서비스 연결 정책 정보
이 페이지에서는 서비스 연결 정책을 간략하게 설명합니다.
서비스 소비자는 적격한 관리형 서비스 인스턴스에 대한 배포 및 연결을 자동화하는 서비스 연결 정책을 만들 수 있습니다. 이 프로세스는 Private Service Connect 서비스 연결 자동화라고 합니다.
예를 들어 소비자 서비스 관리자는 데이터베이스를 배포한 후 해당 데이터베이스에 연결하도록 Private Service Connect를 구성하는 데이터베이스 관리자일 수 있습니다. 그러나 데이터베이스 관리자에게 필요한 Identity and Access Management(IAM) 사용자 인증 정보나 네트워킹 리소스 배포 방법에 대한 지식이 없을 수 있습니다. 서비스 연결 정책이 존재하고 서비스 자동화를 위해 프로듀서 서비스를 구성한 경우 데이터베이스 관리자가 서비스 연결 자동화를 통해 프로듀서 서비스의 인스턴스를 배포하고 네트워크에 연결하도록 요청할 수 있습니다.
서비스 연결 정책은 다음 역할에 유용합니다.
- 소비자 서비스 관리자는 관리형 프로듀서 서비스의 인스턴스를 배포하고 프로듀서 서비스의 관리 API 또는 UI를 통해 인스턴스에 대한 연결을 구성할 수 있습니다. Private Service Connect를 구성하는 추가 단계가 필요 없습니다.
- 네트워크 관리자는 연결에 사용되는 서비스와 서브넷을 제어하는 단일 정책 집합을 만들 수 있습니다.
- 서비스 프로듀서는 서비스 연결을 공유하고 연결 배포를 통해 소비자를 안내하는 프로세스를 간소화할 수 있습니다. 서비스 연결 정책이 있는 소비자는 프로듀서의 관리 API 또는 UI를 사용하여 프로듀서 서비스를 구성할 수 있습니다.
서비스 인스턴스 배포
서비스 연결 정책을 사용하여 관리형 서비스의 인스턴스를 배포하려면 그림 1에 나와 있는 다음 단계가 필요합니다.
소비자 네트워크 관리자는 VPC 네트워크에 대한 서비스 연결 정책을 만듭니다. 이 네트워크는 선택적으로 공유 VPC 네트워크가 됩니다.
서비스 연결 정책을 사용하면 Google에서 소비자 서비스 관리자를 대신하여 Private Service Connect 엔드포인트를 자동으로 배포할 수 있습니다. 서비스 연결 정책은 특정 프로듀서 서비스를 식별하는 전역적으로 고유한 리소스인 서비스 클래스를 참조합니다. 단일 서비스 연결 정책은 범위가 단일 서비스 클래스와 이 범위 내에서 연결을 구성할 수 있는 권한을 위임하는 단일 소비자 VPC 네트워크로 지정됩니다.
소비자 서비스 관리자는 서비스의 관리 API 또는 UI를 사용하여 관리형 서비스 인스턴스를 배포하고 해당 인스턴스에 대한 연결을 구성합니다.
공유 VPC 네트워크에서 서비스 연결 정책을 만든 경우 연결된 서비스 프로젝트에 관리형 서비스 인스턴스를 배포할 수 있습니다.
프로듀서는 소비자의 연결 구성을 수신하고 이 정보를 서비스 연결 맵에 전달합니다.
네트워크 연결 서비스 계정은 소비자 VPC 네트워크에 엔드포인트를 만듭니다. 이 엔드포인트는 프로듀서 VPC 네트워크의 서비스 연결에 연결됩니다.
지원되는 서비스
관리형 서비스에서 서비스 연결 정책을 지원하는지 여부를 확인하려면 서비스 제공업체에 문의하세요. 서비스에서 서비스 연결 정책을 지원하는 경우 서비스 제공업체에서 관련 서비스 클래스를 제공할 수 있습니다.
프로듀서가 소비자를 대신하여 서비스를 자동화할 수 있게 해주는 서비스 클래스는 일부 미리보기 버전으로 프로듀서에게 제공됩니다. 서비스 클래스를 통해 자체 관리형 서비스의 연결을 자동화하는 방법은 Google Cloud 영업 담당자에게 문의하세요.
서비스 연결 정책
서비스 연결 정책은 리전별 Google Cloud 리소스입니다. 이 정책으로 네트워크 관리자가 서비스 연결 자동화를 통해 배포 및 연결될 수 있는 프로듀서 서비스를 지정할 수 있습니다. 관리형 서비스에 서비스 연결 정책이 있는 경우 소비자 서비스 관리자는 해당 서비스를 배포할 수 있습니다.
서비스 연결 정책의 필드는 다음과 같습니다.
- 서비스 클래스: 정책이 적용되는 관리형 서비스의 유형을 지정합니다. 서비스 연결 정책을 지원하는 각 프로듀서는 전역적으로 고유한 서비스 클래스를 갖습니다.
- VPC 네트워크: 정책의 범위가 지정된 VPC 네트워크를 지정합니다.
- 서브넷: Private Service Connect 엔드포인트의 IP 주소가 할당된 서브넷을 지정합니다.
- 연결 한도: 프로듀서가 정책의 VPC 네트워크 및 리전에 만들 수 있는 Private Service Connect 연결의 최대 수를 지정합니다.
사양
서비스 연결 정책의 사양은 다음과 같습니다.
- 네트워크, 리전, 서비스 클래스의 조합별로 단일 서비스 연결 정책을 만들 수 있습니다. 이렇게 하면 하나의 정책만 Private Service Connect 엔드포인트 생성을 제어합니다.
