Vertex AI 리소스에 대한 Private Service Connect 인터페이스 설정

이 가이드에서는 Vertex AI 리소스에 대해 Private Service Connect 인터페이스를 설정하는 방법을 보여줍니다.

다음과 같이 Vertex AI의 특정 리소스에 대해 Private Service Connect 인터페이스 연결을 구성할 수 있습니다.

VPC 피어링 연결과 달리 Private Service Connect 인터페이스 연결은 전환됩니다. 따라서 소비자 VPC 네트워크에서 필요한 IP 주소가 적습니다. 그 결과 Google Cloud 프로젝트 및 온프레미스에서 다른 VPC 네트워크에 연결하는 데 유연성이 높일 수 있습니다.

이 가이드는 Google Cloud 네트워킹 개념에 익숙한 네트워크 관리자를 대상으로 합니다.

목표

이 가이드에서는 다음 작업을 설명합니다.

  • 소비자 VPC 네트워크, 서브넷, 네트워크 연결을 구성합니다.
  • Google Cloud 네트워크 호스트 프로젝트에 방화벽 규칙을 추가합니다.
  • Private Service Connect 인터페이스를 사용하도록 네트워크 연결을 지정하는 Vertex AI 리소스를 만듭니다.

시작하기 전에

다음 안내에 따라 Google Cloud 프로젝트를 만들거나 선택하고 Vertex AI 및 Private Service Connect에 사용하도록 구성합니다.

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Vertex AI, Compute Engine, and Cloud Storage APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  5. Install the Google Cloud CLI.

  6. 외부 ID 공급업체(IdP)를 사용하는 경우 먼저 제휴 ID로 gcloud CLI에 로그인해야 합니다.

  7. gcloud CLI를 초기화하려면, 다음 명령어를 실행합니다. 

    gcloud init

  8. gcloud CLI를 초기화한 후 업데이트하고 필요한 구성요소를 설치합니다. 

    gcloud components update
gcloud components install beta

  9. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  10. Verify that billing is enabled for your Google Cloud project.

  11. Enable the Vertex AI, Compute Engine, and Cloud Storage APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  12. Install the Google Cloud CLI.

  13. 외부 ID 공급업체(IdP)를 사용하는 경우 먼저 제휴 ID로 gcloud CLI에 로그인해야 합니다.

  14. gcloud CLI를 초기화하려면, 다음 명령어를 실행합니다. 

    gcloud init

  15. gcloud CLI를 초기화한 후 업데이트하고 필요한 구성요소를 설치합니다. 

    gcloud components update
gcloud components install beta
  16. 프로젝트 소유자가 아니고 프로젝트 IAM 관리자(roles/resourcemanager.projectIamAdmin) 역할이 없으면 소유자에게 compute.networkAttachments.update, compute.networkAttachments.update, compute.regionOperations.get 권한이 포함된 IAM 역할을 부여해 달라고 요청하세요(예: 네트워킹 리소스를 관리하는 Compute 네트워크 관리자(roles/compute.networkAdmin) 역할).
  17. AI Platform 서비스 에이전트에 필요한 역할을 할당합니다. 다양한 시나리오에서 부여해야 하는 역할에 대한 자세한 내용은 이 문서의 Vertex AI 서비스 에이전트에 필요한 역할 섹션을 참고하세요.

    18. VPC 네트워크 및 서브넷 설정

    기존 네트워크가 없으면 구성 단계에 따라 새 VPC 네트워크를 만듭니다.

    1. VPC 네트워크를 만듭니다.

      gcloud compute networks create NETWORK \
    --subnet-mode=custom

      NETWORK를 VPC 네트워크의 이름으로 바꿉니다.

    2. 서브넷을 만듭니다.

      gcloud compute networks subnets create SUBNET_NAME \
    --network=NETWORK \
    --range=PRIMARY_RANGE \
    --region=REGION

      다음을 바꿉니다.

      • SUBNET_NAME: 서브넷의 이름입니다.

      • PRIMARY_RANGE: CIDR 표기법으로 표시된 새 서브넷의 기본 IPv4 주소 범위.

        다음은 Vertex AI의 IP 요구사항 및 제한사항입니다.

        • Vertex AI는 /28 서브네트워크를 권장합니다.
        • 네트워크 연결의 서브넷은 서브넷 100.64.0.0/10 및 240.0.0.0/4를 제외하고 RFC 1918 및 비 RFC 1918 주소를 지원합니다.
        • Vertex AI는 지정된 네트워크에서 라우팅할 수 있는 RFC 1918 IP 주소 범위에만 연결할 수 있습니다.

        • Vertex AI는 비공개로 사용되는 공개 IP 주소 또는 다음과 같은 RFC 1918 이외의 범위에 연결할 수 없습니다.

          • 100.64.0.0/10
          • 192.0.0.0/24
          • 192.0.2.0/24
          • 198.18.0.0/15
          • 198.51.100.0/24
          • 203.0.113.0/24
          • 240.0.0.0/4

        자세한 내용은 IPv4 서브넷 범위를 참고하세요.

      • REGION: 새 서브넷을 만드는 Google Cloud 리전입니다.

    네트워크 연결 만들기

    공유 VPC 배포에서 호스트 프로젝트의 네트워크 연결에 사용되는 서브넷을 만들고, 이후 서비스 프로젝트에 Private Service Connect 네트워크 연결을 만듭니다.

