엔드포인트를 통해 게시된 서비스에 액세스하는 방법
이 문서에서는 Private Service Connect 엔드포인트를 사용하여 다른 VPC 네트워크의 서비스에 연결하는 방법을 간략히 설명합니다. 자신의 고유 서비스 또는 Google을 포함한 다른 서비스 프로듀서가 제공한 서비스에 연결할 수 있습니다.
클라이언트는 내부 IP 주소를 사용하여 엔드포인트에 연결합니다. Private Service Connect는 네트워크 주소 변환(NAT)을 수행하여 요청을 서비스에 라우팅합니다.
게시된 서비스에 대한 자세한 내용은 게시된 서비스 정보를 참조하세요.
특징 및 호환성
다음 표에는 게시된 서비스에 액세스하는 엔드포인트의 지원되는 구성 옵션과 기능이 요약되어 있습니다.
다음 표에서 체크표시는 기능이 지원된다는 것을, 기호가 없으면 기능이 지원되지 않는다는 것을 나타냅니다.
| 소비자 구성(엔드포인트) | 프로듀서 부하 분산기 | |||
|---|---|---|---|---|
| 내부 패스 스루 네트워크 부하 분산기 | 리전 내부 애플리케이션 부하 분산기 | 리전 내부 프록시 네트워크 부하 분산기 | 내부 프로토콜 전달(대상 인스턴스) | |
| 소비자 전역 액세스 |
부하 분산기의 전역 액세스 설정과 별개 |
부하 분산기에 전역 액세스가 사용 설정된 경우에만 |
부하 분산기에 전역 액세스가 사용 설정된 경우에만 |
부하 분산기의 전역 액세스 설정과 별개 |
| Cloud VPN 트래픽 | ||||
| 자동 DNS 구성 | ||||
| IP 스택 | IPv4 | IPv4 | IPv4 | IPv4 |
다음 표에는 엔드포인트에서 액세스하는 게시된 서비스의 지원되는 구성 옵션과 기능이 요약되어 있습니다.
| 프로듀서 구성(게시된 서비스) | 프로듀서 부하 분산기 | |||
|---|---|---|---|---|
| 내부 패스 스루 네트워크 부하 분산기 | 리전 내부 애플리케이션 부하 분산기 | 리전 내부 프록시 네트워크 부하 분산기 | 내부 프로토콜 전달(대상 인스턴스) | |
| 지원되는 프로듀서 백엔드 |
|
|
|
해당 없음 |
| 프록시 프로토콜 | TCP 트래픽만 | TCP 트래픽만 | ||
| 세션 어피니티 모드 | NONE(5-튜플) CLIENT_IP_PORT_PROTO |
해당 없음 | 해당 없음 | 해당 없음 |
부하 분산기마다 지원하는 포트 구성이 다릅니다. 일부 부하 분산기는 단일 포트를 지원하고, 일부 부하 분산기는 포트 범위를 지원하고, 일부 포트는 모든 포트를 지원합니다. 자세한 내용은 포트 사양을 참조하세요.
제한사항
게시된 서비스에 액세스하는 엔드포인트에는 다음과 같은 제한사항이 있습니다.
액세스 중인 게시된 서비스와 동일한 VPC 네트워크에는 엔드포인트를 만들 수 없습니다.
피어링된 VPC 네트워크에서 엔드포인트에 액세스할 수 없습니다.
패킷 미러링은 Private Service Connect의 게시된 서비스 트래픽의 패킷을 미러링할 수 없습니다.
- 부하 분산기 다음 홉이 있는 일부 정적 경로는 Private Service Connect에서 지원되지 않습니다. 자세한 내용은 부하 분산기 다음 홉이 있는 정적 경로를 참조하세요.
온프레미스 액세스
Google API에 액세스하기 위해 사용하는 엔드포인트는 지원되는 연결된 온프레미스 호스트에서 액세스될 수 있습니다. 자세한 내용은 하이브리드 네트워크에서 엔드포인트 액세스를 참조하세요.
사양
- Private Service Connect 엔드포인트는 엔드포인트 대상인 게시된 서비스와 동일한 리전에 생성되어야 합니다.
- 엔드포인트는 대상 서비스가 포함된 VPC 네트워크와 다른 VPC 네트워크에서 생성되어야 합니다.
- 기본적으로 엔드포인트는 엔드포인트와 동일한 리전 및 동일한 VPC 네트워크에 있는 클라이언트만 액세스할 수 있습니다. 다른 리전에서 엔드포인트를 사용할 수 있게 만드는 방법은 전역 액세스를 참조하세요.
- 엔드포인트에 할당할 IP 주소는 일반 서브넷에서 가져와야 합니다.
- 서비스에 연결할 엔드포인트를 만들 때 서비스에 DNS 도메인 이름이 구성되어 있으면 엔드포인트에 대해 VPC 네트워크에 비공개 DNS 항목이 자동으로 생성됩니다.
