共有ゲートウェイは、アクセスポリシーが固定されており、帯域幅も共有されるため、高度な分離性や伸縮性が求められる高コンカレンシーサービスには適していません。この問題に対処するため、Elastic Algorithm Service (EAS) は専用ゲートウェイを提供しています。専用ゲートウェイは、パブリックネットワークとプライベートネットワークの両方に対して柔軟なアクセス制御を提供し、カスタムドメイン名をサポートし、専用の帯域幅を提供することで、サービスの安定性と信頼性を確保します。
概要と選択
EAS は 2 種類の専用ゲートウェイを提供しています。
Application Load Balancer (ALB) 専用ゲートウェイ: このゲートウェイは Application Load Balancer (ALB) 上に構築され、レイヤー 7 のトラフィック管理を提供します。HTTP および HTTPS プロトコルをサポートし、Auto Scaling、高信頼性、スマートルーティングといった特徴を備えています。
重要本番環境では、優れたパフォーマンス、安定性、スケーラビリティを実現するために、Application Load Balancer (ALB) 専用ゲートウェイの使用を強く推奨します。
フルマネージド専用ゲートウェイ: これは EAS が提供する従来の専用ゲートウェイです。PAI コンソール内で、ネットワーク設定、カスタムドメイン名、その他のゲートウェイ機能を直接設定できます。ネットワークアーキテクチャは次の図のようになります。
サービスが専用ゲートウェイを使用する場合、Auto Scaling はゼロからのスケーリングができません。最小インスタンス数を 1 以上に設定する必要があります。
課金
Application Load Balancer (ALB) 専用ゲートウェイ: 関連付けられた ALB インスタンスに対して課金されます。詳細については、「ALB の課金ルール」をご参照ください。
フルマネージド専用ゲートウェイ:
ゲートウェイ自体は、従量課金とサブスクリプションの両方の課金方法をサポートしています。詳細については、「EAS の課金」をご参照ください。
プライベートネットワーク経由でサービスにアクセスする場合、インスタンス料金やデータ処理料金など、追加の PrivateLink 料金が発生します。詳細については、「PrivateLink の課金」をご参照ください。
インターネット経由でサービスにアクセスする場合、Cloud Data Transfer (CDT) を通じてパブリックネットワークのトラフィック料金が課金されます。詳細については、CDT コンソールをご覧ください。
パート I. 専用ゲートウェイの作成と設定
[推奨] Application Load Balancer (ALB) 専用ゲートウェイ
1.1 ALB ゲートウェイの作成
まず、ゲートウェイの論理的な設定を作成します。このステップでは、実際のクラウドリソースは作成されず、コストも発生しません。
PAI コンソールにログインします。ページ上部でリージョンを選択します。次に、目的のワークスペースを選択し、Elastic Algorithm Service (EAS) をクリックします。
Inference Gateway タブで、Create Dedicated Gateway をクリックし、Application Load Balancer を選択します。
システムがサービスリンクロールの権限を確認します。ロールが有効化されていない場合は、プロンプトに従って権限付与を完了してください。
ゲートウェイの名前を入力し、Submit をクリックします。
1.2 ALB インスタンスの作成と関連付けによるネットワークアクセスの有効化
ゲートウェイを作成した後、プライベートネットワークまたはパブリックネットワークからのアクセスを有効にする必要があります。この操作により、ご利用のアカウントに ALB インスタンスが自動的に作成・関連付けされ、課金が開始されます。
ALB 専用ゲートウェイでパブリックアクセスとプライベートアクセスの両方を有効にする場合、同じ VPC を使用する必要があります。さらに、このゲートウェイを使用するすべての EAS サービスも、その同じ VPC にデプロイする必要があります。
Inference Gateway タブで、作成した ALB ゲートウェイの名前をクリックして、その詳細ページを開きます。
