent.com
gcr.io
googleapis.com
kernels.googleusercontent.com
notebooks.cloud.google.com
pkg.dev
고객 VPC 네트워크의 기본 경로(또는 보다 광범위한 경로)를 사용하여
servicenetworking
VPC 네트워크에서 고객의 VPC 네트워크 또는 고객의 VPC 네트워크에 연결된 온프레미스 네트워크로 트래픽을 라우팅할 수 있습니다. 이 작업을 수행하려면 다음 조건을 충족해야 합니다.- 고객의 VPC 네트워크에 있는 경로는 기본 인터넷 게이트웨이 다음 홉과 다른 다음 홉을 사용해야 합니다. (기본 인터넷 게이트웨이 다음 홉을 사용하는 경로는 VPC 네트워크 피어링 관계에서 교환되지 않습니다.)
- 고객의 VPC 네트워크는 피어링의 커스텀 경로를
servicenetworking
VPC 네트워크로 내보내도록 구성되어야 합니다. (servicenetworking
네트워크는 이미 피어링 관계에서 커스텀 경로를 가져오도록 구성되어 있습니다.)
자세한 내용은 Vertex AI에서 다른 네트워크로의 연결 설정을 참조하세요.
생성형 AI 조정 파이프라인을 위한 VPC 서비스 제어 지원
VPC 서비스 제어 지원은 다음 모델의 조정 파이프라인에서 제공됩니다.
text-bison for PaLM 2
BERT
T5
- 모델의
textembedding-gecko
계열
제한사항
VPC 서비스 제어를 사용할 때는 다음과 같은 제한사항이 적용됩니다.
- 데이터 라벨 지정의 경우 레이블러의 IP 주소를 액세스 수준에 추가해야 합니다.
- Google Cloud 파이프라인 구성요소의 경우, 구성요소는 기본 이미지에서 모든 요구사항을 확인하는 컨테이너를 실행합니다. 요구사항이 누락된 경우 Python 패키지 색인(PyPI)에서 다운로드합니다.
KFP 패키지와
packages_to_install
인수에 나열된 모든 패키지는 컨테이너의 요구사항입니다. 기본 이미지(제공된 또는 커스텀)에 없는 요구사항이 지정된 경우 요구사항을 다운로드할 수 없으면 구성요소가 실패합니다. - Vertex AI Workbench에서 커스텀 커널과 함께 VPC 서비스 제어를 사용하는 경우 대신
*.notebooks.googleusercontent.com
에 대한 요청을 서브넷 199.36.153.4/30(restricted.googleapis.com
) 대신 199.36.153.8/30(private.googleapis.com
)으로 전송하도록 DNS 피어링을 구성해야 합니다.
다음 단계
- VPC 서비스 제어 자세히 알아보기
- VPC 서비스 제어 문제 해결 알아보기