インターネット経由でのインスタンス内サービスへのアクセス - Platform For AI

DSW インスタンスにモデル API や WebUI などのサービスをデプロイする際、ブラウザから直接アクセスしたり、協力者と共有してログイン不要でテストしたり、外部ネットワークから呼び出したりする必要がある場合があります。DSW は、サービスをインターネットに公開するためのパブリックネットワークアクセスを設定するカスタムサービス機能を提供します。注：この機能は、開発およびテスト段階での使用を目的としています。

注意事項

追加料金の適用：パブリックネットワークアクセスを設定するには、NAT Gateway と Elastic IP Address (EIP) が必要です。これらは個別のクラウドプロダクトであり、独自の課金体系があります。
サポートされるインスタンスタイプ：この機能は、パブリックリソースグループ (リソース仕様が ecs.ebm で始まらないもの) を使用するインスタンスと、Lingjun AI コンピューティングインスタンスをサポートします。各インスタンスには、最大で 5 つのカスタムサービスを設定できます。
インスタンス停止時のサービス中断：DSW インスタンスが停止すると、その内部サービスおよびパブリックネットワークアクセスも利用できなくなります。
本番環境では EAS を推奨：本番環境で安定した高可用性と弾性スケーリングを備えたサービスを実現するには、モデルを PAI-EAS にデプロイすることを推奨します。

仕組み

DSW インスタンス内のサービス (ポート 9000 で実行されている API など) をパブリックネットワークからアクセス可能にするには、以下のリソースが連携して動作する必要があります：

Elastic IP Address (EIP)：121.40.**.** のような固定のパブリック IP アドレスを提供します。これは、パブリックネットワークアクセスのエントリーポイントです。
NAT Gateway：ご利用の仮想プライベートクラウド (VPC) 内に配置され、パブリックなリクエスト (EIP:port) をプライベートな DSW インスタンス (プライベート IP アドレス:port) にマッピングします。
セキュリティグループ：DSW インスタンスのファイアウォールとして機能します。サービスがリッスンする特定のポート (例: 9000) へのパブリックトラフィックを許可するために、明示的にルールを追加する必要があります。これは、アクセスを成功させるための重大なステップです。

コアフロー：パブリックユーザー (ブラウザ/ツール) -> EIP:port -> NAT Gateway -> vSwitch -> セキュリティグループルールのチェック -> DSW インスタンスのプライベート IP アドレス:port -> ご利用のサービス

課金

NAT Gateway と EIP の課金は、作成されるとすぐに開始されます。
DSW インスタンスが停止しても、NAT Gateway と EIP は削除されない限り、引き続き課金されます。
DSW インスタンス自体は、その実行状態に基づいて課金されます。従量課金インスタンスは、停止後は課金されません。

パブリックネットワークアクセスの設定

DSW インスタンス作成時のパブリックネットワークアクセスの設定

DSW インスタンスを作成し、以下の主要なネットワークパラメーターを設定します。
- Network Information セクションで、VPC とセキュリティグループを選択します。 VPC、vSwitch、またはセキュリティグループを作成するには、VPC と vSwitch の作成およびセキュリティグループの管理をご参照ください。 注意： VPC とセキュリティグループは、DSW インスタンスと同じリージョンにある必要があります。
  VPC、vSwitch、セキュリティグループの作成
  DSW の設定ページで、[VPC の作成] をクリックします。
  他のパラメーターにデフォルト値を使用して、VPC 名、IPv4 CIDR ブロック、および vSwitch を設定します。次に、OK をクリックして VPC と vSwitch を作成します。
  DSW 構成ページに戻ります。VPC Settings では、先ほど作成した VPC を選択します。
  [セキュリティグループを作成] をクリックします。デフォルトのパラメーター値のまま [作成] をクリックします。DSW 構成ページに戻り、Security Group ID を作成したセキュリティグループに設定します。
  セキュリティグループがポート 22 でのインバウンドアクセスを許可していることを確認してください。
- Custom Services を探し、Add をクリックし、リッスン Port (例: 9000) を入力し、Access over Internet チェックボックスを選択して、NAT Gateway と EIP を選択します。 NAT Gateway と EIP は、以下で説明するように作成できます。 NAT Gateway と EIP は、DSW インスタンスと同じリージョンにある必要があります。
  インターネット NAT Gateway と Elastic IP Address の作成
  Create NAT Gateway をクリックします。
  NAT Gateway の作成ページで、パラメーターを設定するか、デフォルト値を使用します。次に、Create EIP をクリックします。
  EIP の作成ページで、必要に応じてパラメーターを設定するか、デフォルト値を使用し、[今すぐ購入] をクリックします。
  NAT Gateway の作成ページに戻ります。[Elastic IP Address インスタンス] で、作成したインスタンスを選択し、[今すぐ購入] をクリックして NAT Gateway を作成します。
選択したセキュリティグループのリッスンポートに対してインバウンドルールを設定します。主要なパラメーターは以下の通りです。詳細については、「セキュリティグループルールの追加」をご参照ください。
- [認証ポリシー]：許可
- [プロトコルタイプ]：サービスに基づいて選択します (例: TCP)
- [ポート範囲]：設定したリッスンポートを入力します (例: 9000/9000)
- [認証オブジェクト]：0.0.0.0/0 (テスト用にすべてのパブリック IP アドレスからのアクセスを許可) または必要に応じて IP アドレスを制限します。本番環境では、ソース IP アドレスを厳密に制限することを推奨します。

