지원되는 제품 및 제한사항

이 페이지에는 VPC 서비스 제어에서 지원하는 제품 및 서비스의 표와 특정 서비스 및 인터페이스의 알려진 제한사항 목록이 포함되어 있습니다.

지원되는 제품

VPC 서비스 제어에서 지원하는 제품은 다음과 같습니다.

지원되는 제품 설명

AI Platform Prediction

상태 베타. 이 제품 통합은 광범위한 테스트와 사용에 사용할 준비가 되어 있지만 프로덕션 환경에서는 완전히 지원되지 않습니다.
경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
서비스 주소 ml.googleapis.com
세부정보

VPC 서비스 제어는 온라인 예측을 지원하지만 일괄 예측은 지원하지 않습니다.

AI Platform Prediction에 대한 자세한 내용은 제품 문서를 참조하세요.

제한사항
  • AI Platform Prediction을 완벽하게 보호하려면 서비스 경계에 다음 API를 모두 추가합니다.

    • AI Platform Training 및 Prediction API(ml.googleapis.com)
    • Pub/Sub API(pubsub.googleapis.com)
    • Cloud Storage API(storage.googleapis.com)
    • Google Kubernetes Engine API(container.googleapis.com)
    • Container Registry API(containerregistry.googleapis.com)
    • Cloud Logging API(logging.googleapis.com)

    AI Platform Prediction용 VPC 서비스 제어 설정에 대해 자세히 알아보세요.

  • 서비스 경계 내에서 AI Platform Prediction을 사용할 경우 일괄 예측은 지원되지 않습니다.

  • AI Platform Prediction과 AI Platform Training은 AI Platform Training 및 Prediction API를 사용하므로 두 제품 모두에 대해 VPC 서비스 제어를 구성해야 합니다. AI Platform Training용 VPC 서비스 제어 설정에 대해 자세히 알아보세요.

AI Platform Training

상태 베타. 이 제품 통합은 광범위한 테스트와 사용에 사용할 준비가 되어 있지만 프로덕션 환경에서는 완전히 지원되지 않습니다.
경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
서비스 주소 ml.googleapis.com
세부정보

AI Platform Training용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

AI Platform Training에 대한 자세한 내용은 제품 문서를 참조하세요.

제한사항
  • AI Platform Training 학습 작업을 완벽하게 보호하려면 다음 API를 서비스 경계에 모두 추가합니다.

    • AI Platform Training 및 Prediction API(ml.googleapis.com)
    • Pub/Sub API(pubsub.googleapis.com)
    • Cloud Storage API(storage.googleapis.com)
    • Google Kubernetes Engine API(container.googleapis.com)
    • Container Registry API(containerregistry.googleapis.com)
    • Cloud Logging API(logging.googleapis.com)

    AI Platform Training용 VPC 서비스 제어 설정에 대해 자세히 알아보세요.

  • 서비스 경계 내에서 AI Platform Training을 사용할 경우 TPU를 사용한 학습은 지원되지 않습니다.

  • AI Platform Training과 AI Platform Prediction은 AI Platform Training 및 Prediction API를 사용하므로 두 제품 모두에 대해 VPC 서비스 제어를 구성해야 합니다. AI Platform Prediction용 VPC 서비스 제어 설정에 대해 자세히 알아보세요.

AI Platform Notebooks

상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
서비스 주소 notebooks.googleapis.com
세부정보

AI Platform Notebooks용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

AI Platform Notebooks에 대한 자세한 내용은 제품 문서를 참조하세요.

제한사항
  • VPC 서비스 제어 서비스 경계 내에서 AI Platform Notebooks를 사용하려면 다음 도메인이 제한된 VIP를 가리키도록 DNS 항목 여러 개를 추가 또는 구성해야 합니다.

    • *.notebooks.googleapis.com
    • *.datalab.cloud.google.com
    • *.notebooks.cloud.google.com
    • *.notebooks.googleusercontent.com

Anthos Service Mesh

상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
서비스 주소 meshca.googleapis.com
세부정보

Anthos Service Mesh용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

Anthos Service Mesh에 대한 자세한 내용은 제품 문서를 참조하세요.

제한사항

  • 서비스 경계는 Cloud Service Mesh Certificate Authority API만 보호할 수 있습니다. 서비스 경계를 추가하여 ID 네임스페이스를 보호할 수 있습니다.

Artifact Registry

상태 베타. 이 제품 통합은 광범위한 테스트와 사용에 사용할 준비가 되어 있지만 프로덕션 환경에서는 완전히 지원되지 않습니다.
경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
서비스 주소 artifactregistry.googleapis.com
세부정보

Artifact Registry API를 보호하는 것 외에도 GKE 및 Compute Engine과 함께 서비스 경계 내에서 Artifact Registry를 사용할 수 있습니다.

Artifact Registry에 대한 자세한 내용은 제품 문서를 참조하세요.

제한사항

Artifact Registry는 googleapis.com 도메인을 사용하지 않으므로 비공개 DNS 또는 BIND를 통해 다른 API와 별도의 제한된 VIP에 매핑되도록 구성되어야 합니다. 자세한 내용은 서비스 경계에서 저장소 보호를 참조하세요.

AutoML Natural Language

상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
서비스 주소 automl.googleapis.com,
eu-automl.googleapis.com
세부정보

AutoML API를 완벽하게 보호하려면 경계에 다음 API를 모두 포함합니다.

  • AutoML API(automl.googleapis.com)
  • Cloud Storage API(storage.googleapis.com)
  • Compute Engine API(compute.googleapis.com)
  • BigQuery API(bigquery.googleapis.com)

AutoML Natural Language에 대한 자세한 내용은 제품 문서를 참조하세요.

제한사항
VPC 서비스 제어와 통합된 모든 AutoML 제품은 동일한 서비스 주소를 사용합니다. 자세한 내용은 VPC 서비스 제어에서 AutoML 제품을 사용할 때 제한사항을 참조하세요.

AutoML Tables

상태 베타. 이 제품 통합은 광범위한 테스트와 사용에 사용할 준비가 되어 있지만 프로덕션 환경에서는 완전히 지원되지 않습니다.
경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
서비스 주소 automl.googleapis.com,
eu-automl.googleapis.com
세부정보

AutoML API를 완벽하게 보호하려면 경계에 다음 API를 모두 포함합니다.