Gateway Access Controlセクションに、VPC タブと Internetタブが表示されます。
VPC (プライベートネットワーク) アクセスの有効化
VPC タブで、Add VPC をクリックします。
表示される設定パネルで、サービスに適した VPC と vSwitch を選択します。高可用性 (HA) を確保するため、異なるゾーンにある少なくとも 2 つの vSwitch を選択してください。ゾーンごとに 1 つの vSwitch のみ選択できます。
重要このゲートウェイでパブリックネットワークアクセスがすでに有効になっている場合、ここで選択する VPC は同じである必要があります。
OK をクリックします。システムは ALB インスタンスの作成を開始します。
パブリックネットワークアクセスの有効化
Internet タブに切り替え、Enable Public Network をクリックします。
表示される設定パネルで、サービスに適した VPC と vSwitch を選択します。HA を確保するため、異なるゾーンにある少なくとも 2 つの vSwitch を選択してください。ゾーンごとに 1 つの vSwitch のみ選択できます。
重要このゲートウェイでプライベートネットワークアクセスがすでに有効になっている場合、ここで選択する VPC は同じである必要があります。
OK をクリックすると、システムが ALB インスタンスの作成を開始します。
フルマネージド専用ゲートウェイ
フルマネージド専用ゲートウェイは、以下の機能をサポートしています。
アクセス制御: ホワイトリストを通じてパブリックネットワークおよびプライベートネットワークのアクセスを制御します。
カスタムドメイン名アクセス: カスタムドメイン名と証明書を設定して、外部サービスを提供します。
クロスアカウント VPC アクセス: 同じリージョン内の別アカウントの VPC 内にあるサーバーが、プライベートネットワークアドレスを通じて EAS サービスにアクセスできるようにします。
権威 DNS 解決: 他のクラウドやオンプレミスデータセンターから EAS サービスを呼び出す際に、ゲートウェイのドメイン名に対して権威 DNS 解決を使用します。これには、Alibaba Cloud とのネットワーク接続を確立する必要があります。
1.1 フルマネージド専用ゲートウェイの作成
PAI コンソールにログインします。ページ上部でリージョンを選択します。次に、目的のワークスペースを選択し、Elastic Algorithm Service (EAS) をクリックします。
[推論ゲートウェイ] タブで、[専用ゲートウェイの作成] をクリックし、[フルマネージド専用ゲートウェイ] を選択します。
EAS 専用ゲートウェイの購入ページで、パラメーターを設定します。サービスの安定性を確保するには、「付録: 専用ゲートウェイの容量計画」を参照して [ゲートウェイ仕様] を選択してください。
パラメーターを設定した後、[今すぐ購入] をクリックします。画面の指示に従って、注文を確定し、支払いを完了します。
購入した完全マネージド型専用ゲートウェイは、Inference Gateway リストで確認できます。その[ステータス]が[実行中]になると、使用を開始できます。
フルマネージド専用ゲートウェイの作成後、ゲートウェイの仕様とゲートウェイノードの数を更新できます。変更は約 3〜5 分で有効になります。
1.2 アクセス制御の設定
[推論ゲートウェイ] タブで、対象のフルマネージド専用ゲートウェイの名前をクリックして詳細ページに移動します。 [ゲートウェイアクセスコントロール] セクションで設定を行います。
パブリックネットワークのアクセス制御
[インターネット] タブで、[アクセスエントリ] スイッチをオンにします。ステータスが [有効] になると、フルマネージド専用ゲートウェイのパブリックアクセスチャンネルが開きます。
デフォルトでは、フルマネージド専用ゲートウェイはパブリックネットワークからアクセスできません。[ホワイトリストに追加] をクリックして、アクセスを許可するパブリック IP アドレス範囲 (例: 192.0.2.0/24) を入力する必要があります。
エントリはカンマ (,) または改行で区切ります。
任意のパブリック IP アドレスからのアクセスを許可するには、
0.0.0.0/0のアドレス範囲を追加します。最大 15 のアドレス範囲を追加できます。