既存の DSW インスタンスに対するパブリックネットワークアクセスの設定

既存の DSW インスタンスの場合、以下の 2 つの方法でパブリックネットワークアクセスの設定を変更できます。

注意: VPC または NAT Gateway を追加または変更するには、Change Settings オプションを使用する必要があります。この操作にはインスタンスの再起動が必要です。

インスタンス詳細ページでの設定

DSW インスタンスリストページで、インスタンス名をクリックして詳細ページに移動し、パブリックネットワークアクセスの設定を変更します。

DSW インスタンス内での設定

DSW 開発環境では、ページ上部のChange Settingsをクリックしてサービスを変更できます。

接続のテスト

DSW ターミナルで、以下のコマンドを実行して Python の組み込み HTTP サービスを起動します。

# テストコンテンツを含む HTML ファイルを作成
echo 'Hello, World!' > index.html

# Python の組み込み HTTP サービスを起動 (ポート 9000 でリッスン)
python -m http.server 9000 --bind 0.0.0.0

インスタンス詳細ページのAccess Configurationsセクションで、エンドポイントを確認します。
パブリックネットワークアクセスを例にとり、パブリックエンドポイント 121.40.**.**:9000 をコピーしてブラウザでアクセスします。Hello, World! が返された場合、サービスアクセス構成は成功です。

本番環境に関する推奨事項

開発およびテスト専用：DSW のパブリックネットワークアクセス機能は、一時的なテストおよび共同デバッグ用に設計されています。
本番環境への PAI-EAS のデプロイ：公式にリリースされた推論サービスには、PAI-EAS にデプロイしてください。EAS は以下を提供します：
- 高可用性と負荷分散。
- トラフィックの変動に対応するための自動弾性スケーリング。
- 包括的な監視とアラート、バージョン管理、および段階的リリース。
- パブリックネットワークアクセスに対するより最適化された統合および課金モデル。詳細については、「モデルをオンラインサービスとしてデプロイする」をご参照ください。
コストの節約：
- DSW インスタンスの停止後：従量課金の DSW インスタンスは課金が停止します。しかし、NAT Gateway と EIP は存在する限り、引き続き課金されます。
- 長期間パブリックネットワークアクセスを使用しない場合：不要であることが確実な場合は、DSW 用に設定された NAT Gateway と EIP を必ず削除して、関連する課金を停止してください。この操作は VPC コンソールおよび EIP コンソールで実行できます。

よくある質問

Q：パブリックネットワークアクセスを設定しましたが、ブラウザからのアクセスや外部接続に失敗します (`このサイトにアクセスできません`/`接続が拒否されました`/`タイムアウト`)。どうすればよいですか？

ステップ 1：セキュリティグループルールを確認します。(これは接続失敗の最も一般的な原因です。)
- セキュリティグループにインバウンドルールが追加されていることを確認します。
- ルールのポート範囲に、設定したポート (例: 9000) が含まれているか確認します。
- ルールの認証オブジェクトに、ご利用のパブリック IP アドレスまたは 0.0.0.0/0 が含まれているか確認します。
- プロトコルタイプ (TCP/UDP) が正しいか確認します。
ステップ 2：サービスが実行中で、正しいポートでリッスンしていることを確認します。
- DSW インスタンスのターミナルで、netstat -tunlp | grep <port_number> (例: netstat -tunlp | grep 9000) を使用して、ポートがリッスンされているか確認します。
- アプリケーションサービスプロセスが開始され、設定されたポートでリッスンしていることを確認してください。
ステップ 3：NAT Gateway と EIP のステータスを確認します。
- VPC コンソールで、NAT Gateway のステータスが実行中であることを確認します。
- EIP コンソールで、関連付けられた EIP のステータスがバインド済みであり、支払い遅延がないことを確認します。
ステップ 4：ローカルでテストします。DSW インスタンス内で、curl http://localhost:<port_number> または curl http://<instance_private_IP>:<port_number> を使用して、サービスが応答するか確認します。
ステップ 5：ネットワーク診断ツールを使用します。
- Alibaba Cloud VPC は、パスの問題のトラブルシューティングに役立つ Network Intelligence Service (NIS) を提供しています。このサービスはアクティベーションが必要です。
- DSW インスタンス内で、telnet <EIP> <port> を使用してポートの接続性をテストします。最初に telnet をインストールする必要があります。

Q：DSW インスタンスを停止した後も、パブリックネットワークアクセスの設定に対して課金されますか？

はい。DSW インスタンスが停止した後、インスタンス自体 (従量課金インスタンスの場合) は課金されません。しかし、関連付けられた NAT Gateway および EIP リソースは、削除されない限り独立して課金されます。不要な料金を避けるために、必ず手動で削除してください。

Q：1 つの EIP を複数のポートにマッピングできますか？

はい。同じ DSW インスタンスに設定された複数のサービスポート (最大 5 つ) は、すべて同じ EIP と NAT Gateway を介してマッピングおよびアクセスできます。アクセスする際は、EIP:different_port を使用してポートを指定します。