  • AutoML API(automl.googleapis.com)
  • Cloud Storage API(storage.googleapis.com)
  • Compute Engine API(compute.googleapis.com)
  • BigQuery API(bigquery.googleapis.com)

AutoML Tables에 대한 자세한 내용은 제품 문서를 참조하세요.

제한사항
VPC 서비스 제어와 통합된 모든 AutoML 제품은 동일한 서비스 주소를 사용합니다. 자세한 내용은 VPC 서비스 제어에서 AutoML 제품을 사용할 때 제한사항을 참조하세요.

AutoML Translation

상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
서비스 주소 automl.googleapis.com,
eu-automl.googleapis.com
세부정보

AutoML API를 완벽하게 보호하려면 경계에 다음 API를 모두 포함합니다.

  • AutoML API(automl.googleapis.com)
  • Cloud Storage API(storage.googleapis.com)
  • Compute Engine API(compute.googleapis.com)
  • BigQuery API(bigquery.googleapis.com)

AutoML Translation에 대한 자세한 내용은 제품 문서를 참조하세요.

제한사항
VPC 서비스 제어와 통합된 모든 AutoML 제품은 동일한 서비스 주소를 사용합니다. 자세한 내용은 VPC 서비스 제어에서 AutoML 제품을 사용할 때 제한사항을 참조하세요.

AutoML Video Intelligence

상태 베타. 이 제품 통합은 광범위한 테스트와 사용에 사용할 준비가 되어 있지만 프로덕션 환경에서는 완전히 지원되지 않습니다.
경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
서비스 주소 automl.googleapis.com,
eu-automl.googleapis.com
세부정보

AutoML API를 완벽하게 보호하려면 경계에 다음 API를 모두 포함합니다.

  • AutoML API(automl.googleapis.com)
  • Cloud Storage API(storage.googleapis.com)
  • Compute Engine API(compute.googleapis.com)
  • BigQuery API(bigquery.googleapis.com)

AutoML Video Intelligence에 대한 자세한 내용은 제품 문서를 참조하세요.

제한사항
VPC 서비스 제어와 통합된 모든 AutoML 제품은 동일한 서비스 주소를 사용합니다. 자세한 내용은 VPC 서비스 제어에서 AutoML 제품을 사용할 때 제한사항을 참조하세요.

AutoML Vision

상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
서비스 주소 automl.googleapis.com,
eu-automl.googleapis.com
세부정보

AutoML API를 완벽하게 보호하려면 경계에 다음 API를 모두 포함합니다.

  • AutoML API(automl.googleapis.com)
  • Cloud Storage API(storage.googleapis.com)
  • Compute Engine API(compute.googleapis.com)
  • BigQuery API(bigquery.googleapis.com)

AutoML Vision에 대한 자세한 내용은 제품 문서를 참조하세요.

제한사항
VPC 서비스 제어와 통합된 모든 AutoML 제품은 동일한 서비스 주소를 사용합니다. 자세한 내용은 VPC 서비스 제어에서 AutoML 제품을 사용할 때 제한사항을 참조하세요.

BigQuery

상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
서비스 주소 bigquery.googleapis.com
세부정보

서비스 경계를 사용하여 BigQuery API를 보호하면 BigQuery Storage API도 보호됩니다. 경계의 보호되는 서비스 목록에 BigQuery Storage API를 별도로 추가할 필요가 없습니다.

BigQuery에 대한 자세한 내용은 제품 문서를 참조하세요.

제한사항
  • VPC 서비스 제어에서는 서비스 경계로 보호되는 BigQuery 리소스를 다른 조직에 복사할 수 없습니다. 액세스 수준으로 인해 조직 간에 복사할 수 없습니다.

    보호된 BigQuery 리소스를 다른 조직에 복사하려면 데이터 세트를 다운로드한(예: CSV 파일처럼) 후 다른 조직에 파일을 업로드합니다.

  • BigQuery Data Transfer Service는 다음 서비스에서 지원됩니다.

    Google Software as a Service(SaaS) 앱

    외부 클라우드 스토리지 제공업체 데이터 웨어하우스 또한 Google Cloud Marketplace에서 몇 가지 타사 전송(베타)을 사용할 수 있습니다.

    참고: BigQuery Data Transfer Service는 BigQuery 데이터 세트에서 데이터를 내보내는 기능을 지원하지 않습니다. 자세한 내용은 테이블 데이터 내보내기를 참조하세요.

  • BigQuery 기본 웹 UI는 지원되지 않습니다. 서비스 경계로 보호되는 BigQuery 인스턴스는 BigQuery 기본 웹 UI를 사용하여 액세스할 수 없습니다.

  • BigQuery 감사 로그 레코드는 내부적으로 여러 리소스에 대한 액세스를 처리하는 서비스로 인해 요청 실행 시 사용된 모든 리소스를 항상 포함하지는 않습니다.

  • 서비스 계정을 사용하여 서비스 경계로 보호되는 BigQuery 인스턴스에 액세스할 경우 BigQuery 작업은 경계 내 프로젝트 내에서 실행되어야 합니다. 기본적으로 BigQuery 클라이언트 라이브러리는 서비스 계정 또는 사용자 프로젝트 내에서 작업을 실행하므로 VPC 서비스 제어에 의해 쿼리가 거부됩니다.

Cloud Bigtable

상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
서비스 주소 bigtable.googleapis.com
세부정보

Cloud Bigtable용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

Cloud Bigtable에 대한 자세한 내용은 제품 문서를 참조하세요.

제한사항

Cloud Bigtable을 VPC 서비스 제어와 통합할 때 알려진 제한사항이 없습니다.

Binary Authorization

상태 베타. 이 제품 통합은 광범위한 테스트와 사용에 사용할 준비가 되어 있지만 프로덕션 환경에서는 완전히 지원되지 않습니다.
경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
서비스 주소 binaryauthorization.googleapis.com
세부정보

Binary Authorization으로 여러 프로젝트를 사용하는 경우 각 프로젝트를 VPC 서비스 제어 경계에 포함해야 합니다. 이 사용 사례에 대한 자세한 내용은 다중 프로젝트 설정을 참조하세요.

