비공개 연결 구성 만들기

개요

이 섹션에서는 비공개 연결 구성을 만드는 방법을 알아봅니다. 이 유형의 구성에는 Datastream이 Google Cloud 내에서 내부적으로 또는 VPN 또는 Interconnect를 통해 연결된 외부 소스를 사용하여 비공개 네트워크를 통해 데이터 소스와 통신하기 위해 사용되는 정보가 포함되어 있습니다. 이 통신은 Virtual Private Cloud(VPC) 피어링 연결을 통해 이루어집니다.

VPC 피어링 연결은 내부 비공개 IPv4 주소를 사용해서 두 VPC간에 트래픽을 라우팅할 수 있게 해주는 네트워킹 연결입니다. DataStream이 비공개 연결에서 DNS(도메인 이름 시스템) 확인을 지원하지 않으므로 비공개 연결 구성을 설정할 때 비공개 IP 주소를 제공해야 합니다.

시작하기 전에

비공개 연결 구성을 만들려면 Datastream이 프로젝트에 VPC 피어링 연결을 만들 수 있도록 다음 단계를 수행해야 합니다.

  • Datastream의 비공개 네트워크에 피어링할 수 있고 제한사항에 설명된 요구사항을 충족하는 VPC 네트워크가 있어야 합니다. 이 네트워크를 만드는 방법은 VPC 네트워크 피어링 사용을 참조하세요.
  • /29 CIDR 블록이 있는 VPC 네트워크에서 사용 가능한 IP 범위를 확인합니다. 이미 서브넷으로 존재하는 IP 범위, 비공개 서비스 액세스 사전 할당된 IP 범위 또는 IP 범위가 포함된 경로(기본 0.0.0.0 경로 제외)일 수 없습니다. Datastream은 이 IP 범위를 사용하여 소스 데이터베이스와 통신할 수 있도록 서브넷을 만듭니다. 다음 표에서는 유효한 IP 범위를 설명합니다.
범위 설명
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16 		비공개 IP 주소 RFC 1918
100.64.0.0/10 공유 주소 공간 RFC 6598
192.0.0.0/24 IETF 프로토콜 할당 RFC 6890
192.0.2.0/24 (TEST-NET-1)
198.51.100.0/24 (TEST-NET-2)
203.0.113.0/24 (TEST-NET-3)		 문서 RFC 5737
192.88.99.0/24 IPv6-IPv4 릴레이(지원 중단됨) RFC 7526
198.18.0.0/15 벤치마크 테스트 RFC 2544

  • Google Cloud 및 온프레미스 방화벽에서 선택된 IP 범위의 트래픽이 허용되는지 확인합니다. 그렇지 않으면 소스 데이터베이스 포트에서 트래픽을 허용하는 인그레스 방화벽 규칙을 만들고 방화벽 규칙의 IPv4 주소 범위가 비공개 연결 리소스를 만들 때 할당된 IP 주소 범위와 동일한지 확인합니다.

    gcloud compute firewall-rules create FIREWALL-RULE-NAME \
  --direction=INGRESS \
  --priority=PRIORITY \
  --network=PRIVATE_CONNECTIVITY_VPC \
  --project=VPC_PROJECT \
  --action=ALLOW \
  --rules=FIREWALL_RULES \
  --source-ranges=IP-RANGE

    다음을 바꿉니다.

    • FIREWALL-RULE-NAME: 만들려는 방화벽 규칙의 이름입니다.
    • PRIORITY: 규칙 우선순위로 0에서 65535(0 및 65535 포함) 사이의 정수로 표현됩니다. 이 값은 차단 트래픽 규칙에 설정된 값보다 작아야 합니다(있는 경우). 우선순위 값이 작을수록 우선순위가 높습니다.
    • PRIVATE_CONNECTIVITY_VPC: Datastream 비공개 네트워크에 피어링할 수 있고 제한사항에 설명된 요구사항을 충족하는 VPC 네트워크입니다. 이 VPC는 비공개 연결 구성을 만들 때 지정하는 VPC입니다.
    • VPC_PROJECT: VPC 네트워크의 프로젝트입니다.
    • FIREWALL_RULES: 방화벽 규칙이 적용되는 프로토콜 및 포트의 목록입니다(예: tcp:80). 이 규칙은 소스 데이터베이스 또는 프록시의 IP 주소 및 포트에 대한 TCP 트래픽을 허용해야 합니다. 비공개 연결은 여러 데이터베이스를 지원할 수 있으므로 규칙에서 구성의 실제 사용량을 고려해야 합니다.

