서비스 연결 자동화 정보

서비스 연결 자동화를 사용하면 서비스 소비자가 관리형 서비스에 대한 연결 배포를 자동화할 수 있습니다.

데이터베이스 인스턴스를 배포하고 서비스 소비자가 Private Service Connect 엔드포인트를 통해 해당 데이터베이스에 액세스하도록 허용하려는 데이터베이스 관리자를 예로 들 수 있습니다. 데이터베이스 관리자에게 필요한 Identity and Access Management (IAM) 사용자 인증 정보나 네트워킹 리소스 배포 전문 지식이 없을 수 있습니다.

관리형 서비스에서 서비스 연결 자동화를 지원하는 경우 서비스 인스턴스 구성 및 네트워킹 구성을 적절한 관리자에게 위임할 수 있습니다.

  • 서비스 인스턴스 관리자는 서비스에 액세스할 수 있는 네트워크를 제어할 수 있습니다.

  • 네트워크 관리자는 연결을 허용할 서비스를 제어할 수 있습니다.

이러한 구성이 일치하면 서비스 연결 자동화는 적절한 네트워크에 엔드포인트를 만들어 관리형 서비스 인스턴스에 연결을 제공합니다.

서비스 연결 자동화 개요

다음 섹션에서는 서비스 연결 자동화를 사용하는 단일 VPC 네트워크의 기본 구성을 설명합니다. 다른 구성에 관한 자세한 내용은 공유 VPC맞춤 서비스 인스턴스 범위가 있는 Google 서비스를 참고하세요.

서비스 연결 자동화를 지원하는 관리형 서비스의 인스턴스를 배포하려면 다음 단계를 따르세요.

  1. 네트워크 관리자는 VPC 네트워크에 대한 서비스 연결 정책을 만듭니다.

    서비스 연결 정책은 특정 프로듀서 서비스를 식별하는 전역적으로 고유한 리소스인 서비스 클래스를 참조합니다. 단일 서비스 연결 정책은 범위가 단일 서비스 클래스와 이 범위 내에서 연결을 구성할 수 있는 권한을 위임하는 단일 소비자 VPC 네트워크로 지정됩니다.

  2. 서비스 인스턴스 관리자는 서비스의 관리 API 또는 UI를 사용하여 관리형 서비스 인스턴스를 배포합니다. 서비스 인스턴스 구성은 서비스 연결 자동화를 통해 서비스에 액세스할 수 있는 네트워크를 지정합니다.

  3. 서비스 연결 자동화는 소비자 VPC 네트워크에 엔드포인트를 만듭니다. 이 엔드포인트는 서비스 인스턴스에 요청을 전송하는 데 사용할 수 있습니다.

서비스 연결 자동화를 사용하면 서비스 소비자가 관리 서비스에 대한 연결 배포를 자동화할 수 있습니다 (확대하려면 클릭).

프로듀서 구성

다음 섹션에서는 서비스 프로듀서가 서비스 연결 자동화를 구성하는 데 사용하는 리소스를 설명합니다.

서비스 클래스

서비스 클래스는 관리형 서비스 유형에 대한 전역적으로 고유한 표현입니다. 각 프로듀서는 자신의 서비스 클래스를 독점적으로 소유합니다. 소비자는 서비스 연결 정책에서 서비스 클래스를 참조하여 배포를 승인하고 프로듀서에게 연결을 위임합니다.

서비스 연결 정책은 서비스 클래스가 있는 서비스에만 만들 수 있습니다.

서비스 클래스는 Google 게시 서비스에 사용할 수 있습니다. 서비스 클래스는 자체 호스팅되는 서드 파티 서비스 및 내부 관리형 서비스에 대한 제한적인 미리보기로도 사용할 수 있습니다. 자세한 내용은 지원되는 서비스를 참고하세요.

서비스 연결 맵

서비스 연결 맵은 소비자 VPC 네트워크와 프로듀서 관리 서비스 인스턴스 간의 Private Service Connect 연결 승인 및 설정에 관한 세부정보를 저장하는 프로듀서 관리 리소스입니다. 이 맵은 프로듀서 서비스 인스턴스 (서비스 연결로 표시됨)와 서비스 인스턴스에 연결하도록 승인된 소비자 프로젝트 및 VPC 네트워크 간의 허용되는 관계를 정의합니다.

