엔드포인트를 통해 게시된 서비스에 액세스하는 방법
이 문서에서는 Private Service Connect 엔드포인트를 사용하여 다른 VPC 네트워크의 서비스에 연결하는 방법을 간략히 설명합니다. 자신의 고유 서비스 또는 Google을 포함한 다른 서비스 프로듀서가 제공한 서비스에 연결할 수 있습니다.
클라이언트는 내부 IP 주소를 사용하여 엔드포인트에 연결합니다. Private Service Connect는 네트워크 주소 변환(NAT)을 수행하여 요청을 서비스에 라우팅합니다.
게시된 서비스에 대한 자세한 내용은 게시된 서비스 정보를 참조하세요.
특징 및 호환성
기호가 없으면 기능이 지원되지 않는다는 것을 나타냅니다.
소비자 구성
다음 표에는 게시된 서비스에 액세스하는 엔드포인트의 지원되는 구성 옵션과 기능이 요약되어 있습니다.
소비자 구성(엔드포인트) | 프로듀서 부하 분산기 | |||
---|---|---|---|---|
내부 패스 스루 네트워크 부하 분산기 | 리전 내부 애플리케이션 부하 분산기 | 리전 내부 프록시 네트워크 부하 분산기 | 내부 프로토콜 전달(대상 인스턴스) | |
소비자 전역 액세스 |
부하 분산기의 전역 액세스 설정과 별개 |
서비스 연결이 생성되기 전에 부하 분산기에 전역 액세스가 사용 설정된 경우에만 |
서비스 연결이 생성되기 전에 부하 분산기에 전역 액세스가 사용 설정된 경우에만 |
부하 분산기의 전역 액세스 설정과 별개 |
Cloud VPN 트래픽 | ||||
자동 DNS 구성 | IPv4 전용 | IPv4 전용 | IPv4 전용 | IPv4 전용 |
연결 전파 | IPv4 전용 | IPv4 전용 | IPv4 전용 | IPv4 전용 |
IPv4 엔드포인트 |
|
|
|
|
IPv6 엔드포인트 |
|
|
|
|
프로듀서 구성
다음 표에는 엔드포인트에서 액세스하는 게시된 서비스의 지원되는 구성 옵션과 기능이 요약되어 있습니다.
프로듀서 구성(게시된 서비스) | 프로듀서 부하 분산기 | |||
---|---|---|---|---|
내부 패스 스루 네트워크 부하 분산기 | 리전 내부 애플리케이션 부하 분산기 | 리전 내부 프록시 네트워크 부하 분산기 | 내부 프로토콜 전달(대상 인스턴스) | |
지원되는 프로듀서 백엔드 |
|
|
|
해당 사항 없음 |
프록시 프로토콜 | TCP 트래픽만 | TCP 트래픽만 | ||
세션 어피니티 모드 | NONE(5-튜플) CLIENT_IP_PORT_PROTO |
해당 사항 없음 | 해당 사항 없음 | 해당 사항 없음 |
IP 버전 |
|
|
|
|
부하 분산기마다 지원하는 포트 구성이 다릅니다. 일부 부하 분산기는 단일 포트를 지원하고, 일부 부하 분산기는 포트 범위를 지원하고, 일부 포트는 모든 포트를 지원합니다. 자세한 내용은 포트 사양을 참조하세요.
제한사항
게시된 서비스에 액세스하는 엔드포인트에는 다음과 같은 제한사항이 있습니다.
액세스 중인 게시된 서비스와 동일한 VPC 네트워크에는 엔드포인트를 만들 수 없습니다.
피어링된 VPC 네트워크에서 엔드포인트에 액세스할 수 없습니다.
패킷 미러링은 Private Service Connect의 게시된 서비스 트래픽의 패킷을 미러링할 수 없습니다.
부하 분산기 다음 홉이 있는 일부 정적 경로는 Private Service Connect에서 지원되지 않습니다. 자세한 내용은 부하 분산기 다음 홉이 있는 정적 경로를 참조하세요.
연결 테스트는 IPv6 엔드포인트와 게시된 서비스 사이의 연결을 테스트할 수 없습니다.
온프레미스 액세스
Google API에 액세스하기 위해 사용하는 엔드포인트는 지원되는 연결된 온프레미스 호스트에서 액세스될 수 있습니다. 자세한 내용은 하이브리드 네트워크에서 엔드포인트 액세스를 참조하세요.
