Vertex AI 리소스에 대한 Private Service Connect 인터페이스 설정

이 가이드에서는 Vertex AI 리소스에 대해 Private Service Connect 인터페이스를 설정하는 방법을 보여줍니다.

다음과 같이 Vertex AI의 특정 리소스에 대해 Private Service Connect 인터페이스 연결을 구성할 수 있습니다.

VPC 피어링 연결과 달리 Private Service Connect 인터페이스 연결은 일시적일 수 있으며 소비자 VPC 네트워크에서 필요한 IP 주소가 적습니다. 그 결과 Google Cloud 프로젝트 및 온프레미스에서 다른 VPC 네트워크에 연결하는 데 유연성이 높일 수 있습니다.

이 가이드는 Google Cloud 네트워킹 개념에 익숙한 네트워크 관리자에게 권장됩니다.

목표

이 가이드에서는 다음 작업을 설명합니다.

  • 프로듀서 VPC 네트워크, 서브넷, 네트워크 연결을 구성합니다.
  • Google Cloud 네트워크 호스트 프로젝트에 방화벽 규칙을 추가합니다.
  • Private Service Connect 인터페이스를 사용하도록 네트워크 연결을 지정하는 Vertex AI 리소스를 만듭니다.

시작하기 전에

다음 안내에 따라 Google Cloud 프로젝트를 만들거나 선택하고 Vertex AI 및 Private Service Connect에 사용하도록 구성합니다.

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. Enable the Vertex AI, Compute Engine, and Cloud Storage APIs.

    Enable the APIs

  5. Install the Google Cloud CLI.

  6. To initialize the gcloud CLI, run the following command: 

    gcloud init

  7. Update and install gcloud components:

    gcloud components update
    gcloud components install beta

  8. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  9. Make sure that billing is enabled for your Google Cloud project.

  10. Enable the Vertex AI, Compute Engine, and Cloud Storage APIs.

    Enable the APIs

  11. Install the Google Cloud CLI.

  12. To initialize the gcloud CLI, run the following command: 

    gcloud init

  13. Update and install gcloud components:

    gcloud components update
    gcloud components install beta
  14. 프로젝트 소유자가 아니고 Project IAM 관리자(roles/resourcemanager.projectIamAdmin) 역할이 없으면 소유자에게 네트워킹 리소스 관리에 필요한 역할이 포함되어 있는 Compute 네트워크 관리자(roles/compute.networkAdmin) 역할을 부여해 달라고 요청하세요.
  15. Vertex AI Training 서비스를 사용 중인 프로젝트의 AI Platform 서비스 에이전트 계정에 네트워크 호스트 Google Cloud 프로젝트의 Compute 네트워크 관리자 역할을 할당합니다.

VPC 네트워크 및 서브넷 설정

이 섹션에서는 기존 VPC 네트워크를 사용하거나 기존 네트워크가 없으면 구성 단계에 따라 새 VPC 네트워크를 만들 수 있습니다.

  1. VPC 네트워크를 만듭니다.

    gcloud compute networks create NETWORK \
    --subnet-mode=custom

    NETWORK를 VPC 네트워크의 이름으로 바꿉니다.

  2. 서브넷을 만듭니다.

    gcloud compute networks subnets create SUBNET_NAME \
    --network=NETWORK \
    --range=PRIMARY_RANGE \
    --region=REGION

    다음을 바꿉니다.

    • SUBNET_NAME: 서브넷의 이름입니다.

    • PRIMARY_RANGE: CIDR 표기법으로 표시된 새 서브넷의 기본 IPv4 주소 범위입니다. 자세한 내용은 IPv4 서브넷 범위를 참조하세요.

      Vertex AI에는 /28 서브네트워크가 필요합니다.

      Vertex AI는 지정된 NETWORK에서 라우팅할 수 있는 RFC 1918 범위만 연결할 수 있습니다. 유효한 RFC 1918 범위 목록은 유효한 IPv4 범위를 참조하세요. Vertex AI는 다음과 같은 RFC 1918 이외의 범위에 연결할 수 없습니다.

