일부 Vertex AI 서비스 프로듀서는 Private Service Connect 인터페이스를 통해 서비스에 연결해야 합니다. 이러한 서비스는 Vertex AI 액세스 방법 테이블에 나와 있습니다.
Private Service Connect 인터페이스가 생성되면 네트워크 인터페이스가 2개 이상 있는 VM 인스턴스도 생성됩니다. 첫 번째 인터페이스는 프로듀서 VPC 네트워크의 서브넷에 연결됩니다. 두 번째 인터페이스는 소비자 네트워크의 네트워크 연결 서브넷에 대한 연결을 요청합니다. 연결이 수락되면 이 인터페이스에 소비자 서브넷의 내부 IP 주소가 할당됩니다.
비공개 연결의 서비스 프로듀서 측에는 서비스 리소스가 프로비저닝되는 VPC 네트워크가 있습니다. 이 네트워크는 사용자 전용으로 구축되고 사용자의 리소스만 포함합니다. 프로듀서 네트워크와 소비자 네트워크 간의 연결은 Private Service Connect 인터페이스를 통해 설정됩니다.
다음 다이어그램은 소비자 네트워크에서 Vertex AI API가 사용 설정되고 관리되는 Vertex AI Pipelines 아키텍처를 보여줍니다. Vertex AI Pipelines 리소스는 서비스 프로듀서의 VPC 네트워크에 Google 관리 Infrastructure as a Service(IaaS)로 배포됩니다. Private Service Connect 인터페이스는 소비자 서브넷의 IP 주소로 배포되므로 프로듀서 네트워크는 VPC 네트워크, 멀티클라우드 환경, 온프레미스 네트워크에 걸쳐 있는 소비자의 학습된 경로에 액세스할 수 있습니다.
기능 및 제한사항
Private Service Connect(PSC) 인터페이스의 기능 및 제한사항은 다음과 같습니다.
- 서비스 소비자는 자신의 VPC 네트워크에 네트워크 연결을 만듭니다. 이 리소스는 비공개 연결의 소비자 측을 나타냅니다.
- 서비스 프로듀서는 소비자의 네트워크 연결을 참조하는 PSC 인터페이스가 있는 관리 리소스를 만듭니다.
- 소비자가 연결을 수락하면 PSC 인터페이스에는 소비자의 VPC 네트워크 서브넷에서 내부 IP 주소가 할당되어 안전하고 비공개이며 양방향 통신이 가능합니다.
- 네트워크 연결의 서브넷은 RFC 1918 및 비RFC 1918 주소를 지원하지만,
100.64.0.0/10및240.0.0.0/4서브넷은 지원하지 않습니다. - Vertex AI는 지정된 네트워크에서 라우팅 가능한 RFC 1918 IP 주소 범위에만 연결할 수 있습니다.
- Private Service Connect 인터페이스에서는 외부 IP 주소를 지원하지 않습니다.
Vertex AI는 비공개로 사용되는 공개 IP 주소나 다음과 같은 비RFC 1918 범위에 접근할 수 없습니다.
100.64.0.0/10192.0.0.0/24192.0.2.0/24198.18.0.0/15198.51.100.0/24203.0.113.0/24240.0.0.0/4
Private Service Connect 연결 환경설정
Private Service Connect는 네트워크 연결을 배포할 때, 프로듀서의 연결 요청을 자동으로 수락할지 또는 수동 승인이 필요한지를 결정하는 연결 환경설정을 제공합니다. Vertex AI에서는 "모든 프로젝트의 연결 자동 수락"(ACCEPT_AUTOMATIC) 또는 "선택한 프로젝트의 연결 수락"(ACCEPT_MANUAL) 환경설정으로 구성된 네트워크 연결 액세스를 다음과 같이 처리합니다.
ACCEPT_MANUAL연결 환경설정으로 구성된 네트워크 연결은, 수락된 프로젝트에 Vertex AI 프로젝트 ID를 별도로 설정하지 않아도 Vertex AI에서 지원됩니다.- Vertex AI는
compute.networkAttachments.update및compute.regionOperations.get권한을 사용하여, Vertex AI가 호스팅되는 테넌트 프로젝트가 PSC 인터페이스 배포를 위해 네트워크 연결을 사용할 수 있도록 승인합니다. 이는ACCEPT_AUTOMATIC및ACCEPT_MANUAL연결 환경설정 모두에 적용됩니다.
IAM 및 배포 가이드라인에 대한 자세한 내용은 Vertex AI 리소스에 대한 Private Service Connect 인터페이스 설정을 참조하세요.
Private Service Connect 인터페이스 배포 옵션
Private Service Connect 인터페이스를 만들려면 먼저 프로듀서 서비스와 동일한 리전을 공유하는 소비자 VPC 내에 서브넷을 배포합니다. 특정 서비스 요구사항을 확인하여 피해야 할 서브넷 범위가 없는지 확인합니다. 그런 다음 서브넷을 참조하는 네트워크 연결을 만듭니다. 네트워크 연결에 할당된 서브넷을 Private Service Connect 인터페이스 배포 전용으로 사용하는 것이 좋습니다.
