이 페이지는 Cloud Translation API를 통해 번역되었습니다.

Private Service Connect를 사용하여 인스턴스에 연결
컬렉션을 사용해 정리하기 내 환경설정을 기준으로 콘텐츠를 저장하고 분류하세요.

이 페이지에서는 Private Service Connect를 사용하여 PostgreSQL용 AlloyDB 인스턴스에 연결하는 방법을 설명합니다.

Private Service Connect를 사용하여 기본 AlloyDB 인스턴스 또는 해당 인스턴스의 읽기 복제본 또는 다른 그룹, 팀, 프로젝트 또는 조직에 속하는 여러 Virtual Private Cloud (VPC) 네트워크의 보조 AlloyDB 인스턴스에 연결할 수 있습니다.

필요한 역할

AlloyDB 인스턴스에 연결하려면 VPC 네트워크의 사용자에게 다음 역할을 모두 부여해야 합니다.

역할	설명
`compute.networkAdmin`	AlloyDB 인스턴스에 대한 연결을 시작하는 VPC 네트워크에 대한 전체 제어 권한을 부여합니다. Private Service Connect를 사용하여 여러 VPC 네트워크에서 AlloyDB 인스턴스에 연결하는 경우 각 네트워크에는 자체 관리자가 있습니다.
`dns.admin`	DNS 영역 및 레코드를 포함한 Cloud DNS 리소스에 대한 전체 제어 권한을 부여합니다.
`alloydb.admin`	AlloyDB 인스턴스의 전체 제어 권한을 제공하고 수명 주기 동안 인스턴스를 제어합니다.
`alloydb.databaseUser` (선택사항)	AlloyDB 인스턴스에 대한 액세스 권한을 제공합니다. AlloyDB 인증 프록시 클라이언트를 통해 연결하는 경우 AlloyDB 클라이언트 역할이 있어야 합니다. 직접 연결하는 경우 Identity and Access Management (IAM) 역할 및 권한이 필요하지 않습니다.
`Custom AlloyDB role` (선택사항)	커스텀 역할을 사용하는 경우 `compute.networkAdmin` 및 `dns.admin` 역할을 부여하는 것 외에도 다음 권한을 부여합니다. `alloydb.clusters.create`: 클러스터에 Private Service Connect를 사용 설정하는 액세스 권한을 제공합니다. `alloydb.instances.create` 및 `alloydb.instances.update`: 허용된 프로젝트 목록을 추가하고 인스턴스의 네트워크 연결 URI를 설정하는 액세스 권한을 제공합니다.

Private Service Connect 사용 설정

인바운드 연결을 사용 설정하려면 Private Service Connect가 사용 설정된 AlloyDB 클러스터를 만듭니다. 기본 인스턴스를 만들 때 연결이 허용되는 프로젝트를 지정합니다. 아웃바운드 연결의 경우 네트워크 연결 URI를 제공합니다.

AlloyDB 기본 클러스터 만들기

다음 예에서는 gcloud alloydb clusters create 명령어를 --enable-private-service-connect 플래그와 함께 사용하여 Private Service Connect가 사용 설정된 AlloyDB 클러스터를 만듭니다.

클러스터 생성 프로세스는 --enable-private-service-connect 플래그를 전달하는 것을 제외하고 동일하게 유지됩니다. 클러스터 만들기에 관한 자세한 내용은 클러스터 및 기본 인스턴스 만들기를 참고하세요.

클러스터를 만들려면 gcloud alloydb clusters create 명령어를 사용합니다.

  gcloud alloydb clusters create CLUSTER_ID \
    --password=PASSWORD \
    --region=REGION_ID \
    --project=PROJECT_ID \
    --enable-private-service-connect

다음을 바꿉니다.

