이 페이지는 Cloud Translation API를 통해 번역되었습니다.

Private Service Connect 인터페이스 구성

Datastream은 Private Service Connect 인터페이스를 사용하여 트래픽을Google Cloud내에 완전히 유지하는 방식으로 데이터를 복제할 수 있도록 지원합니다.

Private Service Connect 인터페이스는 프로듀서 Virtual Private Cloud (VPC) 네트워크가 소비자 VPC 네트워크의 네트워크 연결에 연결을 시작하고 연결을 수신할 수 있게 해주는 리소스입니다. 프로듀서 및 소비자 네트워크는 다른 프로젝트 및 조직에 포함될 수 있습니다.

**그림 1.** Private Service Connect 인터페이스를 사용하면 서비스 프로듀서가 서비스 소비자에게 연결을 시작할 수 있습니다.

주요 용어 정의는 다음 섹션을 참고하세요.

Private Service Connect에 대한 자세한 내용은 Virtual Private Cloud 문서를 참고하세요.

핵심 용어

이 섹션에서는 Private Service Connect에 적용되는 핵심 용어와 개념을 간략히 설명합니다.

프로듀서: 일반적으로 VPC 네트워크 내의 서비스 또는 VM과 같이 소비자 네트워크에 대한 연결을 시작하는 항목입니다. 프로듀서는 서비스를 제공합니다. Datastream 컨텍스트에서 데이터를 가져와 대상에 복제합니다.
소비자: 프로듀서로부터 연결을 수신하는 항목(일반적으로 VPC 네트워크 내 VM)입니다. 소비자가 연결을 수락하면Google Cloud 는 네트워크 연결에 지정된 소비자 VPC 네트워크의 서브넷에서 Private Service Connect 인터페이스에 IP 주소를 할당합니다. Private Service Connect 인터페이스의 VM에는 프로듀서의 VPC 네트워크에 연결되는 두 번째 네트워크 인터페이스가 있습니다.
네트워크 연결: 제작자 VPC 네트워크가 Private Service Connect 인터페이스를 통해 소비자 VPC 네트워크에 대한 연결을 시작할 수 있는 리전별 리소스입니다. 소비자 VPC 네트워크에서 네트워크 연결은 프로듀서 네트워크의 Private Service Connect 인터페이스에서 연결을 위한 지정된 진입점 역할을 합니다. 네트워크 연결에 Private Service Connect 인터페이스가 설정되면 프로듀서 VM에 네트워크 연결의 서브넷에서 IP가 할당됩니다. Private Service Connect 인터페이스의 가상 머신 인스턴스에는 프로듀서 서브넷에 연결되는 일반 네트워크 인터페이스가 하나 이상 있습니다. 자세한 내용은 네트워크 연결 정보를 참고하세요.
프로듀서 프로젝트: Datastream을 실행하는 가상 머신 (VM)이 호스팅되는 Google 소유 프로젝트입니다. 고객 VPC의 리소스에 액세스하기 위해 Datastream VM은 Private Service Connect 네트워크 인터페이스가 서브넷에서 할당한 IP 주소를 사용합니다.

Private Service Connect 기본 요건

Private Service Connect 인터페이스를 사용하여 비공개 연결 구성을 만들려면 Datastream이 프로젝트에 대한 연결을 설정할 수 있도록 다음 단계를 수행해야 합니다.

Datastream 비공개 네트워크에 연결할 수 있는 VPC 네트워크가 있습니다. VPC 네트워크 생성에 대한 자세한 내용은 VPC 네트워크 만들기 및 관리를 참고하세요.
VPC 프로젝트에서 네트워크 연결을 만듭니다.
Google Cloud 및 온프레미스 방화벽이 네트워크 연결 IP 주소 범위에서 데이터를 스트리밍할 소스 데이터베이스로 트래픽을 허용하는지 확인합니다.

가격 책정

Private Service Connect를 통한 데이터 인그레스 및 이그레스는 비용이 부과됩니다. 자세한 내용은 Private Service Connect 가격 책정을 참조하세요.

필수 역할 및 권한

네트워크 연결을 만드는 데 필요한 권한을 얻으려면 관리자에게 프로젝트에 대한 다음 Identity and Access Management (IAM) 역할을 부여해 달라고 요청하세요.

네트워크 연결 만들기, 보기, 삭제: Compute Network 관리자(roles/compute.networkAdmin)

네트워크 첨부파일이 Datastream과 다른 프로젝트에 있는 경우 service-DATASTREAM-PROJECT-NUMBER@gcp-sa-datastream.iam.gserviceaccount.com 서비스 계정에 다음 역할을 부여해야 합니다.

