일부 Vertex AI 서비스 프로듀서는 Private Service Connect 인터페이스를 통해 서비스에 연결해야 합니다. 이러한 서비스는 Vertex AI 액세스 방법 테이블에 나와 있습니다.
Private Service Connect 인터페이스가 생성되면 네트워크 인터페이스가 2개 이상 있는 VM 인스턴스도 생성됩니다. 첫 번째 인터페이스는 프로듀서 VPC 네트워크의 서브넷에 연결됩니다. 두 번째 인터페이스는 소비자 네트워크의 네트워크 연결 서브넷에 대한 연결을 요청합니다. 연결이 수락되면 이 인터페이스에 소비자 서브넷의 내부 IP 주소가 할당됩니다.
비공개 연결의 서비스 프로듀서 측에는 서비스 리소스가 프로비저닝되는 VPC 네트워크가 있습니다. 이 네트워크는 사용자 전용으로 구축되고 사용자의 리소스만 포함합니다. 프로듀서 네트워크와 소비자 네트워크 간의 연결은 Private Service Connect 인터페이스를 통해 설정됩니다.
다음 다이어그램은 소비자 네트워크에서 Vertex AI API가 사용 설정되고 관리되는 Vertex AI Pipelines 아키텍처를 보여줍니다. Vertex AI Pipelines 리소스는 서비스 프로듀서의 VPC 네트워크에 Google 관리 Infrastructure as a Service(IaaS)로 배포됩니다. Private Service Connect 인터페이스는 소비자 서브넷의 IP 주소로 배포되므로 프로듀서 네트워크는 VPC 네트워크, 멀티클라우드 환경, 온프레미스 네트워크에 걸쳐 있는 소비자의 학습된 경로에 액세스할 수 있습니다.
기능 및 제한사항
다음은 Private Service Connect(PSC) 인터페이스의 기능과 제한사항입니다.
- 서비스 소비자는 VPC 네트워크에 네트워크 연결을 만듭니다. 이는 비공개 연결의 소비자 측을 나타내는 리소스입니다.
- 서비스 프로듀서는 소비자의 네트워크 연결을 참조하는 PSC 인터페이스를 사용하여 관리 리소스를 만듭니다.
- 소비자가 연결을 수락하면 PSC 인터페이스에 소비자 VPC 네트워크의 서브넷에서 내부 IP 주소가 할당되어 안전하고 비공개적인 양방향 통신이 가능합니다.
- 네트워크 연결의 서브넷은 서브넷
100.64.0.0/10및240.0.0.0/4을 제외하고 RFC 1918 및 비 RFC 1918 주소를 지원합니다. - Vertex AI는 지정된 네트워크에서 라우팅할 수 있는 RFC 1918 IP 주소 범위에만 연결할 수 있습니다.
- Private Service Connect 인터페이스에서는 외부 IP 주소를 지원하지 않습니다.
Vertex AI는 비공개로 사용되는 공개 IP 주소 또는 다음과 같은 RFC 1918 이외의 범위에 연결할 수 없습니다.
100.64.0.0/10192.0.0.0/24192.0.2.0/24198.18.0.0/15198.51.100.0/24203.0.113.0/24240.0.0.0/4
Private Service Connect 연결 환경설정
Private Service Connect는 프로듀서의 연결 요청이 자동으로 수락되는지 아니면 수동 승인이 필요한지 결정하는 네트워크 연결을 배포할 때 연결 환경설정을 제공합니다. Vertex AI에서 '모든 프로젝트의 연결 자동 수락' (ACCEPT_AUTOMATIC) 또는 '선택한 프로젝트의 연결 수락' (ACCEPT_MANUAL) 환경설정으로 네트워크 연결에 액세스하는 경우 다음과 같이 처리됩니다.
ACCEPT_MANUAL연결 환경설정으로 구성된 네트워크 연결은 허용된 프로젝트에서 Vertex AI 프로젝트 ID를 구성하지 않고 Vertex AI에서 지원됩니다.- Vertex AI는 권한 (
compute.networkAttachments.update및compute.regionOperations.get)을 사용하여 Vertex AI를 호스팅하는 테넌트 프로젝트가ACCEPT_AUTOMATIC및ACCEPT_MANUAL연결 환경설정 모두에 대해 PSC 인터페이스 배포를 위한 네트워크 연결을 사용하도록 승인합니다.
IAM 및 배포 가이드라인에 대해 자세히 알아보려면 Vertex AI 리소스에 대한 Private Service Connect 인터페이스 설정을 참고하세요.
Private Service Connect 인터페이스 배포 옵션
Private Service Connect 인터페이스를 만들려면 먼저 프로듀서 서비스와 동일한 리전을 공유하는 소비자 VPC 내에 서브넷을 배포합니다. 특정 서비스 요구사항을 확인하여 피해야 할 서브넷 범위가 없는지 확인합니다. 그런 다음 서브넷을 참조하는 네트워크 연결을 만듭니다. 네트워크 연결에 할당된 서브넷을 Private Service Connect 인터페이스 배포 전용으로 사용하는 것이 좋습니다.
다음 페이지에서는 Vertex AI Private Service Connect 인터페이스의 특정 사용 사례를 설명합니다.