Binary Authorization에서는 컨테이너 분석을 사용하여 증명자 및 증명을 각각 메모 및 어커런스로 저장할 수 있습니다. 이 경우 VPC 서비스 제어 경계에도 컨테이너 분석을 포함해야 합니다. 자세한 내용은 컨테이너 분석을 위한 VPC 서비스 제어 안내를 참조하세요.

Binary Authorization에 대한 자세한 내용은 제품 문서를 참조하세요.

제한사항

Binary Authorization을 VPC 서비스 제어와 통합할 때 알려진 제한사항이 없습니다.

Data Catalog

상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
서비스 주소 datacatalog.googleapis.com
세부정보 Data Catalog는 다른 Google Cloud 서비스 주변의 경계를 자동으로 고려합니다.

Data Catalog에 대한 자세한 내용은 제품 문서를 참조하세요.

제한사항

Data Catalog를 VPC 서비스 제어와 통합할 때 알려진 제한사항이 없습니다.

Cloud Data Fusion

상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
서비스 주소 datafusion.googleapis.com
세부정보

VPC 서비스 제어로 Cloud Data Fusion을 보호하려면 몇 가지 특별 단계를 수행해야 합니다.

Cloud Data Fusion에 대한 자세한 내용은 제품 문서를 참조하세요.

제한사항
  • Cloud Data Fusion 비공개 인스턴스를 만들기 전에 VPC 서비스 제어 보안 경계를 설정합니다. VPC 서비스 제어를 설정하기 전에 만든 인스턴스의 경계 보호는 지원되지 않습니다.

  • 현재 Cloud Data Fusion 데이터 영역 UI에서는 ID 기반 액세스를 사용하여 액세스 수준을 지정할 수 없습니다.

Compute Engine

상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
서비스 주소 compute.googleapis.com
세부정보

Compute Engine에 대한 VPC 서비스 제어 지원은 다음과 같은 보안 이점을 제공합니다.

  • 민감한 API 작업에 대한 액세스 제한
  • 영구 디스크 스냅샷과 커스텀 이미지를 경계로 제한
  • 인스턴스 메타데이터에 대한 액세스 제한

Compute Engine에 대한 VPC 서비스 제어 지원을 통해 서비스 경계 내에서 Virtual Private Cloud 네트워크 및 Google Kubernetes Engine 비공개 클러스터를 활용할 수 있습니다.

Compute Engine에 대한 자세한 내용은 제품 문서를 참조하세요.

제한사항
  • 계층식 방화벽은 서비스 경계의 영향을 받지 않습니다.

  • VPC 피어링 작업은 VPC 서비스 경계 제한을 적용하지 않습니다.

  • 공유 VPC의 projects.ListXpnHosts API 메서드는 반환된 프로젝트에 서비스 경계 제한을 적용하지 않습니다.

  • 서비스 경계로 보호되는 프로젝트의 Cloud Storage에서 Compute Engine 이미지 만들기를 사용 설정하려면 해당 경계의 액세스 수준에 임시로 이미지를 만드는 사용자를 추가해야 합니다.

  • VPC 서비스 제어는 서비스 경계 내의 Compute Engine VM에서 Kubernetes의 오픈소스 버전을 사용할 수 없습니다.

Dataflow

상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
서비스 주소 dataflow.googleapis.com
세부정보

Dataflow는 여러 스토리지 서비스 커넥터를 지원합니다. 다음 커넥터는 서비스 경계 내에서 Dataflow와 함께 작동하도록 확인되었습니다.

Dataflow에 대한 자세한 내용은 제품 문서를 참조하세요.

제한사항

  • Dataflow를 사용할 때는 커스텀 BIND가 지원되지 않습니다. VPC 서비스 제어에 Dataflow를 사용할 때 DNS 확인을 맞춤설정하려면 커스텀 BIND 서버를 사용하는 대신 Cloud DNS 비공개 영역을 사용합니다. 고유한 온프레미스 DNS 확인을 사용하려면 Google Cloud DNS 전달 방법을 사용하는 것이 좋습니다.

  • 일부 스토리지 서비스 커넥터는 서비스 경계 내에서 Dataflow와 함께 사용할 때 작동하도록 확인되었습니다. 확인된 커넥터 목록은 Dataflow 세부정보를 참조하세요.

  • Apache Beam SDK 2.20.0~2.22.0과 Python 3.5를 함께 사용할 때 작업자가 VPC 서비스 제어를 사용하여 리소스를 보호하는 경우와 같이 비공개 IP 주소만 있는 경우 Dataflow 작업이 실패합니다. 리소스 보호를 위해 VPC 서비스 제어를 사용하는 경우처럼 Dataflow 작업자에게 비공개 IP 주소만 있는 경우 Apache Beam SDK 2.20.0~2.22.0과 Python 3.5를 함께 사용하지 마세요. 이 조합으로 사용하면 시작 시 작업이 실패합니다.

Dataproc

상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
서비스 주소 dataproc.googleapis.com
세부정보

Dataproc을 VPC 서비스 제어로 보호하려면 몇 가지 특별 단계를 수행해야 합니다.

Dataproc에 대한 자세한 내용은 제품 문서를 참조하세요.

제한사항

  • 서비스 경계로 Dataproc 클러스터를 보호하려면 클러스터가 경계 내에서 작동할 수 있도록 비공개 연결 설정의 지침을 따라야 합니다.

Cloud Data Loss Prevention

상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
서비스 주소 dlp.googleapis.com
세부정보

Cloud Data Loss Prevention용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

Cloud Data Loss Prevention에 대한 자세한 내용은 제품 문서를 참조하세요.

제한사항

Cloud Data Loss Prevention을 VPC 서비스 제어와 통합할 때 알려진 제한사항이 없습니다.

