Private Service Connect 인터페이스 정보
이 페이지에서는 Private Service Connect 인터페이스를 간략하게 설명합니다.
Private Service Connect 인터페이스는 프로듀서 Virtual Private Cloud(VPC) 네트워크가 소비자 VPC 네트워크의 다양한 대상에 연결을 시작할 수 있게 해주는 리소스입니다. 프로듀서 및 소비자 네트워크는 다른 프로젝트 및 조직에 포함될 수 있습니다.
Private Service Connect 인터페이스를 만들 때 네트워크 인터페이스가 2개 이상 있는 가상 머신(VM) 인스턴스를 만듭니다. 첫 번째 인터페이스는 프로듀서 VPC 네트워크의 서브넷에 연결됩니다. 두 번째 인터페이스는 소비자 네트워크의 네트워크 연결에 대한 연결을 요청하는 Private Service Connect 인터페이스입니다. 연결이 허용되면 Google Cloud는 네트워크 연결에서 지정한 소비자 서브넷의 내부 IP 주소를 Private Service Connect 인터페이스에 할당합니다.
이 Private Service Connect 인터페이스 연결을 사용하면 프로듀서 및 소비자 조직에서 내부 IP 주소를 통해 두 네트워크가 연결되고 통신할 수 있도록 VPC 네트워크를 구성할 수 있습니다. 예를 들어 프로듀서 조직은 프로듀서 VPC 네트워크를 업데이트하여 소비자 서브넷 경로를 추가할 수 있습니다.
Private Service Connect 인터페이스와 네트워크 연결 간의 연결은 Private Service Connect 엔드포인트와 서비스 연결 간의 연결과 유사하지만 여기에는 두 가지 주요 차이점이 있습니다.
- Private Service Connect 인터페이스를 사용하면 프로듀서 VPC 네트워크가 소비자 VPC 네트워크(관리형 서비스 이그레스)로의 연결을 시작할 수 있습니다. 엔드포인트가 반대 방향으로 작동하므로 소비자 VPC 네트워크가 프로듀서 VPC 네트워크(관리형 서비스 인그레스)로의 연결을 시작할 수 있습니다.
- Private Service Connect 인터페이스 연결은 전환됩니다. 즉, 프로듀서 네트워크의 워크로드가 소비자 VPC 네트워크에 연결된 다른 워크로드에 대한 연결을 시작할 수 있습니다. Private Service Connect 엔드포인트는 프로듀서 VPC 네트워크에 대한 연결만 시작할 수 있습니다.
다른 네트워크의 워크로드에 연결
Private Service Connect 인터페이스 연결은 전이적이므로 소비자 VPC 네트워크 구성에서 허용하는 경우 프로듀서 VPC 네트워크의 리소스가 소비자 네트워크에 연결된 워크로드와 통신할 수 있습니다. 여기에는 다음이 포함됩니다.
- Cloud VPN 터널, Cloud Interconnect 또는 VPC 네트워크 피어링을 통해 소비자 VPC 네트워크에 연결된 네트워크의 워크로드.
- Cloud NAT를 통해 소비자 VPC 네트워크에서 도달할 수 있는 외부 IP 주소가 있는 워크로드.
- 비공개 Google 액세스 또는 VPC 서비스 제어를 통해 소비자 VPC 네트워크에서 도달할 수 있는 Google API 및 서비스. Private Service Connect 인터페이스에서 VPC 서비스 제어를 사용하려면 추가 구성이 필요합니다.
- Private Service Connect 엔드포인트 및 백엔드를 통해 소비자 VPC 네트워크에서 도달할 수 있는 게시된 서비스 및 Google API.
- 소비자 VPC 네트워크에 연결된 VPC 스포크의 워크로드.
사용 사례 예시
Private Service Connect 인터페이스의 사용 사례 예시는 소비자 데이터에 액세스하기 위해 소비자 VPC 네트워크에 대한 연결을 시작해야 하는 관리형 서비스입니다. 이 서비스는 또한 고객의 온프레미스 네트워크에서 사용할 수 있는 데이터 또는 서비스에 VPN 또는 Cloud Interconnect 연결을 통해 또는 서드 파티 서비스에서 액세스해야 할 수 있습니다. Private Service Connect 인터페이스 연결은 이러한 요구사항을 모두 충족할 수 있습니다.
