비공개 서비스 액세스
이 페이지에서는 비공개 서비스 액세스를 간략하게 설명합니다.
Google 및 타사(서비스 제작자라고 함)는 VPC 네트워크에서 호스팅되는 서비스를 제공할 수 있습니다. 비공개 서비스 액세스를 사용하면 비공개 연결을 사용하여 이러한 Google 및 서드 파티 서비스의 내부 IP 주소에 연결할 수 있습니다. 이 방법은 VPC 네트워크의 VM 인스턴스에서 외부 IP주소 대신 내부 IP 주소를 사용하려는 경우에 유용합니다. 비공개 서비스 액세스 사용에 대한 자세한 내용은 비공개 서비스 액세스 구성을 참조하세요.
비공개 서비스 액세스를 사용하려면 먼저 내부 IPv4 주소 범위를 할당한 다음 비공개 연결을 만들어야 합니다. 할당 범위는 로컬 VPC 네트워크에서 사용할 수 없는 예약된 CIDR 블록입니다. 서비스 제작자만을 위한 주소 범위를 이렇게 할당해두면 VPC 네트워크와 서비스 제작자의 VPC 네트워크 간에 주소가 겹치지 않게 됩니다.
비공개 연결은 VPC 네트워크와 서비스 제작자의 VPC 네트워크를 연결합니다. 이 연결을 통해 VPC 네트워크의 VM 인스턴스가 내부 IPv4 주소를 사용하여 서비스 리소스에 도달할 수 있습니다. 인스턴스에 외부 IP 주소가 있을 수 있지만 비공개 서비스 액세스에는 외부 IP 주소가 필수적인 것은 아니며 사용되지도 않습니다.
서비스 제작자가 여러 서비스를 제공하는 경우 비공개 연결 하나만 있으면 됩니다. 비공개 연결을 만들 때는 Service Networking API를 사용하지만 Google Cloud는 사용자 VPC 네트워크 및 서비스 제작자 VPC 네트워크 간의 VPC 네트워크 피어링 연결로 구현합니다. VPC 네트워크는 이 비공개 연결을 피어링 연결로 표시하며 이 연결을 삭제하려면 피어링 연결을 삭제해야 합니다.
비공개 서비스 액세스에서 IPv6 주소 범위를 사용할 수 없습니다.
비공개 서비스 액세스는 이 액세스를 지원하는 서비스에만 사용할 수 있습니다. 비공개 연결을 만들기 전에 서비스 제작자에게 확인하세요.
서비스 제작자 네트워크
비공개 연결 시 서비스 제작자는 서비스 리소스가 프로비저닝되는 VPC 네트워크를 사용합니다. 서비스 제작자의 네트워크는 사용자 전용으로 구축되고 사용자의 리소스만 포함합니다.
서비스 제작자 네트워크의 리소스는 VPC 네트워크의 다른 리소스와 비슷합니다. 예를 들어 VPC 네트워크의 다른 리소스에서 내부 IP 주소를 통해 연결할 수 있습니다. 서비스 제작자 네트워크에 대한 액세스를 제어하기 위해 VPC 네트워크에 방화벽 규칙도 만들 수 있습니다.
서비스 제작자 측면에 대한 자세한 내용은 서비스 인프라 문서에서 비공개 서비스 액세스 사용 설정을 참조하세요. 서비스 인프라 문서는 단순 참고용이며 사용자가 실제 비공개 서비스 액세스를 사용 설정하거나 사용하는 데 필수 문서는 아니라는 점을 유의해 주세요.
비공개 서비스 액세스 및 온프레미스 연결
하이브리드 네트워킹 시나리오에서 온프레미스 네트워크는 Cloud VPN 또는 Cloud Interconnect 연결을 통해 VPC 네트워크에 연결됩니다. 기본적으로 온프레미스 호스트는 비공개 서비스 액세스를 사용하여 서비스 제작자의 네트워크에 연결할 수 없습니다.
VPC 네트워크에는 온프레미스 네트워크에 트래픽을 올바르게 전송하기 위한 커스텀 정적 또는 동적 경로가 있을 수 있지만 서비스 제작자의 네트워크에는 이와 같은 경로가 없습니다. 비공개 연결을 만들 때 VPC 네트워크와 서비스 제작자 네트워크는 서브넷 경로만 교환합니다.
서비스 제작자의 네트워크에는 인터넷에 연결되는 기본 경로(0.0.0.0/0
)가 있습니다. 서비스 제작자 네트워크의 기본 경로가 우선 적용되므로 서비스 제작자의 네트워크에 내보낸 기본 경로는 무시됩니다. 대신에 보다 구체적인 대상이 포함된 커스텀 경로를 정의하여 내보낼 수 있습니다. 자세한 내용은 라우팅 순서를 참조하세요.