Cloud Functions

상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
서비스 주소 cloudfunctions.googleapis.com
세부정보

설정 단계는 Cloud Functions 문서를 참조하세요. Cloud Build를 사용하여 Cloud Functions를 빌드할 때 VPC 서비스 제어 보호는 빌드 단계에 적용되지 않습니다. VPC 서비스 제어 보호는 Firebase 실시간 데이터베이스 트리거와 Firebase Crashlytics 트리거를 제외한 모든 함수 트리거에 적용됩니다. 자세한 내용은 알려진 제한사항을 참조하세요.

Cloud Functions에 대한 자세한 내용은 제품 문서를 참조하세요.

제한사항
  • Cloud Functions는 Cloud Build를 사용하여 소스 코드를 실행 가능한 컨테이너에 빌드합니다. 서비스 경계 내에서 Cloud Functions를 사용하려면 서비스 경계의 Cloud Build 서비스 계정의 액세스 수준을 구성해야 합니다.

  • npm 패키지와 같은 외부 종속 항목을 함수에서 사용할 수 있도록 Cloud Build에는 무제한 인터넷 액세스가 있습니다. 이 인터넷 액세스는 업로드된 소스 코드와 같이 빌드 시 사용할 수 있는 데이터를 추출하는 데 사용될 수 있습니다. 이 추출 벡터를 완화하려면 신뢰할 수 있는 개발자만 함수를 배포하도록 허용하는 것이 좋습니다. Cloud Functions 소유자, 편집자 또는 개발자 IAM 역할을 신뢰할 수 없는 개발자에게 부여하지 마세요.

  • Firebase 실시간 데이터베이스 트리거 및 Firebase Crashlytics 트리거의 경우 사용자는 함수가 배포된 프로젝트의 서비스 경계 외부에 있는 다른 프로젝트에서 Firebase 실시간 데이터베이스 또는 Firebase Crashlytics에 대한 변경사항에 의해 트리거될 수 있는 함수를 배포할 수 있습니다. 이 두 트리거의 추출 벡터를 완화하려면 신뢰할 수 있는 개발자만 함수를 배포하도록 허용하는 것이 좋습니다. Cloud Functions 소유자, 편집자 또는 개발자 IAM 역할을 신뢰할 수 없는 개발자에게 부여하지 마세요.

Cloud Key Management Service

상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
서비스 주소 cloudkms.googleapis.com
세부정보

Cloud Key Management Service용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

Cloud Key Management Service에 대한 자세한 내용은 제품 문서를 참조하세요.

제한사항

Cloud Key Management Service를 VPC 서비스 제어와 통합할 때 알려진 제한사항이 없습니다.

Game Servers

상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
서비스 주소 gameservices.googleapis.com
세부정보

Game Servers용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

Game Servers에 대한 자세한 내용은 제품 문서를 참조하세요.

제한사항

Game Servers를 VPC 서비스 제어와 통합할 때 알려진 제한사항이 없습니다.

Microsoft Active Directory용 관리형 서비스

상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
서비스 주소 managedidentities.googleapis.com
세부정보

다음에 추가 구성이 필요합니다.

Microsoft Active Directory용 관리형 서비스에 대한 자세한 내용은 제품 문서를 참조하세요.

제한사항

VPC 서비스 제어와 Microsoft Active Directory의 관리형 서비스 통합에는 알려진 제한사항이 없습니다.

보안 비밀 관리자

상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
서비스 주소 secretmanager.googleapis.com
세부정보

보안 비밀 관리자용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

보안 비밀 관리자에 대한 자세한 내용은 제품 문서를 참조하세요.

제한사항

보안 비밀 관리자를 VPC 서비스 제어와 통합할 때 알려진 제한사항이 없습니다.

Pub/Sub

상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
서비스 주소 pubsub.googleapis.com
세부정보

VPC 서비스 제어 보호는 기존 푸시 구독을 제외한 모든 구독자 작업에 적용됩니다.

Pub/Sub에 대한 자세한 내용은 제품 문서를 참조하세요.

제한사항

  • 서비스 경계로 보호되는 프로젝트에서는 새 푸시 구독을 만들 수 없습니다.
  • 서비스 경계 이전에 생성된 Pub/Sub 푸시 구독은 차단되지 않습니다.

Cloud Composer

상태 베타. 이 제품 통합은 광범위한 테스트와 사용에 사용할 준비가 되어 있지만 프로덕션 환경에서는 완전히 지원되지 않습니다.
경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
서비스 주소 composer.googleapis.com
세부정보 VPC 서비스 제어와 함께 사용할 Composer 구성

Cloud Composer에 대한 자세한 내용은 제품 문서를 참조하세요.

제한사항
  • DAG 직렬화를 사용 설정하면 Airflow가 웹 UI에 렌더링된 템플릿과 함수를 함께 표시하지 않습니다.

  • DAG 직렬화가 사용 설정된 상태에서는 async_dagbag_loader 플래그를 True로 설정하는 것이 지원되지 않습니다.

  • DAG 직렬화를 사용 설정하면 Cloud Composer가 배포된 VPC 네트워크의 보안이 저하될 수 있으므로 모든 Airflow 웹 서버 플러그인이 사용 중지됩니다. 이는 Airflow 연산자와 센서를 포함하여 스케줄러 또는 작업자 플러그인의 동작에 영향을 주지 않습니다.

  • Cloud Composer가 경계 내에서 실행 중인 경우 공개 PyPI 저장소에 대한 액세스가 제한됩니다. Cloud Composer 문서에서 Python 종속 항목 설치를 참조하여 비공개 IP 모드에서 PyPi 모듈을 설치하는 방법을 알아보세요.

Cloud Spanner

상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
서비스 주소 spanner.googleapis.com
세부정보

Cloud Spanner용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

Cloud Spanner에 대한 자세한 내용은 제품 문서를 참조하세요.

제한사항

Cloud Spanner를 VPC 서비스 제어와 통합할 때 알려진 제한사항이 없습니다.

Cloud Storage

상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
서비스 주소 storage.googleapis.com
세부정보

Cloud Storage용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

Cloud Storage에 대한 자세한 내용은 제품 문서를 참조하세요.

제한사항
  • Cloud Storage 서비스를 보호하는 서비스 경계 에서 스토리지 버킷과 함께 요청자 지불 기능을 사용할 경우 경계 외부에 있는 지불할 프로젝트를 식별할 수 없습니다. 대상 프로젝트는 스토리지 버킷과 동일한 경계에 있거나 버킷의 프로젝트가 있는 경계 브리지에 있어야 합니다.

