専用ゲートウェイを使用した EAS サービスのデプロイ - Platform For AI

共有ゲートウェイは帯域幅を共有し、アクセスポリシーが固定されているため、同時実行性、分離性、弾力性に対する高い要求を満たすことが困難です。この問題を解決するために、Elastic Algorithm Service (EAS) は専用ゲートウェイを提供しています。専用ゲートウェイは、柔軟なパブリックネットワークまたはプライベートネットワークのアクセス制御を提供し、カスタムドメイン名をサポートし、専用の帯域幅を使用してサービスの安定性と信頼性を確保します。

概要と選択

EAS は、2 種類の専用ゲートウェイを提供しています：

Application Load Balancer (ALB) 専用ゲートウェイ：このゲートウェイは Application Load Balancer (ALB) に基づいており、レイヤー 7 のトラフィック管理を提供します。HTTP および HTTPS プロトコルをサポートし、自動スケーリング、高いセキュリティ、高い信頼性、スマートルーティングを特徴としています。
重要
本番環境では、パフォーマンス、安定性、拡張性を向上させるために、ALB 専用ゲートウェイを使用してください。
フルマネージド専用ゲートウェイ：これは、従来の EAS 専用ゲートウェイです。ネットワーク設定、カスタムドメイン名、その他のゲートウェイ要件を PAI コンソールで直接設定できます。

重要

サービスが専用ゲートウェイを使用する場合、Auto Scaling は 0 インスタンスからのスケールアウトをサポートしません。最小インスタンス数は 0 より大きい必要があります。

課金

ALB 専用ゲートウェイ：関連付けられた ALB インスタンスによって料金が発生します。詳細については、「ALB の課金ルール」をご参照ください。
フルマネージド専用ゲートウェイ：
- ゲートウェイ自体は、従量課金およびサブスクリプションの課金方法をサポートしています。詳細については、「Elastic Algorithm Service (EAS) の課金」をご参照ください。
- 内部ネットワーク経由でサービスにアクセスする場合、追加の PrivateLink 料金が適用されます。これらの料金には、インスタンス料金とデータ処理料金が含まれます。課金の詳細については、「PrivateLink の課金」をご参照ください。
- インターネット経由でサービスにアクセスする場合、生成されたインターネットトラフィックは Cloud Data Transfer (CDT) を通じて課金されます。詳細については、CDT コンソールをご参照ください。

1. 専用ゲートウェイの作成と設定

[推奨] ALB 専用ゲートウェイ

1.1 ALB ゲートウェイの作成

まず、ゲートウェイの論理的な設定を作成します。このステップでは、実際のクラウドリソースは作成されず、コストも発生しません。

PAI コンソールにログインします。ページ上部でリージョンを選択します。次に、目的のワークスペースを選択し、[Elastic Algorithm Service (EAS)] をクリックします。
[推論ゲートウェイ] タブで、[専用ゲートウェイの作成] をクリックし、[Application Load Balancer] を選択します。
システムは、サービスリンクロールの権限を確認します。ロールが有効化されていない場合は、画面の指示に従って必要な権限を付与します。
ゲートウェイの名前を入力し、[送信] をクリックします。

1.2 ALB インスタンスを作成して関連付け、ネットワークアクセスを有効化

ゲートウェイを作成した後、内部またはパブリックネットワークアクセスを有効にする必要があります。この操作により、アカウントに ALB インスタンスが自動的に作成および関連付けられ、課金が開始されます。

重要

ALB 専用ゲートウェイの場合、パブリックネットワークアクセスと内部ネットワークアクセスの両方に同じ VPC を選択する必要があります。このゲートウェイを使用してデプロイされる EAS サービスも、同じ VPC で設定する必要があります。

