Private Service Connect 인터페이스 정보
이 페이지에서는 Private Service Connect 인터페이스를 간략하게 설명합니다.
Private Service Connect 인터페이스는 프로듀서 Virtual Private Cloud(VPC) 네트워크가 소비자 VPC 네트워크의 다양한 대상에 연결을 시작할 수 있게 해주는 리소스입니다. 프로듀서 및 소비자 네트워크는 다른 프로젝트 및 조직에 포함될 수 있습니다.
Private Service Connect 인터페이스 연결을 만들려면 네트워크 인터페이스가 2개 이상 있는 가상 머신(VM) 인스턴스가 필요합니다. 첫 번째 인터페이스는 프로듀서 VPC 네트워크의 서브넷에 연결됩니다. 다른 인터페이스는 서로 다른 소비자 VPC 네트워크의 네트워크 연결에 대한 연결을 요청하는 Private Service Connect 인터페이스일 수 있습니다. 연결이 허용되면 Google Cloud 는 네트워크 연결에서 지정한 소비자 서브넷의 내부 IP 주소를 Private Service Connect 인터페이스에 할당합니다.
이 Private Service Connect 인터페이스 연결을 사용하면 프로듀서 및 소비자 조직에서 내부 IP 주소를 통해 두 네트워크가 연결되고 통신할 수 있도록 VPC 네트워크를 구성할 수 있습니다. 예를 들어 프로듀서 조직은 프로듀서 VPC 네트워크를 업데이트하여 소비자 서브넷 경로를 추가할 수 있습니다.
그림 1. 프로듀서 VPC 네트워크에서 vm-1에는 두 개의 네트워크 인터페이스가 있습니다. 하나의 가상 네트워크 인터페이스(vNIC)는 프로듀서 네트워크의 서브넷에 연결됩니다. 다른 인터페이스는 소비자 네트워크의 네트워크 연결에 연결되는 가상 Private Service Connect 인터페이스입니다(확대하려면 클릭).
Private Service Connect 인터페이스와 네트워크 연결 간의 연결은 Private Service Connect 엔드포인트와 서비스 연결 간의 연결과 유사하지만 여기에는 두 가지 주요 차이점이 있습니다.
- Private Service Connect 인터페이스를 사용하면 프로듀서 VPC 네트워크가 소비자 VPC 네트워크(관리형 서비스 이그레스)로의 연결을 시작할 수 있습니다. 엔드포인트가 반대 방향으로 작동하므로 소비자 VPC 네트워크가 프로듀서 VPC 네트워크(관리형 서비스 인그레스)로의 연결을 시작할 수 있습니다.
- Private Service Connect 인터페이스 연결은 전환됩니다. 즉, 프로듀서 네트워크의 워크로드가 소비자 VPC 네트워크에 연결된 다른 워크로드에 대한 연결을 시작할 수 있습니다. Private Service Connect 엔드포인트는 프로듀서 VPC 네트워크에 대한 연결만 시작할 수 있습니다.
그림 2. Private Service Connect 엔드포인트를 사용하면 서비스 소비자가 서비스 프로듀서에 대한 연결을 시작할 수 있는 반면 Private Service Connect 인터페이스를 사용하면 서비스 프로듀서에서 서비스 소비자에 대한 연결을 시작할 수 있습니다(확대하려면 클릭).
다른 네트워크의 워크로드에 연결
Private Service Connect 인터페이스 연결은 전이적이므로 소비자 VPC 네트워크 구성에서 허용하는 경우 프로듀서 VPC 네트워크의 리소스가 소비자 네트워크에 연결된 워크로드와 통신할 수 있습니다. 여기에는 다음이 포함됩니다.
- Cloud VPN 터널, Cloud Interconnect 또는 VPC 네트워크 피어링을 통해 소비자 VPC 네트워크에 연결된 네트워크의 워크로드.
