이 페이지는 Cloud Translation API를 통해 번역되었습니다.

Vertex AI API 액세스 정보

애플리케이션은 Google Cloud 내에서 또는 하이브리드(온프레미스 및 멀티 클라우드) 네트워크에서 Google 프로덕션 환경의 API에 연결할 수 있습니다. Google Cloud 에서는 전역 연결 가능성 및 SSL/TLS 보안을 제공하는 다음 공개 및 비공개 액세스 옵션을 제공합니다.

공개 인터넷 액세스: 트래픽을 REGION-aiplatform.googleapis.com으로 전송합니다.
Google API용 Private Service Connect 엔드포인트: 10.0.0.100과 같은 사용자 정의 내부 IP 주소를 사용하여 REGION-aiplatform.googleapis.com 또는 aiplatform-genai1.p.googleapis.com과 같은 할당된 DNS 이름에 액세스합니다.

다음 다이어그램은 이러한 액세스 옵션을 보여줍니다.

공개 및 비공개 메서드로 Vertex AI API를 액세스하는 아키텍처 다이어그램

일부 Vertex AI 서비스 프로듀서는 Private Service Connect 엔드포인트 또는 Private Service Connect 인터페이스를 통해 서비스에 연결해야 합니다. 이러한 서비스는 Vertex AI의 비공개 액세스 옵션 테이블에 나와 있습니다.

리전 Vertex AI 엔드포인트와 전역 Vertex AI 엔드포인트 중에서 선택

리전 Vertex AI 엔드포인트(REGION-aiplatform.googleapis.com)는 Google API에 액세스하는 표준 방식입니다. 여러 Google Cloud리전에 배포된 애플리케이션의 경우 원하는 모델이나 기능이 특정 리전에만 제공되는 것이 아니라면 일관된 API 호출과 더 견고한 설계를 위해 전역 엔드포인트(aiplatform.googleapis.com)를 사용하는 것이 좋습니다. 전역 엔드포인트를 사용할 때의 이점은 다음과 같습니다.

모델 및 기능 가용성: Vertex AI 내의 일부 최신, 전문, 리전별 모델 및 기능은 처음에는 또는 영구적으로 리전 엔드포인트(예: us-central1-aiplatform.googleapis.com)를 통해서만 제공됩니다. 애플리케이션이 이러한 특정 리소스 중 하나에 의존하는 경우 해당 리소스의 위치에 해당하는 리전 엔드포인트를 사용해야 합니다. 이는 엔드포인트 전략을 결정할 때의 기본 제약 조건입니다.
멀티 리전 설계 간소화: 모델이 전역 엔드포인트를 지원하는 경우 이를 사용하면 애플리케이션이 현재 배포 리전에 따라 API 엔드포인트를 동적으로 전환할 필요가 없습니다. 단일 정적 구성은 모든 리전에서 작동하므로 배포, 테스트, 운영이 크게 간소화됩니다.
비율 제한 완화(429 오류 방지): 지원되는 모델의 경우 전역 엔드포인트를 통해 요청을 라우팅하면 Google 네트워크에서 가장 가까운 사용 가능한 리전 서비스로 트래픽이 내부적으로 분산됩니다. 이러한 분산은 내부 부하 분산을 위해 Google의 백본을 활용하여 지역적인 서비스 혼잡 또는 리전별 비율 제한(429) 오류를 완화하는 데 도움이 될 수 있습니다.

파트너 모델의 전역 가용성을 확인하려면 Google Cloud 모델 엔드포인트 위치 테이블의 전역 탭을 참조하세요. 여기에는 리전 위치도 나열되어 있습니다.

Vertex AI 공유 VPC 고려사항

공유 VPC를 사용하는 것은 강력한 네트워크 및 조직 거버넌스를 설정하기 위한 Google Cloud 권장사항입니다. 이 모델은 네트워크 보안 관리자가 관리하는 중앙 호스트 프로젝트와 애플리케이션 팀이 사용하는 여러 서비스 프로젝트를 지정하여 책임을 분리합니다.

이 분리를 통해 네트워크 관리자는 방화벽 규칙, 서브넷, 경로를 비롯한 네트워크 보안을 중앙에서 관리하고 적용하는 동시에 서비스 프로젝트에 리소스 생성 및 관리(예: VM, GKE 클러스터, 결제)를 위임할 수 있습니다.

공유 VPC를 사용하면 다음을 지원하여 다층적 세분화 접근 방식을 사용할 수 있습니다.

관리 및 결제 세분화: 각 서비스 프로젝트('Finance-AI-Project' 또는 'Marketing-AI-Project' 등)에는 자체 결제, 할당량, 리소스 소유권이 있습니다. 이렇게 하면 단일 팀이 조직의 전체 할당량을 사용하는 것을 방지하고 명확한 비용 기여 분석을 제공할 수 있습니다.
IAM 및 액세스 세분화: 프로젝트 수준에서 세분화된 Identity and Access Management(IAM) 권한을 적용할 수 있습니다. 예를 들면 다음과 같습니다.
- '재무 사용자' Google 그룹에는 'Finance-AI-Project'에서만 roles/aiplatform.user 역할이 부여됩니다.
- '마케팅 사용자' Google 그룹에는 '마케팅-AI-프로젝트'에서만 동일한 역할이 부여됩니다.
- 이 구성을 사용하면 재무 그룹의 사용자가 자신의 프로젝트와 연결된 Vertex AI 엔드포인트, 모델, 리소스에만 액세스할 수 있습니다. 그들은 마케팅팀의 AI 워크로드로부터 완전히 격리됩니다.
API 수준 시행: Vertex AI API 엔드포인트 자체가 이 프로젝트 기반 세분화를 시행하도록 설계되었습니다. API 호출 구조에 표시된 것처럼 프로젝트 ID는 URI의 필수 부분입니다.
```
https://aiplatform.googleapis.com/v1/projects/${PROJECT_ID}/locations/global/publishers/google/models/${MODEL_ID}:streamGenerateContent
```