[推論ゲートウェイ] タブのリストで、作成した ALB ゲートウェイの名前をクリックして、詳細ページに移動します。
[ゲートウェイアクセス制御] セクションで、[VPC] タブと [インターネット] タブを表示できます。
VPC (内部ネットワーク) アクセスの有効化
1. [VPC] タブで、[VPC の追加] をクリックします。
2. 表示される設定パネルで、ビジネス要件に合った VPC と vSwitch を選択します。高可用性を確保するために、異なるゾーンにある少なくとも 2 つの vSwitch を選択してください。ゾーンごとに 1 つの vSwitch のみ選択できます。
  重要
  ゲートウェイでパブリックネットワークアクセスがすでに有効になっている場合、ここで選択する VPC は同じである必要があります。
3. [OK] をクリックします。システムが ALB インスタンスの作成を開始します。
パブリックネットワークアクセスの有効化
1. [インターネット] タブに切り替え、[パブリックネットワークの有効化] をクリックします。
2. 表示される設定パネルで、ビジネス要件に合った VPC と vSwitch を選択します。高可用性を確保するために、異なるゾーンにある少なくとも 2 つの vSwitch を選択してください。ゾーンごとに 1 つの vSwitch のみ選択できます。
  重要
  ゲートウェイで VPC アクセスがすでに有効になっている場合、ここで選択する VPC は同じである必要があります。
3. [OK] をクリックします。システムが ALB インスタンスの作成を開始します。

フルマネージド専用ゲートウェイ

フルマネージド専用ゲートウェイは、次の機能をサポートしています：

アクセス制御：ホワイトリストを使用して、パブリックおよび内部ネットワークアクセスを制御できます。
カスタムドメイン名アクセス：カスタムドメイン名と証明書を設定して、外部サービスを提供できます。
クロスアカウント VPC アクセス：同じリージョン内の別のアカウントに属する VPC 内のサーバーが、内部ネットワークアドレスを介して EAS サービスにアクセスすることを許可できます。
権威 DNS 名前解決：他のクラウドやオンプレミスのデータセンターから EAS サービスを呼び出す際に、ゲートウェイドメイン名の権威 DNS 名前解決を使用できます。これには、Alibaba Cloud ネットワークへの接続が必要です。

1.1 フルマネージド専用ゲートウェイの作成

PAI コンソールにログインします。ページ上部でリージョンを選択します。次に、目的のワークスペースを選択し、[Elastic Algorithm Service (EAS)] をクリックします。
[推論ゲートウェイ] タブで、[専用ゲートウェイの作成] をクリックし、[フルマネージド専用ゲートウェイ] を選択します。
EAS 専用ゲートウェイの購入ページで、パラメーターを設定します。サービスの安定性を確保するために、[ゲートウェイ仕様] を選択します。詳細については、「付録：専用ゲートウェイの容量計画」をご参照ください。
パラメーターを設定した後、[今すぐ購入] をクリックします。画面の指示に従って注文を確認し、支払いを完了します。
購入したフルマネージド専用ゲートウェイは、推論ゲートウェイのリストで確認できます。[ステータス] が [実行中] になると、ゲートウェイは使用準備完了です。

説明

フルマネージド専用ゲートウェイを作成した後、その仕様とノード数を更新できます。変更が有効になるまで約 3〜5 分かかります。

1.2 アクセス制御の設定

[推論ゲートウェイ] タブで、対象のフルマネージド専用ゲートウェイの名前をクリックして、詳細ページに移動します。[ゲートウェイアクセス制御] セクションで設定を行います。

パブリックネットワークアクセス制御

[インターネット] タブで、[アクセスエントリ] スイッチをオンにします。ステータスが [有効] の場合、フルマネージド専用ゲートウェイのパブリックアクセスチャネルは開いています。
デフォルトでは、フルマネージド専用ゲートウェイはインターネットからアクセスできません。[ホワイトリストに追加] をクリックし、アクセスを許可するパブリック IP アドレス範囲 (例：192.0.2.0/24) を入力します。
- エントリはカンマ (,) または改行で区切ります。
- 任意のパブリック IP アドレスからのアクセスを許可するには、0.0.0.0/0 のアドレス範囲を追加します。最大 15 のアドレス範囲を追加できます。
フルマネージド専用ゲートウェイのパブリックネットワーク接続を確認します。たとえば、オンプレミスデバイスのパブリック IP アドレスをホワイトリストに追加できます。
1. [インターネット] タブで、[ドメイン名アドレス] を見つけます。
2. オンプレミスデバイスで、ドメイン名アドレスにアクセスします。以下のような出力が表示された場合、ホワイトリストに登録されたアドレス範囲はインターネット経由で専用ゲートウェイにアクセスできます。
フルマネージド専用ゲートウェイのパブリックアクセスチャネルを閉じます。
1. [インターネット] タブで、[アクセスエントリ] スイッチをオフにして、ゲートウェイへのパブリックアクセスを無効にします。
2. オンプレミスデバイスで、ドメイン名アドレスにアクセスします。以下のような出力が表示された場合、ゲートウェイのパブリックアクセスチャネルは閉じています。

