컬렉션을 사용해 정리하기 내 환경설정을 기준으로 콘텐츠를 저장하고 분류하세요.

게시된 서비스 정보

이 문서에서는 Private Service Connect를 사용하여 서비스 소비자에게 서비스를 제공하는 방법을 간략하게 설명합니다.

서비스 제작자는 Private Service Connect로 VPC 네트워크에서 내부 IP 주소를 사용하여 서비스를 게시할 수 있습니다. 서비스 소비자는 VPC 네트워크에서 내부 IP 주소를 사용하여 게시된 서비스에 액세스할 수 있습니다.

소비자에게 서비스를 제공하려면 전용 서브넷을 하나 이상 만듭니다. 그런 다음 해당 서브넷을 참조하는 서비스 연결을 만듭니다. 서비스 연결은 연결 환경설정이 다를 수 있습니다.

서비스 소비자 유형

Private Service Connect 서비스에 연결할 수 있는 소비자 유형에는 두 가지가 있습니다.

엔드포인트는 전달 규칙을 기반으로 합니다.

그림 1. 전달 규칙을 기반으로 Private Service Connect 엔드포인트를 사용하면 서비스 소비자가 소비자의 VPC 네트워크에서 서비스 제작자의 VPC 네트워크에 있는 서비스로 트래픽을 전송할 수 있습니다(확대하려면 클릭).

소비자 HTTP(S) 제어가 포함된 엔드포인트는 부하 분산기를 기반으로 합니다.

그림 2. 전역 외부 HTTP(S) 부하 분산기를 사용하면 인터넷 액세스 권한이 있는 서비스 소비자가 서비스 제작자의 VPC 네트워크에서 서비스로 트래픽을 보낼 수 있습니다(확대하려면 클릭).

Private Service Connect 서비스 구성

Private Service Connect 서비스를 만들 때 서브넷, 서비스 연결, 연결 환경설정을 구성합니다. 원하는 경우 서비스의 DNS 도메인을 구성할 수도 있습니다. 이러한 구성은 다음 섹션에서 설명합니다.

NAT 서브넷

Private Service Connect 서비스 연결은 하나 이상의 NAT 서브넷(Private Service Connect 서브넷이라고도 함)으로 구성됩니다. 소비자 VPC 네트워크의 패킷은 소스 NAT(SNAT)를 사용하여 변환되므로 원래 소스 IP 주소는 제작자 VPC 네트워크의 NAT 서브넷에서 소스 IP 주소로 변환됩니다.

서비스 연결에는 NAT 서브넷이 여러 개 있을 수 있습니다. 트래픽을 방해하지 않고 언제든지 추가 NAT 서브넷을 서비스 연결에 추가할 수 있습니다.

서비스 연결에 여러 NAT 서브넷이 구성될 수 있지만 NAT 서브넷은 두 개 이상의 서비스 연결에서 사용할 수 없습니다.

Private Service Connect NAT 서브넷은 VM 인스턴스 또는 전달 규칙과 같은 리소스에 사용할 수 없습니다. 서브넷은 수신되는 소비자 연결의 SNAT에 IP 주소를 제공하기 위해서만 사용됩니다.

NAT 서브넷 크기 조정

서비스를 게시할 때 NAT 서브넷을 만들고 IP 주소 범위를 선택합니다. 서브넷의 크기에 따라 Private Service Connect 연결을 사용할 수 있는 동시 소비자 TCP 및 UDP 연결 수가 결정됩니다. IP 주소는 Private Service Connect 연결의 사용량 및 배포에 따라 NAT 서브넷에서 사용됩니다. NAT 서브넷의 모든 IP 주소가 소비되면 소비자의 Private Service Connect 엔드포인트 또는 백엔드에 대한 추가 TCP 또는 UDP 연결이 실패합니다. 따라서 NAT 서브넷의 크기를 적절하게 조절하는 것이 중요합니다.

서브넷 크기를 선택할 때는 다음 사항을 고려하세요.

  • NAT 서브넷에는 4개의 예약된 IP 주소가 있으므로 사용 가능한 IP 주소의 수는 2(32 - PREFIX_LENGTH) - 4입니다. 예를 들어 프리픽스 길이가 /24인 NAT 서브넷을 만들면 Private Service Connect는 SNAT에 252개의 IP 주소를 사용할 수 있습니다. 사용 가능한 IP 주소 4개가 있는 /29 서브넷은 VPC 네트워크에서 지원되는 가장 작은 서브넷 크기입니다.

