온프레미스 또는 다른 클라우드 제공업체를 위한 비공개 연결

이 페이지에서는 Integration Connectors에서 온프레미스 데이터 센터 또는 기타 클라우드 제공업체에서 호스팅되는 MySQL, Postgres, SQL Server 등의 백엔드 서비스에 대한 비공개 연결을 설정하는 방법을 설명합니다.

다음 이미지는 Integration Connectors에서 온프레미스 네트워크에 호스팅된 백엔드 서비스로에 대한 비공개 네트워크 연결 설정을 보여줍니다.

이 페이지에서는 사용자가 다음에 익숙하다고 가정합니다.

• 엔드포인트 연결
• 관리형 영역
• Private Service Connect(PSC)
• Google Cloud 부하 분산기

고려사항

PSC 서비스 연결을 만들 때는 다음 핵심 사항을 고려하세요.

• 서비스 제작자는 Integration Connectors에서 서비스를 소비하는 데 사용할 수 있는 PSC 서비스 연결을 구성해야 합니다. 서비스 연결이 준비되면 엔드포인트 연결을 사용하여 서비스 연결을 사용하도록 연결을 구성할 수 있습니다.
• PSC 서비스 연결과 부하 분산기는 동일한 VPC 내에서 서로 다른 서브넷에 있어야 합니다. 특히 서비스 연결은 NAT 서브넷에 있어야 합니다.
• 백엔드 VM에서 실행되는 소프트웨어는 각 전달 규칙의 IP 주소로 전송되는 부하 분산기 트래픽 및 상태 확인 프로브에 응답해야 합니다(소프트웨어는 0.0.0.0:<port>로 리슨하고 네트워크 인터페이스에 할당된 특정 IP 주소는 리슨하지 않아야 함). 자세한 내용은 상태 점검을 참조하세요.
• 트래픽 흐름을 용이하게 하도록 방화벽 규칙을 구성하세요.

  인그레스 규칙

  • PSC 서비스 연결 서브넷에서 들어오는 트래픽이 ILB 서브넷에 도달해야 합니다.
  • ILB 서브넷 내에서 ILB는 트래픽을 백엔드 시스템으로 보낼 수 있어야 합니다.
  • 상태 확인 프로브는 백엔드 시스템에 액세스할 수 있어야 합니다. Google Cloud 상태 확인 프로브에는 고정 IP 범위(35.191.0.0/16, 130.211.0.0/22)가 있습니다. 따라서 이러한 IP는 백엔드 서버로 트래픽을 전송하도록 허용할 수 있습니다.

  이그레스 규칙

  이그레스 트래픽은 특정 거부 규칙이 구성되지 않는 한 Google Cloud 프로젝트에서 기본적으로 사용 설정됩니다.

• PSC 서비스 연결 및 부하 분산기와 같은 모든 Google Cloud 구성요소는 같은 리전에 있어야 합니다.

• 백엔드 시스템이 공용 네트워크에 대해 열려 있으면 보안 문제가 발생할 수 있으므로 열려 있으면 안 됩니다. 하지만 다음 시나리오에서 백엔드 시스템이 트래픽을 허용하도록 유의하세요.

  프록시 기반/HTTP(S4) 부하 분산기(L4 프록시 ILB, L7 ILB: 모든 새 요청은 부하 분산기에서 시작됩니다. 따라서 백엔드에서 VPC 네트워크의 프록시 서브넷에서 들어오는 요청을 수락해야 합니다. 자세한 내용은 Envoy 기반 부하 분산기용 프록시 전용 서브넷을 참조하세요.

비공개 연결 구성

비공개 연결을 구성하려면 다음 태스크를 실행합니다.

1. PSC 서비스 연결을 만듭니다.
2. PSC 서비스 연결을 소비하는 엔드포인트 연결을 만듭니다.
3. 엔드포인트 연결을 사용하도록 연결을 구성합니다.

PSC 서비스 연결 만들기

Integration Connectors에서 비공개 연결을 설정하려면 PSC 서비스 연결을 사용하여 Integration Connectors에 서비스를 노출해야 합니다. 서비스 연결은 항상 부하 분산기를 타겟팅합니다. 따라서 서비스가 부하 분산기 뒤에 있지 않으면 부하 분산기를 구성해야 합니다.