- Cloud NAT를 통해 소비자 VPC 네트워크에서 도달할 수 있는 외부 IP 주소가 있는 워크로드.
- 비공개 Google 액세스 또는 VPC 서비스 제어를 통해 소비자 VPC 네트워크에서 도달할 수 있는 Google API 및 서비스. Private Service Connect 인터페이스에서 VPC 서비스 제어를 사용하려면 추가 구성이 필요합니다.
- Private Service Connect 엔드포인트 및 백엔드를 통해 소비자 VPC 네트워크에서 도달할 수 있는 게시된 서비스 및 Google API.
- 소비자 VPC 네트워크에 연결된 VPC 스포크의 워크로드.
그림 3. Private Service Connect 인터페이스 연결을 통해 소비자 VPC 네트워크에 연결된 프로듀서 VPC 네트워크는 소비자 VPC에 연결된 워크로드와 통신할 수 있습니다(확대하려면 클릭).
사용 사례 예시
Private Service Connect 인터페이스의 사용 사례 예시는 소비자 데이터에 액세스하기 위해 소비자 VPC 네트워크에 대한 연결을 시작해야 하는 관리형 서비스입니다. 이 서비스는 또한 고객의 온프레미스 네트워크에서 사용할 수 있는 데이터 또는 서비스에 VPN 또는 Cloud Interconnect 연결을 통해 또는 서드 파티 서비스에서 액세스해야 할 수 있습니다. Private Service Connect 인터페이스 연결은 이러한 요구사항을 모두 충족할 수 있습니다.
또 다른 사용 사례는 API 게이트웨이를 제공하는 관리형 서비스입니다. 서비스가 서로 다른 API에 대한 호출을 받으면 Private Service Connect 인터페이스를 사용하여 소비자 VPC 네트워크에 대한 연결을 시작합니다. 게이트웨이 서비스는 요청을 처리하는 백엔드 대상으로 API 요청을 전송합니다.
Private Service Connect 인터페이스와 Private Service Connect 엔드포인트는 상호 보완적이며 동일한 VPC 네트워크에서 함께 사용될 수 있습니다.
예를 들어 그림 4는 분석을 제공하는 관리형 서비스의 네트워크 구성을 설명합니다. 분석 서비스는 Private Service Connect 인터페이스를 사용하여 소비자 VPC 네트워크에 대한 연결을 시작할 수 있습니다. 소비자 네트워크의 Private Service Connect 엔드포인트를 사용하면 분석 서비스가 다른 VPC 네트워크의 데이터베이스 서비스에 연결을 시작할 수 있습니다. 분석 서비스에서 데이터베이스 서비스로 전달되는 트래픽이 소비자 네트워크를 통과하므로, 소비자가 두 서비스 간의 트래픽을 모니터링하고 보안을 제공할 수 있습니다.
그림 4. 이 예시 구성은 Private Service Connect 인터페이스와 Private Service Connect 엔드포인트가 상호 보완적입니다. 이 인터페이스를 통해 분석 서비스가 소비자 VPC 네트워크에 대한 연결을 시작할 수 있습니다. 이 엔드포인트를 사용하면 분석 서비스가 소비자 VPC 네트워크에서 데이터베이스 서비스로의 연결을 시작할 수 있습니다(확대하려면 클릭).
Private Service Connect 인터페이스 유형
Private Service Connect 인터페이스에는 두 가지 유형이 있습니다.
가상 Private Service Connect 인터페이스는 Compute Engine VM에서 사용하는 가상 네트워크 인터페이스(vNIC)를 기반으로 합니다.
동적 Private Service Connect 인터페이스(프리뷰)는 Dynamic NIC를 기반으로 합니다.