CLUSTER_ID: 만들려는 클러스터의 ID입니다. 소문자로 시작해야 하며 소문자, 숫자, 하이픈을 포함할 수 있습니다.
PASSWORD: 기본 postgres 사용자에게 사용할 비밀번호입니다.
REGION_ID: 클러스터를 배치할 리전입니다.
PROJECT_ID: 클러스터를 배치하려는 프로젝트의 ID입니다.

이 명령어는 장기 실행 작업을 시작하고 작업 ID를 반환합니다.

Private Service Connect가 사용 설정된 기본 클러스터에 대해 생성된 보조 클러스터는 Private Service Connect 구성을 자동으로 상속합니다. 자세한 내용은 보조 클러스터 만들기를 참고하세요.

AlloyDB 인스턴스 만들기

다음 예는 허용된 프로젝트 목록이 구성된 기본 인스턴스를 만드는 방법을 보여줍니다. 인스턴스를 만드는 프로세스는 Private Service Connect가 사용 설정된 기본 클러스터의 경우 --allowed-psc-projects 플래그를 사용하여 허용된 프로젝트 목록을 전달하는 것을 제외하고 동일하게 유지됩니다.

다른 인스턴스 유형을 만드는 방법에 관한 자세한 내용은 읽기 풀 인스턴스 만들기 및 보조 인스턴스 만들기를 참고하세요.

gcloud

gcloud CLI를 사용하려면 Google Cloud CLI를 설치 및 초기화하거나 Cloud Shell을 사용합니다.

기본 인스턴스를 만들려면 gcloud alloydb instances create 명령어를 사용합니다.

gcloud alloydb instances create INSTANCE_ID \
    --instance-type=PRIMARY \
    --cpu-count=CPU_COUNT \
    --availability-type=AVAILABILITY \
    --region=REGION_ID \
    --cluster=CLUSTER_ID \
    --project=PROJECT_ID \
    --allowed-psc-projects=ALLOWED_PROJECT_LIST
    --psc-network-attachment-uri=NETWORK_ATTACHMENT_URI

다음을 바꿉니다.

INSTANCE_ID: 만들려는 인스턴스의 ID입니다. 소문자로 시작해야 하며 소문자, 숫자, 하이픈을 포함할 수 있습니다.
CPU_COUNT: 인스턴스에 사용할 vCPU 수입니다. 유효한 값은 다음과 같습니다.
- 2: vCPU 2개, RAM 16GB
- 4: vCPU 4개, RAM 32GB
- 8: vCPU 8개, RAM 64GB
- 16: vCPU 16개, RAM 128GB
- 32: vCPU 32개, RAM 256GB
- 64: vCPU 64개, RAM 512GB
- 96: vCPU 96개, RAM 768GB
- 128: vCPU 128개, RAM 864GB
AVAILABILITY: 이 인스턴스가 여러 영역에 노드가 있는 고가용성 (HA)인지 여부를 나타냅니다. 유효한 값은 다음과 같습니다.
- REGIONAL: 활성 노드와 대기 노드가 별도로 있는 HA 인스턴스를 만들고 이들 간에 자동 장애 조치를 실행합니다. 프로덕션 환경에 적합한 기본값입니다.
- ZONAL: 자동 장애 조치가 없고 노드가 하나만 포함된 기본 인스턴스를 만듭니다.
REGION_ID: 인스턴스를 배치할 리전입니다.
CLUSTER_ID: 앞에서 만든 클러스터의 ID입니다.
ALLOWED_PROJECT_LIST: 인스턴스에 대한 액세스를 허용할 프로젝트 ID 또는 프로젝트 번호를 쉼표로 구분한 목록입니다(예: my-project-1, 12345,my-project-n).
NETWORK_ATTACHMENT_URI: 생성한 네트워크 연결 URI의 전체 리소스 이름입니다. 예를 들면 projects/PROJECT_ID/regions/REGION_ID/networkAttachments/NETWORK_ATTACHMENT_ID입니다.

