SSH で JupyterLab にアクセスする

HTTPS 経由で JupyterLab インスタンスにアクセスできない場合、SSH を使用して接続を確立する必要があります。

SSH ポート転送を設定するには、次の手順を行い、ローカル ブラウザから JupyterLab セッションにアクセスします。

  1. 任意のターミナルまたは Cloud Shell で、Google Cloud CLI を使用して次のコマンドを実行します。

    gcloud compute ssh INSTANCE_NAME \
        --project PROJECT_ID \
        --zone ZONE \
        -- -NL 8080:localhost:8080
    

    次のように置き換えます。

  2. ローカル ブラウザから JupyterLab セッションにアクセスします。

    • ローカルマシンでコマンドを実行した場合は、https://localhost:8080 で JupyterLab にアクセスします。

    • Cloud Shell を使用してコマンドを実行した場合は、ポート 8080 の [ ウェブ プレビュー] で JupyterLab にアクセスします。

HTTPS アクセスを使用できない理由

HTTPS で JupyterLab にアクセスするには、Vertex AI Workbench インスタンスが Google Cloud プロキシ サービスにアクセスできる必要があります。インスタンスは、起動時に自身をプロキシ サービスに登録します。プロキシ アクセスに失敗した場合、インスタンスは SSH 経由で JupyterLab にアクセスするように求めます。

HTTPS 経由で JupyterLab にアクセスできない一般的な理由は次のとおりです。

  • JupyterLab インスタンスのプロキシモードのメタデータ設定が正しくない

  • JupyterLab ノートブックを実行している仮想マシン(VM)のインターネット アクセスをブロックするようにネットワークが構成されている

  • インスタンスに外部 IP アドレスがない

  • VPC Service Controls の設定で Container Registry へのアクセスがブロックされている

以下のセクションでは、これらの問題を解決する方法について説明します。

変更を有効にするために、ノートブックの VM を再起動してこれらの問題を解決する必要があります。

JupyterLab インスタンスのプロキシモードのメタデータ設定が正しくない

デフォルトでは、Vertex AI Workbench インスタンスを作成すると、Vertex AI Workbench がプロキシモードのメタデータ設定を追加します。プロキシモードのメタデータ設定を変更または削除すると、インスタンスはプロキシ サービスに接続できなくなります。

プロキシモードのメタデータ設定が有効であることを確認するには、次の操作を行います。

  1. Google Cloud コンソールで、[インスタンス] ページに移動します。

    [インスタンス] に移動

  2. 変更するインスタンスを選択します。

  3. [VM の詳細を表示] の横にある [Compute Engine で表示] をクリックします。

  4. [VM インスタンスの詳細] ページで、[編集] をクリックします。

  5. [メタデータ] セクションで、メタデータを追加または変更して、プロキシモードのエントリを正しい値(project_editors など)に設定します。

  6. [保存] をクリックします。

ネットワークがインターネット アクセスをブロックしている

JupyterLab インスタンスは、公開 URL を介してプロキシ サービスにアクセスします。Virtual Private Cloud のネットワーク設定で公共のインターネットへのアクセスがブロックされている場合や、ファイアウォール ルールで下り(外向き)トラフィックがブロックされている場合は、SSH を使用して Vertex AI Workbench インスタンスにアクセスする必要があります。公共のインターネットを介したインスタンスへのアクセスを可能にするには、ネットワーク管理者およびファイアウォール管理者と連携することが必要になる場合があります。

インスタンスに外部 IP アドレスがない

Vertex AI Workbench インスタンスが外部 IP アドレスなしで作成されていることがあります。これを変更するには、次の操作を行います。

  1. Google Cloud コンソールで、[インスタンス] ページに移動します。

    [インスタンス] に移動

  2. 変更するインスタンスの名前をクリックします。

  3. [VM の詳細を表示] をクリックします。

  4. [編集] をクリックします。

  5. [ネットワーク インターフェース] セクションで、外部 IP アドレスを割り振るネットワークを開きます。

  6. [外部 IP アドレス] プルダウン メニューをクリックし、オプションを選択します。この問題を解決するには、[なし] を選択しないでください。

  7. [ネットワーク インターフェース] セクションで、[完了] をクリックします。

  8. [保存] をクリックします。

VPC Service Controls の設定で Container Registry へのアクセスがブロックされる

プロキシ サービスに接続するために、Vertex AI Workbench インスタンスは、Container Registry からエージェントをダウンロードして実行します。このエージェントがないと、インスタンスはプロキシ サービスに接続できません。

VPC Service Controls の設定で Container Registry へのアクセスをブロックしている場合は、Container Registry サービスを VPC Service Controls のサービス境界に追加する必要があります。詳細については、サービス境界の動作と VPC Service Controls を使用して保護するサービスをご覧ください。

詳細なトラブルシューティング

上記の手順でも接続できない場合は、仮想マシンのコンソールログを確認してみてください。これらのログは、Vertex AI Workbench インスタンスがプロキシ サービスに登録できない理由を調べる際に有用な可能性があります。

ログにアクセスするには、次の操作を行います。

  1. Google Cloud コンソールで、[インスタンス] ページに移動します。

    [インスタンス] に移動

  2. トラブルシューティングするインスタンスを選択します。

  3. [ログ] で、[シリアルポート 1(コンソール)] をクリックします。

次のステップ

その他の問題を解決するヒントについては、Vertex AI Workbench インスタンスのトラブルシューティング セクションをご覧ください。