사양
- Private Service Connect 엔드포인트는 엔드포인트 대상인 게시된 서비스와 동일한 리전에 생성되어야 합니다.
- 엔드포인트는 대상 서비스가 포함된 VPC 네트워크와 다른 VPC 네트워크에서 생성되어야 합니다.
- 공유 VPC를 사용하는 경우 호스트 프로젝트 또는 서비스 프로젝트에서 엔드포인트를 만들 수 있습니다.
- 기본적으로 엔드포인트는 엔드포인트와 동일한 리전 및 동일한 VPC 네트워크(또는 공유 VPC 네트워크)에 있는 클라이언트만 액세스할 수 있습니다. 다른 리전에서 엔드포인트를 사용할 수 있게 만드는 방법은 전역 액세스를 참조하세요.
- 엔드포인트에 할당할 IP 주소는 일반 서브넷에서 가져와야 합니다.
- 서비스에 연결할 엔드포인트를 만들 때 서비스에 DNS 도메인 이름이 구성되어 있으면 엔드포인트에 대해 VPC 네트워크에 비공개 DNS 항목이 자동으로 생성됩니다.
- 각 엔드포인트에는 고유 IP 주소와 선택적인 고유 DNS 이름이 포함됩니다.
연결 상태
Private Service Connect 엔드포인트, 백엔드, 서비스 연결에는 해당 연결 상태를 설명하는 연결 상태가 있습니다. 연결의 양측을 형성하는 소비자 및 프로듀서 리소스는 항상 상태가 동일합니다. 엔드포인트 세부정보를 보거나 백엔드를 설명하거나 게시된 서비스에 대한 세부 정보를 볼 때 연결 상태를 볼 수 있습니다.
다음 표에서는 가능한 상태를 설명합니다.
연결 상태 | 설명 |
---|---|
수락됨 | Private Service Connect 연결이 설정됩니다. 두 VPC 네트워크가 연결되어 있고 연결이 정상적으로 작동합니다. |
대기 중 | Private Service Connect 연결이 설정되지 않으며 네트워크 트래픽이 두 네트워크 간에 이동할 수 없습니다. 다음과 같은 이유로 연결이 이 상태가 될 수 있습니다.
이러한 이유로 차단된 연결은 기본 문제가 해결될 때까지 무기한 대기 중 상태로 유지됩니다. |
거부됨 | Private Service Connect 연결이 설정되지 않습니다. 네트워크 트래픽이 두 네트워크 간에 이동할 수 없습니다. 다음과 같은 이유로 연결이 이 상태가 될 수 있습니다. |
주의 필요 | 연결의 프로듀서 측에 문제가 있습니다. 일부 트래픽은 두 네트워크 간에 흐를 수 있지만 일부 연결은 작동하지 않을 수 있습니다. 예를 들어 프로듀서의 NAT 서브넷이 소진되어 새 연결에 IP 주소를 할당하지 못할 수 있습니다. |
비공개 | 서비스 연결이 삭제되고 Private Service Connect 연결이 종료되었습니다. 네트워크 트래픽이 두 네트워크 간에 이동할 수 없습니다. 종료된 연결은 터미널 상태입니다. 연결을 복원하려면 서비스 연결과 엔드포인트 또는 백엔드를 모두 다시 만들어야 합니다. |
IP 버전 변환
게시된 서비스와 서비스 연결에 대한 Private Service Connect 엔드포인트 간의 연결의 경우 소비자 전달 규칙의 IP 주소의 IP 버전에 따라 엔드포인트의 IP 버전과 이그레스 트래픽이 결정됩니다. 엔드포인트의 IP 버전은 IPv4 또는 IPv6 중 하나일 수 있습니다(둘 다일 수 없음). 주소의 서브넷이 단일 스택인 경우 소비자는 IPv4 주소를 사용할 수 있습니다. 주소의 서브넷이 이중 스택인 경우 소비자는 IPv4 또는 IPv6 주소를 사용할 수 있습니다. 소비자는 IPv4 및 IPv6 엔드포인트를 모두 동일한 서비스 연결에 연결할 수 있으므로 서비스를 IPv6으로 마이그레이션하는 데 유용할 수 있습니다.