다음 페이지에서는 Vertex AI Private Service Connect 인터페이스의 특정 사용 사례를 설명합니다.
- 파이프라인에 Private Service Connect 인터페이스 구성
- Vertex AI Training에 Private Service Connect 인터페이스 사용
- Ray on Vertex AI 클러스터 만들기
- Vertex AI Agent Engine에서 Private Service Connect 인터페이스 사용
VPC 서비스 제어 고려사항
Vertex AI 프로듀서 서비스가 공개 인터넷에 액세스할 수 있는지는 프로젝트의 보안 구성, 특히 VPC 서비스 제어 사용 여부에 따라 달라집니다.
- VPC 서비스 제어를 사용하지 않는 경우: Vertex AI를 호스팅하는 Google 관리 테넌트는 기본 인터넷 액세스를 유지합니다. 이 아웃바운드 트래픽은 프로듀서 서비스가 실행되는 Google 관리 보안 환경에서 직접 송출됩니다. 단, 예외적으로 Vertex AI Agent Engine은 인터넷 이그레스를 제공하지 않습니다. 대신 인터넷 이그레스를 위해 RFC 1918 주소를 가진 프록시 VM을 배포해야 합니다.
- VPC 서비스 제어를 사용하는 경우: 프로젝트가 VPC 서비스 제어 경계 안에 포함되면, 데이터 무단 반출을 방지하기 위해 Vertex AI를 호스팅하는 Google 관리 테넌트의 기본 인터넷 액세스가 차단됩니다. 이 시나리오에서 공용 인터넷에 액세스하도록 허용하려면 트래픽이 VPC 네트워크를 경유하도록 보안 이그레스 경로를 명시적으로 구성해야 합니다. 이를 달성하기 위한 권장 방법은 VPC 경계 내에 프록시 서버를 설정하고 프록시 VM이 인터넷에 액세스할 수 있도록 Cloud NAT 게이트웨이를 구성하는 것입니다.
VPC 서비스 제어 고려사항에 대한 자세한 내용은 Vertex AI를 통한 VPC 서비스 제어를 참조하세요.
배포 시 고려사항
다음은 온프레미스, 멀티 클라우드, VPC 워크로드에서 Google 관리형 Vertex AI 서비스로의 통신에 관한 고려사항입니다.
Vertex AI 서브넷 권장사항
다음 표에는 Private Service Connect 인터페이스를 지원하는 Vertex AI 서비스에 권장되는 서브넷 범위가 나와 있습니다.
| Vertex AI 기능 | 권장 서브넷 범위 |
|---|---|
| Vertex AI Pipelines | /28 |
| 커스텀 학습 작업 | /28 |
| Vertex AI 기반 Ray | /28 |
| Vertex AI Agent Engine | /28 |
IP 공지
- Private Service Connect 인터페이스를 사용하여 소비자 VPC 네트워크의 서비스에 연결할 때는, VPC 네트워크에서 지원되는 IP 범위 목록에서 IP 주소를 선택합니다.
- 기본적으로 Cloud Router는 커스텀 공지 모드가 구성되지 않은 한 일반 VPC를 서브넷을 공지합니다. 자세한 내용은 커스텀 광고를 참고하세요.
- 네트워크 연결과 Private Service Connect 인터페이스 간의 연결은 전이적입니다. 프로듀서 VPC 네트워크의 워크로드가 소비자 VPC 네트워크에 연결된 워크로드와 통신할 수 있습니다.
방화벽 규칙
Private Service Connect 인터페이스는 프로듀서 조직에서 만들고 관리하지만 소비자 VPC 네트워크에 있습니다. 소비자 측 보안을 위해서는 소비자 VPC 네트워크의 IP 주소 범위를 기반으로 하는 방화벽 규칙을 사용하는 것이 좋습니다. 네트워크 연결 서브넷이 소비자 네트워크에 액세스할 수 있도록 방화벽 규칙을 업데이트해야 합니다. 자세한 내용은 프로듀서-소비자 인그레스 제한을 참조하세요.
도메인 이름 변환
Private Service Connect 인터페이스만 사용할 경우, 서비스에 내부 IP 주소로 연결해야 합니다. 그러나 이는 내부 IP 주소가 변경되어 구성이 불안정해질 수 있기 때문에 프로덕션 시스템에서는 권장되지 않습니다.
DNS 피어링을 구현하면 Vertex AI 프로듀서가 VPC 및 온프레미스 또는 멀티 클라우드 네트워크의 서비스를 조회하고 연결할 수 있습니다. 이는 VPC 네트워크 내부의 Cloud DNS 비공개 영역에서 레코드를 쿼리함으로써 이루어지며, 기반 IP 주소가 수정되더라도 안정적이고 신뢰할 수 있는 서비스 액세스를 보장합니다.
자세한 내용은 비공개 DNS 피어링 설정을 참조하세요.
다음 단계
- 네트워크 연결 사양에 대해 알아보세요.
- Vertex AI Pipelines에서 Private Service Connect 인터페이스를 사용하는 방법에 관한 Codelab을 사용해 보세요.
- Vertex AI Pipelines에서 프록시를 사용해 비RFC1918 엔드포인트에 접근하는 방법을 다룬 Codelab을 시도해 보세요.