Vertex AI Agent Engine에서 Private Service Connect 인터페이스 사용

Vertex AI Agent Engine은 비공개 및 보안 이그레스 트래픽을 위한 Private Service Connect 인터페이스 (PSC 인터페이스) 및 DNS 피어링을 지원합니다.

개요

에이전트는 Virtual Private Cloud (VPC) 네트워크에 액세스할 수 없는 안전한 Google 관리 네트워크에 배포됩니다. PSC 인터페이스는 네트워크에 대한 비공개 보안 브리지를 생성하므로 VPC, 온프레미스, 멀티 클라우드 환경에서 비공개로 호스팅된 서비스와 상호작용하는 데 권장되는 솔루션입니다.

PSC 인터페이스를 구성하면 에이전트 엔진이 에이전트가 실행되는 Google 소유 테넌트 프로젝트에 인터페이스를 프로비저닝합니다. 이 인터페이스는 프로젝트의 네트워크 연결에 직접 연결됩니다. 에이전트와 VPC 간의 모든 트래픽은 Google 네트워크 내에서 안전하게 이동하며 공개 인터넷을 거치지 않습니다.

비공개 액세스를 제공하는 것 외에도 VPC 서비스 제어를 사용할 때 인터넷 액세스를 사용 설정하려면 PSC 인터페이스가 필요합니다.

공개 인터넷에 액세스하는 에이전트의 기능은 프로젝트의 보안 구성, 특히 VPC 서비스 제어 사용 여부에 따라 달라집니다.

  • VPC 서비스 제어 없음: PSC 인터페이스만 사용하여 에이전트를 구성하면 에이전트가 기본 인터넷 액세스를 유지합니다. 이 아웃바운드 트래픽은 에이전트가 실행되는 안전한 Google 관리 환경에서 직접 나갑니다.

  • VPC 서비스 제어 사용 시: 프로젝트가 VPC 서비스 제어 경계에 속하는 경우 데이터 무단 반출을 방지하기 위해 경계에서 에이전트의 기본 인터넷 액세스를 차단합니다. 이 시나리오에서 에이전트가 공용 인터넷에 액세스하도록 허용하려면 VPC를 통해 트래픽을 라우팅하는 보안 이그레스 경로를 명시적으로 구성해야 합니다. 이를 달성하는 데 권장되는 방법은 VPC 경계 내에 프록시 서버를 설정하고 프록시 VM이 인터넷에 액세스할 수 있도록 Cloud NAT 게이트웨이를 만드는 것입니다.

Private Service Connect 인터페이스 설정 세부정보

Private Service Connect 인터페이스를 사용하여 배포된 에이전트의 비공개 연결을 사용 설정하려면 사용자 프로젝트에서 VPC 네트워크, 서브네트워크, 네트워크 연결을 설정해야 합니다.

서브네트워크 IP 범위 요구사항

에이전트 엔진에서 /28 서브네트워크를 추천합니다.

네트워크 연결의 서브넷은 서브넷 100.64.0.0/10240.0.0.0/4을 제외하고 RFC 1918 및 비 RFC 1918 주소를 지원합니다. Agent Engine은 지정된 네트워크에서 라우팅할 수 있는 RFC 1918 IP 주소 범위에만 연결할 수 있습니다. 에이전트 엔진은 비공개로 사용되는 공개 IP 주소 또는 다음 RFC 1918 이외의 범위에 연결할 수 없습니다.

  • 100.64.0.0/10
  • 192.0.0.0/24
  • 192.0.2.0/24
  • 198.18.0.0/15
  • 198.51.100.0/24
  • 203.0.113.0/24
  • 240.0.0.0/4

자세한 내용은 Private Service Connect 인터페이스 설정을 참고하세요.

공유 VPC에서 Private Service Connect 인터페이스 사용

공유 VPC 아키텍처와 함께 Private Service Connect 인터페이스를 사용하여 중앙 호스트 프로젝트의 네트워크를 사용하는 동안 서비스 프로젝트에서 에이전트 엔진을 만들 수 있습니다.

공유 VPC 환경에서 PSC 인터페이스를 설정할 때는 호스트 프로젝트에서 서브넷을 만든 다음 서비스 프로젝트에서 네트워크 연결을 만듭니다.

서비스 프로젝트에서 호스트 프로젝트의 네트워크를 사용하려면 적절한 IAM 권한을 부여해야 합니다. 서비스 프로젝트의 Vertex AI 서비스 에이전트에는 호스트 프로젝트의 Compute 네트워크 사용자 (roles/compute.networkUser) 역할이 필요합니다.

DNS 피어링

Private Service Connect 인터페이스는 보안 네트워크 경로를 제공하고 DNS 피어링은 서비스 검색 메커니즘을 제공합니다. PSC 인터페이스를 사용하려면 VPC 네트워크의 서비스 특정 IP 주소를 알아야 합니다. 내부 IP 주소를 사용하여 서비스에 연결할 수 있지만 IP가 변경될 수 있는 프로덕션 시스템에는 권장되지 않습니다. DNS 피어링을 사용하면 배포된 에이전트가 IP 주소 대신 안정적이고 사람이 읽을 수 있는 DNS 이름을 사용하여 VPC 네트워크의 서비스에 연결할 수 있습니다. DNS 피어링을 사용하면 배포된 에이전트가 VPC의 Cloud DNS 비공개 영역에 있는 레코드를 사용하여 DNS 이름을 확인할 수 있습니다. 자세한 내용은 비공개 DNS 피어링 설정을 참고하세요.

다음 단계