Platform for AI (PAI) のElastic Algorithm Service (EAS) は、セキュリティの分離とアクセス制御の要件を満たす専用のゲートウェイ機能を提供します。 専用ゲートウェイを使用すると、ネットワークを柔軟に構成し、仮想プライベートクラウド (VPC) とインターネットを介したアクセス用にホワイトリストを構成できます。 専用ゲートウェイは、高同時性および高スループットのビジネスシナリオでのネットワークリスクの軽減にも役立ちます。 このトピックでは、専用ゲートウェイの使用方法について説明します。
課金
専用ゲートウェイ機能は、従量課金とサブスクリプションの両方の課金方法を使用します。 詳細については、「EAS の課金」をご参照ください。 専用ゲートウェイを使用する場合、インスタンス料金とデータ転送料金を含むPrivateLinkも課金されます。 詳細については、「課金の概要」をご参照ください。
手順
専用ゲートウェイのインターネットアクセスを有効にしてホワイトリストを設定すると、インターネットエンドポイントを介して専用ゲートウェイにアクセスできます。
仮想プライベートクラウド (VPC) とホワイトリストを設定すると、VPC内のデバイスはVPCエンドポイントを介して専用ゲートウェイにアクセスできます。
手順1: 専用ゲートウェイの作成
Elastic Algorithm Service (EAS)ページに移動します。
PAIコンソールにログインします。
左側のナビゲーションウィンドウで、[ワークスペース] をクリックします。 [ワークスペース] ページで、管理するワークスペースの名前をクリックします。
左側のナビゲーションウィンドウで、 を選択します。
[専用ゲートウェイ] タブで、[専用ゲートウェイの作成] をクリックします。 [専用ゲートウェイの作成 (サブスクリプション)] または [専用ゲートウェイの作成 (従量課金)] を選択します。
購入ページで、次のパラメータを設定します。
パラメーター
説明
リージョン
専用ゲートウェイが存在するリージョン。 画面の指示に基づいてリージョンを選択できます。
専用ゲートウェイ名
専用ゲートウェイの名前。
ゲートウェイ仕様
専用ゲートウェイの仕様。 有効な値:
2 vCPU + 4 GB
4 vCPU + 8 GB
8 vCPU + 16 GB
16 vCPU + 32 GB
ビジネス要件に基づいてゲートウェイ仕様を選択できます。 詳細については、「付録: 専用ゲートウェイの容量とQPS」をご参照ください。 ゲートウェイの仕様を選択すると、ページの右下隅に仕様の単価が表示されます。
ゲートウェイノード
ゲートウェイノードの数。 少なくとも2つのゲートウェイノードを設定する必要があります。
パラメータを構成してから、今すぐ購入をクリックします。
[注文の確認] ページで、[利用規約] を選択し、[今すぐ有効化] をクリックします。
購入した専用ゲートウェイを専用ゲートウェイのリストに表示できます。 [ステータス] が [実行中] に変わったら、専用ゲートウェイを使用できます。
手順2: アクセス制御の設定
インターネットアクセスの設定
インターネットアクセスを有効にします。
[専用ゲートウェイ] タブで、専用ゲートウェイの名前をクリックします。
[ゲートウェイアクセス制御] セクションで、[インターネット] タブを選択します。
[Access Portal] を有効にします。 [インターネットアクセスの有効化] メッセージで、[OK] をクリックします。
ステータスが [有効] に変更されると、専用ゲートウェイのインターネットアクセスが有効になります。
インターネットホワイトリストの設定
デフォルトでは、インターネットアクセスのステータスが [有効] に変更されると、専用ゲートウェイはインターネットからアクセスできなくなります。 CIDRブロックをホワイトリストに追加するには、次の手順を実行する必要があります。
[インターネット] タブで、[ホワイトリストに追加] をクリックします。
[ホワイトリストに追加] パネルで、次のパラメーターを設定し、[OK] をクリックします。
パラメーター
説明
CIDRブロック
ホワイトリストに追加するCIDRブロック (192.0.2.0/24など) を設定します。 複数のCIDRブロックをコンマ (,) または改行で区切ります。 すべてのアドレスからのアクセスを有効にする場合は、0.0.0.0/0を追加します。
