이 문서에서는 네트워크 관리자가 서비스 연결 정책을 사용하여 서비스 연결 자동화를 통해 지원되는 관리형 서비스 인스턴스에 연결을 제공하는 방법을 설명합니다. 이 문서를 읽기 전에 서비스 연결 자동화 정보에 설명된 개념을 숙지해야 합니다.
사양
서비스 연결 정책의 사양은 다음과 같습니다.
네트워크, 리전, 서비스 클래스의 조합별로 하나의 서비스 연결 정책만 만들 수 있습니다. 예를 들어 google-cloud-sql의 us-central1에 vpc1에 대한 서비스 연결 정책을 하나만 보유할 수 있습니다. 이 유효성 검사는 하나의 서비스 연결 정책만 특정 Private Service Connect 엔드포인트를 제어한다는 것을 의미합니다.
서비스 인스턴스 관리자는 서비스의 관리 API 또는 UI를 사용하여 서비스를 배포하고 서비스 연결 자동화를 사용하여 연결을 구성할 수 있습니다.
서비스 연결 자동화를 통해 생성된 엔드포인트에는 서비스 프로듀서가 적용한 라벨이 있을 수 있습니다. 라벨에 대한 자세한 내용은 라벨을 사용한 리소스 구성을 참조하세요.
동일한 프로젝트에 있는 여러 VPC 네트워크에서 Private Service Connect 서비스 자동화를 사용하려면 각 네트워크마다 서비스 연결 정책을 만듭니다.
원하는 경우 연결 한도를 구성하여 특정 서비스 프로듀서가 정책의 VPC 네트워크 및 리전에 만들 수 있는 Private Service Connect 연결의 최대 개수를 지정할 수 있습니다.
서비스 연결 정책을 통해 생성된 엔드포인트는 연결 전파를 통해 다른 VPC 네트워크에서 사용할 수 있습니다.
승인
서비스 연결 정책을 사용하면 소비자가 연결 배포를 관리형 서비스에 위임할 수 있습니다. 서비스 프로듀서에게는 소비자 프로젝트에 대한 직접 액세스 또는 IAM 권한이 없습니다. 대신 프로듀서는 자신의 프로젝트에서 서비스 연결 맵을 구성합니다.
서비스 연결 맵이 생성되거나 업데이트되면(일반적으로 소비자 서비스 관리자가 관리형 서비스의 관리 API 또는 UI에 보낸 요청에 대한 응답으로) 서비스 연결 자동화는 일련의 승인 검사를 실행합니다. 모든 검사가 통과하면 요청에 지정된 대로 Private Service Connect 엔드포인트가 생성됩니다.
서비스 연결 정책은 호스트 프로젝트 또는 연결된 서비스 프로젝트에 있는 서비스 인스턴스에 대한 연결을 자동화할 수 있습니다.
공유 VPC를 사용하는 경우 호스트 프로젝트에서 서비스 연결 정책을 만들어야 합니다. 엔드포인트는 서비스 인스턴스 구성에 지정된 프로젝트에서 만들어집니다.
공유 VPC 네트워크에서 서비스 연결 정책을 만들고 서비스 프로젝트에 서비스 인스턴스를 배포하면 서비스 연결 자동화가 프로젝트의 네트워크 연결 서비스 계정을 업데이트하여 서비스 연결 정책과 연결된 서브넷을 공유합니다.
이 서비스 계정에는 공유 서브넷의 Compute 네트워크 사용자 역할(roles/compute.networkUser)이 부여됩니다.
기본적으로 서비스 연결 자동화는 동일한Google Cloud 프로젝트(또는 공유 VPC의 경우 연결된 프로젝트)에 있는 서비스 인스턴스 및 연결된 서비스 연결 정책의 엔드포인트를 만듭니다.
지원되는 Google 서비스의 경우 서비스 인스턴스와 연결 엔드포인트가 서로 다른 프로젝트 또는 조직에 있을 수도 있습니다.
일부 Google 서비스는 커스텀 서비스 인스턴스 범위 구성을 지원하지 않습니다.
서비스가 커스텀 서비스 인스턴스 범위를 지원하는지 확인하려면 특정 서비스의 문서를 참조하세요.
서비스 인스턴스 범위(--producer-instance-location) 설정을 사용하여 다른 Resource Manager 노드(프로젝트, 폴더, 조직)에 있는 서비스 인스턴스에 대한 연결을 구성합니다.
no_producer_instance_location으로 설정하면 동일한 프로젝트에만 엔드포인트가 생성됩니다. 이 설정이 기본값입니다.
custom_resource_hierarchy_levels로 설정된 경우 --allowed-google-producers-resource-hierarchy-level 필드에 Resource Manager 노드 목록을 지정합니다.