    요청자 지불에 대한 자세한 내용은 요청자 지불 사용 및 액세스 요구사항을 참조하세요.

  • 서비스 경계 내 프로젝트의 경우 Cloud Storage API가 경계로 보호되면 Cloud Console의 Cloud Storage 페이지에 액세스할 수 없습니다. 페이지에 액세스 권한을 부여하려면 사용자 계정 또는 Cloud Storage API에 액세스하도록 허용할 공개 IP 범위가 포함된 액세스 수준을 만들어야 합니다.

  • 감사 로그 레코드에서 resourceName 필드는 버킷을 소유한 프로젝트를 식별하지 않습니다. 프로젝트를 별도로 검색해야 합니다.

  • 감사 로그 레코드에서 methodName 값이 항상 올바르지는 않습니다. methodName별로 Cloud Storage 감사 로그 레코드를 필터링하지 않는 것이 좋습니다.

  • 경우에 따라 액세스가 거부되어도 Cloud Storage 레거시 버킷 로그를 서비스 경계 외부의 대상에 쓸 수 있습니다.

  • 새 프로젝트에서 gsutil을 처음 사용하려고 하면 storage-api.googleapis.com 서비스를 사용 설정하라는 메시지가 표시될 수 있습니다. 직접 storage-api.googleapis.com을 보호할 수 없지만 서비스 경계를 사용하여 Cloud Storage API를 보호할 경우 gsutil 작업은 보호됩니다.

Cloud SQL

상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
서비스 주소 sqladmin.googleapis.com
세부정보

VPC 서비스 제어 경계는 Cloud SQL Admin API를 보호합니다.

Cloud SQL에 대한 자세한 내용은 제품 문서를 참조하세요.

제한사항

  • 서비스 경계는 Cloud SQL Admin API만 보호합니다. Cloud SQL 인스턴스에 대한 IP 기반 데이터 액세스는 보호되지 않습니다. 조직 정책 제약조건을 사용하여 Cloud SQL 인스턴스의 공개 IP 액세스를 제한해야 합니다.

  • Cloud SQL 가져오기 및 내보내기는 Cloud SQL 복제본 인스턴스와 동일한 서비스 경계 내에서 Cloud Storage 버킷의 읽기 및 쓰기만 수행할 수 있습니다. 외부 서버 마이그레이션 흐름에서 Cloud Storage 버킷을 동일한 서비스 경계에 추가해야 합니다. CMEK의 키 흐름을 만들 경우 키를 사용하는 리소스와 동일한 서비스 경계에서 키를 만들어야 합니다. 참고: 백업에서 인스턴스를 복원할 경우 백업과 동일한 서비스 경계에 대상 인스턴스가 있어야 합니다.

Video Intelligence API

상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
서비스 주소 videointelligence.googleapis.com
세부정보

Video Intelligence API용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

Video Intelligence API에 대한 자세한 내용은 제품 문서를 참조하세요.

제한사항

Video Intelligence API를 VPC 서비스 제어와 통합할 때 알려진 제한사항이 없습니다.

Cloud Vision API

상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
서비스 주소 vision.googleapis.com
세부정보

Cloud Vision API용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

Cloud Vision API에 대한 자세한 내용은 제품 문서를 참조하세요.

제한사항

Cloud Vision API를 VPC 서비스 제어와 통합할 때 알려진 제한사항이 없습니다.

컨테이너 분석

상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
서비스 주소 containeranalysis.googleapis.com
세부정보

VPC 서비스 제어에서 컨테이너 분석을 사용하려면 VPC 경계에 다른 서비스를 추가해야 할 수 있습니다.

Container Scanning API는 컨테이너 분석에 결과를 저장하는 표면이 없는 API이기 때문에 서비스 경계로 API를 보호할 필요가 없습니다.

컨테이너 분석에 대한 자세한 내용은 제품 문서를 참조하세요.

제한사항

컨테이너 분석을 VPC 서비스 제어와 통합할 때 알려진 제한사항이 없습니다.

Container Registry

상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
서비스 주소 containerregistry.googleapis.com
세부정보

Container Registry API를 보호하는 것 외에도 Container Registry는 GKE 및 Compute Engine으로 서비스 경계 내에서 사용할 수 있습니다.

Container Registry에 대한 자세한 내용은 제품 문서를 참조하세요.

제한사항

  • Container Registry는 googleapis.com 도메인을 사용하지 않으므로 비공개 DNS 또는 BIND를 통해 다른 API와 별도의 제한된 VIP에 매핑되도록 구성되어야 합니다. 자세한 내용은 서비스 경계에서 Container Registry 보호를 참조하세요.

  • Container Registry에서 사용 가능한 경계 내에 있는 컨테이너 외에도, 다음과 같은 읽기 전용 Google 관리형 저장소는 서비스 경계에 관계없이 모든 프로젝트에서 사용 가능합니다.

    • gcr.io/asci-toolchain
    • gcr.io/cloud-airflow-releaser
    • gcr.io/cloud-builders
    • gcr.io/cloud-dataflow
    • gcr.io/cloud-marketplace
    • gcr.io/cloud-ssa
    • gcr.io/cloudsql-docker
    • gcr.io/config-management-release
    • gcr.io/foundry-dev
    • gcr.io/fn-img
    • gcr.io/gke-node-images
    • gcr.io/gke-release
    • gcr.io/google-containers
    • gcr.io/kubeflow
    • gcr.io/kubeflow-images-public
    • gcr.io/kubernetes-helm
    • gcr.io/istio-release
    • gcr.io/ml-pipeline
    • gcr.io/projectcalico-org
    • gcr.io/rbe-containers
    • gcr.io/rbe-windows-test-images
    • gcr.io/speckle-umbrella
    • gcr.io/stackdriver-agents
    • gcr.io/tensorflow
    • gke.gcr.io
    • k8s.gcr.io
    • mirror.gcr.io

    모든 경우에 해당 저장소의 리전별 버전도 사용할 수 있습니다.

