Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

VPC ネットワークピアリングを設定する

Gemini Enterprise Agent Platform を Virtual Private Cloud（VPC）とピアリングするように構成すると、 Agent Platform の特定のリソースに直接接続できます。たとえば、次のものに接続できます。

このガイドでは、お使いのネットワークを Agent Platform リソースとピアリングするように VPC ネットワークピアリングを設定する方法について説明します。このガイドは、ネットワーキングのコンセプトにすでに精通しているネットワーク管理者を対象としています。 Google Cloud

概要

このガイドでは、次のタスクについて説明します。

VPC のプライベートサービスアクセスを構成する。これにより、VPC と Google の共有 VPC ネットワークの間にピアリング接続が確立されます。
Agent Platform 用に予約が必要な IP 範囲を検討してください。
必要に応じて、Agent Platform でインポートできるようにカスタムルートをエクスポートする。

始める前に

Agent Platform リソースとピアリングする VPC を選択します。Agent Platform は、リージョンごとに一度に 1 つのネットワークとのみピアリングできます。
Agent Platform に使用する Google Cloud プロジェクトを選択または作成します。
プロジェクトで課金が有効になっていることを確認します Google Cloud 。
Compute Engine API、Agent Platform API、Service Networking API を有効にします。
API を有効にするために必要なロール
API を有効にするには、serviceusage.services.enable 権限を含む Service Usage 管理者 IAM ロール（roles/serviceusage.serviceUsageAdmin）が必要です。詳しくは、ロールを付与する方法をご覧ください。
API を有効にする

必要に応じて、共有 VPC を使用できます。共有 VPC を使用する場合、通常は Agent Platform を VPC ホストプロジェクトとは別の Google Cloud プロジェクトで使用します。両方のプロジェクトで Compute Engine API と Service Networking API を有効にします。共有 VPC のプロビジョニング方法を学習します。
このガイドの gcloud のサンプルを実行する場合は、gcloud CLI をインストールします。

必要なロール

プロジェクトオーナーまたは編集者でない場合は、ネットワークリソースを管理するために必要なロールが含まれる Compute ネットワーク管理者のロール（roles/compute.networkAdmin）が必要です。

オンプレミスネットワークとのピアリング

オンプレミスネットワークとの VPC ネットワークピアリングの場合、追加の手順があります。

オンプレミスネットワークを VPC に接続します。VPN トンネルまたは Interconnect を使用できます。
VPC からオンプレミスネットワークへのカスタムルートを設定します。
カスタムルートをエクスポートして、Agent Platform でインポートできるようにします。

VPC のプライベートサービスアクセスを設定する

プライベートサービスアクセスを設定すると、お客様のネットワークと、Google またはサードパーティのサービス（サービスプロデューサー）が所有するネットワークの間にプライベート接続が確立されます。この場合、Agent Platform がサービスプロデューサーです。プライベートサービスアクセスを設定するには、サービスプロデューサーの IP 範囲を予約して、Agent Platform とのピアリング接続を作成します。

プライベートサービスアクセスが構成された VPC がすでにある場合は、カスタムルートのエクスポートに進みます。

プロジェクト ID、予約済み範囲の名前、ネットワーク名の環境変数を設定します。共有 VPC を使用する場合は、VPC ホストプロジェクトのプロジェクト ID を使用します。それ以外の場合は、Agent Platform に使用する Google Cloud プロジェクトのプロジェクト ID を使用します。
必要な API を有効にします。共有 VPC を使用する場合は、Agent Platform で共有 VPC を使用するをご覧ください。
gcloud compute addresses create を使用して予約済みの範囲を設定します。

gcloud services vpc-peerings connect を使用して、VPC ホストプロジェクトと Google のサービスネットワーキングの間にピアリング接続を確立します。

プライベート推論エンドポイントの場合、モデルホスティング用にサブネットに少なくとも /21 ブロックを予約することをおすすめします。予約するブロックが小さいと、IP アドレスの不足が原因でデプロイエラーが発生する可能性があります。

172.16.0.0/16 サブネットは Vertex AI Training 用に予約されています。この CIDR 範囲と重複しないサブネットを指定する必要があります。