- 특정 서비스 클래스에 대한 서비스 연결 정책이 있는 경우 소비자 서비스 관리자는 서비스의 관리 API 또는 UI를 사용해 서비스 연결 자동화를 사용하여 서비스를 배포하고 연결을 구성할 수 있습니다.
- 서비스 연결 정책 구성에 포함된 서브넷은 Private Service Connect 엔드포인트에 할당된 IP 주소를 제공합니다. 이러한 서브넷은 일반 서브넷이어야 하며 서비스 연결 정책과 동일한 리전에 있어야 합니다. 일반 서브넷은 Private Service Connect 서브넷과 다릅니다.
- 권장사항으로 서비스 연결 정책에 전용 서브넷을 사용하는 것이 좋습니다. 이렇게 하면 서브넷의 IP 주소가 다른 리소스에 재사용되지 않습니다.
- 정책이 적용되는 VPC 네트워크와 동일한 프로젝트에만 서비스 연결 정책을 만들 수 있습니다.
- 동일한 프로젝트에 있는 여러 VPC 네트워크에서 Private Service Connect 서비스 자동화를 사용하려면 각 네트워크마다 서비스 연결 정책을 만듭니다.
- 공유 VPC에 서비스 연결 정책을 사용할 수 있습니다.
프로듀서 구성
다음 섹션에서는 서비스 프로듀서가 서비스 연결 자동화를 구성하는 데 사용하는 리소스를 설명합니다.
서비스 연결 맵
서비스 연결 맵은 프로듀서가 서비스 연결과 Private Service Connect 엔드포인트 간의 매핑을 지정할 수 있게 해주는 프로듀서 측 리소스입니다. 이 맵에는 서비스 연결 목록에 매핑할 수 있는 VPC 네트워크 및 프로젝트 조합 목록이 포함됩니다.
프로듀서는 서비스 연결 맵을 사용하여 서비스 자동화를 통해 엔드포인트를 만들 때 사용할 소비자 프로젝트와 Private Service Connect 네트워크를 정의합니다.
소비자 서비스 관리자가 서비스 연결 자동화를 통해 서비스 인스턴스를 배포하도록 요청하면 관리자가 VPC 네트워크를 지정합니다. 관리형 서비스는 이 정보를 사용하여 해당 서비스 연결 맵을 업데이트하고 소비자를 연결할 서비스 연결을 지정합니다.
서비스 클래스
서비스 클래스는 관리형 서비스 유형에 대한 전역적으로 고유한 표현입니다. 각 프로듀서는 자신의 서비스 클래스를 독점적으로 소유합니다. 소비자는 서비스 연결 정책에서 서비스 클래스를 참조하여 배포를 승인하고 프로듀서에게 연결을 위임합니다.
서비스 클래스는 Google 서비스, 서드 파티 서비스, 자체 호스팅되는 내부 관리형 서비스에 존재할 수 있습니다. 서비스 연결 정책은 서비스 클래스가 있는 서비스에만 만들 수 있습니다.
승인 모델
서비스 연결 정책을 사용하면 소비자가 연결 배포를 프로듀서에게 위임할 수 있습니다. 프로듀서에게는 소비자 프로젝트에 대한 직접 액세스 또는 IAM 권한이 없습니다. 대신 프로듀서는 자신의 프로젝트에서 서비스 연결 맵을 구성합니다. 이를 통해 프로듀서는 엔드포인트를 배포할 소비자 프로젝트와 VPC 네트워크를 지정할 수 있습니다.
프로듀서가 서비스 연결 맵을 만들거나 업데이트하면 Google Cloud가 다음 승인 검사를 수행합니다.
- 연결 맵을 만들거나 업데이트하는 프로듀서 사용자는 연결된 서비스 클래스의 IAM 소유권을 갖습니다. 이 검사는 공개 서비스 클래스의 거짓 표현을 막는 데 도움이 됩니다.
- 소비자 네트워크에는 서비스 연결 맵으로 지정된 VPC 네트워크, 리전, 서비스 클래스를 승인하는 유효한 서비스 연결 정책이 있습니다. 이러한 검사를 통해 VPC 네트워크에 대한 IAM 권한이 있는 관리자가 지정된 서비스 유형에 대한 Private Service Connect 엔드포인트를 만드는 권한을 명시적으로 위임할 수 있습니다.
- 소비자가 관리형 서비스의 UI 또는 API에서 연결을 위해 지정한 프로젝트는 관리형 서비스 인스턴스와 연결됩니다. 이 검사는 관리형 서비스를 스푸핑하거나 속여 승인되지 않은 프로젝트에 대한 연결을 만드는 행위를 막는 데 도움이 됩니다.
각 조건이 충족되면 네트워크 연결 서비스 계정이 소비자 네트워크에 요청된 엔드포인트를 만듭니다. 네트워크 연결 서비스 계정은 서비스 에이전트입니다.
제한사항
- 서비스 연결 정책은 소비자 VPC 네트워크 내에 있는 Private Service Connect 엔드포인트의 자동화만 지원합니다. Private Service Connect 백엔드 또는 서비스 연결은 지원되지 않습니다.
- 서비스 연결 자동화를 통해 만든 Private Service Connect 엔드포인트를 직접 삭제할 수 없습니다. 이러한 엔드포인트의 삭제를 트리거하려면 서비스 연결을 사용 중단합니다.
- 서비스 연결 정책의 서브넷 및 연결 제한만 업데이트할 수 있습니다. 다른 필드를 업데이트하려면 정책을 삭제하고 새 정책을 만듭니다.
- 서비스 연결 정책은 IPv4 주소로 엔드포인트 만들기를 지원합니다. IPv6 주소가 포함된 엔드포인트 만들기는 지원되지 않습니다.
가격 책정
Private Service Connect의 가격은 VPC 가격 책정 페이지에 설명되어 있습니다.