内部ネットワークアクセス制御

[VPC] タブで、[VPC の追加] をクリックし、接続したい VPC と vSwitch を選択します。
- 同じリージョン内の別のアカウントから VPC を追加できます。アカウント B の VPC を追加すると、その VPC 内のサーバーは、この専用ゲートウェイを使用する EAS サービスに VPC アドレス経由でアクセスできます。
  説明
  これはホワイトリスト機能です。この機能を使用するには、チケットを送信する必要があります。
- ゲートウェイドメイン名の権威 DNS 名前解決がサポートされています。この機能は、他のクラウドやオンプレミスのデータセンターから EAS サービスを呼び出す際に使用できます。まず、Alibaba Cloud ネットワークへの接続を確立する必要があります。現在、権威 DNS 名前解決は 1 つの VPC の設定でのみ使用できます。
VPC を追加すると、システムはその VPC に対してデフォルトのホワイトリスト 0.0.0.0/0 を設定します。これにより、VPC 内のすべての IP アドレスからのアクセスが許可されます。必要に応じて [ホワイトリストの変更] をクリックできます。
専用ゲートウェイの内部ネットワーク接続を確認します。
1. [VPC] タで、[ドメイン名アドレス] を見つけます。
2. VPC 内のターミナルで、ドメイン名アドレスにアクセスします。以下のような出力が表示された場合、ホワイトリストに登録されたアドレス範囲は内部ネットワーク経由で専用ゲートウェイにアクセスできます。
  説明
  VPC 内では、ゲートウェイに追加された vSwitch のゾーンだけでなく、任意のゾーンから専用ゲートウェイへのアクセスを許可するホワイトリストを設定できます。
専用ゲートウェイの VPC アクセスチャネルを閉じます。
1. VPC リストで、[VSwitch 操作] 列の [削除] をクリックして、専用ゲートウェイへの VPC アクセスを無効にします。
2. VPC 内のターミナルで、ドメイン名アドレスにアクセスします。以下のような出力が表示された場合、専用ゲートウェイの内部アクセスチャネルは閉じています。

1.3 カスタムドメイン名の設定

(オプション) デジタル証明書の管理。HTTPS プロトコルを使用してサービスにアクセスする場合、専用ゲートウェイで設定する前に、まず Certificate Management Service コンソールでカスタムドメイン名の SSL 証明書を管理する必要があります。
1. Certificate Management Service コンソールにログインし、[SSL 証明書管理] を選択します。
2. ドメイン名に証明書がない場合は、[証明書の購入] をクリックするか、既存の証明書をアップロードできます。詳細については、「SSL 証明書の購入」および「SSL 証明書のアップロード」をご参照ください。
パブリックおよび内部カスタムドメイン名の設定
パブリックカスタムドメイン名の設定
1. 専用ゲートウェイの詳細ページで、[ドメイン] タブに切り替え、[ドメイン名の作成] をクリックし、次の図に示すようにパラメーターを設定します。
  この専用ゲートウェイを使用してサービスがすでにデプロイされている場合、パブリックカスタムドメイン名は短い待機時間 (5 分未満) の後に有効になります。サービスの呼び出し情報を確認してください。パブリックエンドポイントのドメイン名がゲートウェイに設定されたパブリックカスタムドメイン名である場合、設定は有効になっています。
2. パブリックドメイン名の名前解決の設定。パブリックカスタムドメイン名の CNAME レコードを追加して、専用ゲートウェイのパブリックドメイン名を指すようにします。
  1. 専用ゲートウェイの [ゲートウェイ詳細] タブで、ゲートウェイのパブリックドメイン名アドレスを表示します。
  2. Alibaba Cloud DNS を例にとります。プロセスは他のクラウドプロバイダーでも同様です。Alibaba Cloud DNS コンソールにログインします。[権威ドメイン名] タブで、カスタムドメイン名を見つけます。ドメイン名が Alibaba Cloud に登録されていない場合は、手動で追加する必要があります。ドメイン名をクリックして [DNS 設定] ページに移動し、[レコードの追加] をクリックします。レコードタイプを CNAME に設定します。ホストをカスタムドメイン名に設定します。値をステップ a の専用ゲートウェイのパブリックドメイン名に設定します。詳細については、「ドメイン名の追加」および「DNS レコードの追加」をご参照ください。
内部カスタムドメイン名の設定
1. 専用ゲートウェイの詳細ページで、[ドメイン] タブに切り替え、[ドメイン名の作成] をクリックします。次の設定を参照してください。
2. この専用ゲートウェイを使用してサービスがすでにデプロイされている場合、内部カスタムドメイン名は短い待機時間 (5 分未満) の後に有効になります。サービスの呼び出し情報を確認してください。VPC エンドポイントのドメイン名がゲートウェイに設定されたプライベートドメイン名である場合、設定は有効になっています。