가상 Private Service Connect 인터페이스와 동적 Private Service Connect 인터페이스의 주요 차이점은 다음 표에 설명되어 있습니다.
| 유형 | VM당 최대 Private Service Connect 인터페이스 수 | 인터페이스 관리 | 지원되는 게스트 OS |
|---|---|---|---|
| 가상 Private Service Connect 인터페이스 | 최대 9개(vCPU 수에 따라 다름) | VM 생성 시 추가됨, VM 삭제 시 삭제됨 | Linux, Windows |
| 동적 Private Service Connect 인터페이스 | 최대 15개(vCPU 수에 따라 다름) | 언제든지 추가할 수 있으며 VM과 독립적으로 삭제할 수 있습니다. | Linux만 해당 |
VM의 수명 주기 전반에 걸쳐 인터페이스 구성이 변경되지 않을 것으로 예상되는 경우 가상 Private Service Connect 인터페이스를 사용하는 것이 좋습니다.
다음과 같은 경우 동적 Private Service Connect 인터페이스를 사용하는 것이 좋습니다.
- 소비자 VPC 네트워크에 대한 연결을 동적으로 관리해야 합니다.
- VM당 Private Service Connect 인터페이스가 더 필요합니다.
- Private Service Connect 인터페이스 변경 중에 다운타임을 방지해야 합니다.
사양
Private Service Connect 인터페이스는 네트워크 연결에 연결하는 특수한 유형의 네트워크 인터페이스입니다.
네트워크 인터페이스 사양은 Private Service Connect 인터페이스에도 적용됩니다.
다음 사양은 두 유형의 Private Service Connect 인터페이스에 모두 적용됩니다.
- Private Service Connect 인터페이스를 사용하는 VM에는 네트워크 인터페이스가 2개 이상 필요합니다. 첫 번째 네트워크 인터페이스는 항상
nic0이라는 기본 네트워크 인터페이스입니다. 이 인터페이스는 프로듀서 서브넷에 연결됩니다. 두 번째 인터페이스는 소비자 서브넷에 대한 연결을 요청하는 Private Service Connect 인터페이스입니다. - 소비자 프로젝트가 Private Service Connect 인터페이스의 연결을 수락하면 Google Cloud는 네트워크 연결의 서브넷에서 IP 주소를 사용하여 인터페이스를 구성합니다.
- 내부 IPv4 주소는 서브넷의 기본 IP 주소 범위에서 할당됩니다.
- 네트워크 연결의 서브넷이 이중 스택이고 Private Service Connect 인터페이스가 이중 스택인 경우 서브넷의 IPv6 범위에서 내부 IPv6 주소가 할당됩니다.
- 네트워크 첨부에는 IPv6 전용 서브넷(프리뷰)을 사용할 수 없습니다.
- 네트워크 연결에 Private Service Connect 인터페이스에 할당할 IP 주소가 충분하지 않으면 인터페이스 생성이 실패하고 오류가 반환됩니다.
- VM을 만드는 중에 오류가 발생하면 VM이 생성되지 않습니다.
- 기존 VM에 동적 Private Service Connect 인터페이스를 추가할 때 오류가 발생하면 인터페이스가 추가되지 않습니다.
- 인터페이스를 통해 트래픽을 라우팅하려면 Private Service Connect 인터페이스의 VM 게스트 OS를 수동으로 구성해야 합니다.
- Private Service Connect 인터페이스에서는 별칭 IP 범위를 지원합니다. 네트워크 연결 서브넷의 기본 IPv4 주소 범위에서 별칭 IP 범위를 가져와야 합니다.
- Google Cloud 는 Private Service Connect 인터페이스에 할당된 IP 주소가 VM의 다른 네트워크 인터페이스에 연결된 서브넷의 주소 범위와 겹치지 않도록 확인합니다. 사용 가능한 주소가 부족하면 VM을 만들 수 없습니다.
- Private Service Connect 인터페이스는 네트워크 인터페이스와 같은 방식으로 통신합니다.
