피어링 기반 서비스의 Private Service Connect로의 이전 정보
많은 관리형 서비스 프로듀서는 VPC 네트워크 피어링을 사용하여 다른 가상 프라이빗 클라우드 (VPC) 네트워크에 있는 서비스 소비자에게 연결을 제공합니다. Private Service Connect를 사용하는 것도 하나의 해결 방법입니다.
이 문서에서는 서비스 프로듀서가 피어링 기반 서비스를 Private Service Connect로 이전하고 서비스에 액세스하는 데 사용되는 IP 주소를 보존하는 방법을 간략하게 설명합니다. 이 이전 프로세스를 실행하려면 지정된 서브넷에 연결된 모든 리소스를 동시에 이전해야 합니다.
각 서비스 제작자는 Private Service Connect로 이전할지 여부와 시기를 결정합니다. 서비스 제작자가 VPC 네트워크 피어링에서 Private Service Connect로 이전하는지 확인하려면 서비스 문서를 확인하거나 서비스 제작자에게 문의하세요.
피어링 기반 서비스 이전
이 피어링 기반 서비스 예시에서 클라이언트 vm1는 프로듀서 VPC 네트워크의 서비스 부하 분산기 10.10.10.10로 트래픽을 전송합니다. 네트워크가 VPC 네트워크 피어링을 통해 연결되어 있으므로 소비자 네트워크에는 프로듀서 서브넷의 피어링 서브넷 경로가 있습니다.
그림 1. 피어링 기반 서비스에서 소비자 VPC 네트워크와 프로듀서 VPC 네트워크는 VPC 네트워크 피어링을 통해 서로 액세스할 수 있습니다 (확대하려면 클릭).
이전 중에 다음 작업이 완료됩니다.
- 프로듀서는 새 VPC 네트워크의 새 서브넷
producer-subnet-2에 서비스를 배포하고 Private Service Connect를 통해 서비스를 게시합니다. - 생산자는 내부 범위를 만들어 생산자 서브넷
10.10.10.0/24의 CIDR 범위를 예약합니다. - 프로듀서가 원래 서브넷
producer-subnet-1및 그 안에 있는 모든 리소스를 삭제합니다. - 이전 서브넷
consumer-subnet-2이 소비자 VPC 네트워크에 생성되며, 프로듀서 서브넷과 동일한 CIDR 범위로 구성됩니다. - 이전 서브넷에 Private Service Connect 엔드포인트가 생성되며, 이 엔드포인트는 이전에 프로듀서 부하 분산기 전달 규칙에서 사용한 것과 동일한 IP 주소로 구성됩니다.
이전이 완료된 후에도 클라이언트 vm1는 10.10.10.10의 서비스에 계속 연결할 수 있지만 이 IP 주소는 이제 소비자 VPC 네트워크의 Private Service Connect 엔드포인트와 연결됩니다.
그림 2. 이전 후 소비자 VPC 네트워크의 클라이언트는 Private Service Connect 엔드포인트로 요청을 전송하고, 이 엔드포인트는 트래픽을 프로듀서 VPC 네트워크로 전달합니다 (확대하려면 클릭).
이전 작업
이전에는 프로듀서 VPC 네트워크와 소비자 VPC 네트워크 모두에서 실행되는 작업이 포함됩니다. 프로듀서는 소비자와 협력하여 이전을 실행할 수 있으며, Google 관리 서비스의 경우 서비스 프로듀서가 서비스 에이전트를 통해 소비자 작업을 자동화할 수 있습니다.
| 작업 | 프로듀서 | 소비자 |
|---|---|---|
| Private Service Connect 서비스 배포 | ||
| 프로듀서 프로젝트의 새 VPC 네트워크에 있는 새 서브넷에 서비스를 배포하고 Private Service Connect를 사용하여 게시합니다. | 제작자 실연자 | |
| 피어링 기반 서비스 종료 | ||
| 프로듀서 프로젝트에서 내부 범위를 만들어 프로듀서 서브넷 CIDR 범위 예약하기 | 제작자가 연주함 | 소비자가 이전 타겟에 사용할 서브넷 이름을 제공합니다. |
| 프로듀서 서브넷의 모든 리소스를 삭제한 다음 서브넷 삭제 | 제작자 실행 | 소비자가 더 이상 서비스에 액세스할 수 없음 |
| 소비자 네트워크에 Private Service Connect 엔드포인트 만들기 | ||
| 소비자 네트워크에 이전 서브넷 만들기 | 소비자가 서브넷 이름을 선택하지 않은 경우 프로듀서가 소비자에게 서브넷 이름을 제공합니다. | 소비자(또는 서비스 에이전트를 통한 제작자)가 실행합니다. |
| 소비자 네트워크에 Private Service Connect 엔드포인트 만들기 | 제작자가 소비자에게 서비스 연결 URI 제공 | 소비자 (또는 서비스 에이전트를 통한 제작자)가 실행합니다. 소비자가 서비스에 액세스할 수 있습니다. |
| Private Service Connect 엔드포인트를 통한 액세스 유효성 검사 | 소비자가 실행함 | |
| 이전 완료 | ||
| 내부 범위 삭제 | 제작자가 연주함 | |
| 소비자의 이전 서브넷을 업데이트하여 일반 서브넷으로 변환 | 소비자 (또는 서비스 에이전트를 통한 제작자)가 실행합니다. | |
| 다른 서비스에 필요하지 않은 경우 프로듀서 및 소비자 네트워크에서 피어링 연결을 삭제합니다. | 제작자 실연자 | 소비자 (또는 서비스 에이전트를 통한 제작자)가 실행합니다. |
고려사항
피어링 기반 서비스를 Private Service Connect로 이전하려는 서비스 제작자는 다음 사항을 고려하세요.