게시된 서비스 및 서비스 연결에 대한 Private Service Connect 엔드포인트 간의 연결의 경우 프로듀서 전달 규칙의 IP 버전에 따라 서비스 연결의 IP 버전과 서비스 연결을 이그레스하는 트래픽이 결정됩니다. 서비스 연결의 IP 버전은 IPv4 또는 IPv6일 수 있지만 둘 다일 수는 없습니다. 주소의 서브넷이 단일 스택인 경우 프로듀서는 IPv4 주소를 사용할 수 있습니다. 주소의 서브넷이 이중 스택인 경우 프로듀서는 IPv4 또는 IPv6 주소를 사용할 수 있습니다.
프로듀서 전달 규칙 IP 주소의 IP 버전은 서비스 연결의 NAT 서브넷의 스택 유형과 호환되어야 합니다. 프로듀서 전달 규칙이 IPv4인 경우 NAT 서브넷은 단일 스택 또는 이중 스택일 수 있습니다. 프로듀서 전달 규칙이 IPv6인 경우 NAT 서브넷은 이중 스택이어야 합니다.
Private Service Connect는 IPv4 엔드포인트와 IPv6 서비스 연결을 지원하지 않습니다. 이 경우 다음 오류 메시지와 함께 엔드포인트 만들기가 실패합니다.
Private Service Connect forwarding rule with an IPv4 address
cannot target an IPv6 service attachment.
지원되는 구성에는 다음 조합을 사용할 수 있습니다.
- IPv4 엔드포인트에서 IPv4로 서비스 연결
- IPv6 엔드포인트에서 IPv6으로 서비스 연결
-
IPv6 엔드포인트에서 IPv4로 서비스 연결
이 구성에서 Private Service Connect는 두 IP 버전 간에 자동으로 변환됩니다.
연결 전파
전파된 연결을 사용하면 하나의 소비자 VPC 스포크에서 Private Service Connect 엔드포인트를 통해 액세스할 수 있는 서비스에 동일한 Network Connectivity Center 허브에 연결된 다른 소비자 VPC 스포크에서 비공개로 액세스할 수 있습니다.
자세한 내용은 전파된 연결 정보를 참조하세요.
전역 액세스
서비스 액세스에 사용되는 Private Service Connect 엔드포인트는 리전별 리소스입니다. 하지만 전역 액세스를 구성하여 다른 리전에서 엔드포인트를 사용할 수 있게 만들 수 있습니다.
전역 액세스를 사용하면 모든 리전의 리소스가 Private Service Connect 엔드포인트로 트래픽을 전송할 수 있습니다. 전역 액세스를 사용하면 여러 리전에서 호스팅되는 서비스 간에 고가용성을 제공하거나, 클라이언트와 동일한 리전에 있지 않은 서비스에 대해 클라이언트 액세스를 허용할 수 있습니다.
다음 다이어그램은 동일한 엔드포인트에 액세스하는 여러 리전의 클라이언트를 보여줍니다.
엔드포인트가
us-west1
에 있고 전역 액세스가 구성되어 있습니다.us-west1
의 VM은 엔드포인트로 트래픽을 전송할 수 있고 트래픽이 동일한 리전 내에 유지됩니다.us-east1
의 VM과 온프레미스 네트워크의 VM도 다른 리전에 있더라도us-west1
에서 엔드포인트를 연결할 수 있습니다. 점선은 리전 내부의 트래픽 경로를 나타냅니다.
전역 액세스 사양
엔드포인트에 대해 언제든지 전역 액세스를 사용 설정 또는 사용 중지할 수 있습니다.
- 전역 액세스를 사용 설정하면 기존 연결에 대해 트래픽이 중단되지 않습니다.
- 전역 액세스를 사용 중지하면 엔드포인트가 위치한 리전이 아닌 다른 리전의 모든 연결이 종료됩니다.
모든 Private Service Connect 서비스는 전역 액세스가 포함된 엔드포인트를 지원합니다. 서비스가 전역 액세스를 지원하는지 확인하려면 서비스 프로듀서에게 확인하세요. 자세한 내용은 지원되는 구성을 참조하세요.
전역 액세스는 여러 전역 액세스 엔드포인트에 대해 단일 전역 IP 주소 또는 DNS 이름을 제공하지 않습니다.
공유 VPC
서비스 프로젝트 관리자는 공유 VPC 네트워크의 IP 주소를 사용하는 공유 VPC 서비스 프로젝트에 엔드포인트를 만들 수 있습니다. 구성은 일반 엔드포인트와 동일하지만 엔드포인트는 공유 VPC의 공유 서브넷에서 예약된 IP 주소를 사용합니다.
