게시된 서비스 관리

이 페이지에서는 게시된 서비스에 대한 액세스 요청을 관리하는 방법, 게시된 서비스의 연결 환경설정을 변경하는 방법, 연결 조정을 구성하는 방법을 설명합니다.

각 서비스 연결에는 연결 요청이 자동으로 허용되는지 여부를 지정하는 연결 환경설정이 있습니다. 메일을 처리하는 방법에는 세 가지가 있습니다.

모든 연결을 자동으로 허용. 서비스 연결은 모든 소비자의 모든 인바운드 연결 요청을 자동으로 허용합니다. 자동 수락은 들어오는 연결을 차단하는 조직 정책으로 재정의될 수 있습니다.
선택한 네트워크에 대한 연결 허용. 서비스 연결은 소비자 VPC 네트워크가 서비스 연결의 소비자 허용 목록에 있는 경우에만 인바운드 연결 요청을 수락합니다.
선택한 프로젝트에 대한 연결 수락. 서비스 연결은 소비자 프로젝트가 서비스 연결의 소비자 허용 목록에 있는 경우에만 인바운드 연결 요청을 수락합니다.

선택한 프로젝트 또는 네트워크에 대한 연결을 수락하는 것이 좋습니다. 다른 수단을 통해 소비자 액세스를 제어하고 서비스에 대한 권한 액세스를 사용 설정하려면 모든 연결을 자동으로 수락하는 것이 적합할 수 있습니다.

서비스 게시에 대한 자세한 내용은 서비스 게시를 참조하세요.

역할

다음 IAM 역할은 이 가이드의 작업을 수행하는 데 필요한 권한을 제공합니다.

Compute 네트워크 관리자(roles/compute.networkAdmin)

게시된 서비스에 대한 액세스 요청 관리

명시적 승인으로 서비스를 게시한 경우 소비자 프로젝트나 VPC 네트워크의 연결 요청을 허용하거나 거부할 수 있습니다.

프로젝트 또는 네트워크를 허용 목록과 거부 목록에 모두 추가하면 해당 프로젝트나 네트워크의 연결 요청이 거부됩니다.

서비스에서 소비자 엔드포인트 연결이 허용되면 서비스 연결이 삭제될 때까지 엔드포인트를 서비스에 연결할 수 있습니다. 이는 소비자가 명시적으로 허용되거나 연결 환경 설정이 연결을 자동으로 수락하도록 설정되었을 때 소비자 엔드포인트가 연결되었는지 여부에 관계없이 적용됩니다.

허용 목록에서 프로젝트 또는 네트워크를 삭제할 경우 엔드포인트가 연결되기 전에 해당 프로젝트에서 새 소비자 엔드포인트를 수락해야 합니다. 그러나 해당 프로젝트나 네트워크에서 이전에 허용된 모든 소비자 엔드포인트는 서비스에 계속 연결할 수 있습니다.
프로젝트 또는 네트워크를 거부 목록에 추가하면 해당 프로젝트 또는 네트워크에 있는 새 소비자 엔드포인트의 연결이 서비스 연결에서 거부됩니다. 그러나 해당 프로젝트나 네트워크에서 이전에 허용된 모든 소비자 엔드포인트는 서비스에 계속 연결할 수 있습니다.

이 태스크에 필요한 권한

이 태스크를 수행하려면 다음과 같은 권한 또는 다음과 같은 IAM 역할을 부여받아야 합니다.

권한

compute.serviceAttachments.update

역할

역할 정보는 역할을 참조하세요.

콘솔

Google Cloud 콘솔에서 Private Service Connect 페이지로 이동합니다.

Private Service Connect로 이동
게시된 서비스 탭을 클릭합니다.
관리할 서비스를 클릭합니다.
연결된 프로젝트 섹션에 이 서비스에 연결을 시도한 프로젝트가 나열됩니다. 하나 이상의 프로젝트 옆에 있는 체크박스를 선택하고 프로젝트 수락 또는 프로젝트 거부를 클릭합니다.

gcloud

수정할 서비스 연결을 설명합니다.

gcloud compute service-attachments describe \
    ATTACHMENT_NAME --region=REGION

출력은 다음 예시와 비슷합니다. 대기 중인 소비자 연결이 있으면 상태가 PENDING으로 나열됩니다.