  • 2023년 3월 1일 또는 그 이후에 서비스 연결을 만든 경우 다음 사항이 적용됩니다.

    • 서비스 연결에 연결된 각 Private Service Connect 엔드포인트(전달 규칙 또는 부하 분산기 기반)에 대한 NAT 서브넷에서 하나의 IP 주소가 사용됩니다.

    • TCP 또는 UDP 연결, 클라이언트 또는 소비자 VPC 네트워크의 수는 NAT 서브넷의 IP 주소 소비에 영향을 미치지 않습니다.

    • 예를 들어 단일 서비스 연결에 연결된 엔드포인트가 2개 있는 경우 NAT 서브넷에서 2개의 IP 주소가 사용됩니다. 엔드포인트 수가 변경되지 않으면 이 서비스 연결에 사용 가능한 IP 주소 4개가 있는 /29 서브넷을 사용할 수 있습니다.

  • 2023년 3월 1일 이전에 서비스 연결을 만든 경우 다음 사항이 적용됩니다.

    • NAT 서브넷에서 사용되는 IP 주소 수는 소비자 VPC 네트워크의 VM 및 Cloud VPN 터널 수에 따라 다릅니다. 각 NAT IP 주소는 TCP 소스 포트 64,512개와 UDP 소스 포트 64,512개를 지원합니다. TCP 및 UDP는 각 IP 주소 당 65,536개의 포트를 지원하지만, 처음 1,024개의 잘 알려진(권한이 있는) 포트는 제외됩니다. NAT IP 주소는 소비자 VPC 네트워크의 모든 클라이언트에 할당된 소스 포트 범위로 나뉩니다.

    • 소비자 VPC 네트워크의 모든 VM에는 최소 256개의 NAT 소스 포트가 할당됩니다. VM이 지정된 Private Service Connect 엔드포인트 또는 백엔드에 대해 256개 이상의 TCP 또는 UDP 연결을 연 경우 소비자 VM에 더 많은 소스 포트를 할당할 수 있습니다. VM이 여러 연결을 여는 경우 VM은 NAT IP 주소에서 최대 8,192개의 소스 포트를 할당합니다.

    • 소비자 VPC 네트워크의 각 Cloud VPN 터널에는 65,536개의 소스 포트가 할당됩니다. 할당된 소스 포트 수는 사용량에 따라 변경되지 않습니다.

    • 예를 들어 사용 가능한 IP 주소가 252개인 /24 NAT 서브넷의 용량은 252 * 64,512 = 16,257,024개의 사용 가능한 소스 NAT 포트입니다. 이 서브넷 크기는 (전달 규칙 또는 부하 분산기 기반으로) 각 VM이 Private Service Connect 엔드포인트에 TCP 또는 UDP 연결을 256개보다 적게 개방하는 경우, 4개의 Cloud VPN 터널(262,144개 소스 NAT 포트) 및 최대 62,480개의 VM(15,994,880개 소스 NAT 포트)이 있는 소비자 VPC 네트워크를 지원합니다.

필요한 경우 트래픽을 중단하지 않고도 언제든지 NAT 서브넷을 서비스 연결에 추가할 수 있습니다.

NAT 서브넷의 다른 고려사항은 다음과 같습니다.

  • UDP 매핑 유휴 제한 시간은 30초이며 구성할 수 없습니다.

  • TCP 설정 연결 유휴 제한 시간은 20분이며 구성할 수 없습니다.

  • TCP 임시 연결 유휴 제한 시간은 30초이며 구성할 수 없습니다.

  • 5-튜플(NAT 서브넷 소스 IP 주소 및 소스 포트와 대상 프로토콜, IP 주소, 대상 포트)을 재사용하기 전에 2분의 지연 시간이 발생합니다.

  • Private Service Connect용 SNAT에서는 IP 조각을 지원하지 않습니다.

서비스 연결

서비스 프로듀서가 서비스 연결을 통해 서비스를 노출합니다.