IP 주소 리소스는 서비스 프로젝트 또는 호스트 프로젝트에서 예약할 수 있습니다. IP 주소의 소스는 서비스 프로젝트와 공유되는 서브넷이어야 합니다.
자세한 내용은 공유 VPC 네트워크에서 IP 주소로 엔드포인트 만들기를 참조하세요.
VPC 서비스 제어
VPC 서비스 제어와 Private Service Connect는 서로 호환됩니다. Private Service Connect 엔드포인트가 배포된 VPC 네트워크가 VPC 서비스 제어 경계에 있으면 엔드포인트가 동일한 경계에 속합니다. 엔드포인트를 통해 액세스하는 모든 VPC 서비스 제어 지원 서비스에는 해당 VPC 서비스 제어 경계의 정책이 적용됩니다.
엔드포인트를 만들면 소비자 프로젝트와 제작자 프로젝트 간에 제어 영역 API 호출이 수행되어 Private Service Connect 연결이 설정됩니다. 동일한 VPC 서비스 제어 경계에 없는 소비자 프로젝트와 제작자 프로젝트 간에 Private Service Connect 연결을 설정하려면 이그레스 정책을 사용한 명시적 승인이 필요하지 않습니다. 엔드포인트를 통한 VPC 서비스 제어 지원 서비스와의 통신은 VPC 서비스 제어 경계로 보호됩니다.
부하 분산기 다음 홉이 있는 정적 경로
내부 패스 스루 네트워크 부하 분산기의 전달 규칙을 다음 홉(--next-hop-ilb
)으로 사용하도록 정적 경로를 구성할 수 있습니다. 이 유형의 일부 경로는 Private Service Connect에서 지원되지 않습니다.
--next-hop-ilb
를 사용하여 내부 패스 스루 네트워크 부하 분산기 전달 규칙의 이름을 지정하는 정적 경로는 경로와 엔드포인트가 동일한 VPC 네트워크 및 리전 있을 때 Private Service Connect 엔드포인트로 트래픽을 주고받는 데 사용할 수 있습니다.
Private Service Connect에는 다음 라우팅 구성이 지원되지 않습니다.
--next-hop-ilb
를 사용하여 내부 패스 스루 네트워크 부하 분산기 전달 규칙의 IP 주소를 지정하는 정적 경로입니다.--next-hop-ilb
를 사용하여 Private Service Connect 엔드포인트 전달 규칙의 이름 또는 IP 주소를 지정하는 정적 경로입니다.
로깅
엔드포인트를 사용하여 다른 VPC 네트워크의 서비스에 액세스하는 VM이 포함된 서브넷에서 VPC 흐름 로그를 사용 설정할 수 있습니다. 로그는 VM과 엔드포인트 간의 흐름을 보여줍니다.
감사 로그를 사용하여 엔드포인트의 연결 상태 변경사항을 볼 수 있습니다. 엔드포인트의 연결 상태 변경사항은 GCE 전달 규칙 리소스 유형에 대한 시스템 이벤트 메타데이터에 캡처됩니다.
pscConnectionStatus
를 필터링하여 이러한 항목을 볼 수 있습니다.예를 들어 서비스 생산자가 프로젝트에서 연결을 허용하는 경우 엔드포인트의 연결 상태가
PENDING
에서ACCEPTED
로 변경되고 이 변경이 감사 로그에 반영됩니다.- 감사 로그를 보려면 로그 보기를 참조하세요.
- 감사 로그를 기준으로 알림을 설정하려면 로그 기준 알림 관리를 참조하세요.
가격 책정
Private Service Connect의 가격은 VPC 가격 책정 페이지에 설명되어 있습니다.
할당량
게시된 서비스에 액세스하기 위해 만들 수 있는 엔드포인트 수는 PSC Internal LB Forwarding Rules
할당량에 따라 제어됩니다.
자세한 내용은 할당량을 참조하세요.
조직 정책 제약 조건
조직 정책 관리자는 constraints/compute.disablePrivateServiceConnectCreationForConsumers
제약조건을 사용하여 사용자가 전달 규칙을 만들 수 없는 엔드포인트 유형 집합을 정의할 수 있습니다.
이 제약조건을 사용하는 조직 정책을 만드는 방법에 대한 자세한 내용은 사용자가 연결 유형별로 엔드포인트를 배포하지 못하도록 차단을 참조하세요.