PSC 서비스 연결을 만들려면 다음 단계를 따르세요.

1. 상태 확인 프로브를 만든 다음 부하 분산기를 만듭니다. 리전 내부 프록시 네트워크 부하 분산기 설정에 대한 자세한 내용은 하이브리드 연결로 리전 내부 프록시 네트워크 부하 분산기 설정을 참고하세요.
2. 서비스의 부하 분산기와 동일한 리전에 서비스 연결을 만듭니다. 서비스 연결을 만드는 방법에 대한 자세한 내용은 서비스 게시를 참고하세요.

엔드포인트 연결 만들기

IP 주소로 엔드포인트 연결

IP 주소로 엔드포인트 연결을 만드는 방법에 관한 안내는 IP 주소로 엔드포인트 연결 만들기를 참고하세요.

호스트 이름으로 엔드포인트 연결

TLS 지원 백엔드와 같은 일부 경우에는 대상에서 TLS 유효성 검사를 실행하기 위해 비공개 IP 대신 호스트 이름을 사용해야 합니다. 호스트 대상에 대한 IP 주소 대신 비공개 DNS가 사용되는 경우 엔드포인트 연결을 IP 주소로 만드는 것 외에도 관리형 영역을 구성해야 합니다. 호스트 이름으로 엔드포인트 연결을 만드는 방법에 관한 안내는 호스트 이름으로 엔드포인트 연결 만들기를 참고하세요.

나중에 엔드포인트 연결을 사용하도록 연결을 구성할 때 이 엔드포인트 연결을 선택할 수 있습니다.

엔드포인트 연결을 사용하도록 연결 구성

이제 엔드포인트 연결을 만들었으므로 연결에서 엔드포인트 연결을 사용합니다. 새 연결을 만들거나 기존 연결을 업데이트할 때는 대상 섹션에서 대상 유형으로 엔드포인트 연결을 선택하고 엔드포인트 연결 목록에서 만든 엔드포인트 연결을 선택합니다.

관리형 영역을 만든 경우 대상 유형으로 호스트 주소를 선택하고 관리형 영역을 만들 때 만든 A 레코드를 사용합니다.

문제해결 도움말

비공개 연결에 문제가 있는 경우 이 섹션에 나열된 가이드라인에 따라 일반적인 문제를 방지하세요.

• 엔드포인트 연결이 올바르게 설정되고 PSC 연결이 설정되었는지 확인하려면 연결 상태를 확인합니다. 자세한 내용은 엔드포인트 연결 확인을 참고하세요.
• 방화벽 규칙이 다음과 같이 구성되어 있는지 확인합니다.
  • PSC 서비스 연결 서브넷의 트래픽이 백엔드 서비스에 도달하도록 허용해야 합니다.
  • 부하 분산기는 백엔드 시스템으로 트래픽을 전송할 수 있어야 합니다. 하이브리드 NEG는 프록시 부하 분산기에서만 지원됩니다. 프록시 부하 분산기의 요청은 리전의 프록시 전용 서브넷에서 시작됩니다. 따라서 프록시 전용 서브넷 범위의 요청이 백엔드에 도달하도록 방화벽 규칙을 구성해야 합니다.
  • 상태 확인 프로브는 백엔드 시스템에 액세스할 수 있어야 합니다. Google Cloud 상태 확인 프로브에는 고정 IP 범위(35.191.0.0/16, 130.211.0.0/22)가 있습니다. 따라서 이러한 IP 주소는 백엔드 서버로 트래픽을 전송하도록 허용해야 합니다.
• Google Cloud 연결 테스트를 사용하여 네트워크 구성의 누락된 부분을 식별할 수 있습니다. 자세한 내용은 연결 테스트 만들기 및 실행을 참조하세요.
• Google Cloud 리전의 프록시 전용 서브넷의 트래픽을 허용하도록 온프레미스 또는 기타 클라우드 환경에서 방화벽 규칙을 업데이트합니다.