Vertex AI Agent Engine은 비공개 및 보안 이그레스 트래픽을 위한 Private Service Connect 인터페이스(PSC 인터페이스) 및 DNS 피어링을 지원합니다.
개요
에이전트는 Virtual Private Cloud(VPC) 네트워크에 액세스하지 않고도 안전한 Google 관리 네트워크에 배포됩니다. PSC 인터페이스는 네트워크에 대한 비공개 보안 브리지를 만드므로 VPC, 온프레미스, 멀티 클라우드 환경에서 비공개로 호스팅된 서비스와 상호작용하는 데 권장되는 솔루션입니다.
PSC 인터페이스를 구성하면 에이전트 엔진에서 에이전트가 실행되는 Google 소유 테넌트 프로젝트에 인터페이스를 프로비저닝합니다. 이 인터페이스는 프로젝트의 네트워크 연결에 직접 연결됩니다. 에이전트와 VPC 간의 모든 트래픽은 Google 네트워크 내에서 안전하게 이동하며 공개 인터넷을 거치지 않습니다.
비공개 액세스 제공 외에도 VPC 서비스 제어를 사용할 때 인터넷 액세스를 사용 설정하려면 PSC 인터페이스가 필요합니다.
공개 인터넷에 액세스하는 에이전트 기능은 프로젝트의 보안 구성, 특히 VPC 서비스 제어 사용 여부에 따라 달라집니다.
VPC 서비스 제어 미사용: PSC 인터페이스만 사용하여 에이전트를 구성하면 에이전트에서 기본 인터넷 액세스를 유지합니다. 이 아웃바운드 트래픽은 에이전트가 실행되는 안전한 Google 관리 환경에서 직접 나갑니다.
VPC 서비스 제어 사용: 프로젝트가 VPC 서비스 제어 경계에 속하는 경우 데이터 무단 반출이 방지되도록 경계에서 에이전트 기본 인터넷 액세스를 차단합니다. 이 시나리오에서 에이전트가 공용 인터넷에 액세스하도록 허용하려면 VPC를 통해 트래픽을 라우팅하는 보안 이그레스 경로를 명시적으로 구성해야 합니다. 이를 달성하기 위한 권장 방법은 VPC 경계 내에 프록시 서버를 설정하고 프록시 VM에서 인터넷에 액세스할 수 있도록 Cloud NAT 게이트웨이를 만드는 것입니다.
Private Service Connect 인터페이스 설정 세부정보
Private Service Connect 인터페이스를 통해 배포된 에이전트의 비공개 연결을 사용 설정하려면 사용자 프로젝트에서 VPC 네트워크, 서브네트워크, 네트워크 연결을 설정해야 합니다.
서브네트워크 IP 범위 요구사항
에이전트 엔진에서 /28 서브네트워크를 추천합니다.
네트워크 연결 서브넷은 서브넷 100.64.0.0/10
및 240.0.0.0/4
를 제외하고 RFC 1918 및 RFC 1918 이외의 주소를 지원합니다.
Agent Engine은 지정된 네트워크에서 라우팅할 수 있는 RFC 1918 IP 주소 범위에만 연결할 수 있습니다. 에이전트 엔진은 비공개로 사용되는 공개 IP 주소나 다음 RFC 1918 이외의 범위에 연결할 수 없습니다.
100.64.0.0/10
192.0.0.0/24
192.0.2.0/24
198.18.0.0/15
198.51.100.0/24
203.0.113.0/24
240.0.0.0/4
자세한 내용은 Private Service Connect 인터페이스 설정을 참조하세요.
공유 VPC에서 Private Service Connect 인터페이스 사용
공유 VPC 아키텍처와 함께 Private Service Connect 인터페이스를 사용하여 중앙 호스트 프로젝트의 네트워크를 사용하면서 서비스 프로젝트에 에이전트 엔진을 만들 수 있습니다.
서비스 프로젝트에서 호스트 프로젝트의 네트워크를 사용하려면 서비스 프로젝트의 Vertex AI 서비스 에이전트에 호스트 프로젝트에 대한 Compute 네트워크 사용자(roles/compute.networkUser
) 역할이 필요합니다.
다음 단계를 완료합니다.
호스트 프로젝트에 서브넷을 만듭니다.
서비스 프로젝트나 호스트 프로젝트에 네트워크 연결을 만듭니다. 네트워크 연결은 공유 VPC에 연결된 모든 프로젝트에서 생성될 수 있지만 권한을 간소화하려면 네트워크 연결을 서비스 프로젝트에 배치하는 것이 좋습니다.
서비스 프로젝트의 네트워크 연결(권장): 서비스 프로젝트의 Vertex AI 서비스 에이전트에 Compute 네트워크 관리자(
roles/compute.networkAdmin
) 역할을 부여합니다. 서비스 에이전트가 Google 내부 프로젝트의 트래픽을 수락하도록 네트워크 연결을 업데이트하려면 이 역할이 필요합니다.호스트 프로젝트의 네트워크 연결: 다음 단계를 완료합니다.
호스트 프로젝트에서 Vertex AI API를 사용 설정합니다. 자세한 내용은 Private Service Connect 인터페이스 설정을 참조하세요.
호스트 프로젝트에 Vertex AI 서비스 에이전트가 없으면 다음 명령어를 사용하여 만듭니다.
gcloud beta services identity create --service=aiplatform.googleapis.com --project=PROJECT_ID
여기서 PROJECT_ID는 프로젝트 ID입니다.
호스트 프로젝트의 Vertex AI 서비스 에이전트에 Compute 네트워크 관리자(
roles/compute.networkAdmin
) 역할을 부여합니다. 자세한 내용은 Private Service Connect 인터페이스 설정을 참조하세요.
DNS 피어링
Private Service Connect 인터페이스는 보안 네트워크 경로를 제공하는 반면 DNS 피어링은 서비스 검색 메커니즘을 제공합니다. PSC 인터페이스를 사용하려면 VPC 네트워크의 서비스에 대한 특정 IP 주소를 알아야 합니다. 내부 IP 주소를 사용하여 서비스에 연결할 수 있지만 IP가 변경될 수 있는 프로덕션 시스템에서는 권장되지 않습니다. DNS 피어링을 사용하면 배포된 에이전트가 IP 주소 대신 안정적이고 인간이 읽을 수 있는 DNS 이름을 사용하여 VPC 네트워크의 서비스에 연결할 수 있습니다. DNS 피어링을 사용하면 배포된 에이전트가 VPC의 Cloud DNS 비공개 영역에 있는 레코드를 사용하여 DNS 이름을 확인할 수 있습니다. 자세한 내용은 비공개 DNS 피어링 설정을 참조하세요.
다음 단계
- Private Service Connect 인터페이스 및 DNS 피어링을 사용하여 에이전트 배포