Looker(Google Cloud 핵심 서비스)에서 Private Service Connect 사용

Private Service Connect를 사용하여 비공개 IP Looker(Google Cloud 핵심 서비스) 인스턴스에 액세스하거나 비공개 IP Looker(Google Cloud 핵심 서비스) 인스턴스를 다른 내부 또는 외부 서비스에 연결할 수 있습니다. Private Service Connect를 사용하려면 Looker(Google Cloud 핵심 서비스) 인스턴스가 다음 기준을 충족해야 합니다.

  • 인스턴스 에디션은 엔터프라이즈(core-enterprise-annual) 또는 삽입(core-embed-annual)이어야 합니다.
  • 인스턴스 네트워크 구성은 비공개 IP만 사용해야 합니다.
  • 인스턴스를 만들 때 Private Service Connect를 사용 설정해야 합니다.

Private Service Connect를 사용하면 엔드포인트 또는 백엔드를 통해 Looker(Google Cloud 핵심 서비스)에 대한 northbound 액세스를 허용할 수 있습니다. Private Service Connect 서비스 프로듀서로 노출된 네트워크 엔드포인트 그룹(NEG)을 사용하면 Looker(Google Cloud 핵심 서비스)가 southbound 온프레미스 리소스, 멀티 클라우드 환경, VPC 워크로드 또는 인터넷 서비스에 액세스할 수 있습니다.

Private Service Connect에 대해 자세히 알아보려면 Private Service Connect란 무엇인가요?Private Service Connect 및 서비스 디렉터리: 클라우드에서 애플리케이션을 연결하는 혁명 동영상을 시청하세요.

서비스 연결

Private Service Connect를 사용할 수 있도록 Looker(Google Cloud 핵심 서비스) 인스턴스를 만들면 Looker(Google Cloud 핵심 서비스)에서 인스턴스의 서비스 연결을 자동으로 만듭니다. 서비스 연결은 VPC 네트워크에서 인스턴스에 액세스하는 데 사용하는 연결 지점입니다. 서비스 연결에는 연결하는 데 사용되는 URI가 있습니다. 이 URI는 Google Cloud 콘솔의 인스턴스 구성 페이지에 있는 세부정보에서 찾을 수 있습니다.

그런 다음 다른 VPC 네트워크가 서비스 연결에 연결하는 데 사용하는 Private Service Connect 엔드포인트 또는 백엔드를 만듭니다. 이렇게 하면 네트워크에서 Looker(Google Cloud 핵심 서비스) 인스턴스에 액세스할 수 있습니다.

Private Service Connect를 사용하여 Looker(Google Cloud 핵심 서비스)에 대한 northbound 액세스

Northbound 액세스는 클라이언트에서 Looker(Google Cloud 핵심 서비스)로의 라우팅 구성과 관련이 있습니다. Private Service Connect로 배포된 Looker(Google Cloud 핵심 서비스)는 northbound 액세스를 위한 엔드포인트backend 연결을 지원합니다.

Private Service Connect를 사용하면 트래픽을 Looker(Google Cloud 핵심 서비스)로 전달하는 엔드포인트와 백엔드로 트래픽을 전송할 수 있습니다.

Looker(Google Cloud 핵심 서비스) Private Service Connect 인스턴스는 서비스 소비자가 외부 리전 애플리케이션 부하 분산기를 통해 액세스하거나 Private Service Connect 엔드포인트 또는 백엔드를 통해 비공개로 액세스할 수 있습니다. 그러나 Looker(Google Cloud 핵심 서비스)는 단일 커스텀 도메인을 지원하므로 Looker(Google Cloud 핵심 서비스) 인스턴스에 대한 northbound 액세스는 공개 및 비공개가 아닌 공개 또는 비공개여야 합니다.

엔드포인트

엔드포인트는 서비스 소비자에게 패스 스루 네트워크 성능과 간소화된 설정을 제공하는 Private Service Connect 서비스에 매핑된 IP 주소를 제공하는 전달 규칙을 사용하여 배포됩니다.

Private Service Connect 엔드포인트는 별도의 VPC 네트워크 또는 조직의 게시된 서비스에 연결할 수 있습니다.