- 네트워크 연결과 Private Service Connect 인터페이스 간의 연결은 양방향이며 전이적입니다. 프로듀서 VPC 네트워크의 워크로드에서 소비자 VPC 네트워크에 연결된 워크로드에 대한 연결을 시작할 수 있습니다.
- 동적 및 가상 Private Service Connect 인터페이스는 동일한 VM에서 공존할 수 있습니다.
- Private Service Connect 인터페이스는 VPC 서비스 제어를 지원합니다. 이 조합에는 추가 라우팅 구성이 필요합니다.
가상 Private Service Connect 인터페이스 사양
다음 사양은 가상 Private Service Connect 인터페이스에만 적용됩니다.
- 가상 Private Service Connect 인터페이스는 VM 생성 시에만 만들 수 있으며 연결된 VM을 삭제해야만 삭제할 수 있습니다.
- VM의 vCPU 수에 따라 단일 VM에 최대 7개의 가상 Private Service Connect 인터페이스를 만들 수 있습니다.
동적 Private Service Connect 인터페이스 사양
다음 사양은 동적 Private Service Connect 인터페이스에만 적용됩니다.
- Dynamic NIC의 속성 및 제한사항은 동적 Private Service Connect 인터페이스에도 적용됩니다.
- VM을 다시 시작하지 않고도 언제든지 동적 Private Service Connect 인터페이스를 추가하거나 삭제할 수 있습니다.
- 단일 VM에는 VM의 vCPU 수에 따라 최대 15개의 동적 Private Service Connect 인터페이스가 있을 수 있습니다.
- 네트워크 인터페이스의 최대 전송 단위(MTU)는 연결된 VPC 네트워크의 MTU로 설정됩니다. 동적 Private Service Connect 인터페이스의 MTU는 상위 네트워크 인터페이스의 MTU보다 작거나 같아야 합니다. 그렇지 않으면 인터페이스 생성에 오류가 발생합니다.
제한사항
다음 방법으로만 Private Service Connect 인터페이스 연결을 종료할 수 있습니다.
- 프로듀서가 인터페이스의 VM을 삭제합니다.
- 프로듀서가 동적 Private Service Connect 인터페이스를 삭제합니다.
- 소비자가 Private Service Connect 인터페이스에 연결된 프로젝트를 삭제합니다. 이 작업은 인터페이스의 VM을 중지합니다.
- 소비자가 Private Service Connect 인터페이스에 연결된 프로젝트에서 Compute Engine API를 중지합니다. 이 작업은 인터페이스의 VM을 중지합니다.
VM에 Private Service Connect 인터페이스가 여러 개 있는 경우 각 인터페이스는 고유한 네트워크 연결에 연결되어야 하며 각 네트워크 연결은 서로 다른 소비자 VPC 네트워크에 있어야 합니다.
외부(공개적으로 광고된) IP 주소를 Private Service Connect 인터페이스에 할당할 수 없습니다.
Windows 게스트 OS를 사용하는 VM에서는 동적 Private Service Connect 인터페이스가 지원되지 않습니다. 이 구성은 API에서 방지되지 않지만 Windows 게스트 OS 드라이버가 Dynamic NIC를 지원하지 않기 때문에 패킷이 흐르지 않습니다.
Private Service Connect 인터페이스는 내부 전달 규칙의 다음 홉일 수 없습니다.
Private Service Connect 인터페이스를 Google Kubernetes Engine(GKE) 노드 또는 포드와 직접 연결할 수 없습니다. 하지만 서비스 이그레스는 프록시 VM에 구성된 Private Service Connect 인터페이스를 통해 GKE에서 사용 가능합니다.
Private Service Connect 인터페이스가 있는 VM은 Compute Engine VM을 타겟팅하는 백엔드 서비스에 포함될 수 없습니다. VM은 백엔드 서비스와 동일한 프로젝트에 있어야 하기 때문입니다.
가격 책정
Private Service Connect 인터페이스의 가격은 VPC 가격 책정 페이지에 설명되어 있습니다.