Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Gemini Enterprise エージェントプラットフォームリソースの Private Service Connect インターフェースを設定する

このガイドでは、Gemini Enterprise Agent Platform リソースの Private Service Connect インターフェースを設定する方法について説明します。

Gemini Enterprise Agent Platform の次のようなリソースに Private Service Connect インターフェース接続を構成できます。

VPC ピアリング接続とは異なり、Private Service Connect インターフェース接続は推移的です。これにより、コンシューマー VPC ネットワークで必要な IP アドレスが少なくなります。これにより、 Google Cloud プロジェクトやオンプレミスで他の VPC ネットワークに柔軟に接続できます。

このガイドは、 Google Cloud ネットワーキングのコンセプトに精通しているネットワーク管理者を対象としています。

目標

このガイドでは、次のタスクについて説明します。

コンシューマー VPC ネットワーク、サブネット、ネットワークアタッチメントを構成します。
ネットワークホストプロジェクトにファイアウォールルールを追加します。 Google Cloud
Private Service Connect インターフェースを使用するネットワークアタッチメントを指定して、Agent Platform リソースを作成します。

始める前に

次の手順で Google Cloud プロジェクトを作成または選択し、Gemini Enterprise Agent Platform と Private Service Connect で使用するように構成します。

アカウントにログインします。 Google Cloud を初めて使用する場合は、アカウントを作成して、実際のシナリオでプロダクトがどのように機能するかを評価してください。 Google Cloud新規のお客様には、ワークロードの実行、テスト、デプロイができる無料クレジット $300 分を差し上げます。

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Gemini Enterprise Agent Platform, Compute Engine, and Cloud Storage APIs.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the APIs

Google Cloud CLI をインストールします。

外部 ID プロバイダ（IdP）を使用している場合は、まず連携 ID を使用して gcloud CLI にログインする必要があります。

gcloud CLI を初期化するには、次のコマンドを実行します:

gcloud init

gcloud CLI を初期化した後に更新して、必要なコンポーネントをインストールします。

gcloud components update
gcloud components install beta

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Gemini Enterprise Agent Platform, Compute Engine, and Cloud Storage APIs.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the APIs

Google Cloud CLI をインストールします。

外部 ID プロバイダ（IdP）を使用している場合は、まず連携 ID を使用して gcloud CLI にログインする必要があります。

gcloud CLI を初期化するには、次のコマンドを実行します:

gcloud init

gcloud CLI を初期化した後に更新して、必要なコンポーネントをインストールします。

gcloud components update
gcloud components install beta

プロジェクトオーナーではなく、プロジェクト IAM 管理者（roles/resourcemanager.projectIamAdmin）のロールがない場合は、ネットワークリソースを管理するために必要な compute.networkAttachments.update、 compute.networkAttachments.update、および compute.regionOperations.get の権限を含む IAM ロール（ Compute ネットワーク管理者（roles/compute.networkAdmin）ロールなど）を付与するようオーナーに依頼してください。
必要なロールを AI Platform サービスエージェントに割り当てます。さまざまなシナリオで付与するロールの詳細については、このドキュメントの Gemini Enterprise Agent Platform サービスエージェントが必要とするロールをご覧ください。

VPC ネットワークとサブネットを設定する

既存のネットワークがない場合は、構成手順に沿って新しい VPC ネットワークを作成します。

VPC ネットワークを作成します。
```
gcloud compute networks create NETWORK \
    --subnet-mode=custom
```
NETWORK は、VPC ネットワークの名前に置き換えます。
サブネットを作成します。
```
gcloud compute networks subnets create SUBNET_NAME \
    --network=NETWORK \
    --range=PRIMARY_RANGE \
    --region=REGION
```
次のように置き換えます。
- SUBNET_NAME: サブネットの名前。
- PRIMARY_RANGE：新しいサブネットのプライマリ IPv4 範囲（CIDR 表記）。
  
  Agent Platform の IP 要件と制限事項は次のとおりです。
  - Agent Platform は /28 サブネットワークを推奨します。
  - ネットワークアタッチメントのサブネットは、サブネット 100.64.0.0/20 と 240.0.0.0/4 を除く RFC 1918 アドレスと RFC 1918 以外のアドレスをサポートしています。
  - Agent Platform は、指定されたネットワークからルーティング可能な RFC 1918 IP アドレス範囲にのみ接続できます。
  - Agent Platform は、プライベートで使用されるパブリック IP アドレスまたは次の RFC 1918 以外の範囲には到達できません。
    - 100.64.0.0/20
    - 192.0.0.0/24
    - 192.0.2.0/24
    - 198.18.0.0/15
    - 198.51.100.0/24
    - 203.0.113.0/24
    - 240.0.0.0/4
  詳細については、 IPv4 サブネットの範囲をご覧ください。
- REGION: 新しいサブネットを作成する Google Cloud リージョン。

