Gemini Enterprise Agent Platform 리소스에 대한 Private Service Connect 인터페이스 설정

이 가이드에서는 Gemini Enterprise 에이전트 플랫폼 리소스에 대해 Private Service Connect 인터페이스 를 설정하는 방법을 보여줍니다.

다음과 같이 Gemini Enterprise 에이전트 플랫폼의 특정 리소스에 대해 Private Service Connect 인터페이스 연결을 구성할 수 있습니다.

VPC 피어링 연결과 달리 Private Service Connect 인터페이스 연결은 일시적입니다. 이렇게 하면 소비자 VPC 네트워크에서 더 적은 수의 IP 주소가 필요합니다. 그 결과 Google Cloud 프로젝트 및 온프레미스에서 다른 VPC 네트워크에 연결하는 데 큰 유연성을 확보할 수 있습니다.

이 가이드는 Google Cloud 네트워킹 개념에 익숙한 네트워크 관리자를 위한 것입니다.

목표

이 가이드에서는 다음 작업을 설명합니다.

  • 소비자 VPC 네트워크, 서브넷, 네트워크 연결을 구성합니다.
  • 네트워크 호스트 프로젝트에 방화벽 규칙을 추가합니다. Google Cloud
  • Private Service Connect 인터페이스를 사용하도록 네트워크 연결을 지정하는 에이전트 플랫폼 리소스를 만듭니다.

시작하기 전에

다음 안내에 따라 프로젝트를 만들거나 선택하고 Gemini Enterprise 에이전트 플랫폼 및 Private Service Connect에 사용하도록 구성합니다. Google Cloud

  1. 계정에 로그인합니다. Google Cloud 를 처음 사용하는 경우 Google Cloud 계정을 만들어 실제 시나리오에서 제품이 어떻게 작동하는지 평가하세요. 신규 고객에게는 워크로드를 실행, 테스트, 배포하는 데 사용할 수 있는 $300의 무료 크레딧이 제공됩니다.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Gemini Enterprise Agent Platform, Compute Engine, and Cloud Storage APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  5. Google Cloud CLI를 설치합니다.

  6. 외부 ID 공급업체(IdP)를 사용하는 경우 먼저 제휴 ID로 gcloud CLI에 로그인해야 합니다.

  7. gcloud CLI를 초기화하려면, 다음 명령어를 실행합니다. 

    gcloud init

  8. gcloud CLI를 초기화한 후 업데이트하고 필요한 구성요소를 설치합니다. 

    gcloud components update
gcloud components install beta

  9. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  10. Verify that billing is enabled for your Google Cloud project.

  11. Enable the Gemini Enterprise Agent Platform, Compute Engine, and Cloud Storage APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  12. Google Cloud CLI를 설치합니다.

  13. 외부 ID 공급업체(IdP)를 사용하는 경우 먼저 제휴 ID로 gcloud CLI에 로그인해야 합니다.

  14. gcloud CLI를 초기화하려면, 다음 명령어를 실행합니다. 

    gcloud init

  15. gcloud CLI를 초기화한 후 업데이트하고 필요한 구성요소를 설치합니다. 

    gcloud components update
gcloud components install beta
  16. 프로젝트 소유자가 아니며 프로젝트 IAM 관리자(roles/resourcemanager.projectIamAdmin) 역할이 없으면 소유자에게 compute.networkAttachments.update, compute.networkAttachments.update, 및 compute.regionOperations.get 권한이 포함된 IAM 역할을 부여해 달라고 요청하세요(예: 네트워킹 리소스를 관리하는 Compute 네트워크 관리자(roles/compute.networkAdmin) 역할).
  17. AI Platform 서비스 에이전트에 필요한 역할을 할당합니다. 다양한 시나리오에서 부여해야 하는 역할에 대한 자세한 내용은 이 문서의 Gemini Enterprise 에이전트 플랫폼 서비스 에이전트에 필요한 역할 섹션을 참조하세요.

VPC 네트워크 및 서브넷 설정

기존 네트워크가 없으면 구성 단계에 따라 새 VPC 네트워크를 만듭니다.

  1. VPC 네트워크를 만듭니다.

    gcloud compute networks create NETWORK \
    --subnet-mode=custom

    NETWORK를 VPC 네트워크의 이름으로 바꿉니다.

  2. 서브넷을 만듭니다.

    gcloud compute networks subnets create SUBNET_NAME \
    --network=NETWORK \
    --range=PRIMARY_RANGE \
    --region=REGION

    다음을 바꿉니다.

    • SUBNET_NAME: 서브넷의 이름입니다.

    • PRIMARY_RANGE: CIDR 표기법으로 표시된 새 서브넷의 기본 IPv4 주소 범위.

      다음은 에이전트 플랫폼의 IP 요구사항 및 제한사항입니다.

      • 에이전트 플랫폼에서 /28 서브네트워크를 추천합니다.
      • 네트워크 연결 서브넷은 서브넷 100.64.0.0/20 및 240.0.0.0/4를 제외하고 RFC 1918 및 RFC 1918 이외의 주소를 지원합니다.
      • 에이전트 플랫폼은 지정된 네트워크에서 라우팅 가능한 RFC 1918 IP 주소 범위에만 연결할 수 있습니다.

      • 에이전트 플랫폼은 비공개로 사용되는 공개 IP 주소나 다음과 같은 비RFC 1918 범위에 접근할 수 없습니다.