PROJECT_ID=YOUR_PROJECT_ID
gcloud config set project $PROJECT_ID

# This is for display only; you can name the range anything.
PEERING_RANGE_NAME=google-reserved-range

NETWORK=YOUR_NETWORK_NAME

# NOTE: `prefix-length=16` means a CIDR block with mask /16 will be
# reserved for use by Google services, such as Agent Platform.
gcloud compute addresses create $PEERING_RANGE_NAME \
  --global \
  --prefix-length=16 \
  --description="peering range for Google service" \
  --network=$NETWORK \
  --purpose=VPC_PEERING

# Create the VPC connection.
gcloud services vpc-peerings connect \
  --service=servicenetworking.googleapis.com \
  --network=$NETWORK \
  --ranges=$PEERING_RANGE_NAME \
  --project=$PROJECT_ID

プライベートサービスアクセスの詳細を学習します。

Agent Platform で共有 VPC を使用する

プロジェクトで共有 VPC を使用する場合は、共有 VPC をプロビジョニングする方法を参照し、必ず次の手順を完了してください。

ホストとサービスプロジェクトで Compute Engine API と Service Networking API を有効にします。サービスプロジェクトで Agent Platform API を有効にする必要があります。
ホストプロジェクト内の VPC と Google サービスの間に VPC ネットワークピアリング接続を作成します。
Agent Platform の作成時に、Agent Platform が共有 VPC にアクセスできるようにするネットワークの名前を指定する必要があります。
使用するサービスまたはユーザーアカウントにロール Compute ネットワークのユーザーロール（roles/compute.networkUser）があることを確認します。

Agent Platform の IP 範囲を予約する

サービスプロデューサーの IP 範囲を予約すると、その範囲は Agent Platform やその他のサービスで使用されます。同じ範囲を使用して複数のサービスプロデューサーと接続する場合は、IP が不足しないように、より大きな範囲を割り振ります。

サブネットに関する推奨事項の表を参照して、プライベートサービスアクセスの IP 予約がワークロードに対応できる十分な広さであることを確認してください。

--network パラメータでジョブが起動されると、VPC とピアリングされている Google 管理のネットワークで起動されます。

--network = "projects/${host_project}/global/networks/${network}"

ネットワークへのアクセスを必要としないジョブは、この宣言なしで起動できるため、IP 割り振りを保持できます。

十分な広さの IP 範囲を予約できない場合は、プライベートサービスアクセスを使用した Gemini Enterprise Agent Platform から Private Service Connect を使用した Gemini Enterprise Agent Platform への移行を検討してください。

カスタムルートをエクスポートする

カスタムルートを使用する場合は、Agent Platform がインポートできるようカスタムルートをエクスポートする必要があります。カスタムルートを使用しない場合は、このセクションをスキップします。

カスタムルートをエクスポートするには、VPC でピアリング接続を更新します。カスタムルートをエクスポートすると、オンプレミスネットワークへのルートなど、VPC ネットワークにあるすべての有効な静的ルートと動的ルートが、サービスプロデューサーのネットワークに送信されます（この場合は Agent Platform）。これにより、必要な接続が確立され、トレーニングジョブでオンプレミスネットワークにトラフィックを戻すことが可能になります。

レスポンスが Agent Platform に正しく戻されるように、Agent Platform に割り振られた IP アドレス範囲に戻るルートが、オンプレミスネットワークにあることを確認します。たとえば、Agent Platform の IP アドレス範囲を含む Cloud Router のカスタムルートアドバタイズを使用します。

オンプレミスネットワークとのプライベート接続について学習します。

コンソール

Google Cloud コンソールで、[VPC ネットワークピアリング] ページに移動します。
[VPC ネットワークピアリング] ページに移動
更新するピアリング接続を選択します。
[編集] をクリックします。
[カスタムルートのエクスポート] を選択します。

gcloud

更新するピアリング接続の名前を探します。複数のピアリング接続がある場合は、--format フラグを省略します。

gcloud services vpc-peerings list \
  --network=$NETWORK \
  --service=servicenetworking.googleapis.com \
  --project=$PROJECT_ID \
  --format "value(peering)"