서비스 제공업체의 네트워크에서 VPC 네트워크의 커스텀 경로를 가져오고 온프레미스 네트워크에 트래픽을 올바르게 라우팅할 수 있도록 VPC 네트워크의 커스텀 경로를 내보내야 합니다. 비공개 연결과 연결된 VPC 피어링 구성을 업데이트하여 커스텀 경로를 내보냅니다.
Network Connectivity Center를 사용한 서비스 전달성
비공개 서비스 액세스를 통해 사용할 수 있는 일부 서비스의 경우 Network Connectivity Center를 사용하여 프로듀서 VPC 스포크를 만들어 허브의 다른 스포크에서 서비스에 액세스할 수 있도록 할 수 있습니다. 지원되는 서비스에 관한 자세한 내용은 프로듀서 VPC 스포크를 참고하세요.
고려사항
비공개 서비스 액세스를 구성하기 전에 VPC 네트워크 및 IP 주소 범위를 선택하기 위한 고려사항을 알아보세요.
지원되는 서비스
비공개 서비스 액세스를 지원하는 Google 서비스는 다음과 같습니다.
- AI Platform Training
- PostgreSQL용 AlloyDB
- Apigee
- 백업 및 DR
- Cloud Build
- Cloud Intrusion Detection System
- Cloud SQL(DNS 피어링을 지원하지 않음)
- Cloud TPU
- Google Cloud용 IBM Power와 엔터프라이즈 클라우드 통합
- Filestore
- Google Cloud VMware Engine
- Looker(Google Cloud 핵심 서비스)
- Memorystore for Memcached
- Memorystore for Redis
- Vertex AI
예
다음 예시에서 고객 VPC 네트워크는 Google 서비스에 10.240.0.0/16
주소 범위를 할당하고 이 할당 범위를 사용하는 비공개 연결을 설정했습니다. 각 Google 서비스는 특정 리전에 Cloud SQL 인스턴스와 같은 새 리소스를 프로비저닝하기 위해 할당된 블록에서 서브넷을 만듭니다.
- 비공개 연결에
10.240.0.0/16
할당 범위가 지정되었습니다. Google 서비스는 이 할당 범위에서 새 리소스를 프로비저닝할 서브넷을 만들 수 있습니다. - 비공개 연결의 Google 서비스 측에서 Google은 고객을 위한 프로젝트를 생성합니다. 이 프로젝트는 격리되어 있으므로 다른 고객이 이를 공유할 수 없으며 해당 고객에게는 고객이 프로비저닝한 리소스 요금만 청구됩니다. 또한 Google은 이 격리된 프로젝트에 VPC 네트워크를 만들고 VPC 네트워크 피어링을 사용하여 고객 네트워크에 연결합니다.
- 각 Google 서비스는 리소스를 프로비저닝할 서브넷을 생성합니다. 서브넷의 IP 주소 범위는 할당된 IP 주소 범위에 속하는 CIDR 블록입니다. CIDR 블록은 서비스에서 선택되며 일반적으로
/29
~/24
IP 주소 범위를 갖습니다. 서비스 제작자의 서브넷은 수정할 수 없습니다. 서비스는 해당 서비스가 이전에 만든 기존의 리전 서브넷에 새 리소스를 프로비저닝하고 서브넷이 가득 차면 같은 리전에 새 서브넷을 만듭니다. - 서브넷이 생성되면 고객 네트워크가 서비스 네트워크에서 경로를 가져옵니다.
- 고객 네트워크의 VM 인스턴스는 서비스가 지원되는 모든 리전의 서비스 리소스에 액세스할 수 있습니다. 일부 서비스는 리전 간 통신을 지원하지 않을 수도 있습니다. 자세한 내용은 관련 서비스의 문서를 참조하세요.
- Cloud SQL 인스턴스에는 IP 주소
10.240.0.2
가 할당됩니다. 고객 VPC 네트워크에서 대상이10.240.0.2
인 요청은 서비스 제작자의 네트워크를 통해 비공개 연결에 라우팅됩니다. 서비스 네트워크에 연결되면 서비스 네트워크에는 올바른 리소스에 요청을 전송하는 경로가 포함됩니다. - VPC 네트워크 간 트래픽은 공개 인터넷을 통하지 않고 Google 네트워크 내부에서 이동합니다.
가격 책정
비공개 서비스 액세스 가격 책정은 VPC 가격 책정 페이지의 비공개 서비스 액세스를 참조하세요.
다음 단계
- IP 주소 범위를 할당하거나 비공개 연결을 만들거나 비공개 DNS 영역을 공유하려면 비공개 서비스 액세스 구성을 참조하세요.