        • 100.64.0.0/20
        • 192.0.0.0/24
        • 192.0.2.0/24
        • 198.18.0.0/15
        • 198.51.100.0/24
        • 203.0.113.0/24
        • 240.0.0.0/4

      자세한 내용은 IPv4 서브넷 범위를 참조하세요.

    • REGION: 새 서브넷을 만드는 Google Cloud 리전입니다.

네트워크 연결 만들기

공유 VPC 배포에서 호스트 프로젝트의 네트워크 연결에 사용되는 서브넷을 만든 후, 서비스 프로젝트에 Private Service Connect 네트워크 연결을 만듭니다.

다음 예시는 자동으로 연결을 수락하는 네트워크 연결 만들기 방법을 보여줍니다.

   gcloud compute network-attachments create NETWORK_ATTACHMENT_NAME \
       --region=REGION \
       --connection-preference=ACCEPT_AUTOMATIC \
       --subnets=SUBNET_NAME

NETWORK_ATTACHMENT_NAME을 네트워크 연결 이름으로 바꿉니다.

네트워크 연결이 서비스 프로젝트와 다른 프로젝트에서 생성된 경우 Gemini Enterprise를 호출할 때 전체 네트워크 연결 경로를 전달해야 합니다.

Gemini Enterprise 에이전트 플랫폼 서비스 에이전트에 필요한 역할

네트워크 연결을 만드는 프로젝트에서 compute.networkAdmin 역할을 동일 프로젝트의 Gemini Enterprise 에이전트 플랫폼 서비스 에이전트 에 부여합니다. 에이전트 플랫폼을 사용하는 서비스 프로젝트와 다른 경우에는 이 프로젝트에서 에이전트 플랫폼 API를 미리 사용 설정합니다.

에이전트 플랫폼이 사용할 공유 VPC 네트워크를 지정하고 서비스 프로젝트에서 네트워크 연결을 만드는 경우 에이전트 플랫폼을 사용하는 서비스 프로젝트의 에이전트 플랫폼 서비스 에이전트 에 VPC 호스트 프로젝트의 compute.networkUser 역할을 부여합니다.

방화벽 규칙 구성

시스템은 소비자 VPC인그레스 방화벽 규칙을 적용하여 Compute 및 온프레미스 엔드포인트에서 Private Service Connect 인터페이스 네트워크 연결 서브넷과 통신을 사용 가능하게 합니다.

방화벽 규칙 구성은 선택사항입니다. 하지만 다음 예시에 표시된 것처럼 일반적인 방화벽 규칙을 설정하는 것이 좋습니다.

  1. TCP 포트 22에서 SSH 액세스를 허용하는 방화벽 규칙을 만듭니다.

    gcloud compute firewall-rules create NETWORK-firewall1 \
    --network NETWORK \
    --allow tcp:22

  2. TCP 포트 443에서 HTTPS 트래픽을 허용하는 방화벽 규칙을 만듭니다.

    gcloud compute firewall-rules create NETWORK-firewall2 \
    --network NETWORK \
    --allow tcp:443

  3. ICMP 트래픽(예: 핑 요청)을 허용하는 방화벽 규칙을 만듭니다.

    gcloud compute firewall-rules create NETWORK-firewall3 \
    --network NETWORK \
    --allow icmp

비공개 DNS 피어링 설정

PSC-I로 구성된 Vertex AI Training 작업 또는 에이전트 런타임 에이전트가 고객 관리 Cloud DNS 영역의 비공개 DNS 레코드를 확인할 수 있도록 에이전트 플랫폼 API는 Google 내부 리소스와 피어링할 DNS 도메인을 지정하는 사용자 구성 가능 메커니즘을 제공합니다. 다음과 같은 추가 구성을 수행합니다.

  1. Vertex AI Training 또는 에이전트 런타임 서비스를 사용 중인 프로젝트의 AI Platform 서비스 에이전트 계정에 DNS Peer(roles/dns.peer) 역할을 할당합니다. Gemini Enterprise 에이전트 플랫폼이 사용할 공유 VPC 네트워크를 지정하고 서비스 프로젝트에서 네트워크 연결을 만드는 경우 에이전트 플랫폼을 사용하는 서비스 프로젝트의 AI Platform 서비스 에이전트 에 VPC 호스트 프로젝트의 DNS Peer(roles/dns.peer) 역할을 부여합니다.

  2. 모든 ICMP, TCP, UDP 트래픽을 허용하는 방화벽 규칙을 만듭니다 (선택사항).

    gcloud compute firewall-rules create NETWORK-firewall4 \
    --network NETWORK
    --allow tcp:0-65535,udp:0-65535,icmp
    --source-ranges IP_RANGES

  3. DNS 변환 및 트래픽 라우팅을 위해 비공개 DNS 영역을 설정합니다. 비공개 DNS 영역에 DNS 레코드를 추가하려면 리소스 레코드 세트 추가를 참조하세요.

문제 해결

이 섹션에서는 Gemini Enterprise 에이전트 플랫폼으로 Private Service Connect를 구성할 때 발생하는 몇 가지 일반적인 문제를 설명합니다.

공유 VPC로 에이전트 플랫폼을 구성할 때는 에이전트 플랫폼을 사용하는 서비스 프로젝트에서 네트워크 연결을 만듭니다. 이 접근 방식을 사용하면 다음과 같은 특정 오류 메시지를 방지할 수 있습니다.

_Please make sure that the Agent Platform API is enabled for the
project_, by ensuring the
necessary permissions and APIs are enabled in the correct project.

다음 단계