      • 100.64.0.0/10
      • 192.0.0.0/24
      • 192.0.2.0/24
      • 198.18.0.0/15
      • 198.51.100.0/24
      • 203.0.113.0/24
      • 240.0.0.0/4

    • REGION: 새 서브넷이 생성되는 Google Cloud 리전입니다.

네트워크 연결 만들기

공유 VPC 배포에서 호스트 프로젝트의 네트워크 연결에 사용되는 서브넷을 만들고, 이후 서비스 프로젝트에 Private Service Connect 네트워크 연결을 만듭니다.

다음 예시는 수동으로 연결을 수락하는 네트워크 연결 만들기 방법을 보여줍니다. 

   gcloud compute network-attachments create NETWORK_ATTACHMENT_NAME \
       --region=REGION \
       --connection-preference=ACCEPT_MANUAL \
       --subnets=SUBNET_NAME

NETWORK_ATTACHMENT_NAME을 네트워크 연결 이름으로 바꿉니다.

Vertex AI 서비스 에이전트에 필요한 역할

네트워크 연결을 만드는 프로젝트에서 compute.networkAdmin 역할이 동일 프로젝트의 Vertex AI 서비스 에이전트에 부여되었는지 확인합니다. Vertex AI를 사용하는 서비스 프로젝트와 다른 경우에는 미리 이 프로젝트에서 Vertex AI API를 사용 설정해야 합니다.

방화벽 규칙 구성

인그레스 방화벽 규칙은 소비자 VPC에서 Compute 및 온프레미스 엔드포인트의 Private Service Connect 인터페이스 네트워크 연결 서브넷과 통신을 사용 설정하기 위해 적용됩니다.

방화벽 규칙 구성은 선택사항입니다. 하지만 다음 예시에 표시된 것처럼 일반적인 방화벽 규칙을 설정하는 것이 좋습니다.

  1. TCP 포트 22에서 SSH 액세스를 허용하는 방화벽 규칙을 만듭니다.

    gcloud compute firewall-rules create NETWORK-firewall1 \
    --network NETWORK \
    --allow tcp:22

  2. TCP 포트 443에서 HTTPS 트래픽을 허용하는 방화벽 규칙을 만듭니다.

    gcloud compute firewall-rules create NETWORK-firewall2 \
    --network NETWORK \
    --allow tcp:443

  3. ICMP 트래픽(예: 핑 요청)을 허용하는 방화벽 규칙을 만듭니다.

    gcloud compute firewall-rules create NETWORK-firewall3 \
    --network NETWORK \
    --allow tcp:icmp

문제 해결

이 섹션에서는 Vertex AI에서 Private Service Connect 인터페이스를 구성할 때의 몇 가지 일반적인 문제를 보여줍니다.

  • 공유 VPC 네트워크를 사용하도록 Vertex AI를 구성할 때는 Vertex AI 리소스에 네트워크 연결을 지정합니다. 예를 들어 CustomJob 만들기 요청에서 다음 형식을 사용합니다. "projects/YOUR_SHARED_VPC_HOST_PROJECT_NUMBER/regions/REGION/networkAttachments/NETWORK_ATTACHMENT_NAME"
  • Vertex AI가 사용할 공유 VPC 네트워크를 지정할 때는 서비스 프로젝트의 AI Platform 서비스 에이전트에 VPC 호스트 프로젝트에서 compute.networkUser 역할이 부여되었는지 확인합니다.
  • 프로듀서(Vertex AI)가 할당된 리소스를 삭제하지 않는 한 네트워크 연결을 삭제할 수 없습니다. 삭제 프로세스를 시작하려면 Vertex AI 지원팀에 문의해야 합니다.

다음 단계

  • Vertex AI 기반 Ray를 위한 Private Service Connect 인터페이스 이그레스 사용 방법 알아보기
  • 커스텀 학습을 위한 Private Service Connect 인터페이스 이그레스 사용 방법 알아보기
  • Vertex AI Pipelines를 위한 Private Service Connect 인터페이스 이그레스 사용 방법 알아보기