PAI-EAS サービスのネットワーク接続を構成する - Platform For AI

EAS サービスに仮想プライベートクラウド (VPC) を構成して、インターネットアクセス、VPC 内の他のリソースとの通信、またはゲートウェイなしで ECS インスタンスから EAS インスタンスへの直接接続を有効にすることができます。

仕組み

EAS サービスのネットワークを構成すると、システムは指定された vSwitch 内の各サービスインスタンスに対して自動的に Elastic Network Interface (ENI) を作成します。各 ENI には、vSwitch からプライベート IP アドレスが割り当てられます。この構成により、VPC 内の他のリソースとのネットワーク通信が可能になり、VPC 内の NAT Gateway を介したインターネットアクセスが可能になります。

課金

EAS サービスのネットワーク構成は無料です。ただし、依存するクラウドプロダクトには課金されます。たとえば、インターネットアクセスに使用される NAT Gateway や Elastic IP アドレス (EIP) は課金対象のサービスです。課金の詳細については、「課金」をご参照ください。

コアステップ: EAS サービスの VPC を構成する

内部ネットワーク通信またはインターネットアクセスを有効にするには、EAS サービスの VPC を構成する必要があります。

開始する前に、アクティブな VPC、vSwitch、およびセキュリティグループがあることを確認してください。これらのリソースの作成方法の詳細については、「VPC と vSwitch の作成」および「セキュリティグループの作成」をご参照ください。

重要

VPC は、サービスレベルまたはリソースグループレベルで構成できます。両方のレベルで VPC を構成した場合、サービスレベルの構成が優先されます。

サービスレベルの構成

コンソールでの構成

サービスを作成または更新するときは、[ネットワーク情報] セクションに移動して VPC を構成します。ドロップダウンリストから VPC を選択した後、vSwitch とセキュリティグループも構成する必要があります。

eascmd クライアントを使用した構成

サービスの JSON 構成ファイルで、cloud.networking フィールドを追加または変更します。このフィールドで、VPC、vSwitch、およびセキュリティグループの ID を指定します。VPC コンソールの VPC および vSwitch のリストページ、および ECS コンソールのセキュリティグループページから ID を取得できます。

次のコードは構成の例です。

{
    "metadata": {
        "name": "service_name",
        "instance": 1,
        "workspace_id": "21***"
    },
    "cloud": {
        "computing": {
            "instances": [
                {
                    "type": "ecs.gn6e-c12g1.3xlarge"
                }
            ]
        },
        "networking": {
            "vpc_id": "vpc-bp1uepgqtar*****",
            "vswitch_id": "vsw-bp1glkxase*****",
            "security_group_id": "sg-bp1brugkivv*****"
        }
    },
    "containers": [
        {
            "image": "eas-registry-vpc.cn-hangzhou.cr.aliyuncs.com/pai-eas/python-inference:py39-ubuntu2004",
            "script": "python app.py",
            "port": 8000
        }
    ]
}

create または modify コマンドを使用して、サービスをデプロイまたは更新します。次の例は、64 ビット版の Windows のコマンドを示しています。

サービスを作成するには:

# <service.json> を JSON 構成ファイルの名前に置き換えます。
eascmdwin64.exe create <service.json>

サービスを更新するには:

# <service_name> を更新する EAS サービスの名前に置き換えます。<service.json> を更新された JSON 構成ファイルの名前に置き換えます。
eascmdwin64.exe modify <service_name> -s <service.json>

リソースグループレベルの構成

コンソール: [リソースグループ] ページで、ターゲットリソースグループを選択し、[アクション] 列の [VPC 設定を有効にする] をクリックします。
eascmd クライアント: 詳細については、「リソースグループの VPC を構成する」をご参照ください。

シナリオと構成ガイド

VPC 内の双方向通信

このセクションでは、次の 2 つのシナリオについて説明します。

EAS サービスが内部リソースにアクセスする: EAS サービスは、同じ VPC 内にある RDS や Redis などのリソースにアクセスする必要があります。
VPC 直接接続: ECS インスタンスは、ゲートウェイを必要とせずに EAS サービスに直接アクセスします。

次のステップに従ってください。

EAS サービスの VPC を構成する。EAS サービスと、ECS や RDS などのターゲットリソースが同じ VPC 内にあることを確認してください。
セキュリティグループルールを追加する。セキュリティグループルールが EAS サービスとターゲットリソース間のネットワーク通信を許可していることを確認してください。
EAS サービスの内部 IP アドレスをターゲットリソースのホワイトリストに追加します。
EAS サービスがアクセスする必要のあるターゲットサービス (データベースなど) に IP ホワイトリスト制限がある場合は、EAS サービスの vSwitch CIDR ブロックをホワイトリストに追加する必要があります。
重要
EAS インスタンスは動的にスケジュールされます。再起動または更新後、新しいインスタンスが別の物理ノードに作成され、vSwitch アドレスプールから新しいプライベート IP アドレスを取得する場合があります。したがって、IP アドレスに依存するアクセスの制御ポリシーでは、単一インスタンスのハードコードされた IP アドレスではなく、vSwitch CIDR ブロックまたはセキュリティグループ ID を使用する必要があります。
VPC コンソールにログインし、[VSwitches] ページで対応する IPv4 CIDR ブロックを見つけます。