Terraform

데이터베이스 클러스터 내에 인스턴스를 만들려면 Terraform 리소스를 사용합니다.

resource "google_alloydb_instance" "default" {
  cluster       = google_alloydb_cluster.default.name
  instance_id   = "alloydb-instance"
  instance_type = "PRIMARY"
  machine_config {
    cpu_count = 2
  }
  psc_instance_config {
  allowed_consumer_projects = ["123456789"]
  psc_interface_configs {
    network_attachment_resource = google_compute_network_attachment.default.id
  }
  }
}

resource "google_compute_network" "default" {
    name = "alloydb-network"
    auto_create_subnetworks = false
}

resource "google_compute_subnetwork" "default" {
    name = "alloydb-subnetwork"
    region = "us-central1"
    network = google_compute_network.default.id
    ip_cidr_range = "10.0.0.0/16"
}

resource "google_compute_network_attachment" "default" {
  name                  = "alloydb-network-attachment"
  region                = "us-central1"
  connection_preference = "ACCEPT_AUTOMATIC"
  subnetworks = [
    google_compute_subnetwork.default.self_link
  ]
}

data "google_project" "project" {}

Cloud Shell 준비

Google Cloud 프로젝트에 Terraform 구성을 적용하려면 다음과 같이 Cloud Shell을 준비합니다.

Cloud Shell을 실행합니다.
Terraform 구성을 적용할 기본 Google Cloud 프로젝트를 설정합니다.

이 명령어는 프로젝트당 한 번만 실행하면 되며 어떤 디렉터리에서도 실행할 수 있습니다.
```
export GOOGLE_CLOUD_PROJECT=PROJECT_ID
```
Terraform 구성 파일에서 명시적 값을 설정하면 환경 변수가 재정의됩니다.

디렉터리 준비

각 Terraform 구성 파일에는 자체 디렉터리(루트 모듈이라고도 함)가 있어야 합니다.

Cloud Shell에서 디렉터리를 만들고 해당 디렉터리 내에 새 파일을 만듭니다. 파일 이름은 TF 파일(예: main.tf)이어야 합니다. 이 문서에서는 이 파일을 main.tf라고 합니다.
```
mkdir DIRECTORY && cd DIRECTORY && touch main.tf
```
샘플 코드를 새로 만든 main.tf에 복사합니다. 필요한 경우 GitHub에서 코드를 복사합니다. 이는 Terraform 스니펫이 엔드 투 엔드 솔루션의 일부인 경우에 권장됩니다.
```
git clone https://github.com/terraform-google-modules/terraform-docs-samples
```
terraform-docs-samples 디렉터리에서 alloydb 디렉터리로 이동합니다.
```
cd terraform-docs-samples/alloydb
```
샘플 코드를 새로 만든 main.tf에 복사합니다.
```
cp SAMPLE_FILE
```
<var>SAMPLE_FILE</var>을 복사할 샘플 파일의 이름(예: main.tf)으로 바꿉니다.
환경에 적용할 샘플 매개변수를 검토하고 수정합니다.
변경사항을 저장합니다.
Terraform을 초기화합니다. 이 작업은 디렉터리당 한 번만 수행하면 됩니다.
```
terraform init
```
선택사항: 최신 Google 공급업체 버전을 사용하려면 -upgrade 옵션을 포함합니다.
```
terraform init -upgrade
```

변경사항 적용

구성을 검토하여 Terraform 업데이트가 예상과 일치하는지 확인합니다.
```
terraform plan
```
필요에 따라 구성을 수정합니다.
다음 명령어를 실행하고 프롬프트에 yes를 입력하여 Terraform 구성을 적용합니다.
```
terraform apply
```
Terraform에 Apply complete! 메시지가 표시될 때까지 기다립니다.

결과를 보려면 Google Cloud 프로젝트를 엽니다. Google Cloud 콘솔에서 UI의 리소스로 이동하여 Terraform이 리소스를 만들었거나 업데이트했는지 확인합니다.