- 각 엔드포인트에는 고유 IP 주소와 선택적인 고유 DNS 이름이 포함됩니다.
연결 상태
Private Service Connect 엔드포인트, 백엔드, 서비스 연결에는 해당 연결 상태를 설명하는 연결 상태가 있습니다. 연결의 양측을 형성하는 소비자 및 프로듀서 리소스는 항상 상태가 동일합니다. 엔드포인트 세부정보를 보거나, 백엔드를 설명하거나 게시된 서비스에 대한 세부 정보를 볼 때 연결 상태를 볼 수 있습니다.
다음 표에서는 가능한 상태를 설명합니다.
| 연결 상태 | 설명 |
|---|---|
| 수락됨 | Private Service Connect 연결이 설정됩니다. 두 VPC 네트워크가 연결되어 있고 연결이 정상적으로 작동합니다. |
| 대기중 | Private Service Connect 연결이 설정되지 않으며 네트워크 트래픽이 두 네트워크 간에 이동할 수 없습니다. 다음과 같은 이유로 연결이 이 상태가 될 수 있습니다. 이러한 이유로 차단된 연결은 기본 문제가 해결될 때까지 무기한 대기 중 상태로 유지됩니다. |
| 거부됨 | Private Service Connect 연결이 설정되지 않습니다. 네트워크 트래픽이 두 네트워크 간에 이동할 수 없습니다. 다음과 같은 이유로 연결이 이 상태가 될 수 있습니다. |
| 주의 필요 | 연결의 프로듀서 측에 문제가 있습니다. 일부 트래픽은 두 네트워크 간에 흐를 수 있지만 일부 연결은 작동하지 않을 수 있습니다. 예를 들어 프로듀서의 NAT 서브넷이 소진되어 새 연결에 IP 주소를 할당하지 못할 수 있습니다. |
| 비공개 | 서비스 연결이 삭제되고 Private Service Connect 연결이 종료되었습니다. 네트워크 트래픽이 두 네트워크 간에 이동할 수 없습니다. 종료된 연결은 터미널 상태입니다. 연결을 복원하려면 서비스 연결과 엔드포인트 또는 백엔드를 모두 다시 만들어야 합니다. |
전역 액세스
서비스 액세스에 사용되는 Private Service Connect 엔드포인트는 리전별 리소스입니다. 하지만 전역 액세스를 구성하여 다른 리전에서 엔드포인트를 사용할 수 있게 만들 수 있습니다.
전역 액세스를 사용하면 모든 리전의 리소스가 Private Service Connect 엔드포인트로 트래픽을 전송할 수 있습니다. 전역 액세스를 사용하면 여러 리전에서 호스팅되는 서비스 간에 고가용성을 제공하거나, 클라이언트와 동일한 리전에 있지 않은 서비스에 대해 클라이언트 액세스를 허용할 수 있습니다.
다음 다이어그램은 동일한 엔드포인트에 액세스하는 여러 리전의 클라이언트를 보여줍니다.
엔드포인트가
us-west1에 있고 전역 액세스가 구성되어 있습니다.us-west1의 VM은 엔드포인트로 트래픽을 전송할 수 있고 트래픽이 동일한 리전 내에 유지됩니다.us-east1의 VM과 온프레미스 네트워크의 VM도 다른 리전에 있더라도us-west1에서 엔드포인트를 연결할 수 있습니다. 점선은 리전 내부의 트래픽 경로를 나타냅니다.
그림 2. 전역 액세스가 지원되는 Private Service Connect 엔드포인트를 사용하면 서비스 소비자가 소비자의 VPC 네트워크에서 서비스 제작자의 VPC 네트워크에 있는 서비스로 트래픽을 전송할 수 있습니다. 클라이언트는 엔드포인트와 동일한 리전 또는 다른 리전에 있을 수 있습니다(확대하려면 클릭).
전역 액세스 사양
- 엔드포인트에 대해 언제든지 전역 액세스를 사용 설정 또는 사용 중지할 수 있습니다.
- 전역 액세스를 사용 설정하면 기존 연결에 대해 트래픽이 중단되지 않습니다.
- 전역 액세스를 사용 중지하면 엔드포인트가 위치한 리전이 아닌 다른 리전의 모든 연결이 종료됩니다.
전역 액세스가 있는 엔드포인트는 공유VPC 호스트 프로젝트 또는 서비스 프로젝트에 생성할 수 있습니다. 클라이언트 VM, Cloud VPN 터널 또는 Cloud Interconnect용 VLAN 연결은 엔드포인트와 동일한 프로젝트에 있을 필요가 없습니다.
모든 Private Service Connect 서비스는 전역 액세스가 포함된 엔드포인트를 지원합니다. 서비스가 전역 액세스를 지원하는지 확인하려면 서비스 프로듀서에게 확인하세요. 자세한 내용은 지원되는 구성을 참조하세요.