네트워킹 리소스에 대한 읽기 전용 액세스: Compute 네트워크 뷰어(roles/compute.networkViewer)

네트워크 첨부 파일이 있는 프로젝트에 역할을 부여하고 DATASTREAM-PROJECT-NUMBER를 Datastream이 배포된 프로젝트 번호로 바꿉니다.

역할 부여에 대한 자세한 내용은 액세스 관리를 참조하세요.

커스텀 역할 또는 기타 사전 정의된 역할을 통해 필요한 권한을 얻을 수도 있습니다.

Datastream의 액세스 제어 옵션에 대한 자세한 내용은 IAM으로 액세스 제어를 참고하세요.

Private Service Connect 구성

Datastream이 Private Service Connect 인터페이스를 사용하여 네트워크에 대한 아웃바운드 연결을 설정하도록 하려면 다음 단계를 따르세요.

프로젝트에서 네트워크 연결을 만듭니다.
비공개 연결 구성을 만듭니다.

네트워크 연결 만들기

Datastream에서 Private Service Connect를 구성하려면 먼저 네트워크 연결을 만들어야 합니다.

콘솔

Google Cloud 콘솔에서 네트워크 연결 페이지로 이동합니다.

네트워크 연결로 이동
네트워크 연결 만들기를 클릭합니다.
이름 필드에 네트워크 연결 이름을 입력합니다.
네트워크 목록에서 VPC 또는 공유 VPC 네트워크를 선택합니다.
리전 목록에서 Google Cloud 리전을 선택합니다. 이 리전은 Datastream 비공개 네트워크에 피어링된 VPC 네트워크의 서브넷에 사용된 리전과 동일해야 합니다. 자세한 내용은 Private Service Connect 기본 요건을 참고하세요.
서브네트워크 목록에서 서브네트워크 범위를 선택합니다.
연결 환경설정에서 선택한 프로젝트의 연결 수락을 선택합니다.

Datastream은 Datastream 비공개 연결 리소스를 만들 때 프로듀서 프로젝트를 허용된 프로젝트 목록에 자동으로 추가합니다.

주의: 모든 프로젝트의 연결 자동 수락은 모든 서비스가 사용자의 서브넷에서 IP 주소를 획득하도록 허용하기 때문에 보안 수준이 낮습니다. 이 옵션은 사용하지 않는 것이 좋습니다.
수락된 프로젝트 또는 거부된 프로젝트를 추가하지 마세요.
네트워크 연결 만들기를 클릭합니다.

gcloud

서브네트워크를 하나 이상 만듭니다. 예를 들면 다음과 같습니다.
```
gcloud compute networks subnets create subnet-1 --network=network-0 --range=10.10.1.0/24 --region=REGION
```
네트워크 연결은 이후 단계에서 이러한 서브네트워크를 사용합니다.
connection-preference 속성을 ACCEPT_MANUAL로 설정하여 Datastream 프로젝트와 동일한 리전에 네트워크 연결 리소스를 만듭니다.
```
gcloud compute network-attachments create NAME
--region=REGION
--connection-preference=ACCEPT_MANUAL
--subnets=SUBNET
```
다음을 바꿉니다.
- NAME: 네트워크 연결의 이름
- REGION: Google Cloud 리전의 이름입니다. 이 리전은 Datastream 비공개 네트워크와 동일해야 합니다.
- SUBNET: 서브넷의 이름
이 명령어 출력은 다음 형식의 네트워크 연결 URL입니다.

projects/PROJECT/locations/REGION/network-attachments/NETWORK_ATTACHMENT_ID개

Datastream에서 연결에 필요하므로 이 URL을 기록해 둡니다. Google Cloud를 사용하여 Private Service Connect 인터페이스 비공개 연결 구성을 만드는 방법에 관한 자세한 내용은 비공개 연결 구성 관리를 참고하세요.

주의: connection-preference를 ACCEPT_AUTOMATIC으로 지정하면 모든 서비스가 사용자의 서브넷에서 IP 주소를 획득하도록 허용하기 때문에 보안 수준이 낮습니다. 이 옵션은 사용하지 않는 것이 좋습니다.

비공개 연결 구성 만들기

프로젝트에서 네트워크 연결을 만든 후 Google Cloud Private Service Connect 인터페이스를 사용하여 비공개 연결 구성을 설정해야 합니다. 구성을 만들 때 Private Service Connect 인터페이스를 호스팅하는 프로젝트를 허용 목록에 추가합니다. 그런 다음 Private Service Connect 리소스의 일부로 네트워크 연결 URL을 Datastream에 제공합니다.

자세한 내용은 비공개 연결 구성 만들기를 참고하세요.

다음 단계

비공개 연결 구성 확인 방법 알아보기
비공개 연결 구성 삭제 방법 알아보기