EAS サービスがインターネットにアクセスする

このシナリオは、EAS サービスがパブリック API を呼び出したり、インターネットからファイルをダウンロードしたりする必要がある場合に適用されます。

次のステップに従ってください。

EAS サービスの VPC を構成する。
インターネット NAT Gateway の SNAT 機能を使用してインターネットにアクセスする:
1. インターネット NAT Gateway を作成し、EIP をアタッチする: NAT Gateway コンソールに移動し、VPC と同じリージョンにインターネット NAT Gateway を作成します。次に、NAT Gateway に EIP をアタッチします。この EIP は、EAS サービスがインターネットにアクセスするための統一された送信元 IP アドレスとして機能します。
2. SNAT エントリを構成する: NAT Gateway で、SNAT エントリを作成します。[SNAT エントリの粒度] を [VSwitch] に設定し、EAS サービス用に構成されている vSwitch を選択します。これにより、この vSwitch からのすべてのトラフィックが NAT Gateway を介してインターネットにアクセスすることが保証されます。
EAS サービスのパブリック IP アドレスを取得し、ホワイトリストを構成します。アクセスしたいターゲットサービスに IP ホワイトリスト制限がある場合は、EAS サービスの送信元パブリック IP アドレスをそのホワイトリストに追加する必要があります。
VPC コンソールにログオンします。[NAT Gateway] > [インターネット NAT Gateway] ページで、EAS サービス用に構成されているゲートウェイを見つけます。アタッチされた EIP アドレスがゲートウェイの詳細に表示されます。

本番アプリケーションに関する推奨事項

IP アドレス計画: VPC を関連付ける前に、選択した vSwitch で利用可能な IP アドレスの数を確認してください。スケールアウトおよびスケールイン操作中に追加されるインスタンスを含む各 EAS インスタンスは、1 つの IP アドレスを占有します。利用可能な IP アドレスの数が不足すると、サービスの作成またはスケールアウトが失敗します。
セキュリティグループの隔離: 開発、テスト、本番などの異なる環境には、別々のセキュリティグループを使用してください。必要なポートとアクセスソースのみを開くことで、最小権限の原則に従ってください。
コストの最適化:
- 内部 OSS エンドポイントを使用する: サービスの開始時にのみインターネットにアクセスする場合 (たとえば、モデルをダウンロードするため)、リソースを同じリージョン内の OSS バケットにアップロードし、OSS の VPC エンドポイントを介してアクセスすることをお勧めします。この方法により、NAT Gateway に関連するコストを回避できます。
- 必要に応じて NAT Gateway を開始および停止する: サービスの開始後にインターネットアクセスが不要になった場合は、NAT Gateway を一時停止または削除してコストを節約できます。

よくある質問

Q: VPC を構成した後、他のクラウドプロダクトにアクセスできないのはなぜですか？

次の項目を順番に確認してください。

ネットワーク構成: EAS サービスの詳細ページで、サービスがターゲットリソースのある VPC および vSwitch に正しく関連付けられていることを確認します。
セキュリティグループルール: RDS インスタンスなどのターゲットリソースのセキュリティグループを確認します。そのインバウンドルールが、EAS サービスによって使用されるセキュリティグループ ID (推奨) または vSwitch CIDR ブロックへのアクセスを許可していることを確認してください。詳細については、「セキュリティグループの使用」をご参照ください。
ホワイトリスト構成: ターゲットリソースに IP ホワイトリストがある場合は、EAS サービスの正しい IP アドレスがホワイトリストに追加されていることを確認します。これは、インターネットアクセス用の EIP または内部ネットワークアクセス用の vSwitch CIDR ブロックです。

Q: サービスがインターネットにアクセスできるかどうかをすばやく確認するにはどうすればよいですか？

サービス構成の Command フィールドに curl コマンドを追加して、一時的なテストを実行できます。

説明

サービスデプロイに使用されるベースイメージには、curl がプリインストール済みでない場合があります。コマンドが失敗した場合は、まずインストール命令を追加する必要があります。

# Debian/Ubuntu イメージの場合
apt-get update && apt-get install -y curl && curl -v https://www.aliyun.com

サービスをデプロイした後、インスタンスのリアルタイムログを表示します。200 OK などの HTTP ステータスコードと、成功した TLS ハンドシェイクメッセージが表示された場合、インターネット接続はアクティブです。