- 서비스의 Private Service Connect 구현은 피어링 기반 서비스와 동일한 기능을 제공해야 합니다.
- 이전 중에 서비스 인스턴스가 포함된 서브넷의 모든 리소스를 삭제할 수 있어야 합니다. 여러 서비스 인스턴스가 동일한 서브넷을 사용하는 경우 모든 인스턴스를 동시에 이전해야 합니다.
소비자의 Private Service Connect 엔드포인트와 프로듀서의 서비스 연결 및 전달 규칙은 모두 동일한 리전에 있어야 합니다.
모든 리전에서 엔드포인트에 액세스할 수 있도록 하려면 엔드포인트에서 전역 액세스를 사용 설정하면 됩니다.
서비스가 상태를 저장하는 경우 상태를 새 서비스 인스턴스로 이전하는 메서드가 있어야 합니다.
프로듀서 VPC 네트워크의 모든 서비스 인스턴스가 이전될 때까지 피어링 연결을 삭제할 수 없습니다.
마이그레이션 중에 서비스 다운타임이 발생합니다.
Private Service Connect로 이전하면 제작자와 소비자 모두에게 가격 인상이 적용됩니다. 이전하기 전에 소비자에게 이 변경사항을 알립니다.
Private Service Connect는 클라이언트의 소스 IP 주소를 NAT 서브넷의 IP 주소로 변환합니다. 서비스에 클라이언트에 관한 IP 주소 정보가 필요한 경우 PROXY 프로토콜을 사용하여 클라이언트 IP 주소를 가져오고 백엔드 VM과 애플리케이션 간에 패킷을 적절하게 처리해야 합니다.
이전을 위한 내부 범위
내부 범위는 프로듀서 서브넷에서 사용되는 CIDR 범위를 예약하는 데 사용되므로 프로듀서 서브넷이 삭제될 때 CIDR 범위를 다른 용도로 사용할 수 없습니다.
피어 이전을 위한 내부 범위를 만들 때는 사용량을 FOR_MIGRATION로 설정하고 소스 및 대상 서브넷을 지정합니다. 소스 서브넷은 프로듀서 서브넷이고 대상 서브넷은 나중에 소비자 네트워크에서 생성될 새 피어 이전 서브넷입니다.
내부 범위를 만들면 대상 서브넷 이름과 CIDR 범위 모두와 일치하는 서브넷이 생성되지 않습니다. 그러나 다른 CIDR 범위를 사용하는 경우 소비자 네트워크에 동일한 이름의 다른 서브넷을 만들 수 있습니다. 이 경우 일치하는 이름의 소비자 서브넷이 삭제되거나 내부 범위가 삭제될 때까지 이전을 진행할 수 없습니다.
피어 마이그레이션 서브넷
이전을 위해 소비자 네트워크에 생성된 서브넷의 목적은 PEER_MIGRATION로 설정됩니다. 피어 이전 서브넷에는 IP 주소와 Private Service Connect 엔드포인트만 포함할 수 있습니다.
마이그레이션이 완료되고 확인되면 서브넷의 목적을 PRIVATE로 설정하여 일반 서브넷이 되도록 서브넷이 업데이트되고 서브넷에 다른 리소스를 만들 수 있습니다. 일반 서브넷은 피어 이전 서브넷으로 다시 변환할 수 없습니다.
피어 이전 서브넷을 만들거나 사용하려면 compute.subnetworks.usePeerMigration Identity and Access Management (IAM) 권한이 있어야 합니다. 이 권한은 사전 정의된 역할에 포함되어 있지 않으므로 사용하려면 맞춤 역할을 만들어야 합니다.
compute.subnetworks.usePeerMigration 권한이 있는 사용자만 다음 작업을 할 수 있습니다.
- 피어 이전 서브넷에서 IP 주소 리소스를 만들고 삭제합니다.
- 피어 이전 서브넷에서 Private Service Connect 엔드포인트(전달 규칙)를 만들고 삭제합니다.
Compute 네트워크 관리자 역할 (roles/compute.networkAdmin)은 있지만 compute.subnetworks.usePeerMigration 권한이 없는 주 구성원은 위의 작업을 수행할 수 없지만 다음 작업은 할 수 있습니다.
- 목적을
PEER_MIGRATION로 설정하여 서브넷을 만듭니다. - 서브넷을 업데이트합니다(예: CIDR 범위를 확장하거나 비공개 Google 액세스를 사용 설정).
- 서브넷 용도를
PRIVATE로 업데이트합니다. - 서브넷을 삭제합니다.
가격 책정
가격 정보는 다음을 참고하세요.
서비스 프로듀서: 서비스 게시 가격
서비스 소비자: 엔드포인트를 통해 게시된 서비스에 액세스하는 가격