    다음 예시는 연결을 자동으로 수락하는 네트워크 연결 만들기 방법을 보여줍니다.

       gcloud compute network-attachments create NETWORK_ATTACHMENT_NAME \
       --region=REGION \
       --connection-preference=ACCEPT_AUTOMATIC \
       --subnets=SUBNET_NAME

    NETWORK_ATTACHMENT_NAME을 네트워크 연결 이름으로 바꿉니다.

    네트워크 연결이 서비스 프로젝트와 다른 프로젝트에서 생성된 경우 Vertex AI API를 호출할 때 전체 네트워크 연결 경로를 전달해야 합니다.

    Vertex AI 서비스 에이전트에 필요한 역할

    네트워크 연결을 만드는 프로젝트에서 compute.networkAdmin 역할을 동일 프로젝트의 Vertex AI 서비스 에이전트에 부여합니다. Vertex AI를 사용하는 서비스 프로젝트와 다른 경우에는 미리 이 프로젝트에서 Vertex AI API를 사용 설정합니다.

    Vertex AI가 사용할 공유 VPC 네트워크를 지정하고 서비스 프로젝트에서 네트워크 연결을 만드는 경우 Vertex AI를 사용하는 서비스 프로젝트의 Vertex AI 서비스 에이전트에 VPC 호스트 프로젝트에 대한 compute.networkUser 역할을 부여합니다.

    방화벽 규칙 구성

    시스템은 소비자 VPC인그레스 방화벽 규칙을 적용하여 Compute 및 온프레미스 엔드포인트의 Private Service Connect 인터페이스 네트워크 연결 서브넷과 통신을 사용 설정합니다.

    방화벽 규칙 구성은 선택사항입니다. 하지만 다음 예시에 표시된 것처럼 일반적인 방화벽 규칙을 설정하는 것이 좋습니다.

    1. TCP 포트 22에서 SSH 액세스를 허용하는 방화벽 규칙을 만듭니다.

      gcloud compute firewall-rules create NETWORK-firewall1 \
    --network NETWORK \
    --allow tcp:22

    2. TCP 포트 443에서 HTTPS 트래픽을 허용하는 방화벽 규칙을 만듭니다.

      gcloud compute firewall-rules create NETWORK-firewall2 \
    --network NETWORK \
    --allow tcp:443

    3. ICMP 트래픽 (예: 핑 요청)을 허용하는 방화벽 규칙을 만듭니다.

      gcloud compute firewall-rules create NETWORK-firewall3 \
    --network NETWORK \
    --allow icmp

    비공개 DNS 피어링 설정

    PSC-I로 구성된 Vertex AI Training 작업 또는 Vertex AI Agent Engine 에이전트가 고객 관리 Cloud DNS 영역의 비공개 DNS 레코드를 확인할 수 있도록 Vertex AI API는 Google 내부 리소스와 피어링할 DNS 도메인을 지정하는 사용자 구성 가능 메커니즘을 제공합니다. 다음과 같이 추가로 구성합니다.

    1. Vertex AI Training 또는 Vertex AI Agent Engine 서비스를 사용 중인 프로젝트의 AI Platform 서비스 에이전트 계정에 DNS Peer(roles/dns.peer) 역할을 할당합니다. Vertex AI가 사용할 공유 VPC 네트워크를 지정하고 서비스 프로젝트에서 네트워크 연결을 만드는 경우 Vertex AI를 사용하는 서비스 프로젝트의 AI Platform 서비스 에이전트에 VPC 호스트 프로젝트의 DNS Peer(roles/dns.peer) 역할을 부여합니다.

    2. 모든 ICMP, TCP, UDP 트래픽을 허용하는 방화벽 규칙을 만듭니다 (선택사항).

      gcloud compute firewall-rules create NETWORK-firewall4 \
    --network NETWORK
    --allow tcp:0-65535,udp:0-65535,icmp
    --source-ranges IP_RANGES

    3. DNS 확인 및 트래픽 라우팅을 위해 비공개 DNS 영역을 설정합니다. 비공개 DNS 영역에 DNS 레코드를 추가하려면 리소스 레코드 세트 추가를 참고하세요.

    문제 해결

    이 섹션에서는 Vertex AI로 Private Service Connect를 구성할 때 발생하는 몇 가지 일반적인 문제를 다룹니다.

    공유 VPC로 Vertex AI를 구성할 때는 Vertex AI를 사용하는 서비스 프로젝트에서 네트워크 연결을 만듭니다. 이 방법을 사용하면 올바른 프로젝트에서 필요한 권한과 API가 사용 설정되므로 프로젝트에 Vertex AI API가 사용 설정되어 있는지 확인하세요와 같은 특정 오류 메시지를 방지할 수 있습니다.

    다음 단계

    • Vertex AI 기반 Ray를 위한 Private Service Connect 인터페이스 이그레스 사용 방법 알아보기
    • 커스텀 학습을 위한 Private Service Connect 인터페이스 이그레스 사용 방법 알아보기
    • Vertex AI Pipelines를 위한 Private Service Connect 인터페이스 이그레스 사용 방법 알아보기
    • Vertex AI Agent Engine을 위한 Private Service Connect 인터페이스 이그레스 사용 방법 알아보기