フルマネージド専用ゲートウェイのパブリックネットワーク接続を確認します。例えば、ローカルマシンのパブリック IP アドレスをホワイトリストに追加します。
[インターネット] タブで、[ドメイン名アドレス] を見つけます。
ローカルターミナルで、ドメイン名アドレスにアクセスします。以下のような出力が表示された場合、ホワイトリストに登録されたアドレスがパブリックネットワーク経由で専用ゲートウェイにアクセスできることを示します。
フルマネージド専用ゲートウェイのパブリックネットワークアクセスを無効にします。
[インターネット] タブで、[アクセスエントリ] スイッチをオフにし、ゲートウェイのパブリックネットワークアクセスを無効にします。
ローカルターミナルで、ドメイン名アドレスにアクセスします。以下のような出力が表示された場合、ゲートウェイへのパブリックネットワークアクセスが無効になっていることを確認できます。
プライベートネットワークのアクセス制御
[VPC] タブで、[VPC の追加] をクリックし、接続する VPC と vSwitch を選択します。
同じリージョン内の別アカウントから VPC を追加できます。アカウント B の VPC を追加すると、その VPC 内のサーバーはこの専用ゲートウェイを使用する EAS サービスに VPC アドレス経由でアクセスできます。
説明これはホワイトリスト機能です。この機能を使用するには、チケットを送信する必要があります。
権威 DNS 解決がサポートされています。これは、他のクラウドやオンプレミスデータセンターから EAS サービスを呼び出す際に使用され、Alibaba Cloud とのネットワーク接続を事前に確立する必要があります。現在、権威ドメイン解決は 1 つの VPC 設定でのみ使用できます。
VPC を追加すると、システムはその VPC のデフォルトのホワイトリストに
0.0.0.0/0を追加し、VPC 内のすべての IP アドレスからのアクセスを許可します。 必要に応じて [ホワイトリストの変更] ができます。専用ゲートウェイのプライベートネットワーク接続を確認します。
[VPC] タブで、[ドメイン名アドレス] を探します。
VPC 内のターミナルマシンで、ドメイン名アドレスにアクセスします。以下のような出力が表示された場合、ホワイトリストに登録されたアドレスがプライベートネットワーク経由で専用ゲートウェイにアクセスできることを示します。
説明VPC 内では、ゲートウェイに追加された vSwitch のゾーンだけでなく、ホワイトリストに登録されていればどのゾーンからでも専用ゲートウェイにアクセスできます。
専用ゲートウェイの VPC アクセスチャネルを閉じます。
VPC リストで、[VSwitch 操作] 列の [削除] をクリックして、専用ゲートウェイへの VPC アクセスを無効にします。
VPC 内のターミナルマシンで、ドメイン名アドレスにアクセスします。以下のような出力が表示された場合、ゲートウェイへのプライベートネットワークアクセスが無効になっていることを確認できます。
1.3 カスタムドメイン名の設定
(オプション) デジタル証明書の管理。HTTPS を使用する予定がある場合は、まず Certificate Management Service でカスタムドメイン用の SSL 証明書をアップロードまたは購入する必要があります。その後、この証明書を専用ゲートウェイで設定できます。
Certificate Management Service コンソールにログインし、[SSL 証明書管理]を選択します。
ドメインに証明書がない場合は、[証明書の購入] を選択するか、既存の証明書をアップロードできます。詳細については、「SSL 証明書を購入する」および「SSL 証明書をアップロードする」をご参照ください。
パブリックおよびプライベートカスタムドメイン名の設定
パブリックカスタムドメイン名の設定
専用ゲートウェイの詳細ページで、[ドメイン名] タブに切り替え、[ドメイン名の作成] をクリックし、次の図に示すようにパラメーターを設定します。
この専用ゲートウェイを使用してサービスがすでにデプロイされている場合、パブリックカスタムドメイン名が設定された後、有効になるまで短時間 (最大 5 分) 待つ必要があります。サービスの呼び出し情報を確認してください。パブリックエンドポイントのドメインが設定したパブリックカスタムドメイン名であれば、設定は有効になっています。