서비스 연결 정책의 서비스 인스턴스 범위를 업데이트해도 기존 엔드포인트는 영향을 받지 않습니다.
서비스 인스턴스에 연결되는 엔드포인트에 사용 가능한 IP 버전(IPv4, IPv6 또는 둘 다)은 서비스 연결 자동화가 아닌 서비스 프로듀서가 결정합니다. 서비스가 IPv4와 IPv6를 모두 지원하는 경우 서비스 인스턴스 관리자는 서비스의 관리 API를 통해 인스턴스를 배포할 때 IP 버전을 선택할 수 있습니다.
서비스의 지원되는 IP 버전에 관한 자세한 내용은 서비스 문서를 참조하세요.
서비스 인스턴스 관리자가 IP 버전을 선택하면 서비스 연결 자동화는 엔드포인트 IP 주소를 만드는 데 사용할 호환되는 서브넷에 대한 서비스 연결 정책을 확인합니다.
[[["이해하기 쉬움","easyToUnderstand","thumb-up"],["문제가 해결됨","solvedMyProblem","thumb-up"],["기타","otherUp","thumb-up"]],[["이해하기 어려움","hardToUnderstand","thumb-down"],["잘못된 정보 또는 샘플 코드","incorrectInformationOrSampleCode","thumb-down"],["필요한 정보/샘플이 없음","missingTheInformationSamplesINeed","thumb-down"],["번역 문제","translationIssue","thumb-down"],["기타","otherDown","thumb-down"]],["최종 업데이트: 2025-09-02(UTC)"],[],[],null,["# About service connection policies\n=================================\n\nThis document explains how network administrators can use service connection\npolicies to provide connectivity to supported managed service instances through\nservice connectivity automation. Before reading this document, ensure that\nyou're familiar with the concepts explained in [About service connectivity\nautomation](/vpc/docs/about-service-connectivity-automation).\n\nSpecifications\n--------------\n\nService connection policies have the following specifications:\n\n- You can create only one service connection policy for each combination of\n network, region, and [service\n class](/vpc/docs/about-service-connectivity-automation#service-class). For\n example, you can have only one service connection policy for `vpc1` in\n `us-central1` for `google-cloud-sql`. This validation means that only one\n service connection policy governs a given Private Service Connect\n endpoint.\n\n- Service instance administrators can use the service's administrative API or\n UI to deploy that service and configure connectivity by using service\n connectivity automation.\n\n- If the creation or deletion of an endpoint through\n service connectivity automation is blocked, an\n [automated process periodically retries the operation](/vpc/docs/about-service-connectivity-automation#endpoint-automation)\n until the blocking issue is resolved.\n\n- The subnets that are included in the service connection policy configuration\n provide IP addresses that are assigned to Private Service Connect\n endpoints. These IP addresses are automatically\n allocated and returned to the subnet's pool as managed service instances are\n created and deleted.\n\n The subnets must be [regular\n subnets](/vpc/docs/subnets#purpose), and they must be in the same region as\n the service connection policy. Regular subnets are different from\n Private Service Connect subnets.\n\n As a best practice, we recommend that you avoid using the subnets for other\n resources. If other resources consume IP addresses from the subnet, you\n might run out of IP addresses to assign to endpoints.\n- Managed services that use service connection policies might support\n [connecting to service instances by using IPv4 endpoints, IPv6 endpoints, or\n both](#ip-versions). If the service supports both IPv4 and IPv6, service\n instance administrators can choose an IP version when deploying a service\n instance.\n\n- You can [use service connection policies with Shared VPC](#shared-vpc).\n\n- By default, the service instance and the endpoints that connect to the\n service instance must be in the same project (or in the case of\n Shared VPC, in connected projects).\n\n Supported Google services let you configure a [custom service instance\n scope](#custom-scope).\n- Endpoints that are created through service connectivity automation might\n have labels applied to them by the service producer. For more information\n about labels, see [Organize resources using\n labels](/compute/docs/labeling-resources).\n\n- If you want to use Private Service Connect service automation with\n multiple VPC networks that are in the same project, create a\n service connection policy for each network.\n\n- You can optionally configure a connection limit to specify the maximum\n number of Private Service Connect connections that a\n given service producer can create in the policy's VPC\n network and region.\n\n- Endpoints that are created through service connection policies can be made\n available in other VPC networks through [connection\n propagation](/vpc/docs/about-propagated-connections).\n\nAuthorization\n-------------\n\nService connection policies let consumers delegate the deployment of\nconnectivity to managed services. The service producer doesn't have direct\naccess or IAM privileges for the consumer project. Instead, the\nproducer configures a service connection map in their own project.\n\nWhen the service connection map is created or updated, typically in response to\na request from a consumer service administrator to the managed service's\nadministrative API or UI, service connectivity automation performs a series of\nauthorization checks. If all of the checks pass,\nPrivate Service Connect endpoints are created as specified in the\nrequest.\n\nFor information about authorization, see\n[Authorization model](/vpc/docs/about-service-connectivity-automation#authorization).