사용자가 이 호출을 하면 시스템은 인증된 ID에 URL에 제공된 특정 ${PROJECT_ID}에 필요한 IAM 권한이 있는지 확인합니다. 사용자에게 'Finance-AI-Project'에 대한 권한만 있지만 'Marketing-AI-Project' ID를 사용하여 API를 호출하려고 하면 요청이 거부됩니다. 이 접근 방식은 강력하고 확장 가능한 프레임워크를 제공하여 조직에서 AI를 도입할 때 직무, 비용, 보안 경계를 명확하게 구분할 수 있도록 지원합니다.

Vertex AI API에 대한 공개 인터넷 액세스

애플리케이션이 Vertex AI에 지원되는 액세스 방식 표에 공개 인터넷으로 나열된 Google 서비스를 사용하는 경우, 애플리케이션은 서비스 엔드포인트(REGION-aiplatform.googleapis.com 또는 aiplatform.googleapis.com)에 대한 DNS 조회를 수행하여 API에 액세스할 수 있으며, 이 조회 결과는 공개적으로 라우팅 가능한 가상 IP 주소를 반환합니다. 인터넷 연결만 있으면 전 세계 모든 위치에서 이 API를 사용할 수 있습니다. 하지만 Google Cloud 리소스에서 이러한 IP 주소로 전송되는 트래픽은 Google 네트워크 내부에 유지됩니다. Vertex AI API에 대한 공개 액세스를 제한하려면 VPC 서비스 제어가 필요합니다.

Vertex AI API의 Private Service Connect 엔드포인트

Private Service Connect를 사용하면 VPC 네트워크 내에서 전역 내부 IP 주소를 사용하여 비공개 엔드포인트를 만들 수 있습니다. aiplatform-genai1.p.googleapis.com 및 bigtable-adsteam.p.googleapis.com과 같이 의미 있는 이름을 사용하여 DNS 이름을 이러한 내부 IP 주소에 할당할 수 있습니다. 이러한 이름과 IP 주소는 하이브리드 네트워킹 서비스를 통해 연결된 VPC 네트워크 및 모든 온프레미스 네트워크 내부의 이름과 IP 주소입니다. 엔드포인트로 전송되는 트래픽을 제어하고 트래픽이 Google Cloud내로 유지됨을 보여줄 수 있습니다.

사용자 정의 전역 Private Service Connect 엔드포인트 IP 주소(/32)를 만들 수 있습니다. 자세한 내용은 IP 주소 요구사항을 참조하세요.
Cloud Router와 동일한 VPC 네트워크에 Private Service Connect 엔드포인트를 만듭니다.
aiplatform-prodpsc.p.googleapis.com과 같이 의미 있는 이름을 사용하여 DNS 이름을 이러한 내부 IP 주소에 할당할 수 있습니다. 자세한 내용은 엔드포인트를 통한 Google API 액세스 정보를 참조하세요.
공유 VPC에서 호스트 프로젝트에 Private Service Connect 엔드포인트를 배포합니다.

배포 시 고려사항

다음은 Vertex AI API에 액세스하기 위해 비공개 Google 액세스 및 Private Service Connect를 사용하는 방법에 영향을 주는 중요한 고려사항입니다.

비공개 Google 액세스

권장사항에 따라 VPC 서브넷에서 비공개 Google 액세스를 사용 설정하여 외부 IP 주소가 없는 컴퓨팅 리소스(예: Compute Engine 및 GKE VM 인스턴스)가 Google Cloud API 및 서비스 (예: Vertex AI, Cloud Storage, BigQuery)에 도달할 수 있도록 허용해야 합니다.

IP 공지

비공개 Google 액세스 서브넷 범위 또는 Private Service Connect 엔드포인트 IP 주소를 Cloud Router에서 커스텀 공지 경로로 온프레미스 및 멀티 클라우드 환경에 공지해야 합니다. 자세한 내용은 커스텀 IP 범위 공지를 참조하세요.

방화벽 규칙

온프레미스 및 멀티 클라우드 환경의 방화벽 구성에 따라 비공개 Google 액세스 또는 Private Service Connect 서브넷의 IP 주소에서 시작되는 아웃바운드 트래픽이 허용되는지 확인해야 합니다.

DNS 구성

REGION-aiplatform.googleapis.com 또는 aiplatform.googleapis.com에 대한 요청을 비공개 Google 액세스 서브넷 또는 Private Service Connect 엔드포인트 IP 주소로 변환할 수 있도록 온프레미스 네트워크에 DNS 영역 및 레코드가 구성되어 있어야 합니다.
Cloud DNS 관리형 비공개 영역을 만들고 Cloud DNS 인바운드 서버 정책을 사용하거나 온프레미스 네임서버를 구성할 수 있습니다. 예를 들어 BIND 또는 Microsoft Active Directory DNS를 사용할 수 있습니다.
온프레미스 네트워크가 VPC 네트워크에 연결되어 있으면 Private Service Connect를 통해 엔드포인트의 내부 IP 주소를 사용하여 온프레미스 호스트에서 Google API 및 서비스에 액세스할 수 있습니다. 자세한 내용은 온프레미스 호스트에서 엔드포인트 액세스를 참조하세요.

Vertex AI API 액세스 정보 컬렉션을 사용해 정리하기 내 환경설정을 기준으로 콘텐츠를 저장하고 분류하세요.