アプリケーションは、 Google Cloud 内またはハイブリッド(オンプレミスとマルチクラウド)ネットワークから Google の本番環境の API に接続できます。Google Cloud では、グローバルなネットワーク到達性と SSL / TLS セキュリティを提供する、次のパブリック アクセスとプライベート アクセスのオプションを提供しています。
- 公共のインターネット アクセス:
REGION-aiplatform.googleapis.comにトラフィックを送信します。 - オンプレミス ホスト用の限定公開の Google アクセス: IP アドレスのサブネット範囲
199.36.153.8/30(private.googleapis.com)または199.36.153.4/30(restricted.googleapis.com)からREGION-aiplatform.googleapis.comにアクセスします。 - Google API の Private Service Connect エンドポイント: ユーザー定義の内部 IP アドレス(
10.0.0.100など)を使用して、REGION-aiplatform.googleapis.comまたは割り当てられた DNS 名(aiplatform-genai1.p.googleapis.comなど)にアクセスします。
次の図は、これらのアクセス オプションを示しています。
一部の Vertex AI サービス プロデューサーでは、プライベート サービス アクセスまたは Private Service Connect エンドポイントを介してサービスに接続する必要があります。これらのサービスは、Vertex AI のプライベート アクセス オプションの表に一覧表示されています。
Vertex AI API への公共インターネット アクセス
アプリケーションで Vertex AI でサポートされているアクセス方法の表に記載されている Google サービスを使用する場合、アプリケーションは、サービス エンドポイント(REGION-aiplatform.googleapis.com)に対して DNS ルックアップを実行することで API にアクセスでき、これにより、一般公開されたルーティング可能な仮想 IP アドレスを返します。インターネット接続がある限り、世界中のどこからでも API を使用できます。ただし、 Google Cloud リソースからこれらの IP アドレスに送信されたトラフィックは、Google のネットワーク内に残ります。
Vertex AI API へのプライベート アクセス
プライベート アクセスは、インターネット経由で Google API とサービスに接続するための代替手段として使用できます。これにより、より高い帯域幅、信頼性、一貫したパフォーマンスが実現します。 Google Cloud では、Cloud Interconnect、Cross-Cloud Interconnect、Cloud Interconnect を介した HA VPN、SD-WAN などのハイブリッド ネットワーキング サービスを介して Google API に非公開でアクセスするために、次のオプションをサポートしています。
オンプレミス ホスト用のプライベート Google アクセス
オンプレミス ホスト用のプライベート Google アクセスを使用すると、ハイブリッド ネットワーキング サービス経由でトラフィックをルーティングすることで、オンプレミス システムから Google API とサービスに接続できます。
プライベート Google アクセスでは、Cloud Router を使用して、次のいずれかのサブネット IP アドレス範囲をカスタムのアドバタイズされたルートとしてアドバタイズする必要があります。
private.googleapis.com:199.36.153.8/30、2600:2d00:0002:2000::/64restricted.googleapis.com:199.36.153.4/30、2600:2d00:0002:1000::/64
詳細については、オンプレミス ホスト用の限定公開の Google アクセスの構成をご覧ください。
Vertex AI API の Private Service Connect エンドポイント
Private Service Connect を使用すると、VPC ネットワーク内のグローバル内部 IP アドレスを使用してプライベート エンドポイントを作成できます。これらの内部 IP アドレスには、aiplatform-genai1.p.googleapis.com や bigtable-adsteam.p.googleapis.com など、意味のある名前で DNS 名を割り当てることができます。これらの名前と IP アドレスは、VPC ネットワークと、ハイブリッド ネットワーク サービスを介してそれに接続されたオンプレミス ネットワークに対して内部的なものです。エンドポイントに配信されるトラフィックを制御し、トラフィックを Google Cloud内にとどめることができます。
- ユーザー定義のグローバル Private Service Connect エンドポイント IP アドレス(/32)を作成できます。詳細については、IP アドレスの要件をご覧ください。
- Private Service Connect エンドポイントは、Cloud Router と同じ VPC ネットワークに作成します。
- これらの内部 IP アドレスには、
aiplatform-prodpsc.p.googleapis.comなどの意味のある名前で DNS 名を割り当てることができます。詳細については、エンドポイントを介した Google API へのアクセスについてをご覧ください。
デプロイに関する考慮事項
プライベート Google アクセスと Private Service Connect を使用して Vertex AI API にアクセスする方法に影響する重要な考慮事項は次のとおりです。
プライベート Google アクセス
ベスト プラクティスとして、外部 IP アドレスを持たないコンピューティング リソース(Compute Engine や GKE VM インスタンスなど)が Google Cloud API やサービス(Vertex AI、Cloud Storage、BigQuery など)にアクセスできるように、VPC サブネットでプライベート Google アクセスを有効にすることをおすすめします。
IP アドバタイズ
プライベート Google アクセスのサブネット範囲または Private Service Connect エンドポイントの IP アドレスを、Cloud Router からオンプレミス環境とマルチクラウド環境にカスタムのアドバタイズされたルートとしてアドバタイズする必要があります。詳細については、カスタム IP 範囲のアドバタイズをご覧ください。
ファイアウォール ルール
オンプレミス環境とマルチクラウド環境のファイアウォール構成で、限定公開の Google アクセスまたは Private Service Connect のサブネットの IP アドレスからの送信トラフィックが許可されていることを確認する必要があります。
DNS 構成
- オンプレミス ネットワークには、
REGION-aiplatform.googleapis.comへのリクエストが限定公開の Google アクセス サブネットまたは Private Service Connect エンドポイントの IP アドレスに解決されるように構成された DNS ゾーンとレコードが必要です。 - Cloud DNS の限定公開マネージド ゾーンを作成して、Cloud DNS インバウンド サーバー ポリシーを使用できます。また、オンプレミスのネームサーバーを構成することもできます。たとえば、BIND や Microsoft Active Directory DNS を使用できます。
- オンプレミス ネットワークが VPC ネットワークに接続されている場合、Private Service Connect を使用すると、エンドポイントの内部 IP アドレスを使用して、オンプレミス ホストから Google API とサービスにアクセスできます。詳細については、オンプレミス ホストからエンドポイントにアクセスするをご覧ください。