Google Kubernetes Engine

상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
서비스 주소 container.googleapis.com,
gkeconnect.googleapis.com,
gkehub.googleapis.com
세부정보

Google Kubernetes Engine용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

Google Kubernetes Engine에 대한 자세한 내용은 제품 문서를 참조하세요.

제한사항

  • VPC 서비스 제어를 사용하여 비공개 클러스터만 보호할 수 있습니다. 공개 IP 주소가 있는 클러스터는 VPC 서비스 제어에서 지원되지 않습니다.

Resource Manager

상태 베타. 이 제품 통합은 광범위한 테스트와 사용에 사용할 준비가 되어 있지만 프로덕션 환경에서는 완전히 지원되지 않습니다.
경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
서비스 주소 cloudresourcemanager.googleapis.com
세부정보

Resource Manager용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

Resource Manager에 대한 자세한 내용은 제품 문서를 참조하세요.

제한사항

Cloud Logging

상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
서비스 주소 logging.googleapis.com
세부정보

아직 VPC 서비스 제어에서 폴더 및 조직 리소스를 지원하지 않으므로 폴더 수준 및 조직 수준 로그는 VPC 서비스 제어로 보호되지 않습니다. 자세한 내용은 알려진 서비스 제한사항을 참조하세요.

Cloud Logging에 대한 자세한 내용은 제품 문서를 참조하세요.

제한사항
  • 집계된 내보내기 싱크(폴더 또는 includeChildrentrue인 조직 싱크)는 서비스 경계 내 프로젝트에서 데이터에 액세스할 수 있습니다. IAM을 사용하여 폴더 및 조직 수준의 Logging 권한을 관리하는 것이 좋습니다.

  • VPC 서비스 제어는 현재 폴더 및 조직 리소스를 지원하지 않으므로 폴더 수준 및 조직 수준 로그(집계 로그 포함)의 로그 내보내기는 서비스 경계를 지원하지 않습니다. IAM을 사용하여 경계로 보호되는 서비스와 상호작용하는 데 필요한 서비스 계정으로의 내보내기를 제한하는 것이 좋습니다.

  • 서비스 경계로 보호되는 리소스에 대한 조직 또는 폴더 로그 내보내기를 설정하려면 해당 로그 싱크의 서비스 계정을 액세스 수준에 추가한 다음 대상 서비스 경계에 할당해야 합니다. 프로젝트 수준 로그 내보내기에는 이 과정이 필요하지 않습니다.

    자세한 내용은 다음 페이지를 참조하세요.

Cloud Monitoring

상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
서비스 주소 monitoring.googleapis.com
세부정보

Cloud Monitoring용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

Cloud Monitoring에 대한 자세한 내용은 제품 문서를 참조하세요.

제한사항
  • 알림 채널, 알림 정책 및 커스텀 측정항목을 함께 사용하여 데이터/메타데이터를 추출할 수 있습니다. 현 시점부터 Monitoring 사용자는 조직 외부의 항목(예: 'baduser@badcompany.com')을 가리키는 알림 채널을 설정할 수 있습니다. 그런 다음 사용자는 알림 채널을 활용하는 커스텀 측정항목과 해당 알림 정책을 설정합니다. 이를 통해 사용자는 커스텀 측정항목을 조작하여 알림을 트리거하고 VPC 서비스 제어 경계 외부에 있는 baduser@badcompany.com으로 민감한 데이터 추출을 알리는 알림을 보낼 수 있습니다.

  • Google Cloud Console의 모니터링은 VPC 서비스 제어를 지원하지만 기본 Cloud Monitoring 콘솔의 VPC 서비스 제어는 전체 지원되지 않습니다.

  • Monitoring 에이전트가 설치된 모든 Compute Engine 또는 AWS VM은 VPC 서비스 제어 경계 내에 있어야 합니다. 그렇지 않으면 에이전트 측정항목 쓰기가 실패합니다.

  • 모든 GKE Pod는 VPC 서비스 제어 경계 내에 있어야 합니다. 그렇지 않으면 GKE 모니터링이 작동하지 않습니다.

  • 작업공간의 측정항목을 쿼리할 경우 작업공간에서 모니터링된 개별 _project_의 경계가 아닌 작업공간의 호스트 _project_의 VPC 서비스 제어 경계만 고려됩니다.

  • 프로젝트가 작업공간의 호스트 _project_와 동일한 VPC 서비스 제어 경계에 있으면 프로젝트는 모니터링된 _project_로 기존 작업공간에만 추가될 수 있습니다.

  • 서비스 경계로 보호되는 호스트 프로젝트의 Cloud Console에서 모니터링에 액세스하려면 액세스 수준을 사용합니다.

Cloud Profiler

상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
서비스 주소 cloudprofiler.googleapis.com
세부정보

Cloud Profiler용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

Cloud Profiler에 대한 자세한 내용은 제품 문서를 참조하세요.

제한사항

Cloud Profiler를 VPC 서비스 제어와 통합할 때 알려진 제한사항이 없습니다.

Cloud Trace

상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
서비스 주소 cloudtrace.googleapis.com
세부정보

Cloud Trace용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

Cloud Trace에 대한 자세한 내용은 제품 문서를 참조하세요.

제한사항

Cloud Trace를 VPC 서비스 제어와 통합할 때 알려진 제한사항이 없습니다.

Cloud TPU

상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
서비스 주소 tpu.googleapis.com
세부정보

Cloud TPU용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

Cloud TPU에 대한 자세한 내용은 제품 문서를 참조하세요.

제한사항

Cloud TPU를 VPC 서비스 제어와 통합할 때 알려진 제한사항이 없습니다.

Natural Language API

상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
서비스 주소 language.googleapis.com
세부정보

Natural Language API용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

Natural Language API에 대한 자세한 내용은 제품 문서를 참조하세요.

제한사항

Natural Language API를 VPC 서비스 제어와 통합할 때 알려진 제한사항이 없습니다.

Cloud Asset API

상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
서비스 주소 cloudasset.googleapis.com
세부정보

아직 VPC 서비스 제어에서 폴더 및 조직 리소스를 지원하지 않으므로 폴더 또는 조직 수준에서 Cloud Asset API를 통한 애셋 액세스는 VPC 서비스 제어로 보호되지 않습니다. 자세한 내용은 알려진 서비스 제한사항을 참조하세요.

