비공개 IP 개요

이 페이지에서는 비공개 IP 주소를 사용하여 PostgreSQL용 AlloyDB 인스턴스에 연결하는 방법을 간략하게 설명합니다.

비공개 IP 주소를 사용하면 데이터 트래픽이 보안 네트워크 내에 유지되고 가로채기 위험이 최소화됩니다. 리소스의 내부 IP 주소는 네트워크 내부에 있으며 인터넷에서 액세스할 수 없으므로 AlloyDB 인스턴스 액세스 범위와 잠재적 공격 표면을 효과적으로 제한합니다.

비공개 IP 연결 방법

비공개 IP를 사용하여 AlloyDB 인스턴스에 액세스하려면 비공개 서비스 액세스 또는 Private Service Connect를 선택하면 됩니다. 각 연결 방법에는 고유한 장단점이 있으므로 이 문서의 정보를 사용하여 특정 요구사항에 가장 적합한 방법을 선택하세요.

비공개 서비스 액세스

비공개 서비스 액세스는 VPC 네트워크와 PostgreSQL용 AlloyDB 인스턴스가 상주하는 기본 Google Cloud VPC 네트워크 간의 가상 프라이빗 클라우드 (VPC) 피어링 연결로 구현됩니다. 비공개 연결을 통해 VPC 네트워크의 VM 인스턴스와 액세스하는 서비스가 내부 IP 주소를 사용하여 독점적으로 통신할 수 있습니다. VM 인스턴스는 비공개 서비스 액세스를 통해 사용 가능한 서비스에 도달하기 위해 인터넷 액세스 또는 외부 IP 주소가 필요하지 않습니다.

Terraform을 사용하여 비공개 서비스 액세스로 AlloyDB 클러스터 설정을 자동화하려면 Terraform을 사용하여 AlloyDB 배포를 참고하세요.

연결을 위해 비공개 서비스 액세스를 사용하는 방법에 대한 자세한 내용은 비공개 서비스 액세스 개요를 참고하세요.

Private Service Connect

Private Service Connect를 사용하면 VPC 네트워크와 AlloyDB for PostgreSQL과 같은 Google Cloud 서비스 간에 비공개 보안 연결을 만들 수 있습니다. 다른 그룹, 팀, 프로젝트 또는 조직에 속하는 여러 VPC 네트워크에서 AlloyDB 인스턴스에 연결할 수 있습니다. AlloyDB 클러스터를 만들 때 Private Service Connect를 지원하도록 사용 설정할 수 있습니다. 클러스터 내에서 AlloyDB 인스턴스를 만들 때 VPC 네트워크의 어떤 프로젝트가 액세스할 수 있는지 지정합니다.

Private Service Connect 사용에 대한 자세한 내용은 Private Service Connect 개요Private Service Connect란 무엇인가요? 동영상을 참고하세요.

사용할 방법 선택

연결 방법으로 비공개 서비스 액세스 또는 Private Service Connect를 사용할지 결정하기 전에 다음 비교를 고려하세요.

비공개 서비스 액세스 Private Service Connect
소비자 VPC에서 CIDR 범위 (/24 이상)를 예약해야 합니다. 사용 여부와 관계없이 IP 범위가 예약되어 범위의 모든 IP 주소가 잠깁니다. VPC 네트워크당 엔드포인트에서 전달 규칙을 만들려면 단일 IP 주소가 필요합니다.
RFC 1918 IP 범위로 제한됨 엔드포인트에 RFC 1918 및 비RFC 1918 범위를 모두 사용할 수 있습니다.
동일한 VPC 네트워크 내의 프로젝트에 연결합니다. 여러 VPC 또는 프로젝트에 연결합니다.
소규모 단일 VPC 시나리오를 선택합니다. 대규모 멀티 VPC 설정을 선택합니다.
프로젝트에 포함된 기존 VPC 피어링을 사용하므로 비용이 최소화됩니다. 초기 설정, 시간당 각 엔드포인트 사용, GiB당 데이터 전송과 관련된 비용으로 인해 비공개 서비스 액세스에 비해 비용이 더 많이 듭니다.
직접 연결로 인해 Private Service Connect에 비해 보안이 약합니다. 소비자 및 프로듀서 VPC가 격리되어 보안이 강화됩니다.
연결은 양방향이므로 인바운드 및 아웃바운드 트래픽이 모두 허용됩니다. 기본적으로 연결은 단방향이며 인바운드 연결만 허용합니다. 아웃바운드 연결에는 추가 구성이 필요합니다.

다음 단계