피어링 기반 서비스를 Private Service Connect로 마이그레이션하는 방법
많은 관리형 서비스 프로듀서는 VPC 네트워크 피어링을 사용하여 다른 가상 프라이빗 클라우드(VPC) 네트워크에 있는 서비스 소비자에게 연결을 제공합니다. Private Service Connect를 사용하는 것도 하나의 해결 방법입니다.
이 문서에서는 서비스 프로듀서가 피어링 기반 서비스를 Private Service Connect로 마이그레이션하고 서비스에 액세스하는 데 사용되는 IPv4 주소를 보존하는 방법을 간략하게 설명합니다. 이 마이그레이션 프로세스에서는 특정 서브넷에 연결된 모든 리소스를 동시에 마이그레이션해야 합니다.
각 서비스 프로듀서는 Private Service Connect로 마이그레이션할지 여부와 시기를 결정합니다. 서비스 프로듀서가 VPC 네트워크 피어링에서 Private Service Connect로 마이그레이션하는지 알아보려면 서비스 문서를 확인하거나 서비스 프로듀서에게 문의하세요.
피어링 기반 서비스 마이그레이션
이 피어링 기반 서비스 예시에서 클라이언트 vm1은 프로듀서 VPC 네트워크의 서비스 부하 분산기 10.10.10.10으로 트래픽을 전송합니다. 네트워크가 VPC 네트워크 피어링을 통해 연결되어 있으므로 소비자 네트워크에는 프로듀서 서브넷의 피어링 서브넷 경로가 있습니다.
그림 1. 피어링 기반 서비스에서 소비자 VPC 네트워크와 프로듀서 VPC 네트워크는 VPC 네트워크 피어링을 통해 서로 액세스할 수 있습니다(확대하려면 클릭).
마이그레이션 중에 다음 태스크가 완료됩니다.
- 프로듀서는 새 VPC 네트워크의 새 서브넷
producer-subnet-2에 서비스를 배포하고 Private Service Connect를 통해 서비스를 게시합니다. - 프로듀서는 내부 범위를 만들어 프로듀서 서브넷
10.10.10.0/24의 CIDR 범위를 예약합니다. - 프로듀서가 원래 서브넷
producer-subnet-1및 그 안에 있는 모든 리소스를 삭제합니다. - 마이그레이션 서브넷
consumer-subnet-2가 소비자 VPC 네트워크에 생성되며, 프로듀서 서브넷과 동일한 CIDR 범위로 구성됩니다. - 마이그레이션 서브넷에 Private Service Connect 엔드포인트가 생성되며, 이전에 프로듀서 부하 분산기 전달 규칙에서 사용한 것과 동일한 IP 주소로 구성됩니다.
마이그레이션이 완료된 후에도 클라이언트 vm1은 10.10.10.10의 서비스에 계속 연결할 수 있지만 이 IP 주소는 이제 소비자 VPC 네트워크의 Private Service Connect 엔드포인트와 연결됩니다.
그림 2. 마이그레이션 후 소비자 VPC 네트워크의 클라이언트는 Private Service Connect 엔드포인트로 요청을 전송하고, 이 엔드포인트는 트래픽을 프로듀서 VPC 네트워크로 전달합니다(확대하려면 클릭).
마이그레이션 태스크
마이그레이션에는 프로듀서 VPC 네트워크와 소비자 VPC 네트워크 모두에서 실행되는 태스크가 포함됩니다. 프로듀서는 소비자와 협력하여 마이그레이션을 실행할 수 있으며, Google 관리형 서비스의 경우 서비스 프로듀서가 서비스 에이전트를 통해 소비자 태스크를 자동화할 수 있습니다.
| 태스크 | 프로듀서 | 소비자 |
|---|---|---|
| Private Service Connect 서비스 배포 | ||
| 프로듀서 프로젝트의 새 VPC 네트워크에 있는 새 서브넷에 서비스를 배포하고 Private Service Connect를 사용하여 게시합니다. | 프로듀서가 실행 | |
| 피어링 기반 서비스 종료 | ||
| 프로듀서 프로젝트에서 내부 범위를 만들어 프로듀서 서브넷 CIDR 범위를 예약합니다. | 프로듀서가 실행 | 소비자가 마이그레이션 대상에 사용할 서브넷 이름을 제공합니다. |
| 프로듀서 서브넷의 모든 리소스를 삭제한 다음 해당 서브넷을 삭제합니다. | 프로듀서가 실행 | 소비자가 더 이상 서비스에 액세스할 수 없음 |
| 소비자 네트워크에 Private Service Connect 엔드포인트를 만듭니다. | ||
| 소비자 네트워크에 마이그레이션 서브넷을 만듭니다. | 소비자가 서브넷 이름을 선택하지 않은 경우 프로듀서가 소비자에게 서브넷 이름을 제공합니다. | 소비자(또는 서비스 에이전트를 통한 프로듀서)가 실행 |
| 소비자 네트워크에 Private Service Connect 엔드포인트를 만듭니다. | 프로듀서가 소비자에게 서비스 연결 URI 제공 | 소비자(또는 서비스 에이전트를 통한 프로듀서)가 실행 소비자가 서비스에 액세스할 수 있습니다. |
| Private Service Connect 엔드포인트를 통해 액세스 유효성을 검사합니다. | 소비자가 실행 | |
| 마이그레이션 완료 | ||
| 내부 범위 삭제 | 프로듀서가 실행 | |
| 소비자의 마이그레이션 서브넷을 업데이트하여 일반 서브넷으로 변환합니다. | 소비자(또는 서비스 에이전트를 통한 프로듀서)가 실행 | |
| 다른 서비스에 필요하지 않은 경우 프로듀서 및 소비자 네트워크에서 피어링 연결을 삭제합니다. | 프로듀서가 실행 | 소비자(또는 서비스 에이전트를 통한 프로듀서)가 실행 |
고려사항
피어링 기반 서비스를 Private Service Connect로 마이그레이션하려는 서비스 프로듀서는 다음 사항을 고려하세요.