注
ホワイトリストを識別するための説明を指定します。
[追加] をクリックすると、新しいホワイトリストを追加できます。 最大15個のCIDRブロックを追加できます。
インターネットアクセス接続を確認します。 たとえば、ローカルデバイスのパブリックIPアドレスをホワイトリストに追加します。
[インターネット] タブで、[エンドポイント] を見つけます。
ローカル端末からエンドポイントにアクセスします。 次の出力は、IPアドレスがインターネット経由で専用ゲートウェイにアクセスできることを示しています。
必要に応じて、 インターネットアクセスを無効にします。
[インターネット] タブで、[アクセスポータル] を無効にして、専用ゲートウェイのインターネットアクセスを無効にします。
ローカル端末からエンドポイントにアクセスします。 次の出力は、インターネットアクセスが無効であることを示します。
VPCアクセスの設定
VPCを追加します。
[専用ゲートウェイ] タブで、専用ゲートウェイの名前をクリックします。
[ゲートウェイアクセス制御] セクションで、[VPC] タブを選択し、[VPCの追加] をクリックします。
[VPCの追加] ダイアログボックスで、[VPC (ID)] と [vSwitch] を選択します。 VPCとvSwitchが使用できない場合は、[VPCの作成] および [vSwitchの作成] をクリックします。 次に、[OK] をクリックします。
説明VPCの追加時に次のエラーメッセージが表示された場合は、サポートされているゾーンのvSwitchを選択します。
Vswitch vsw-2zeqwh8hv0gb96zcd**** in zone cn-beijing-g is not supported, supported zones: [cn-beijing-i cn-beijing-l cn-beijing-k]
ステータスが実行中に変更された場合、VPCが追加されます。
VPCホワイトリストを設定します。
VPCが追加されると、システムはエントリ0.0.0.0/0のホワイトリストをVPCに自動的に追加します。これにより、VPC内のすべてのCIDRブロックからの接続が可能になります。 ホワイトリストを変更するには、次の手順を実行します。
VPCリストで、[ホワイトリストの設定] 列の [ホワイトリストの変更] をクリックします。
[ホワイトリストの変更] パネルで、次のパラメーターを設定します。
パラメーター
説明
CIDRブロック
0.0.0.0/0を削除し、目的のCIDRブロック (例: 10.0.0.0/16) を追加します。 複数のブロックをコンマ (,) または改行で区切ります。
注
ホワイトリストを識別するための説明を指定します。
[追加] をクリックすると、新しいホワイトリストを追加できます。 最大15個のCIDRブロックを追加できます。
ホワイトリストを追加したら、[OK] をクリックします。
専用ゲートウェイのVPC接続を確認します。
[VPC] タブで、[エンドポイント] を見つけます。
VPCにあるターミナルのエンドポイントにアクセスします。 次の出力は、VPCホワイトリストを介して専用ゲートウェイにアクセスできることを示しています。
説明追加されたvSwitchのゾーンに限らず、VPC内のすべてのゾーンから専用ゲートウェイにアクセスできます。
必要に応じて、 VPCアクセスを無効にします。
VPCリストで、[vSwitchの設定] 列の [削除] をクリックします。
VPCにあるターミナルのエンドポイントにアクセスします。 次の出力は、VPCアクセスが無効になっていることを示します。
手順3: サービスを作成して専用ゲートウェイに関連付ける
サービスのデプロイ時に専用ゲートウェイを関連付ける
Elastic Algorithm Service (EAS)ページに移動します。
PAIコンソールにログインします。
左側のナビゲーションウィンドウで、[ワークスペース] をクリックします。 [ワークスペース] ページで、管理するワークスペースの名前をクリックします。
左側のナビゲーションウィンドウで、 を選択します。
[推論サービス] タブで、[サービスのデプロイ] をクリックします。 [サービスのデプロイ] ページで、[カスタムモデルのデプロイ] セクションの [カスタムデプロイ] をクリックします。