백엔드

백엔드는 네트워크 엔드포인트 그룹(NEG)을 사용하여 배포됩니다. 이를 통해 소비자는 트래픽이 Private Service Connect 서비스에 도달하기 전에 공개 및 비공개 트래픽을 부하 분산기로 전달하고 인증서 종료도 제공할 수 있습니다. 부하 분산기를 사용하면 백엔드에서 다음 옵션을 제공합니다.

  • 관측 가능성(모든 연결이 로깅됨)
  • Cloud Armor 통합
  • URL 비공개 라벨링 및 클라이언트 측 인증서
  • 요청 데코레이션(커스텀 요청 헤더 추가)

Private Service Connect를 사용하여 southbound Looker(Google Cloud 핵심 서비스) 서비스에 액세스

Looker(Google Cloud 핵심 서비스)는 VPC, 멀티 클라우드 네트워크 또는 인터넷의 다른 서비스와 통신을 설정할 때 서비스 소비자 역할을 합니다. Looker(Google Cloud 핵심 서비스)에서 이러한 서비스에 연결하는 것은 southbound 트래픽으로 간주됩니다.

이러한 서비스에 연결하려면 다음 단계를 따르세요.

  1. 서비스가 게시되었는지 확인합니다. 일부 Google Cloud 서비스에서는 이 작업을 자동으로 처리합니다. 예를 들어 Cloud SQL에서는 Private Service Connect가 사용 설정된 인스턴스를 만드는 방법을 제공합니다. 그렇지 않은 경우 Private Service Connect를 사용하여 서비스를 게시하는 방법에 대한 안내를 따르고 Looker(Google Cloud 핵심 서비스) 안내의 추가 안내를 참조하세요.
  2. Looker(Google Cloud 핵심 서비스)에서 서비스로의 southbound(이그레스) 연결을 지정합니다.

Private Service Connect로 서비스에 액세스할 때 하이브리드 연결 NEG 또는 인터넷 NEG를 사용할 수 있습니다.

Private Service Connect는 부하 분산기와 하이브리드 또는 인터넷 NEG를 통해 Looker(Google Cloud 핵심 서비스)를 서비스에 연결합니다.

  • 하이브리드 연결 NEG는 온프레미스 또는 멀티 클라우드 엔드포인트와 같은 비공개 엔드포인트에 대한 액세스를 제공합니다. 하이브리드 연결 NEG는 부하 분산기의 백엔드로 구성된 IP 주소와 포트의 조합입니다. Cloud Router와 동일한 VPC 내에 배포됩니다. 이 구성을 사용하면 VPC의 서비스가 Cloud VPN 또는 Cloud Interconnect와 같은 하이브리드 연결을 통해 라우팅 가능한 엔드포인트에 도달할 수 있습니다.

  • 인터넷 NEG는 GitHub 엔드포인트와 같은 공개 엔드포인트에 대한 액세스를 제공합니다. 인터넷 NEG는 부하 분산기의 외부 백엔드를 지정합니다. 인터넷 NEG에서 참조하는 이 외부 백엔드는 인터넷을 통해 액세스할 수 있습니다.

Looker(Google Cloud 핵심 서비스)에서 모든 리전의 서비스 프로듀서로 southbound 연결을 설정할 수 있습니다. 예를 들어 us-west1us-east4 리전에 Cloud SQL Private Service Connect 인스턴스가 있는 경우 us-central1에 배포된 Looker(Google Cloud 핵심 서비스) Private Service Connect 인스턴스에서 southbound 연결을 만들 수 있습니다.

고유한 도메인 이름을 가진 두 개의 리전 서비스 연결은 다음과 같이 지정됩니다. --region 플래그는 Looker(Google Cloud 핵심 서비스) Private Service Connect 인스턴스의 리전을 나타내고 Cloud SQL 인스턴스의 리전은 서비스 연결 URI에 포함됩니다.

gcloud looker instances update looker-psc-instance \
--psc-service-attachment domain=sql.database1.com,attachment=projects/123/regions/us-west1/serviceAttachments/sql-database1-svc-attachment --region=us-central1 \
--psc-service-attachment domain=sql.database2.com,attachment=projects/123/regions/us-east4/serviceAttachment/sql-database2-svc-attachment --region=us-central1

Google 이외의 관리 서비스에 대한 southbound 액세스를 사용하려면 프로듀서 부하 분산기에서 전역 액세스를 사용 설정하여 리전 간 통신을 허용해야 합니다.

다음 단계