또 다른 사용 사례는 API 게이트웨이를 제공하는 관리형 서비스입니다. 서비스가 서로 다른 API에 대한 호출을 받으면 Private Service Connect 인터페이스를 사용하여 소비자 VPC 네트워크에 대한 연결을 시작합니다. 게이트웨이 서비스는 요청을 처리하는 백엔드 대상으로 API 요청을 전송합니다.
Private Service Connect 인터페이스와 Private Service Connect 엔드포인트는 상호 보완적이며 동일한 VPC 네트워크에서 함께 사용될 수 있습니다.
예를 들어 그림 4는 분석을 제공하는 관리형 서비스의 네트워크 구성을 설명합니다. 분석 서비스는 Private Service Connect 인터페이스를 사용하여 소비자 VPC 네트워크에 대한 연결을 시작할 수 있습니다. 소비자 네트워크의 Private Service Connect 엔드포인트를 사용하면 분석 서비스가 다른 VPC 네트워크의 데이터베이스 서비스에 연결을 시작할 수 있습니다. 분석 서비스에서 데이터베이스 서비스로 전달되는 트래픽이 소비자 네트워크를 통과하므로, 소비자가 두 서비스 간의 트래픽을 모니터링하고 보안을 제공할 수 있습니다.
사양
- Private Service Connect 인터페이스는 네트워크 연결에 연결하는 특수한 유형의 네트워크 인터페이스입니다. 네트워크 인터페이스 사양은 Private Service Connect 인터페이스에도 적용됩니다.
- Private Service Connect 인터페이스용 VM을 만들 때는 네트워크 인터페이스를 최소 2개 이상 만듭니다. 첫 번째 네트워크 인터페이스는 항상
nic0
이라는 기본 네트워크 인터페이스입니다. 이 인터페이스는 프로듀서 서브넷에 연결됩니다. 두 번째 인터페이스는 소비자 서브넷에 대한 연결을 요청하는 Private Service Connect 인터페이스입니다. 단일 VM에 최대 7개의 Private Service Connect 인터페이스를 포함할 수 있습니다. - 소비자 프로젝트가 Private Service Connect 인터페이스의 연결을 수락하면 Google Cloud는 네트워크 연결의 서브넷에서 IP 주소를 사용하여 인터페이스를 구성합니다.
- 내부 IPv4 주소는 서브넷의 기본 IP 주소 범위에서 할당됩니다.
- 네트워크 연결의 서브넷이 이중 스택이고 Private Service Connect 인터페이스가 이중 스택인 경우 서브넷의 IPv6 범위에서 내부 IPv6 주소가 할당됩니다.
- Private Service Connect 인터페이스는 별칭 IP 범위를 지원합니다. 네트워크 연결 서브넷의 기본 IPv4 주소 범위에서 별칭 IP 범위를 가져와야 합니다.
- Google Cloud는 Private Service Connect 인터페이스에 할당된 IP 주소가 VM의 다른 네트워크 인터페이스에 연결된 서브넷의 주소 범위와 겹치지 않도록 합니다. 사용 가능한 주소가 부족하면 VM 생성이 실패합니다.
- Private Service Connect 인터페이스는 네트워크 인터페이스와 같은 방식으로 통신합니다.
- 네트워크 연결과 Private Service Connect 인터페이스 간의 연결은 양방향이며 전이적입니다. 프로듀서 VPC 네트워크의 워크로드에서 소비자 VPC 네트워크에 연결된 워크로드에 대한 연결을 시작할 수 있습니다.
제한사항
다음 방법으로만 Private Service Connect 인터페이스 연결을 종료할 수 있습니다.
- 프로듀서가 인터페이스의 VM을 삭제합니다.
- 소비자가 Private Service Connect 인터페이스에 연결된 프로젝트를 삭제합니다. 이 작업은 인터페이스의 VM을 중지합니다.
- 소비자가 Private Service Connect 인터페이스에 연결된 프로젝트에서 Compute Engine API를 중지합니다. 이 작업은 인터페이스의 VM을 중지합니다.
Private Service Connect 인터페이스에서는 외부 IP 주소를 지원하지 않습니다.
Private Service Connect 인터페이스는 내부 전달 규칙의 다음 홉일 수 없습니다.
Private Service Connect 인터페이스를 Google Kubernetes Engine(GKE) 노드 또는 포드와 직접 연결할 수 없습니다. 하지만 서비스 이그레스는 프록시 VM에 구성된 Private Service Connect 인터페이스를 통해 GKE에서 사용 가능합니다.
가격 책정
Private Service Connect 인터페이스의 가격은 VPC 가격 책정 페이지에 설명되어 있습니다.