パブリックドメイン名の名前解決の設定。パブリックカスタムドメイン名に CNAME レコードを追加して、ゲートウェイのパブリックドメイン名を指すようにします。
専用ゲートウェイの[ゲートウェイ詳細] タブで、ゲートウェイのパブリックドメイン名アドレスを確認します。
Alibaba Cloud DNS を例に説明します。このプロセスは、他のクラウドプロバイダーでも同様です。Alibaba Cloud DNS コンソールにログオンします。[権威ドメイン名] タブで、カスタムドメイン名を見つけます。ドメイン名が Alibaba Cloud に登録されていない場合は、手動で追加する必要があります。ドメイン名をクリックして [DNS 設定] ページに移動し、[レコードの追加] をクリックします。レコードタイプを CNAME に設定します。ホストをカスタムドメイン名に設定します。値をステップ a の専用ゲートウェイのパブリックドメイン名に設定します。詳細については、「ドメイン名を追加する」および「DNS レコードを追加する」をご参照ください。
プライベートカスタムドメイン名の設定
専用ゲートウェイの詳細ページで、[ドメイン] タブに切り替えて [ドメイン名の作成] をクリックします。以下の構成をご参照ください。
この専用ゲートウェイを使用してサービスがすでにデプロイされている場合、プライベートカスタムドメイン名が設定された後、短時間 (最大 5 分) 待つ必要があります。サービスの呼び出し情報を確認してください。VPC エンドポイントのドメインが設定したプライベートドメイン名であれば、設定は有効になっています。
専用ゲートウェイをデフォルトゲートウェイとして設定できます。システムは、その後のサービスデプロイで自動的にそれを選択します。
パート II. サービスと専用ゲートウェイのバインド
以下の手順では、コンソール経由で新しいサービスをデプロイし、ゲートウェイにバインドする方法について説明します。既存のサービスについては、サービスを更新することでバインドされたゲートウェイを変更できます。
PAI コンソールにログインします。ページ上部でリージョンを選択します。次に、目的のワークスペースを選択し、Elastic Algorithm Service (EAS) をクリックします。
[推論サービス] タブで、[サービスをデプロイ] をクリックします。Custom Model Deployment セクションで、Custom Deployment をクリックします。
Network Information セクションで、Dedicated Gateway を選択し、ドロップダウンリストから作成したゲートウェイを選択します。
重要Application Load Balancer (ALB) 専用ゲートウェイを使用する場合、サービスはゲートウェイと同じ VPC で設定する必要があります。
パート III. サービス呼び出しのテスト
Inference Service タブで、対象のサービスの Service Type 列の Invocation Method をクリックします。Dedicated Gateway タブで、Internet Endpoint、VPC Endpoint、および Token を確認できます。
curl コマンドを使用してリクエストを送信し、応答が正しいことを確認します。
パブリック呼び出し:ローカルターミナルから実行できます。
プライベート呼び出し:VPC 内のマシンから実行する必要があります。
curl <endpoint_URL> -H'Authorization:<token>'次の図は、パラメーターなしの GET リクエストのテストを示しており、True が返されることが期待されます。
高度な管理とモニタリング
ALB 専用ゲートウェイ: 高度なネットワーク設定とモニタリングについては、Application Load Balancer (ALB) コンソールに移動して、ゲートウェイを最大限の柔軟性で一元管理します。
フルマネージド専用ゲートウェイ:デフォルトでは、ロギングとモニタリングは無効になっています。 これらの機能を使用するには、ゲートウェイ詳細ページに移動します。 [ログ] タブまたは [モニタリング] タブで、[今すぐ有効化] をクリックします。 基盤となるサービス (Log Service など) がアクティブでない場合、ゲートウェイのモニタリングまたはロギングを有効にする前に、サービスをアクティブ化するように求められます。