[サービスの作成] ページの [サービス設定] セクションで、[専用ゲートウェイ] をクリックし、作成した専用ゲートウェイを選択します。 その他のパラメーターについては、「PAIコンソールでのモデルサービスのデプロイ」をご参照ください。
パラメーターを設定したら、[デプロイ] をクリックします。
[サービスステータス] が [実行中] に変わると、サービスがデプロイされます。
テストネットワーク接続
関連付けられた専用ゲートウェイのホワイトリストを設定したら、次の手順を実行してネットワーク接続を確認できます。 専用ゲートウェイのホワイトリストを設定する方法の詳細については、「手順2: アクセス制御の設定」をご参照ください。
サービスエンドポイントを表示します。
サービスリストで、サービスの名前をクリックします。
[基本情報] セクションで、[エンドポイント情報の表示] をクリックします。
[呼び出し方法] ダイアログボックスで、[パブリックエンドポイント] および [VPCエンドポイント] タブにエンドポイントを表示します。
サービスエンドポイントの接続を確認します。
パブリックエンドポイントを確認します。
ローカル端末で、パブリックサービスエンドポイントにアクセスします。 先頭のhttp:// と末尾の /を削除する必要があります。 次の出力は、専用ゲートウェイパブリックエンドポイントを介してサービスにアクセスできることを示しています。
VPCエンドポイントを確認します。
VPC内のターミナルで、VPCサービスエンドポイントにアクセスします。 先頭のhttp:// と末尾の /を削除する必要があります。 次の出力は、専用ゲートウェイVPCエンドポイントを介してサービスにアクセスできることを示しています。
専用ゲートウェイの管理
作成した専用ゲートウェイで次の操作を実行できます。
専用ゲートウェイの詳細の表示
[専用ゲートウェイ] タブで、専用ゲートウェイの名前をクリックします。 専用ゲートウェイの詳細ページでは、基本情報、ゲートウェイ情報、およびゲートウェイアクセス制御セクションを表示できます。
[ゲートウェイ情報] セクションでは、[インスタンスタイプ] 、[ノード] 、および専用ゲートウェイに関連付けられているサービスの数に関する情報を表示できます。 関連サービスの番号をクリックします。 [関連サービス] パネルで、サービスの詳細を表示できます。
[ゲートウェイアクセス制御] セクションでは、VPCとインターネットを介したアクセス用に設定されたホワイトリストを表示できます。 専用ゲートウェイのホワイトリストを設定する方法の詳細については、「手順2: アクセス制御の設定」をご参照ください。
ログとモニタメトリクスの表示
[専用ゲートウェイ] タブで、目的の専用ゲートウェイの名前をクリックします。
[ログ] タブに移動します。 初めて使用する場合は、[今すぐ有効にする] をクリックします。 表示されるダイアログボックスで、必要な項目を有効にし、[有効にする] をクリックします。
[モニタリング] タブに移動します。 初めて使用する場合は、[今すぐ有効にする] をクリックします。 表示されるダイアログボックスで、必要な項目を有効にし、[有効にする] をクリックします。
専用ゲートウェイの更新Update a dedicated gateway
Elastic Algorithm Service (EAS) ページの [専用ゲートウェイ] タブで、[操作] 列の [更新] をクリックして、ゲートウェイの仕様とネットワークポイントを更新します。 変更は約3〜5分で有効になります。
専用ゲートウェイをデフォルトゲートウェイとして設定
専用ゲートウェイの [操作] 列で、[デフォルトに設定] をクリックします。 サービスをデプロイし、そのサービスの専用ゲートウェイを設定する場合、システムはデフォルトとして設定した専用ゲートウェイを自動的に選択します。 [操作] 列の [デフォルトを無効にする] をクリックすることもできます。
専用ゲートウェイのホワイトリストの設定
専用ゲートウェイの [操作] 列で [アクセス制御] をクリックします。 詳細については、「手順2: アクセス制御の設定」をご参照ください。
専用ゲートウェイの削除
[アクション] 列の [削除] をクリックします。
関連ドキュメント
EASには、インターネットアクセス、VPCアクセス、およびVPCダイレクト接続の各方法があります。詳細については、「概要」をご参照ください。