인바운드 연결 구성

AlloyDB 인스턴스에 PSC를 사용 설정한 후 서비스 연결 URL을 가져오고 소비 VPC에서 엔드포인트를 구성하여 AlloyDB 인스턴스에 안전하게 연결할 수 있습니다.

서비스 연결 가져오기

Private Service Connect가 사용 설정된 AlloyDB 인스턴스를 만든 후 서비스 연결 URL을 가져오고 이를 사용하여 Private Service Connect 엔드포인트를 만듭니다.

gcloud alloydb instances describe 명령어를 사용하여 인스턴스에 대한 세부정보를 확인합니다.

gcloud alloydb instances describe INSTANCE_ID \
 --cluster=CLUSTER_ID --region=REGION_ID

다음을 바꿉니다.

INSTANCE_ID: 인스턴스의 ID입니다.
CLUSTER_ID: 클러스터의 ID입니다.
REGION_ID: AlloyDB 클러스터가 배포되는 리전입니다.

이 명령어의 샘플 응답은 다음과 같습니다.

  "pscInstanceConfig": {
    "serviceAttachmentLink:": "https://www.googleapis.com/compute/v1/projects/my-project/regions/my-region/serviceAttachments/my-service-attachment-id"
        "allowedConsumerProjects": {
          "45678",
          "12345",
              "67890",
            },
            "pscDnsName": "11111111-1111-1111-1111-111111111111.22222222-2222-2222-2222-222222222222.alloydb-psc.goog."
          }

serviceAttachmentLink 매개변수는 서비스 연결 URL의 값을 보유합니다.

Private Service Connect 엔드포인트 만들기

Private Service Connect 엔드포인트를 만들려면 서비스 연결 URL을 고유한 엔드포인트 이름과 함께 전달합니다. Private Service Connect 엔드포인트 만들기에 관한 자세한 내용은 엔드포인트 만들기를 참고하세요.

gcloud compute addresses create 명령어를 사용하여 Private Service Connect 엔드포인트의 내부 IP 주소를 예약한 후 엔드포인트를 만들 때 예약된 IP 주소를 사용할 수도 있습니다.

아웃바운드 연결 구성

아웃바운드 연결을 사용 설정하려면 AlloyDB 인스턴스를 만들거나 업데이트할 때 네트워크 첨부 파일 URI를 설정하세요. 이 URI를 사용하면 이전과 같은 아웃바운드 작업 중에 프로젝트와 AlloyDB 인스턴스 간에 안전하게 연결할 수 있습니다.

네트워크 연결 만들기

연결을 자동으로 수락(ACCEPT_AUTOMATIC)하거나 수동으로 수락 (ACCEPT_MANUAL)할 수 있는 네트워크 연결을 만들 수 있습니다. 네트워크 연결 만들기에 관한 자세한 내용은 네트워크 연결 만들기 및 관리를 참고하세요.

연결을 자동으로 수락하는 네트워크 연결을 만들기로 선택하면 허용된 프로젝트 목록을 명시적으로 설정할 필요가 없습니다. 연결을 수동으로 수락하려면 AlloyDB 인스턴스가 있는 프로젝트의 서비스 소유 프로젝트 번호를 허용된 프로젝트 목록에 추가해야 합니다.

서비스 소유 프로젝트 번호를 찾으려면 다음 명령어를 실행합니다.

gcloud alpha alloydb clusters describe CLUSTER_ID --region=REGION_ID

다음은 샘플 응답입니다.

pscConfig:
pscEnabled: true
serviceOwnedProjectNumber: 123456789012

서비스 소유 프로젝트 번호를 확인한 후 프로젝트를 허용된 프로젝트 목록에 추가한 다음 네트워크 연결을 만듭니다.

네트워크 연결의 리전이 AlloyDB 인스턴스의 리전과 동일한지 확인합니다. 또한 네트워크 연결을 만드는 데 사용된 서브넷은 RFC 1918 IP 범위(10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16)에 속해야 합니다.