説明

専用ゲートウェイをデフォルトゲートウェイとして設定すると、サービスをデプロイする際にシステムが自動的にそれを選択します。

2. 専用ゲートウェイをサービスにアタッチ

以下の手順では、コンソールからカスタムイメージを使用して新しいサービスをデプロイする方法について説明します。既存のサービスの場合、サービスを更新してアタッチされたゲートウェイを変更できます。

PAI コンソールにログインします。ページ上部でリージョンを選択します。次に、目的のワークスペースを選択し、[Elastic Algorithm Service (EAS)] をクリックします。
[推論サービス] タブで、[サービスのデプロイ] をクリックします。[カスタムモデルのデプロイ] セクションで、[カスタムデプロイ] をクリックします。
[ネットワーク情報] セクションで、[専用ゲートウェイ] を選択し、ドロップダウンリストから作成したゲートウェイを選択します。
重要
ALB 専用ゲートウェイを使用する場合、サービスとゲートウェイは同じ VPC 内にある必要があります。

3. サービス呼び出しのテスト

[推論サービス] タブで、対象のサービスを見つけ、[サービスタイプ] 列の [呼び出し方法] をクリックします。[専用ゲートウェイ] タブで、[パブリックエンドポイント]、[VPC エンドポイント]、および [トークン] を確認できます。

curl コマンドを使用してリクエストを送信し、応答データが正しいことを確認できます。

パブリック呼び出し：オンプレミスデバイスでコマンドを実行します。
内部呼び出し：VPC 内のターミナルでコマンドを実行します。

curl <Endpoint_URL> -H'Authorization:<token>'

次の図は、パラメーターなしの GET リクエストのテストを示しています。期待される戻り値は True です。

Public invocation

高度な管理とモニタリング

ALB 専用ゲートウェイ：高度なネットワーク設定とモニタリングについては、Application Load Balancer (ALB) コンソールに移動して、ゲートウェイを最大限の柔軟性で一元管理します。
フルマネージド専用ゲートウェイ：ロギングとモニタリングはデフォルトで無効になっています。これらの機能を使用するには、ゲートウェイの詳細ページに移動します。[ログ] または [モニタリング] タブで、[今すぐ有効化] をクリックします。必要なサービスが有効化されていない場合は、まずサービスを有効化してから、右下隅の [有効化] をクリックします。

よくある質問

VPC 追加時のエラー： Vswitch vsw-2zeqwh8hv0gb96zcd**** in zone cn-beijing-g is not supported, supported zones: [cn-beijing-i cn-beijing-l cn-beijing-k]
このエラーは、選択した vSwitch がサポートされていないゾーンにあるために発生します。サポートされているゾーンにある vSwitch を選択する必要があります。

Platform For AI:専用ゲートウェイを介したサービスの呼び出し