이 출력 예시에서 CONSUMER_PROJECT_1 프로젝트는 허용 목록에 있으므로 ENDPOINT_1이 수락되고 서비스에 연결할 수 있습니다. CONSUMER_PROJECT_2 프로젝트는 수락 목록에 없으므로 ENDPOINT_2는 대기 중입니다. CONSUMER_PROJECT_2가 허용 목록에 추가되면 ENDPOINT_2의 상태가 ACCEPTED로 변경되고 엔드포인트가 서비스에 연결될 수 있습니다.

connectedEndpoints:
- endpoint: https://www.googleapis.com/compute/v1/projects/CONSUMER_PROJECT_1/regions/REGION_1/forwardingRules/ENDPOINT_1
  pscConnectionId: 'ENDPOINT_1_ID'
  status: ACCEPTED
- endpoint: https://www.googleapis.com/compute/v1/projects/CONSUMER_PROJECT_2/regions/REGION_2/forwardingRules/ENDPOINT_2
  pscConnectionId: 'ENDPOINT_2_ID'
  status: PENDING
connectionPreference: ACCEPT_MANUAL
consumerAcceptLists:
- connectionLimit: LIMIT_1
  projectIdOrNum: CONSUMER_PROJECT_1
creationTimestamp: 'TIMESTAMP'
description: 'DESCRIPTION'
enableProxyProtocol: false
fingerprint: FINGERPRINT
id: 'ID'
kind: compute#serviceAttachment
name: NAME
natSubnets:
- https://www.googleapis.com/compute/v1/projects/PRODUCER_PROJECT/regions/REGION/subnetworks/PSC_SUBNET
pscServiceAttachmentId:
  high: 'PSC_ATTACH_ID_HIGH'
  low: 'PSC_ATTACH_ID_LOW'
region: https://www.googleapis.com/compute/v1/projects/PRODUCER_PROJECT/regions/REGION
selfLink: https://www.googleapis.com/compute/v1/projects/projects/PRODUCER_PROJECT/regions/REGION/serviceAttachments/ATTACHMENT_NAME
targetService: https://www.googleapis.com/compute/v1/projects/PRODUCER_PROJECT/regions/REGION/forwardingRules/PRODUCER_FWD_RULE

소비자 프로젝트나 네트워크를 허용하거나 거부합니다.

--consumer-accept-list, --consumer-reject-list 또는 둘 다를 지정할 수 있습니다. --consumer-accept-list 및 --consumer-reject-list에 값을 여러 개 지정할 수 있습니다. VPC 프로젝트나 네트워크를 포함할 수 있지만 프로젝트와 네트워크를 혼합하여 포함할 수는 없습니다.
```
gcloud compute service-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --consumer-accept-list=ACCEPTED_PROJECT_OR_NETWORK_1=LIMIT_1,ACCEPTED_PROJECT_OR_NETWORK_2=LIMIT_2 \
    --consumer-reject-list=REJECTED_PROJECT_OR_NETWORK_1,REJECTED_PROJECT_OR_NETWORK_2
```
다음을 바꿉니다.
- ATTACHMENT_NAME: 서비스 연결에 할당할 이름
- REGION: 서비스 연결이 있는 리전
- ACCEPTED_PROJECT_OR_NETWORK_1 및 ACCEPTED_PROJECT_OR_NETWORK_2: 허용할 프로젝트 ID, 프로젝트 이름 또는 네트워크 URL. --consumer-accept-list는 선택사항이며 하나 이상의 프로젝트 또는 네트워크를 포함할 수 있지만 두 유형을 혼합하여 포함할 수는 없습니다.
- LIMIT_1 및 LIMIT_2: 프로젝트 또는 네트워크의 연결 한도입니다. 연결 한도는 이 서비스에 연결할 수 있는 소비자 엔드포인트 수입니다. 허용되는 각 프로젝트 또는 네트워크에는 연결 한도가 구성되어 있어야 합니다.
- REJECTED_PROJECT_OR_NETWORK_1 및 REJECTED_PROJECT_OR_NETWORK_2: 거부할 프로젝트 ID, 프로젝트 이름 또는 네트워크 URL. --consumer-reject-list는 선택사항이며 하나 이상의 프로젝트 또는 네트워크를 포함할 수 있지만 두 유형을 혼합하여 포함할 수는 없습니다.

API

수정할 서비스 연결을 설명합니다.