전역 액세스는 여러 전역 액세스 엔드포인트에 대해 단일 전역 IP 주소 또는 DNS 이름을 제공하지 않습니다.
공유 VPC
서비스 프로젝트 관리자는 공유 VPC 네트워크의 IP 주소를 사용하는 공유 VPC 서비스 프로젝트에 엔드포인트를 만들 수 있습니다. 구성은 일반 엔드포인트와 동일하지만 엔드포인트는 공유 VPC의 공유 서브넷에서 예약된 IP 주소를 사용합니다.
IP 주소 리소스는 서비스 프로젝트 또는 호스트 프로젝트에 예약될 수 있습니다. IP 주소의 소스는 서비스 프로젝트와 공유된 서브넷이어야 합니다.
자세한 내용은 공유 VPC 네트워크에서 IP 주소로 엔드포인트 만들기를 참조하세요.
VPC 서비스 제어
VPC 서비스 제어와 Private Service Connect는 서로 호환됩니다. Private Service Connect 엔드포인트가 배포된 VPC 네트워크가 VPC 서비스 제어 경계에 있으면 엔드포인트가 동일한 경계에 속합니다. 엔드포인트를 통해 액세스하는 모든 VPC 서비스 제어 지원 서비스에는 해당 VPC 서비스 제어 경계의 정책이 적용됩니다.
엔드포인트를 만들면 소비자 프로젝트와 제작자 프로젝트 간에 제어 영역 API 호출이 수행되어 Private Service Connect 연결이 설정됩니다. 동일한 VPC 서비스 제어 경계에 없는 소비자 프로젝트와 제작자 프로젝트 간에 Private Service Connect 연결을 설정하려면 이그레스 정책을 사용한 명시적 승인이 필요하지 않습니다. 엔드포인트를 통한 VPC 서비스 제어 지원 서비스와의 통신은 VPC 서비스 제어 경계로 보호됩니다.
부하 분산기 다음 홉이 있는 정적 경로
내부 패스 스루 네트워크 부하 분산기의 전달 규칙을 다음 홉(--next-hop-ilb)으로 사용하도록 정적 경로를 구성할 수 있습니다. 이 유형의 일부 경로는 Private Service Connect에서 지원되지 않습니다.
--next-hop-ilb를 사용하여 내부 패스 스루 네트워크 부하 분산기 전달 규칙의 이름을 지정하는 정적 경로는 경로와 엔드포인트가 동일한 VPC 네트워크 및 리전 있을 때 Private Service Connect 엔드포인트로 트래픽을 주고받는 데 사용할 수 있습니다.
Private Service Connect에는 다음 라우팅 구성이 지원되지 않습니다.
--next-hop-ilb를 사용하여 내부 패스 스루 네트워크 부하 분산기 전달 규칙의 IP 주소를 지정하는 정적 경로입니다.--next-hop-ilb를 사용하여 Private Service Connect 엔드포인트 전달 규칙의 이름 또는 IP 주소를 지정하는 정적 경로입니다.
로깅
엔드포인트를 사용하여 다른 VPC 네트워크의 서비스에 액세스하는 VM이 포함된 서브넷에서 VPC 흐름 로그를 사용 설정할 수 있습니다. 로그는 VM과 엔드포인트 간의 흐름을 보여줍니다.
감사 로그를 사용하여 엔드포인트의 연결 상태 변경사항을 볼 수 있습니다. 엔드포인트의 연결 상태 변경사항은 GCE 전달 규칙 리소스 유형에 대한 시스템 이벤트 메타데이터에 캡처됩니다.
pscConnectionStatus를 필터링하여 이러한 항목을 볼 수 있습니다.예를 들어 서비스 생산자가 프로젝트에서 연결을 허용하는 경우 엔드포인트의 연결 상태가
PENDING에서ACCEPTED로 변경되고 이 변경이 감사 로그에 반영됩니다.- 감사 로그를 보려면 로그 보기를 참조하세요.
- 감사 로그를 기준으로 알림을 설정하려면 로그 기준 알림 관리를 참조하세요.
가격 책정
Private Service Connect의 가격은 VPC 가격 책정 페이지에 설명되어 있습니다.
할당량
게시된 서비스에 액세스하기 위해 만들 수 있는 엔드포인트 수는 PSC Internal LB Forwarding Rules 할당량에 따라 제어됩니다.
자세한 내용은 할당량을 참조하세요.
조직 정책 제약조건
조직 정책 관리자는 constraints/compute.disablePrivateServiceConnectCreationForConsumers 제약조건을 사용하여 사용자가 전달 규칙을 만들 수 없는 엔드포인트 유형 집합을 정의할 수 있습니다.
이 제약조건을 사용하는 조직 정책을 만드는 방법에 대한 자세한 내용은 사용자가 연결 유형별로 엔드포인트를 배포하지 못하도록 차단을 참조하세요.