\n\nConnection policies in Shared VPC networks\n------------------------------------------\n\nService connection policies can automate connectivity to service instances that\nare located in host projects or in attached service projects.\n\nIf you're using Shared VPC, you must create the service connection\npolicy in the host project. Endpoints are created in the project that is\nspecified in the service instance configuration.\n\nIf you create a service connection policy in a Shared VPC network\nand deploy a service instance in a service project, service\nconnectivity automation shares the subnets that are associated with the\nservice connection policy by updating the service project's\n[Network Connectivity Service Account](/iam/docs/service-agents#network-connectivity-service-account).\nThis service account is granted the\n[Compute Network User role](/compute/docs/access/iam#compute.networkUser)\n(`roles/compute.networkUser`) on the shared subnets.\n\nFor a deployment example, see\n[Shared VPC](/vpc/docs/about-service-connectivity-automation#shared-vpc).\n\nConnection policies with custom service instance scope\n------------------------------------------------------\n\nBy default, service connectivity automation creates endpoints for service\ninstances and associated service connection policies that are in the same\nGoogle Cloud project (or in the case of Shared VPC, in connected projects).\nFor supported Google services, service instances and connecting endpoints\ncan also be in different projects or organizations.\n\nNot all Google services support configuring a custom service instance scope.\nTo determine whether a service supports a custom service instance scope, see the\ndocumentation for the specific service.\n\nUse the **Service instance scope** (`--producer-instance-location`)\nsetting to configure connectivity to service instances that are in other\nResource Manager nodes (projects, folders, and organizations).\n\n- If it's set to `no_producer_instance_location`, endpoints are created in the same project only. This is the default value.\n- If it's set to `custom_resource_hierarchy_levels`, you specify the list of Resource Manager nodes in the `--allowed-google-producers-resource-hierarchy-level` field.\n\nIf you update the service instance scope for a service connection policy,\nexisting endpoints aren't affected.\n\nFor a deployment example, see [Google services with custom service instance\nscope](/vpc/docs/about-service-connectivity-automation#google-custom-scope).\n\nEndpoint IP versions\n--------------------\n\nThe possible IP versions of endpoints that connect to service instances\n(IPv4, IPv6, or both) is determined by the service producer, not by service\nconnectivity automation. If the service supports both IPv4 and IPv6,\nservice instance administrators can choose an IP version when deploying an\ninstance through a service's administrative API.\nFor information about a service's supported IP versions, see the service's\ndocumentation.\n\nWhen a service instance administrator chooses an IP version, service\nconnectivity automation checks the service connection policy for compatible\nsubnets to use for creating endpoint IP addresses:\n\n- IPv4-only subnets support IPv4 endpoints.\n- Dual-stack subnets support both IPv4 and IPv6 endpoints.\n- IPv6-only subnets support IPv6 endpoints.\n\nIf the service connection policy doesn't have a compatible subnet, the request\nfails, and no endpoint is created.\n\nAdditionally, the IP version of the endpoint must be compatible with the IP\nversion of the service instance, which is determined by the associated service\nattachment's forwarding rule. Private Service Connect supports\nthe following IP version combinations:\n\n- IPv4 endpoint to IPv4 service attachment\n- IPv6 endpoint to IPv6 service attachment\n- IPv6 endpoint to IPv4 service attachment\n\n In this configuration, Private Service Connect automatically\n translates between the two IP versions.\n\nConnecting an IPv4 endpoint to an IPv6 service attachment isn't supported.\n\nIf you want to let both IPv4 and IPv6 clients access a managed service instance,\nconfigure connectivity for separate IPv4 and IPv6 endpoints that\nconnect to the same service.\n\nLimitations\n-----------\n\n- Service connection policies only support automating the creation of Private Service Connect endpoints. Creating Private Service Connect backends or service attachments isn't supported.\n- You cannot directly delete Private Service Connect endpoints that are created through service connectivity automation. To trigger deletion of these endpoints, [decommission service connectivity](/vpc/docs/deploy-service-instance-service-connection-policies#decommission-service).\n- You can only update the subnets and connection limit for a service connection policy. If you want to update other fields, [delete the policy](/vpc/docs/configure-service-connection-policies#delete-policy) and [create a new one](/vpc/docs/configure-service-connection-policies#create-policy).\n\nPricing\n-------\n\nPricing for Private Service Connect is described on the\n[VPC pricing page](/vpc/pricing#psc-automation).\n\nWhat's next\n-----------\n\n- [Configure service connection policies](/vpc/docs/configure-service-connection-policies)"]]