ピアリング接続を更新してカスタムルートをエクスポートします。

gcloud compute networks peerings update PEERING-NAME \
    --network=$NETWORK \
    --export-custom-routes \
    --project=$PROJECT_ID

ピアリング接続のステータスを確認する

ピアリング接続がアクティブであることを確認するには、次のコマンドを使用して一覧表示します。

gcloud compute networks peerings list --network $NETWORK

作成したピアリングの状態が ACTIVE と表示されているはずです。詳しくは、アクティブなピアリング接続をご覧ください。

トラブルシューティング

このセクションでは、Agent Platform との VPC ネットワークピアリングの構成に関する一般的な問題について説明します。

共有 VPC ネットワークを使用するように Agent Platform を構成する場合は、次のようにネットワーク URI を指定します。

"projects/YOUR_SHARED_VPC_HOST_PROJECT/global/networks/YOUR_SHARED_VPC_NETWORK"
Agent Platform が使用する共有 VPC ネットワークを指定する場合は、サービスプロジェクトの Agent Platform のユーザーまたはサービスアカウントの操作者に、ホストプロジェクトの compute.networkUser ロールが付与されていることを確認します。
ネットワークが接続するすべてのサービスプロデューサー（Agent Platform を含む）に対して十分な IP 範囲が割り当てられていることを確認します。
エラーメッセージ IP_SPACE_EXHAUSTED、RANGES_EXHAUSTED、PEERING_RANGE_EXHAUSTED が発生した場合は、ネットワークで servicenetworking 予約に使用できる IP アドレスの量を増やす必要があります。既存の VPC ネットワークピアリング構成に新しい範囲を追加するか、一部の Agent Platform リソースを削除して、割り振られた IP アドレスを解放できます。
接続タイムアウト: カスタムルートをエクスポートすると、Agent Platform からの接続はお客様のネットワークを経由して、他のネットワークのエンドポイントに到達するようルーティングされます。ただし、Agent Platform にレスポンスを戻すために、これらのエンドポイントがお客様のネットワーク経由でルーティングされない場合があります。 Agent Platform の割り振り IP 範囲へのリターンパスに対して、これらのネットワークに静的ルートと動的ルートも追加してください。
接続タイムアウト / ホスト到達不能エラー: 推移的ピアリングはサポートされていないため、Agent Platform からの接続は、お客様のネットワークに直接ピアリングされている他のネットワークのエンドポイントに到達できません。「カスタムルートのエクスポート」が有効になっている場合でも。ネットワーク管理者と協力して、直接ピアリングしているネットワークから他のネットワークにお客様のネットワークを直接ルーティングしないでください。必要に応じて、これらのピアリングホップのいずれかを静的ルートまたは動的ルートをサポートするソリューションに置き換えることができます。
ホスト到達不能 DNS エラー: Gemini Enterprise Agent Platform のジョブで VPC のホスト名を解決する必要がある場合は、限定公開 DNS ゾーンをサービスプロデューサーと共有するための構成を完了していることを確認してください。
パイプラインジョブの作成に失敗し、ログエクスプローラで「内部エラー」が特定された場合は、プライベートサービスアクセスのサブネットに加えて VPC ネットワークがデプロイされていることを確認してください。
どのサービスがどの IP アドレスを使用しているかを確認できます。たとえば、どのサービスが大きな IP ブロックを使用しているかを知ることができ、IP アドレスが枯渇するのを防止できます。
Unable to create an instance within a Shared VPC network エラーが発生した場合は、Vertex AI Workbench のトラブルシューティングをご覧ください。
エラーメッセージ For the peered network $network_name, couldn't find a free blocks in allocated IP ranges. This is needed to create the cluster. が発生した場合は、サービスに利用可能な割り振り範囲の数を増やす必要があります。これは、次の方法で行います。
- ネットワークに新しい割り振り範囲を追加し、servicenetworking-googleapis-com プライベート接続に追加します。割り振り範囲の最小サイズは /18 です。
- 割り振られた IP アドレスを解放するには、既存の未使用の Agent Platform リソースを削除します。
- ネットワークアナライザを使用して、サブネットの使用率と潜在的な問題を特定します。

その他のトラブルシューティング情報については、VPC ネットワークピアリングのトラブルシューティングガイドをご覧ください。