モニタリングとアラートの設定
Application Load Balancer (ALB) 専用ゲートウェイ
ほとんどの高度なネットワーク設定とモニタリング機能は、最大限の柔軟性を得るために Application Load Balancer (ALB) コンソールで管理する必要があります。
フルマネージド専用ゲートウェイ
フルマネージドゲートウェイの安定性を確保し、実行時の例外を迅速に検出するために、ログ、モニタリング、およびアラートを有効にすることを推奨します。
操作手順
ログ、モニタリング、およびアラートの有効化。 ゲートウェイ詳細ページで、[ログ]、[モニタリング]、[アラート] タブに移動し、画面上の指示に従って有効化します。
アラートポリシーの作成: アラートを有効にすると、[EAS Dedicated Gateway アラートポリシーの作成] ボタンが表示されます。このボタンをクリックします。「アラート ルールの管理」を参照して、ゲートウェイのアラート ルールを作成します。
アラート内容でゲートウェイを識別するために使用される変数 {{$labels.envoy_clusterid}} は、内部 ID を表示し、カスタムゲートウェイ名を含まないため、アラート通知からゲートウェイを特定することが困難です。識別を容易にするために、アラートルールを作成する際に通知テンプレートを手動で変更し、この変数を認識しやすいゲートウェイ名に置き換えるか、補足することを強く推奨します。
アラートメトリックの説明
メトリック | 定義と式 | 推奨されるしきい値とシナリオ |
EAS 専用ゲートウェイの CPU 使用率 | ゲートウェイインスタンス (Pod) の CPU 使用率 (%)。 | 推奨: |
EAS 専用ゲートウェイのメモリ使用率 | ゲートウェイインスタンス (Pod) のメモリ使用率 (%)。 | 推奨: |
EAS 専用ゲートウェイの全体的な成功率 |
| 推奨: |
EAS 専用ゲートウェイの証明書の有効期限 | ゲートウェイに設定された HTTPS 証明書の残りの有効日数。 | 推奨: |
EAS 専用ゲートウェイの 4xx/5xx リクエスト比率 |
| 5xx 推奨: |
EAS 専用ゲートウェイの平均応答時間 (RT) | 統計期間中のすべてのリクエストの平均応答時間。ミリ秒 (ms) 単位で測定。 | 推奨: サービスのベースラインに基づいて設定します。例: |
EAS 専用ゲートウェイのリクエスト量 (昨日比) | N 分間のリクエスト量の、前日の同じ N 分間と比較した変化率 (%)。 | 推奨: |
EAS 専用ゲートウェイのレート制限されたリクエスト | 統計期間中にゲートウェイのレート制限ポリシーによって拒否されたリクエストの総数。 | 推奨: |
よくある質問
専用ゲートウェイに VPC を追加する際に「vSwitch ... is not supported」というエラーが表示されるのはなぜですか?
このエラーは、専用ゲートウェイが関連付けられた vSwitch を特定の可用性ゾーンに配置する必要があり、選択した vSwitch がそのいずれにも属していないために表示されます。
この問題を解決するには:
エラーメッセージで
supported zonesのリストを確認します。ゲートウェイのネットワークアクセスを設定する際に、サポートされているゾーンのいずれかにある vSwitch を選択します。
例えば、エラー
vSwitch vsw-2zeqwh8hv0gb96zcd**** in zone cn-beijing-g is not supported, supported zones: [cn-beijing-i cn-beijing-l cn-beijing-k]が表示された場合、cn-beijing-gの代わりに、ゾーンcn-beijing-i、cn-beijing-l、またはcn-beijing-kから vSwitch を選択する必要があります。
関連ドキュメント
サービスのアクセス方法についてさらに学ぶには、「呼び出し方法の概要」をご参照ください。
ゲートウェイのタイムアウトを適切に設定することは、リソースの枯渇やリクエストの滞留を防ぎ、ユーザーエクスペリエンスを向上させるのに役立ちます。方法については、「専用ゲートウェイのタイムアウト設定のベストプラクティス」をご参照ください。