아웃바운드 연결을 위해 인스턴스 업데이트

Private Service Connect가 사용 설정된 기존 AlloyDB 인스턴스의 아웃바운드 연결을 사용 설정하려면 --psc-network-attachment-uri 매개변수를 gcloud alloydb instances update 명령어에 전달합니다.

2025년 3월 1일 이전에 생성된 AlloyDB 인스턴스는 아웃바운드 연결을 사용 설정하도록 업데이트할 수 없습니다. 대신 다음 옵션 중 하나를 사용하는 것이 좋습니다.

아웃바운드 연결이 사용 설정된 기본 인스턴스의 지역 리전 간 복제본 (CRR)을 만듭니다. 그런 다음 전환을 실행하여 복제 인스턴스를 새 기본 인스턴스로 지정합니다.
기존 AlloyDB 클러스터 및 기본 인스턴스의 백업을 실행합니다. 그런 다음 아웃바운드 연결을 사용 설정하여 새 AlloyDB 클러스터 및 기본 인스턴스를 만듭니다. 마지막으로 이전에 만든 백업을 새 클러스터에 복원합니다.

아웃바운드 연결 비활성화

기존 AlloyDB 인스턴스의 아웃바운드 연결을 비활성화하려면 --clear-psc-network-attachment-uri 매개변수를 gcloud alloydb instances update 명령어에 전달합니다.

AlloyDB 인스턴스에 연결

다음 옵션 중 하나를 사용하여 Private Service Connect가 사용 설정된 AlloyDB 인스턴스에 연결할 수 있습니다.

내부 IP 주소
DNS 레코드
AlloyDB 인증 프록시
AlloyDB 언어 커넥터

DNS 레코드를 사용하여 연결하려면 해당 VPC 네트워크의 비공개 DNS 영역에 DNS 레코드를 만들어야 합니다. DNS 레코드를 만든 후 이 레코드를 사용하여 DNS 레코드, AlloyDB 인증 프록시 또는 AlloyDB 언어 커넥터를 통해 Private Service Connect가 사용 설정된 인스턴스에 직접 연결할 수 있습니다.

DNS 관리 영역 및 DNS 레코드 구성

네트워크에서 DNS 관리 영역 및 DNS 레코드를 구성하려면 다음 단계를 따르세요.

인스턴스의 DNS 이름을 포함하여 AlloyDB 인스턴스에 대한 요약 정보를 보려면 gcloud alloydb instances describe 명령어를 사용합니다.
```
gcloud alloydb instances describe INSTANCE_ID \
--cluster=CLUSTER_ID --region=REGION_ID
```
다음을 바꿉니다.
- INSTANCE_ID: 인스턴스의 ID
- CLUSTER_ID: 클러스터의 ID입니다.
응답에 DNS 이름이 표시되는지 확인합니다. DNS 이름에는 INSTANCE_UID.PROJECT_UID.REGION_NAME.alloydb-psc.goog. 패턴이 있습니다.
비공개 DNS 영역을 만들려면 gcloud dns managed-zones create 명령어를 사용합니다. 이 영역은 Private Service Connect 엔드포인트를 통해 AlloyDB 인스턴스에 연결하는 데 사용되는 VPC 네트워크와 연결됩니다.