Cloud Asset API에 대한 자세한 내용은 제품 문서를 참조하세요.

제한사항

  • 폴더 또는 조직 수준에서 Cloud Asset API를 호출할 경우 폴더 또는 조직에 속한 서비스 경계 내에 있는 프로젝트의 데이터에 계속 액세스할 수 있습니다. 폴더 및 조직 수준에서 Cloud 애셋 인벤토리 권한을 관리하는 데 IAM을 사용하는 것이 좋습니다.

Speech-to-Text

상태 베타. 이 제품 통합은 광범위한 테스트와 사용에 사용할 준비가 되어 있지만 프로덕션 환경에서는 완전히 지원되지 않습니다.
경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
서비스 주소 speech.googleapis.com
세부정보

Speech-to-Text용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

Speech-to-Text에 대한 자세한 내용은 제품 문서를 참조하세요.

제한사항

Speech-to-Text를 VPC 서비스 제어와 통합할 때 알려진 제한사항이 없습니다.

Text-to-Speech

상태 베타. 이 제품 통합은 광범위한 테스트와 사용에 사용할 준비가 되어 있지만 프로덕션 환경에서는 완전히 지원되지 않습니다.
경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
서비스 주소 texttospeech.googleapis.com
세부정보

Text-to-Speech용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

Text-to-Speech에 대한 자세한 내용은 제품 문서를 참조하세요.

제한사항

Text-to-Speech를 VPC 서비스 제어와 통합할 때 알려진 제한사항이 없습니다.

Translation

상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
서비스 주소 translate.googleapis.com
세부정보

Translation용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

Translation에 대한 자세한 내용은 제품 문서를 참조하세요.

제한사항

Translation을 VPC 서비스 제어와 통합할 때 알려진 제한사항이 없습니다.

Access Approval

상태 베타. 이 제품 통합은 광범위한 테스트와 사용에 사용할 준비가 되어 있지만 프로덕션 환경에서는 완전히 지원되지 않습니다.
경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
서비스 주소 accessapproval.googleapis.com
세부정보

Access Approval용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

Access Approval에 대한 자세한 내용은 제품 문서를 참조하세요.

제한사항

Access Approval을 VPC 서비스 제어와 통합할 때 알려진 제한사항이 없습니다.

Cloud Healthcare API

상태 베타. 이 제품 통합은 광범위한 테스트와 사용에 사용할 준비가 되어 있지만 프로덕션 환경에서는 완전히 지원되지 않습니다.
경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
서비스 주소 healthcare.googleapis.com
세부정보

Cloud Healthcare API용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

Cloud Healthcare API에 대한 자세한 내용은 제품 문서를 참조하세요.

제한사항

Cloud Healthcare API를 VPC 서비스 제어와 통합할 때 알려진 제한사항이 없습니다.

Storage Transfer Service

상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
서비스 주소 storagetransfer.googleapis.com
세부정보

STS 프로젝트를 Cloud Storage 리소스와 동일한 서비스 경계 내에 배치하는 것이 좋습니다. 그러면 전송과 Cloud Storage 리소스가 모두 보호됩니다. 또한 Storage Transfer Service는 경계 브리지 또는 액세스 수준을 사용하여 Storage Transfer Service 프로젝트가 Cloud Storage 버킷과 동일한 경계에 있지 않은 시나리오도 지원합니다.

설정 정보는 VPC 서비스 제어와 함께 Storage Transfer Service 사용을 참조하세요.

Transfer Service for On Premises Data

베타 기간 동안 Transfer Service for On Premises Data(온프레미스 전송)는 전송 페이로드에 대해서만 VPC 서비스 제어를 지원합니다. 여기에는 온프레미스용 전송 에이전트가 경계에서 리소스에 액세스하도록 하는 액세스 수준에 추가되는 시나리오 또는 온프레미스용 전송 에이전트가 대상 Cloud Storage 버킷 및 Transfer service for on-premises data 작업과 공유되는 경계 내에 있는 시나리오가 포함됩니다.

자세한 내용은 VPC 서비스 제어로 온프레미스 전송 사용을 참조하세요.

객체 이름 등 파일 메타데이터는 경계 내에 있지 않을 수 있습니다. 자세한 내용은 VPC 서비스 제어 및 메타데이터를 참조하세요.

Storage Transfer Service에 대한 자세한 내용은 제품 문서를 참조하세요.

제한사항

  • Transfer Service for On Premises Data는 API를 제공하지 않으므로 VPC 서비스 제어에서 API 관련 기능을 지원하지 않습니다.

Service Control

상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
서비스 주소 servicecontrol.googleapis.com
세부정보

Service Control용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

Service Control에 대한 자세한 내용은 제품 문서를 참조하세요.

제한사항

  • Service Control이 제한된 서비스 경계의 VPC 네트워크에서 Service Control API를 호출하면 Service Control 보고서 메서드를 사용하여 청구 및 분석 측정항목을 보고할 수 없습니다.

Redis용 Memorystore

상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
서비스 주소 redis.googleapis.com
세부정보

Redis용 Memorystore에 대한 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

Redis용 Memorystore에 대한 자세한 내용은 제품 문서를 참조하세요.

제한사항

  • 서비스 경계는 Redis용 Memorystore API만 보호합니다. 경계는 동일한 네트워크 내의 Redis용 Memorystore 인스턴스에서 일반 데이터 액세스를 보호하지 않습니다.

  • Cloud Storage API도 보호할 경우 Redis용 Memorystore 가져오기 및 내보내기 작업은 Redis용 Memorystore 인스턴스와 동일한 서비스 경계 내 Cloud Storage 버킷에만 읽고 쓸 수 있습니다.

서비스 디렉터리

상태 베타. 이 제품 통합은 광범위한 테스트와 사용에 사용할 준비가 되어 있지만 프로덕션 환경에서는 완전히 지원되지 않습니다.
경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
서비스 주소 servicedirectory.googleapis.com
세부정보

서비스 디렉터리용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

서비스 디렉터리에 대한 자세한 내용은 제품 문서를 참조하세요.