승인 모델

서비스 연결 정책을 사용하면 소비자가 연결 배포를 관리형 서비스에 위임할 수 있습니다. 서비스 프로듀서에게 소비자 프로젝트에 대한 직접 액세스 또는 IAM 권한이 없습니다. 대신 프로듀서는 자신의 프로젝트에서 서비스 연결 맵을 구성합니다.

서비스 연결 맵이 생성되거나 업데이트되면(일반적으로 소비자 서비스 관리자가 관리형 서비스의 관리 API 또는 UI에 요청한 것에 대한 응답으로) 서비스 연결 자동화는 일련의 승인 검사를 실행합니다. 모든 검사가 통과하면 요청에 지정된 대로 Private Service Connect 엔드포인트가 생성됩니다.

  • 네트워크 구성 (서비스 연결 정책):

    • 네트워크 승인 소비자 VPC 네트워크에는 요청에 지정된 VPC 네트워크, 리전, 서비스 클래스를 승인하는 유효한 서비스 연결 정책이 있어야 합니다. 이 검사를 통해 VPC 네트워크에 대한 IAM 권한이 있는 소비자 네트워크 관리자가 지정된 서비스 유형에 대한 Private Service Connect 엔드포인트를 만드는 권한을 명시적으로 위임할 수 있습니다.
    • 서비스 인스턴스 범위 관리형 서비스 인스턴스가 Google 서비스이고 서비스 연결 정책에서 맞춤 서비스 인스턴스 범위 (custom-resource-hierarchy-levels)를 지정하는 경우 서비스 연결 자동화는 제공된 Resource Manager 노드 목록 (--allowed-google-producers-resource-hierarchy-level)을 확인합니다. 서비스 인스턴스 관리자가 서비스 인스턴스를 배포하고 관리하기 위해 관리형 서비스의 UI 또는 API에 지정한 프로젝트는 이 목록에 정의된 허용된 범위 내에 있어야 합니다. 범위는 조직, 폴더, 프로젝트의 조합일 수 있습니다.
    • 엔드포인트 프로젝트 유효성 검사 연결 정책이 생성된 프로젝트는 엔드포인트가 생성될 VPC 네트워크와 연결되어야 합니다. 프로젝트에 VPC 네트워크가 포함되어 있거나 공유 VPC 네트워크에 연결된 서비스 프로젝트여야 합니다.

  • 서비스 인스턴스 구성:

    • 서비스 관리자 IAM 승인 소비자 서비스 관리자에게는 생산자 서비스 인스턴스를 만들거나 업데이트하는 데 필요한 IAM 권한이 있어야 합니다. 이러한 권한은 배포되는 서비스에 따라 다릅니다.

    • 서비스 인스턴스 관리자 승인 서비스의 관리 API에서 서비스 인스턴스를 만든 서비스 인스턴스 관리자가 연결을 요청하는 VPC 네트워크의 연결을 허용하도록 인스턴스를 구성해야 합니다.

  • 프로듀서 구성:

    • 제작자 IAM 권한 서비스 연결 맵을 만들거나 업데이트하는 프로듀서 서비스 관리자는 연결된 서비스 클래스에 대한 IAM 권한을 보유해야 합니다. 이 검사는 공개 서비스 클래스의 거짓 표현을 막는 데 도움이 됩니다.

각 조건이 충족되면 네트워크 연결 서비스 계정이 승인된 네트워크에 요청된 엔드포인트를 만듭니다. 네트워크 연결 서비스 계정은 서비스 에이전트입니다.

공유 VPC

서비스 연결 자동화를 사용하면 공유 VPC 네트워크에서 Private Service Connect 엔드포인트를 자동으로 만들 수 있습니다. 엔드포인트는 공유 VPC 네트워크의 IP 주소로 구성되므로 호스트 프로젝트와 연결된 모든 서비스 프로젝트에서 엔드포인트에 액세스할 수 있습니다.

다음 다이어그램에 표시된 구성을 만들려면 다음 작업을 완료합니다.

  1. 네트워크 관리자가 project1 호스트 프로젝트에서 vpc1 네트워크에 대한 서비스 연결 정책을 만들고 google-cloud-sql 서비스 클래스를 사용하는 서비스 인스턴스에 대한 연결을 허용합니다. 엔드포인트 IP 주소는 endpoint-subnet 서브넷에서 할당됩니다.