- 파이프라인에 Private Service Connect 인터페이스 구성
- Vertex AI Training에 Private Service Connect 인터페이스 사용
- Ray on Vertex AI 클러스터 만들기
- Vertex AI Agent Engine과 함께 Private Service Connect 인터페이스 사용
VPC 서비스 제어 고려사항
공개 인터넷에 액세스하는 Vertex AI 프로듀서의 서비스 기능은 프로젝트의 보안 구성, 특히 VPC 서비스 제어 사용 여부에 따라 달라집니다.
- VPC 서비스 제어 미사용: Vertex AI를 호스팅하는 Google 관리 텐트에서 기본 인터넷 액세스를 유지합니다. 이 아웃바운드 트래픽은 프로듀서 서비스가 실행되는 안전한 Google 관리 환경에서 직접 나갑니다. 이 동작의 예외는 인터넷 이그레스를 제공하지 않는 Vertex AI Agent Engine입니다. 대신 인터넷 이그레스를 위해 RFC 1918 주소가 있는 프록시 VM을 배포해야 합니다.
- VPC 서비스 제어 사용 시: 프로젝트가 VPC 서비스 제어 경계의 일부인 경우 Vertex AI 기본 인터넷 액세스를 호스팅하는 Google 관리 텐트가 데이터 무단 반출을 방지하기 위해 경계에 의해 차단됩니다. 이 시나리오에서 에이전트가 공용 인터넷에 액세스하도록 허용하려면 VPC 네트워크를 통해 트래픽을 라우팅하는 보안 이그레스 경로를 명시적으로 구성해야 합니다. 이를 달성하는 데 권장되는 방법은 VPC 경계 내에 프록시 서버를 설정하고 프록시 VM이 인터넷에 액세스할 수 있도록 Cloud NAT 게이트웨이를 만드는 것입니다.
VPC 서비스 제어 고려사항에 대해 자세히 알아보려면 Vertex AI를 통한 VPC 서비스 제어를 참고하세요.
배포 시 고려사항
다음은 온프레미스, 멀티 클라우드, VPC 워크로드에서 Google 관리형 Vertex AI 서비스로의 통신에 관한 고려사항입니다.
Vertex AI 서브넷 권장사항
다음 표에는 Private Service Connect 인터페이스를 지원하는 Vertex AI 서비스에 권장되는 서브넷 범위가 나와 있습니다.
| Vertex AI 기능 | 권장 서브넷 범위 |
|---|---|
| Vertex AI Pipelines | /28 |
| 커스텀 학습 작업 | /28 |
| Vertex AI 기반 Ray | /28 |
| Vertex AI Agent Engine | /28 |
IP 공지
- Private Service Connect 인터페이스를 사용하여 소비자 VPC 네트워크의 서비스에 연결하는 경우 VPC 네트워크의 지원되는 IP 범위 목록에서 IP 주소를 선택합니다.
- 기본적으로 Cloud Router는 커스텀 공지 모드가 구성되지 않은 한 일반 VPC를 서브넷을 공지합니다. 자세한 내용은 커스텀 광고를 참고하세요.
- 네트워크 연결과 Private Service Connect 인터페이스 간의 연결은 전이적입니다. 프로듀서 VPC 네트워크의 워크로드가 소비자 VPC 네트워크에 연결된 워크로드와 통신할 수 있습니다.
방화벽 규칙
Private Service Connect 인터페이스는 프로듀서 조직에서 만들고 관리하지만 소비자 VPC 네트워크에 있습니다. 소비자 측 보안을 위해서는 소비자 VPC 네트워크의 IP 주소 범위를 기반으로 하는 방화벽 규칙을 사용하는 것이 좋습니다. 네트워크 연결 서브넷이 소비자 네트워크에 액세스할 수 있도록 방화벽 규칙을 업데이트해야 합니다. 자세한 내용은 프로듀서-소비자 인그레스 제한을 참조하세요.
도메인 이름 변환
Private Service Connect 인터페이스만 사용하는 경우 서비스의 내부 IP 주소를 통해 서비스에 연결해야 합니다. IP 주소가 변경되어 구성이 불안정해질 수 있으므로 프로덕션 시스템에는 권장되지 않습니다.
DNS 피어링을 구현하면 Vertex AI 프로듀서가 VPC 및 온프레미스 또는 멀티 클라우드 네트워크의 서비스를 대신 확인하고 연결할 수 있습니다. 이는 VPC 네트워크 내의 Cloud DNS 비공개 영역에서 레코드를 쿼리하여 달성되며, 기본 IP 주소가 수정되더라도 안정적이고 신뢰할 수 있는 서비스 액세스를 보장합니다.
자세한 내용은 비공개 DNS 피어링 설정을 참고하세요.
다음 단계
- 네트워크 연결 사양에 대해 알아보세요.
- Vertex AI Pipelines에서 Private Service Connect 인터페이스를 사용하는 방법에 관한 Codelab을 사용해 보세요.
- Vertex AI Pipelines를 사용하여 명시적 프록시로 rfc1918이 아닌 엔드포인트에 연결하는 방법에 관한 Codelab을 사용해 보세요.