참고: 각 VPC 네트워크에 대해 별도의 DNS 영역을 만듭니다.
```
gcloud dns managed-zones create ZONE_NAME \
--project=PROJECT_ID \
--description=DESCRIPTION \
--dns-name=DNS_NAME \
--networks=NETWORK_NAME \
--visibility=private
```
다음을 바꿉니다.
- ZONE_NAME: DNS 영역의 이름입니다.
- PROJECT_ID: 영역이 포함된 프로젝트의 ID 또는 프로젝트 번호입니다. Google Cloud
- DESCRIPTION: 영역에 대한 설명 (예: AlloyDB 인스턴스의 DNS 영역)
- DNS_NAME: 영역의 DNS 이름(예: INSTANCE_UID.PROJECT_UID.REGION_NAME.alloydb-psc.goog.)
- NETWORK_NAME: VPC 네트워크의 이름입니다.
Private Service Connect 엔드포인트를 만든 후 영역에 DNS 레코드를 만들려면 gcloud dns record-sets create 명령어를 사용합니다.
```
gcloud dns record-sets create DNS_NAME \
--project=PROJECT_ID \
--type=RRSET_TYPE \
--rrdatas=RR_DATA \
--zone=ZONE_NAME
```
다음을 바꿉니다.
- DNS_NAME: 이 절차의 앞부분에서 검색한 DNS 이름
- RRSET_TYPE: DNS 레코드 세트의 리소스 레코드 유형 (예: A)입니다.
- RR_DATA: Private Service Connect 엔드포인트에 할당된 IP 주소 (예: 198.51.100.5)입니다. rrdata1 rrdata2 rrdata3과 같은 여러 값을 입력할 수도 있습니다 (예: 10.1.2.3 10.2.3.4 10.3.4.5).

DNS 레코드를 사용하여 직접 연결

Private Service Connect 엔드포인트를 만들고 DNS 레코드를 만든 후 DNS 레코드를 사용하여 직접 연결할 수 있습니다.

Private Service Connect 엔드포인트의 DNS 레코드를 검색하려면 gcloud compute addresses describe 명령어를 사용합니다.
```
gcloud compute addresses describe DNS_RECORD \
--project=PROJECT_ID \
--region=REGION_NAME
```
다음을 바꿉니다.
- DNS_RECORD: 엔드포인트의 DNS 레코드입니다.
- PROJECT_ID: 엔드포인트가 포함된 프로젝트의 ID 또는 프로젝트 번호입니다. Google Cloud
- REGION_NAME: 엔드포인트의 리전 이름
AlloyDB 인스턴스에 연결하려면 DNS 레코드를 사용합니다.
```
psql -U USERNAME -h DNS_RECORD
```
다음을 바꿉니다.
- USERNAME: 인스턴스에 연결하는 사용자의 이름입니다.
- DNS_RECORD: 엔드포인트의 DNS 레코드입니다.

AlloyDB 인증 프록시를 사용하여 연결

AlloyDB 인증 프록시는 AlloyDB 데이터베이스에 승인된 암호화된 연결을 설정할 수 있는 커넥터입니다. AlloyDB 인증 프록시는 로컬 환경에서 로컬 클라이언트를 실행하여 작동합니다. 애플리케이션은 데이터베이스에서 사용하는 표준 데이터베이스 프로토콜을 사용하여 AlloyDB 인증 프록시와 통신합니다.

인증 프록시 클라이언트를 시작하는 동안 --psc 플래그를 설정하면 AlloyDB 인증 프록시에서 생성된 DNS 레코드를 사용하여 Private Service Connect가 사용 설정된 인스턴스에 연결합니다.

gcloud alloydb instances list 명령어를 사용하여 검색한 인스턴스 URI를 전달하여 인증 프록시 클라이언트를 시작하고 --psc 플래그를 설정해야 합니다.

인증 프록시를 사용하여 인스턴스에 연결하는 방법에 관한 자세한 내용은 인증 프록시를 사용하여 연결을 참고하세요.

AlloyDB 언어 커넥터를 사용하여 연결

AlloyDB 언어 커넥터는 AlloyDB 인스턴스에 연결할 때 TLS 1.3 및 Identity and Access Management (IAM) 승인과 함께 자동화된 mTLS를 제공하는 라이브러리입니다.

언어 커넥터가 인스턴스가 Private Service Connect를 지원한다고 판단하면 생성된 DNS 레코드를 사용하여 인스턴스에 연결합니다.