  • 서비스 제작자는 서비스를 노출하기 위해 서비스의 부하 분산기 전달 규칙을 참조하는 서비스 연결을 만듭니다.

  • 서비스 소비자는 서비스에 액세스하기 위해 서비스 연결을 참조하는 엔드포인트를 만듭니다.

서비스 연결 URI 형식: projects/SERVICE_PROJECT/regions/REGION/serviceAttachments/SERVICE_NAME

단일 서비스 연결에서만 각 부하 분산기를 참조할 수 있습니다. 동일한 부하 분산기를 사용하는 서비스 연결을 여러 개 구성할 수 없습니다.

연결 환경설정

서비스를 만들 때 이를 사용 가능하게 만드는 방법을 선택합니다. 다음의 2가지 옵션이 있습니다.

  • 모든 프로젝트에 대한 연결을 자동으로 수락 - 모든 서비스 소비자가 엔드포인트를 구성하고 서비스에 자동으로 연결할 수 있습니다.

  • 선택한 프로젝트에 대한 연결 수락 - 서비스 소비자는 서비스에 연결하도록 엔드포인트를 구성하고, 서비스 제작자는 연결 요청을 수락 또는 거부합니다.

DNS 구성

게시된 서비스 및 게시된 서비스에 연결되는 엔드포인트의 DNS 구성에 대한 자세한 내용은 서비스에 대한 DNS 구성을 참조하세요.

로깅

백엔드 VM이 포함된 서브넷에 VPC 흐름 로그를 사용 설정할 수 있습니다. 로그에는 Private Service Connect 서브넷의 백엔드 VM과 IP 주소 간의 흐름이 표시됩니다.

VPC 서비스 제어

VPC 서비스 제어와 Private Service Connect는 서로 호환됩니다. Private Service Connect 엔드포인트가 배포된 VPC 네트워크가 VPC 서비스 제어 경계에 있으면 Private Service Connect 엔드포인트가 동일한 경계에 속합니다. Private Service Connect 엔드포인트를 통해 액세스하는 모든 VPC 서비스 제어 지원 서비스에는 해당 VPC 서비스 제어 경계의 정책이 적용됩니다.

Private Service Connect 엔드포인트를 만들면 소비자 프로젝트와 제작자 프로젝트 간에 제어 영역 API 호출이 수행되어 Private Service Connect 연결이 설정됩니다. 동일한 VPC 서비스 제어 경계에 없는 소비자 프로젝트와 제작자 프로젝트 간에 Private Service Connect 연결을 설정하려면 이그레스 정책을 사용한 명시적 승인이 필요하지 않습니다. Private Service Connect 엔드포인트를 통한 VPC 서비스 제어 지원 서비스와의 통신은 VPC 서비스 제어 경계로 보호됩니다.

가격 책정

Private Service Connect의 가격은 VPC 가격 책정 페이지에 설명되어 있습니다.

할당량

게시된 서비스에 액세스하기 위해 만들 수 있는 Private Service Connect 엔드포인트 수는 PSC Internal LB Forwarding Rules 할당량에 따라 제어됩니다. 자세한 내용은 할당량을 참조하세요.

온프레미스 액세스

Private Service Connect 서비스는 Private Service Connect 엔드포인트를 사용하여 제공됩니다. 이러한 엔드포인트는 지원되는 연결된 온프레미스 호스트에서 액세스될 수 있습니다. 자세한 내용은 온프레미스 호스트에서 엔드포인트 액세스를 참조하세요.

제한사항

  • 패킷 미러링은 Private Service Connect의 게시된 서비스 트래픽의 패킷을 미러링할 수 없습니다.

  • 소비자 HTTP(S) 서비스 제어가 있는 Private Service Connect 엔드포인트는 연결된 클라이언트 목록에 표시되지 않습니다.

  • 공유 VPC 호스트 프로젝트에서 Private Service Connect 서브넷을 만든 후 서비스 프로젝트에서 서비스 연결을 만들려면 Google Cloud CLI 또는 API를 사용하여 서비스 연결을 만들어야 합니다.

  • 내부 프로토콜 전달에 사용되는 전달 규칙을 가리키는 서비스 연결을 만들려면 Google Cloud CLI 또는 API를 사용해야 합니다.

  • 문제 및 해결 방법은 알려진 문제를 참조하세요.