  2. 서비스 인스턴스 관리자가 service-project-test 프로젝트에 db-test, service-project-prod 프로젝트에 db-prod라는 두 개의 관리형 서비스 인스턴스를 배포합니다. 관리자는 서비스 연결 자동화가 서비스 인스턴스에 연결되는 project1의 네트워크 vpc1에 엔드포인트를 배포할 수 있도록 서비스 인스턴스를 구성합니다.

  3. 승인 검사가 모두 통과하므로 서비스 연결 자동화는 endpoint-subnet에 연결된 두 개의 엔드포인트(서비스 인스턴스별로 하나씩)를 만듭니다. vm-subnet 서브넷에 연결된 모든 VM은 엔드포인트와 동일한 공유 VPC 네트워크에 연결되어 있으므로 엔드포인트에 액세스할 수 있습니다.

공유 VPC 네트워크에서 서비스 연결 정책을 사용하여 서비스 프로젝트에 배포된 서비스 인스턴스에 대한 연결을 만들 수 있습니다 (확대하려면 클릭).

커스텀 서비스 인스턴스 범위가 있는 Google 서비스

기본적으로 서비스 연결 자동화는 서비스 인스턴스와 서비스 인스턴스에 연결되는 엔드포인트가 동일한 프로젝트 (또는 공유 VPC의 경우 연결된 프로젝트)에 있어야 합니다. 지원되는 Google 서비스의 경우 서비스 인스턴스와 연결 엔드포인트가 서로 다른 프로젝트 또는 조직에 있을 수 있습니다.

다음 다이어그램에 표시된 구성을 만들려면 다음 작업을 완료합니다.

  1. vpc-1, vpc-2, vpc-3의 네트워크 관리자는 각 VPC 네트워크에서 서비스 연결 정책을 만듭니다. 이러한 인증서는 google-cloud-sql 서비스 클래스를 사용하고 조직 org-1의 프로젝트 project-1에 배포된 서비스 인스턴스에 대한 연결을 허용합니다.

  2. 서비스 인스턴스 관리자는 서비스의 관리 API 또는 UI를 사용하여 project-1에 관리형 서비스 인스턴스 db-1를 배포합니다. 관리자는 서비스 연결 자동화가 db-1에 연결되는 엔드포인트를 vpc-1vpc-2에 배포할 수 있도록 서비스 인스턴스를 구성합니다.

  3. vpc-1vpc-2의 경우 모든 승인 검사가 통과하고 서비스 연결 자동화로 각 네트워크에 엔드포인트가 생성됩니다. 이러한 네트워크의 VM은 엔드포인트를 통해 서비스 인스턴스로 트래픽을 전송할 수 있습니다.

    하지만 db-1 서비스 인스턴스 구성에서 자동 연결을 위해 네트워크가 구성되어 있지 않으므로 vpc-3에는 엔드포인트가 생성되지 않습니다.

    vpc-3db-1 서비스 인스턴스에 액세스해야 하는 경우 네트워크 관리자는 데이터베이스 관리자에게 연락하여 db-1의 연결 구성에 vpc-3를 추가해 달라고 요청할 수 있습니다.

여러 프로젝트, 폴더 또는 조직에서 지원되는 Google 서비스에 대한 연결을 자동화할 수 있습니다 (확대하려면 클릭).

지원되는 서비스

다음 Google 서비스는 서비스 연결 자동화를 지원합니다.

Google 서비스 액세스 제공
Cloud SQL Cloud SQL 인스턴스에 대한 연결 생성을 자동화할 수 있습니다.
Memorystore for Redis Cluster Memorystore for Redis 클러스터 인스턴스에 대한 연결 생성을 자동화할 수 있습니다.
Memorystore for Valkey Memorystore for Valkey 인스턴스에 대한 연결 생성을 자동화할 수 있습니다.
Vertex AI 벡터 검색 벡터 검색 엔드포인트에 대한 연결 생성을 자동화할 수 있습니다.

서드 파티 관리형 서비스에서 서비스 연결 정책을 지원하는지 확인하려면 서비스 제공업체에 문의하세요. 서비스에서 서비스 연결 정책을 지원하는 경우 서비스 제공업체에서 관련 서비스 클래스를 제공할 수 있습니다.

프로듀서 측 자동화 리소스는 일부 미리보기 버전으로 제공됩니다. 자체 관리형 서비스의 소비자 연결을 자동화하려면 Google Cloud 영업 담당자에게 문의하세요.