    • IP-RANGE: Datastream이 소스 데이터베이스와 통신하는 데 사용하는 IP 주소 범위입니다. 이 범위는 비공개 연결 구성을 만들 때 IP 범위 할당 필드에 지정한 범위와 동일합니다.

      Datastream으로 다시 트래픽을 허용하도록 동일한 이그레스 방화벽 규칙을 만들어야 할 수도 있습니다.

  • compute.networks.list 권한이 포함된 역할을 할당합니다. 이 권한은 프로젝트의 VPC 네트워크를 나열하기 위해 필요한 IAM 권한을 부여합니다. IAM 권한 참조를 확인하여 이 권한이 포함된 역할을 찾을 수 있습니다.

공유 VPC 기본 요건

공유 VPC를 사용하는 경우 시작하기 전에 섹션에 설명된 단계 외에도 다음 작업을 완료해야 합니다.

  1. 서비스 프로젝트에서 다음 안내를 따르세요.

    1. Datastream API를 사용 설정합니다.

    2. Datastream 서비스 계정에 사용되는 이메일 주소를 가져옵니다. Datastream 서비스 계정은 다음 중 하나를 수행할 때 생성됩니다.

      • 연결 프로필 또는 스트림과 같은 Datastream 리소스를 만들기.
      • 비공개 연결 구성을 만들고, 공유 VPC를 선택하고, Datastream 서비스 계정 만들기를 클릭하기. 서비스 계정은 호스트 프로젝트에 생성됩니다.

      Datastream 서비스 계정에 사용되는 이메일 주소를 가져오려면 Google Cloud 콘솔 홈페이지에서 프로젝트 번호를 찾습니다. 서비스 계정의 이메일 주소는 service-[project_number]@gcp-sa-datastream.iam.gserviceaccount.com입니다.

  2. 호스트 프로젝트에서 다음 안내를 따르세요.

    1. Datastream 서비스 계정에 compute.networkAdmin Identity and Access Management(IAM) 역할 권한을 부여합니다. 이 역할은 VPC 피어링을 만들 때만 필요합니다. 피어링이 설정되면 이 역할은 더 이상 필요하지 않습니다.

      조직에서 권한 부여를 허용하지 않으면 다음 최소 권한으로 커스텀 역할을 만들어 비공개 연결 리소스를 만들고 삭제합니다.

    커스텀 역할에 대한 자세한 내용은 커스텀 역할 만들기 및 관리를 참조하세요.

구성 만들기

  1. 비공개 연결 구성에 맞게 환경을 준비해야 하는 방법을 고려해서 필요한 기본 요건을 검토합니다. 이러한 기본 요건에 대한 자세한 내용은 시작하기 전에를 참조하세요.

  2. Google Cloud 콘솔에서 비공개 연결 구성 페이지로 이동합니다.

    비공개 연결 구성 페이지로 이동

  3. 구성 만들기를 클릭합니다.

  4. 다음 표에 따라 비공개 연결 구성 만들기 페이지의 비공개 연결 구성 섹션의 필드를 채웁니다.

    필드설명
    구성 이름비공개 연결 구성의 표시 이름을 입력합니다.
    구성 IDDatastream은 입력한 구성 이름을 기반으로 이 필드를 자동으로 채웁니다. 자동으로 생성된 ID를 유지하거나 변경할 수 있습니다.
    지역

    비공개 연결 구성이 저장되는 리전을 선택합니다. 비공개 연결 구성이 리전에 저장됩니다. 리전 선택에 따라 리전에 다운타임이 발생할 할 때 가용성에 영향을 줄 수 있습니다.

  5. 다음 표에 따라 비공개 연결 구성 만들기 페이지의 연결 설정 섹션의 필드를 채웁니다.

    필드설명
    승인된 VPC 네트워크시작하기 전에에서 만든 VPC 네트워크를 선택합니다.
    IP 범위 할당VPC 네트워크에서 사용 가능한 IP 범위를 입력합니다. 이 IP 범위는 시작하기 전에에서 결정되었습니다.

  6. 만들기를 클릭합니다.

비공개 연결 구성을 만든 후 이에 대해 개요 및 세부 수준의 정보를 확인할 수 있습니다.

다음 단계