제한사항

서비스 디렉터리를 VPC 서비스 제어와 통합할 때 알려진 제한사항이 없습니다.

자세한 내용을 보려면 지원되는 서비스와 지원되지 않는 서비스를 읽어보세요.

제한된 VIP 지원 서비스

제한된 가상 IP(VIP)는 서비스 경계 내에 있는 VM이 인터넷에 요청을 노출하지 않고 Google Cloud 서비스를 호출하는 방법을 제공합니다. 제한된 VIP에서 사용할 수 있는 서비스의 전체 목록은 제한된 VIP에서 지원하는 서비스를 참조하세요.

미지원 서비스

gcloud 명령줄 도구 또는 Access Context Manager API를 사용하여 미지원 서비스를 제한하려는 경우 오류가 발생합니다.

지원되는 서비스 데이터에 대한 프로젝트 간 액세스는 VPC 서비스 제어에서 차단합니다. 또한 제한된 VIP는 미지원 서비스를 호출하는 워크로드의 기능을 차단하는 데 사용할 수 있습니다.

기타 알려진 제한사항

이 섹션에서는 VPC 서비스 제어를 사용할 때 발생할 수 있는 특정 Google Cloud 서비스, 제품, 인터페이스의 알려진 제한사항을 설명합니다.

VPC 서비스 제어에서 지원하는 제품에 대한 제한사항은 지원되는 제품 표를 참조하세요.

VPC 서비스 제어 관련 문제를 해결하는 방법에 대한 자세한 내용은 문제해결 페이지를 참조하세요.

AutoML API

  • AutoML Vision, AutoML Natural Language, AutoML Translation, AutoML Tables 및 AutoML Video Intelligence 모두 AutoML API를 사용합니다.

    서비스 경계를 사용하여 automl.googleapis.com을 보호하는 경우 VPC 서비스 제어와 통합되고 경계 내에서 사용되는 모든 AutoML 제품에 대한 액세스가 영향을 받습니다. 경계 내에서 사용되는 모든 통합 AutoML 제품에 대해 VPC 서비스 제어 경계를 구성해야 합니다.

    AutoML API를 완벽하게 보호하려면 경계에 다음 API를 모두 포함합니다.

    • AutoML API(automl.googleapis.com)
    • Cloud Storage API(storage.googleapis.com)
    • Compute Engine API(compute.googleapis.com)
    • BigQuery API(bigquery.googleapis.com)

App Engine

  • App Engine(표준 환경과 가변형 환경 모두)은 VPC 서비스 제어에서 지원되지 않습니다. 서비스 경계에 App Engine 프로젝트를 포함하지 마세요.

    하지만 서비스 경계 외부에 있는 프로젝트에서 생성된 App Engine 앱이 경계 에서 보호되는 서비스에 데이터를 읽고 쓸 수 있습니다. 앱이 보호된 서비스의 데이터에 액세스할 수 있게 하려면 프로젝트의 App Engine 서비스 계정이 포함된 액세스 수준을 만듭니다. App Engine을 서비스 경계 내에서 사용하도록 사용 설정하지 않습니다.

클라이언트 라이브러리

  • 지원되는 모든 서비스의 자바 및 Python 클라이언트 라이브러리는 제한된 VIP를 사용한 액세스를 완전히 지원합니다. 다른 언어의 지원은 알파 단계이며 테스트 목적으로만 사용해야 합니다.

  • 클라이언트는 2018년 11월 1일 또는 그 이후에 업데이트된 클라이언트 라이브러리를 사용해야 합니다.

  • 클라이언트가 사용하는 서비스 계정 키 또는 OAuth2 클라이언트 메타데이터는 2018년 11월 1일 또는 그 이후에 업데이트된 것이어야 합니다. 토큰 엔드포인트를 사용하는 이전 클라이언트는 최신 키 자료/클라이언트 메타데이터에 지정된 엔드포인트로 변경되어야 합니다.

Cloud Billing

  • 서비스 경계로 보호되는 프로젝트의 Cloud Storage 버킷 또는 BigQuery 인스턴스로 Cloud Billing을 내보내도록 허용하려면 해당 경계의 액세스 수준에 임시로 내보내기를 구성하는 사용자를 추가해야 합니다.

Cloud Build

  • Cloud Build는 VPC 서비스 제어에서 지원되지 않습니다. Cloud Build API를 보호할 수 없으며 서비스 경계 내 프로젝트에서 Cloud Build를 사용 설정하면 안 됩니다.

    서비스 경계 외부에 있는 프로젝트의 Cloud Build 인스턴스가 경계 에서 보호되는 서비스의 데이터를 읽고 쓰도록 허용하려면 Access Context Manager를 사용하세요. 액세스 수준을 생성하여 Cloud Build 서비스 계정이 경계 내에서 보호되는 서비스에 액세스할 수 있도록 합니다.

Cloud Shell

  • Cloud Shell은 지원되지 않습니다. 이 서비스는 서비스 경계 외부에서 처리되며 VPC 서비스 제어로 보호되는 데이터에 액세스할 수 없습니다.

Google Cloud Console

  • Cloud Console은 인터넷을 통해서만 액세스할 수 있으므로 서비스 경계 외부로 처리됩니다. 서비스 경계를 적용하면 보호되는 서비스의 Cloud Console 인터페이스가 일부 또는 전체에 액세스할 수 없게 될 수 있습니다. 예를 들어 경계로 Logging을 보호하면 Cloud Console의 Logging 인터페이스에 액세스할 수 없습니다.

    Cloud Console에서 경계로 보호되는 리소스에 액세스하려면 보호된 API로 Cloud Console을 사용하려는 사용자의 머신이 포함된 공개 IP 범위의 액세스 수준을 만들어야 합니다. 예를 들어 비공개 네트워크 NAT 게이트웨이의 공개 IP 범위를 액세스 수준에 추가한 후 이 액세스 수준을 서비스 경계에 할당할 수 있습니다.

    경계에 대한 Cloud Console 액세스 권한을 특정 사용자 세트로만 제한하려면 사용자도 액세스 수준에 추가하면 됩니다. 이 경우 지정된 사용자만 Cloud Console에 액세스할 수 있습니다.