VPC 서비스 제어에서 비공개 Google 액세스 사용

비공개 Google 액세스에서는 비공개 IP 주소를 사용하여 Google API와 서비스에 액세스하는 VPC 네트워크 또는 온프레미스 네트워크에서 호스팅하는 비공개 연결을 제공합니다. VPC 서비스 제어 서비스 경계를 네트워크의 호스트로 확장하면 보호된 리소스에 대한 액세스를 제어할 수 있습니다.

VPC 네트워크의 호스트에는 비공개 IP 주소만 있고 공개 IP 주소는 없어야 하고 이 호스트는 비공개 Google 액세스가 사용 설정된 서브넷에 있어야 합니다.

온프레미스 호스트가 제한된 Google API 서비스에 연결되려면 Google API에 대한 요청은 Cloud VPN 터널 또는 Cloud Interconnect 연결과 같은 VPC 네트워크를 통해 전송되어야 합니다.

두 경우 모두 Google API 및 서비스에 대한 모든 요청은 가상 IP 주소(VIP) 범위 199.36.153.4/30(restricted.googleapis.com)으로 전송되어야 합니다. IP 주소 범위는 인터넷에 공개되지 않습니다. VIP로 전송된 트래픽은 Google 네트워크에만 그대로 머뭅니다.

VPC 네트워크 예

다음 예에서는 서비스 경계에 승인된 VPC 네트워크가 있는 프로젝트와 보호된 Cloud Storage 리소스가 있는 프로젝트가 있습니다. VPC 네트워크에서 VM 인스턴스는 비공개 Google 액세스가 사용 설정된 서브넷에 있어야 하고 VPC 서비스 제어가 제한된 서비스에만 액세스해야 합니다. 승인된 VPC 네트워크의 VM 인스턴스에서 Google API와 서비스로의 쿼리는 restricted.googleapis.com으로 확인되고 보호된 리소스에 액세스할 수 있습니다.

VPC 서비스 제어에서 비공개 Google 액세스 사용(확대하려면 클릭)
VPC 서비스 제어에서 비공개 Google 액세스 사용(확대하려면 클릭)
  • DNS는 *.googleapis.com 요청이 199.36.153.4/30으로 확인된 restricted.googleapis.com에 매핑되도록 VPC 네트워크에서 구성되었습니다.
  • 커스텀 정적 경로는 대상 199.36.153.4/30의 트래픽이 다음 홉으로 default-internet-gateway에 이동하는 VPC 네트워크에 추가되었습니다. default-internet-gateway가 다음 홉으로 사용되더라도 트래픽은 Google 네트워크를 통해 비공개로 적절한 API 또는 서비스로 라우팅됩니다.
  • 두 프로젝트 모두 같은 서비스 경계에 있으므로 VPC 네트워크가 My-authorized-gcs-project에 액세스하도록 승인되었습니다.

온프레미스 네트워크 예시

온프레미스 라우터에 정적 경로를 구성하거나 Cloud Router의 Border Gateway Protocol(BGP)을 통해 제한된 Google API 주소 범위를 공개하면 정적 라우팅을 사용할 수 있습니다.

VPC 서비스 제어와 함께 온프레미스 호스트에 비공개 Google 액세스를 사용하려면 온프레미스 호스트에 비공개 연결을 설정한 후 VPC 서비스 제어를 구성합니다. 온프레미스 네트워크에 연결된 VPC 네트워크를 포함하는 프로젝트의 서비스 경계를 정의합니다.

다음 시나리오에서 sensitive-buckets 프로젝트의 스토리지 버킷은 main-project 프로젝트의 VM 인스턴스 및 연결된 온프레미스 애플리케이션에서만 액세스될 수 있습니다. 온프레미스 호스트는 트래픽이 sensitive-buckets과 동일한 서비스 경계 내에 있는 VPC 네트워크를 통해 이동하므로 sensitive-buckets 프로젝트의 스토리지 버킷에 액세스할 수 있습니다.

  • 온프레미스 DNS 구성은 *.googleapis.com 요청을 199.36.153.4/30으로 확인되는 restricted.googleapis.com에 매핑합니다.
  • Cloud Router는 VPN 터널을 통해 199.36.153.4/30 IP 주소 범위를 알리도록 구성되었습니다. Google API로 이동하는 트래픽은 터널을 통해 VPC 네트워크로 라우팅됩니다.
  • 커스텀 정적 경로는 대상 199.36.153.4/30의 트래픽이 다음 홉으로 default-internet-gateway에 이동하는 VPC 네트워크에 추가되었습니다. default-internet-gateway가 다음 홉으로 사용되더라도 트래픽은 Google 네트워크를 통해 비공개로 적절한 API 또는 서비스로 라우팅됩니다.
  • VPC 네트워크는 sensitive-buckets 프로젝트에 액세스하도록 승인되었으므로 온프레미스 호스트에는 동일한 액세스 권한이 있습니다.
  • 온프레미스 호스트는 서비스 경계 외부에 있는 다른 리소스에 액세스할 수 없습니다.

온프레미스 네트워크에 연결하는 프로젝트는 서비스 경계에 속해야 제한된 리소스에 도달할 수 있습니다. 관련 프로젝트가 경계 브리지로 연결되면 온프레미스 액세스도 작동합니다.

다음 단계