- 서비스의 Private Service Connect 구현은 피어링 기반 서비스와 동일한 기능을 제공해야 합니다.
- 마이그레이션 프로세스는 서비스에 액세스하는 IPv4 주소의 보존을 지원합니다. IPv6 주소 보존은 지원되지 않습니다. 하지만 마이그레이션된 서비스는 IPv6 Private Service Connect 엔드포인트에서 액세스할 수 있습니다.
- 마이그레이션 중에는 서비스 인스턴스가 포함된 서브넷의 모든 리소스를 삭제할 수 있어야 합니다. 여러 서비스 인스턴스가 동일한 서브넷을 사용하는 경우 모든 인스턴스를 동시에 마이그레이션해야 합니다.
소비자의 Private Service Connect 엔드포인트와 프로듀서의 서비스 연결 및 전달 규칙이 모두 동일한 리전에 있어야 합니다.
모든 리전에서 엔드포인트에 액세스할 수 있도록 하려면 엔드포인트에서 전역 액세스를 사용 설정하면 됩니다.
서비스가 상태를 저장하는 경우 상태를 새 서비스 인스턴스로 마이그레이션하는 메서드가 있어야 합니다.
프로듀서 VPC 네트워크의 모든 서비스 인스턴스가 마이그레이션될 때까지 피어링 연결을 삭제할 수 없습니다.
마이그레이션 중에는 서비스 다운타임이 발생합니다.
Private Service Connect로 마이그레이션하면 프로듀서와 소비자 모두에게 가격 영향을 미칩니다. 마이그레이션하기 전에 소비자에게 이 변경사항을 알려야 합니다.
Private Service Connect는 클라이언트의 소스 IP 주소를 NAT 서브넷의 IP 주소로 변환합니다. 서비스에 클라이언트에 관한 IP 주소 정보가 필요한 경우 프록시 프로토콜을 사용하여 클라이언트 IP 주소를 가져오고 백엔드 VM과 애플리케이션 간에 패킷을 적절하게 처리해야 합니다.
마이그레이션을 위한 내부 범위
내부 범위는 프로듀서 서브넷에서 사용되는 CIDR 범위를 예약하는 데 사용되므로 프로듀서 서브넷이 삭제될 때 CIDR 범위를 다른 용도로 사용할 수 없습니다.
피어 마이그레이션을 위한 내부 범위를 만들 때는 사용량을 FOR_MIGRATION으로 설정하고 소스 및 대상 서브넷을 지정합니다. 소스 서브넷은 프로듀서 서브넷이고 대상 서브넷은 나중에 소비자 네트워크에서 생성될 새 피어 마이그레이션 서브넷입니다.
내부 범위를 만들면 대상 서브넷 이름과 CIDR 범위 모두와 일치하는 서브넷이 생성되지 않습니다. 그러나 다른 CIDR 범위를 사용하는 경우 소비자 네트워크에 동일한 이름의 다른 서브넷을 만들 수 있습니다. 이 경우 일치하는 이름의 소비자 서브넷이 삭제되거나 내부 범위가 삭제될 때까지 마이그레이션을 진행할 수 없습니다.
피어 마이그레이션 서브넷
마이그레이션을 위해 소비자 네트워크에 생성된 서브넷의 용도는 PEER_MIGRATION으로 설정됩니다. 피어 마이그레이션 서브넷에는 IP 주소와 Private Service Connect 엔드포인트만 포함할 수 있습니다.
마이그레이션이 완료되고 확인되면 서브넷의 용도를 PRIVATE으로 설정하여 일반 서브넷이 되도록 업데이트하고 서브넷에 다른 리소스를 만들 수 있습니다. 일반 서브넷은 피어 마이그레이션 서브넷으로 다시 변환할 수 없습니다.
compute.subnetworks.usePeerMigration 권한이 있는 주 구성원만 다음 작업을 할 수 있습니다.
- 피어 마이그레이션 서브넷에서 IP 주소 리소스를 만들고 삭제합니다.
- 피어 마이그레이션 서브넷에서 Private Service Connect 엔드포인트(전달 규칙)를 만들고 삭제합니다.
compute.subnetworks.usePeerMigration 권한은 다음 역할에 포함되어 있습니다.
- Compute 피어 서브넷 마이그레이션 관리자(
roles/compute.peerSubnetMigrationAdmin) - Compute 네트워크 관리자(
roles/compute.networkAdmin)
Compute 피어 서브넷 마이그레이션 관리자 역할을 가진 주 구성원은 피어 마이그레이션 서브넷에서 IP 주소와 Private Service Connect 엔드포인트를 만들고 삭제할 수 있지만 마이그레이션 서브넷을 만들거나 업데이트하거나 삭제할 수는 없습니다.
Compute 네트워크 관리자 역할을 가진 주 구성원은 이전 태스크와 다음 태스크를 포함하여 마이그레이션에 필요한 모든 태스크를 실행할 수 있습니다.
- 용도를
PEER_MIGRATION으로 설정하여 서브넷을 만듭니다. - 서브넷을 업데이트합니다(예: CIDR 범위를 확장하거나 비공개 Google 액세스를 사용 설정).
- 서브넷 용도를
PRIVATE으로 업데이트합니다. - 서브넷을 삭제합니다.
가격 책정
가격 책정 정보는 다음을 참조하세요.
서비스 프로듀서: 서비스 게시 가격
서비스 소비자: 엔드포인트를 통해 게시된 서비스에 액세스하는 가격