서비스 연결 정책 정보

이 문서에서는 네트워크 관리자가 서비스 연결 정책을 사용하여 서비스 연결 자동화를 통해 지원되는 관리형 서비스 인스턴스에 연결을 제공하는 방법을 설명합니다. 이 문서를 읽기 전에 서비스 연결 자동화 정보에 설명된 개념을 숙지해야 합니다.

사양

서비스 연결 정책의 사양은 다음과 같습니다.

  • 네트워크, 리전, 서비스 클래스의 조합별로 하나의 서비스 연결 정책만 만들 수 있습니다. 예를 들어 google-cloud-sqlus-central1vpc1에 대한 서비스 연결 정책을 하나만 보유할 수 있습니다. 이 유효성 검사는 하나의 서비스 연결 정책만 특정 Private Service Connect 엔드포인트를 제어한다는 것을 의미합니다.

  • 서비스 인스턴스 관리자는 서비스의 관리 API 또는 UI를 사용하여 서비스를 배포하고 서비스 연결 자동화를 사용하여 연결을 구성할 수 있습니다.

  • 서비스 연결 자동화를 통한 엔드포인트 생성 또는 삭제가 차단되면 차단 문제가 해결될 때까지 자동화된 프로세스에서 주기적으로 작업을 재시도합니다.

  • 서비스 연결 정책 구성에 포함된 서브넷은 Private Service Connect 엔드포인트에 할당된 IP 주소를 제공합니다. 이러한 IP 주소는 관리형 서비스 인스턴스가 생성 및 삭제될 때 서브넷 풀에 자동으로 할당 및 반환됩니다.

    이 서브넷은 일반 서브넷이어야 하며 서비스 연결 정책과 동일한 리전에 있어야 합니다. 일반 서브넷은 Private Service Connect 서브넷과 다릅니다.

    권장사항에 따라 다른 리소스에 서브넷을 사용하지 않는 것이 좋습니다. 다른 리소스가 서브넷의 IP 주소를 사용하는 경우 엔드포인트에 할당할 IP 주소가 부족할 수 있습니다.

  • 서비스 연결 정책을 사용하는 관리형 서비스는 IPv4 엔드포인트, IPv6 엔드포인트 또는 둘 다를 사용하여 서비스 인스턴스에 연결하는 것을 지원할 수 있습니다. 서비스가 IPv4와 IPv6를 모두 지원하는 경우 서비스 인스턴스 관리자는 서비스 인스턴스를 배포할 때 IP 버전을 선택할 수 있습니다.

  • 공유 VPC에 서비스 연결 정책을 사용할 수 있습니다.

  • 기본적으로 서비스 인스턴스와 서비스 인스턴스에 연결되는 엔드포인트는 동일한 프로젝트(또는 공유 VPC의 경우 연결된 프로젝트)에 있어야 합니다.

    지원되는 Google 서비스를 사용하면 커스텀 서비스 인스턴스 범위를 구성할 수 있습니다.

  • 서비스 연결 자동화를 통해 생성된 엔드포인트에는 서비스 프로듀서가 적용한 라벨이 있을 수 있습니다. 라벨에 대한 자세한 내용은 라벨을 사용한 리소스 구성을 참조하세요.

  • 동일한 프로젝트에 있는 여러 VPC 네트워크에서 Private Service Connect 서비스 자동화를 사용하려면 각 네트워크마다 서비스 연결 정책을 만듭니다.

  • 원하는 경우 연결 한도를 구성하여 특정 서비스 프로듀서가 정책의 VPC 네트워크 및 리전에 만들 수 있는 Private Service Connect 연결의 최대 개수를 지정할 수 있습니다.

  • 서비스 연결 정책을 통해 생성된 엔드포인트는 연결 전파를 통해 다른 VPC 네트워크에서 사용할 수 있습니다.

승인

서비스 연결 정책을 사용하면 소비자가 연결 배포를 관리형 서비스에 위임할 수 있습니다. 서비스 프로듀서에게는 소비자 프로젝트에 대한 직접 액세스 또는 IAM 권한이 없습니다. 대신 프로듀서는 자신의 프로젝트에서 서비스 연결 맵을 구성합니다.

서비스 연결 맵이 생성되거나 업데이트되면(일반적으로 소비자 서비스 관리자가 관리형 서비스의 관리 API 또는 UI에 보낸 요청에 대한 응답으로) 서비스 연결 자동화는 일련의 승인 검사를 실행합니다. 모든 검사가 통과하면 요청에 지정된 대로 Private Service Connect 엔드포인트가 생성됩니다.

승인에 관한 자세한 내용은 승인 모델을 참조하세요.

공유 VPC 네트워크의 연결 정책

서비스 연결 정책은 호스트 프로젝트 또는 연결된 서비스 프로젝트에 있는 서비스 인스턴스에 대한 연결을 자동화할 수 있습니다.

공유 VPC를 사용하는 경우 호스트 프로젝트에서 서비스 연결 정책을 만들어야 합니다. 엔드포인트는 서비스 인스턴스 구성에 지정된 프로젝트에서 만들어집니다.