ネットワークアタッチメントを作成する

共有 VPC デプロイでは、ホストプロジェクトでネットワークアタッチメントに使用するサブネットを作成してから、サービスプロジェクトで Private Service Connect ネットワークアタッチメントを作成します。

次の例は、接続を自動で受け入れるネットワークアタッチメントを作成する方法を示しています。

   gcloud compute network-attachments create NETWORK_ATTACHMENT_NAME \
       --region=REGION \
       --connection-preference=ACCEPT_AUTOMATIC \
       --subnets=SUBNET_NAME

NETWORK_ATTACHMENT_NAME は、ネットワークアタッチメントの名前に置き換えます。

ネットワークアタッチメントがサービスプロジェクトとは異なるプロジェクトで作成されている場合は、Gemini Enterprise を呼び出すときにネットワークアタッチメントのフルパスを渡す必要があります。

Gemini Enterprise Agent Platform サービスエージェントが必要とするロール

ネットワークアタッチメントを作成するプロジェクトで、 compute.networkAdmin ロールを同じプロジェクトの Gemini Enterprise Agent Platform サービスエージェントに付与します。このプロジェクトが Agent Platform を使用するサービスプロジェクトと異なる場合は、事前にこのプロジェクトで Agent Platform API を有効にします。

Agent Platform が使用する共有 VPC ネットワークを指定し、サービスプロジェクトにネットワークアタッチメントを作成する場合は、Agent Platform を使用するサービスプロジェクトの Agent Platform サービスエージェントに、VPC ホストプロジェクトの compute.networkUser ロールを付与します。

ファイアウォールルールを構成する

システムは、コンシューマー VPC に上り（内向き）ファイアウォールルールを適用し、コンピューティングエンドポイントとオンプレミスエンドポイントから Private Service Connect インターフェースのネットワークアタッチメントのサブネットと通信できるようにします。

ファイアウォールルールの構成は任意です。ただし、次の例に示すように、一般的なファイアウォールルールを設定することをおすすめします。

TCP ポート 22 で SSH アクセスを許可するファイアウォールルールを作成します。

gcloud compute firewall-rules create NETWORK-firewall1 \
    --network NETWORK \
    --allow tcp:22

TCP ポート 443 で HTTPS トラフィックを許可するファイアウォールルールを作成します。

gcloud compute firewall-rules create NETWORK-firewall2 \
    --network NETWORK \
    --allow tcp:443

ICMP トラフィック（ping リクエストなど）を許可するファイアウォールルールを作成します。
```
gcloud compute firewall-rules create NETWORK-firewall3 \
    --network NETWORK \
    --allow icmp
```

プライベート DNS ピアリングを設定する

PSC-I で構成された Vertex AI Training ジョブまたは Agent Runtime エージェントが、顧客管理の Cloud DNS ゾーンでプライベート DNS レコードを解決できるように、Agent Platform API には、Google 内部リソースとピアリングする DNS ドメインを指定するためのユーザーが構成できるメカニズムが用意されています。次の追加構成を行います。

Vertex AI Training サービスまたは Agent Runtime サービスを使用しているプロジェクトの AI Platform サービスエージェントアカウントに DNS Peer(roles/dns.peer) ロールを割り当てます。Gemini Enterprise Agent Platform が使用する共有 VPC ネットワークを指定し、サービスプロジェクトにネットワークアタッチメントを作成する場合は、Agent Platform を使用するサービスプロジェクトの AI Platform サービスエージェントに、VPC ホストプロジェクトの DNS Peer(roles/dns.peer) ロールを付与します。

すべての ICMP、TCP、UDP トラフィックを許可するファイアウォールルールを作成します（省略可）。

gcloud compute firewall-rules create NETWORK-firewall4 \
    --network NETWORK
    --allow tcp:0-65535,udp:0-65535,icmp
    --source-ranges IP_RANGES

DNS 解決とトラフィックルーティング用にプライベート DNS ゾーンを設定します。プライベート DNS ゾーンに DNS レコードを追加するには、リソースレコードセットを追加するをご覧ください。

トラブルシューティング

このセクションでは、Gemini Enterprise Agent Platform で Private Service Connect を構成する際の一般的な問題について説明します。

共有 VPC で Agent Platform を構成する場合は、Agent Platform を使用するサービスプロジェクトにネットワークアタッチメントを作成します。この方法により、次のような特定のエラーメッセージを防ぐことができます。

_Please make sure that the Agent Platform API is enabled for the
project_, by ensuring the
necessary permissions and APIs are enabled in the correct project.

次のステップ

Ray on Vertex AI で Private Service Connect インターフェースの下り（外向き）接続を使用する方法を学習する。
カスタムトレーニングで Private Service Connect インターフェースの下り（外向き）接続を使用する方法を学習する。
Agent Platform Pipelines で Private Service Connect インターフェースの下り（外向き）接続を使用する方法を学習する。
Agent Runtime で Private Service Connect インターフェースの下り（外向き）接続を使用する方法を学習する