공유 VPC 네트워크에서 서비스 연결 정책을 만들고 서비스 프로젝트에 서비스 인스턴스를 배포하면 서비스 연결 자동화가 프로젝트의 네트워크 연결 서비스 계정을 업데이트하여 서비스 연결 정책과 연결된 서브넷을 공유합니다. 이 서비스 계정에는 공유 서브넷의 Compute 네트워크 사용자 역할(roles/compute.networkUser)이 부여됩니다.

배포 예시는 공유 VPC를 참조하세요.

커스텀 서비스 인스턴스 범위가 있는 연결 정책

기본적으로 서비스 연결 자동화는 동일한Google Cloud 프로젝트(또는 공유 VPC의 경우 연결된 프로젝트)에 있는 서비스 인스턴스 및 연결된 서비스 연결 정책의 엔드포인트를 만듭니다. 지원되는 Google 서비스의 경우 서비스 인스턴스와 연결 엔드포인트가 서로 다른 프로젝트 또는 조직에 있을 수도 있습니다.

일부 Google 서비스는 커스텀 서비스 인스턴스 범위 구성을 지원하지 않습니다. 서비스가 커스텀 서비스 인스턴스 범위를 지원하는지 확인하려면 특정 서비스의 문서를 참조하세요.

서비스 인스턴스 범위(--producer-instance-location) 설정을 사용하여 다른 Resource Manager 노드(프로젝트, 폴더, 조직)에 있는 서비스 인스턴스에 대한 연결을 구성합니다.

  • no_producer_instance_location으로 설정하면 동일한 프로젝트에만 엔드포인트가 생성됩니다. 이 설정이 기본값입니다.
  • custom_resource_hierarchy_levels로 설정된 경우 --allowed-google-producers-resource-hierarchy-level 필드에 Resource Manager 노드 목록을 지정합니다.

서비스 연결 정책의 서비스 인스턴스 범위를 업데이트해도 기존 엔드포인트는 영향을 받지 않습니다.

배포 예시는 커스텀 서비스 인스턴스 범위가 있는 Google 서비스를 참조하세요.

엔드포인트 IP 버전

서비스 인스턴스에 연결되는 엔드포인트에 사용 가능한 IP 버전(IPv4, IPv6 또는 둘 다)은 서비스 연결 자동화가 아닌 서비스 프로듀서가 결정합니다. 서비스가 IPv4와 IPv6를 모두 지원하는 경우 서비스 인스턴스 관리자는 서비스의 관리 API를 통해 인스턴스를 배포할 때 IP 버전을 선택할 수 있습니다. 서비스의 지원되는 IP 버전에 관한 자세한 내용은 서비스 문서를 참조하세요.

서비스 인스턴스 관리자가 IP 버전을 선택하면 서비스 연결 자동화는 엔드포인트 IP 주소를 만드는 데 사용할 호환되는 서브넷에 대한 서비스 연결 정책을 확인합니다.

  • IPv4 전용 서브넷은 IPv4 엔드포인트를 지원합니다.
  • 이중 스택 서브넷은 IPv4 및 IPv6 엔드포인트를 모두 지원합니다.
  • IPv6 전용 서브넷(미리보기)은 IPv6 엔드포인트를 지원합니다.

서비스 연결 정책에 호환되는 서브넷이 없으면 요청이 실패하고 엔드포인트가 생성되지 않습니다.

또한 엔드포인트의 IP 버전은 연결된 서비스 연결의 전달 규칙에 의해 결정되는 서비스 인스턴스의 IP 버전과 호환되어야 합니다. Private Service Connect는 다음과 같은 IP 버전 조합을 지원합니다.

  • IPv4 엔드포인트에서 IPv4로 서비스 연결
  • IPv6 엔드포인트에서 IPv6으로 서비스 연결

  • IPv6 엔드포인트에서 IPv4로 서비스 연결

    이 구성에서 Private Service Connect는 두 IP 버전 간에 자동으로 변환됩니다.

IPv4 엔드포인트를 IPv6 서비스 연결에 연결하는 것은 지원되지 않습니다.

IPv4 및 IPv6 클라이언트가 모두 관리형 서비스 인스턴스에 액세스하도록 하려면 동일한 서비스에 연결되는 별도의 IPv4 및 IPv6 엔드포인트에 연결을 구성합니다.

제한사항

  • 서비스 연결 정책은 Private Service Connect 엔드포인트 생성 자동화만 지원합니다. Private Service Connect 백엔드 또는 서비스 연결 만들기는 지원되지 않습니다.
  • 서비스 연결 자동화를 통해 만든 Private Service Connect 엔드포인트를 직접 삭제할 수 없습니다. 이러한 엔드포인트의 삭제를 트리거하려면 서비스 연결을 사용 중단합니다.
  • 서비스 연결 정책의 서브넷 및 연결 제한만 업데이트할 수 있습니다. 다른 필드를 업데이트하려면 정책을 삭제하고 새 정책을 만듭니다.

가격 책정

Private Service Connect의 가격은 VPC 가격 책정 페이지에 설명되어 있습니다.

다음 단계