대기 중인 소비자 연결이 있으면 상태가 PENDING으로 나열됩니다.
```
GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
```
소비자 프로젝트 또는 네트워크를 허용하거나 거부합니다. 프로젝트 또는 VPC 네트워크별 소비자 허용과 거부 사이에 변경할 수 있지만 프로젝트와 네트워크를 혼합하여 포함할 수는 없습니다.
- 프로젝트를 기반으로 소비자를 허용하거나 거부하려면 다음 PATCH 요청을 보냅니다.
```
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
```
```
{
  ...
  "consumerAcceptLists": [
    {
      "projectIdOrNum": "ACCEPTED_PROJECT_1",
      "connectionLimit": "LIMIT_1"
    },
    {
      "projectIdOrNum": "ACCEPTED_PROJECT_2",
      "connectionLimit": "LIMIT_2"
    }
  ],
  "consumerRejectLists": [
    "REJECTED_PROJECT_1",
    "REJECTED_PROJECT_2"
  ],
  ...
}
```
  다음을 바꿉니다.
  - PROJECT_ID: 서비스 연결의 프로젝트
  - REGION: 서비스 연결의 리전
  - ATTACHMENT_NAME: 서비스 연결에 할당할 이름
  - ACCEPTED_PROJECT_1 및 ACCEPTED_PROJECT_2: 허용할 프로젝트 ID 또는 프로젝트 번호. consumerAcceptList는 선택사항이며 하나 이상의 프로젝트를 포함할 수 있습니다.
  - LIMIT_1 및 LIMIT_2: 프로젝트의 연결 한도. 연결 한도는 이 서비스에 연결할 수 있는 소비자 엔드포인트 수입니다. 허용되는 각 프로젝트에는 연결 한도가 구성되어 있어야 합니다.
  - REJECTED_PROJECT_1 및 REJECTED_PROJECT_2: 거부할 프로젝트 ID 또는 프로젝트 번호. consumerRejectList는 선택사항이며 하나 이상의 프로젝트를 포함할 수 있습니다.
- VPC 네트워크를 기반으로 소비자를 허용하거나 거부하려면 다음 PATCH 요청을 보냅니다.
```
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
```
```
{
  ...
  "consumerAcceptLists": [
    {
      "networkUrl": "projects/ACCEPTED_PROJECT_ID_1/global/network/ACCEPTED_NETWORK_1",
      "connectionLimit": "LIMIT_1"
    },
    {
      "networkUrl": "projects/ACCEPTED_PROJECT_ID_2/global/network/ACCEPTED_NETWORK_2",
      "connectionLimit": "LIMIT_2"
    }
  ],
  "consumerRejectLists": [
    "projects/REJECTED_PROJECT_ID_1/global/networks/REJECTED_NETWORK_1",
    "projects/REJECTED_PROJECT_ID_2/global/network/REJECTED_NETWORK_2"
  ],
  ...
}
```
  다음을 바꿉니다.
  - ACCEPTED_PROJECT_ID_1 및 ACCEPTED_PROJECT_ID_2: 허용하려는 네트워크의 상위 프로젝트 ID. consumerAcceptLists는 선택사항이며 하나 이상의 네트워크를 포함할 수 있습니다.
  - ACCEPTED_NETWORK_1 및 ACCEPTED_NETWORK_2: 허용할 네트워크의 이름입니다.
  - LIMIT_1 및 LIMIT_2: 네트워크의 연결 한도. 연결 한도는 이 서비스에 연결할 수 있는 소비자 엔드포인트 수입니다. 허용되는 각 네트워크에는 연결 한도가 구성되어 있어야 합니다.
  - REJECTED_PROJECT_ID_1 및 REJECTED_PROJECT_ID_2: 거부하려는 네트워크의 상위 프로젝트 ID입니다. consumerRejectLists는 선택사항이며 하나 이상의 네트워크를 포함할 수 있습니다.
  - REJECTED_NETWORK_1 및 REJECTED_NETWORK_2: 거부하려는 네트워크의 이름.

게시된 서비스의 연결 환경설정 변경

게시된 서비스의 자동 및 명시적인 프로젝트 허용 간에 전환할 수 있습니다.

자동 수락에서 명시적 수락으로 변경해도 변경 전에 서비스에 연결된 소비자 엔드포인트는 영향을 받지 않습니다. 기존 소비자 엔드포인트는 서비스 연결이 삭제될 때까지 게시된 서비스에 연결할 수 있습니다. 새 소비자 엔드포인트는 서비스에 연결하기 전에 수락되어야 합니다. 자세한 내용은 게시된 서비스에 대한 액세스 요청 관리를 참조하세요.

이 태스크에 필요한 권한

이 태스크를 수행하려면 다음과 같은 권한 또는 다음과 같은 IAM 역할을 부여받아야 합니다.

권한

compute.serviceAttachments.update

역할

역할 정보는 역할을 참조하세요.

콘솔

Google Cloud 콘솔에서 Private Service Connect 페이지로 이동합니다.

Private Service Connect로 이동
게시된 서비스 탭을 클릭합니다.
업데이트할 서비스를 클릭한 다음 서비스 세부정보 수정을 클릭합니다.
원하는 연결 환경설정을 선택합니다.
- 선택한 프로젝트의 연결 허용
- 선택한 네트워크에 대한 연결 허용
- 모든 연결을 자동으로 허용
선택사항: 선택한 프로젝트의 연결 허용으로 전환하는 경우 허용할 프로젝트의 세부정보를 제공하거나 나중에 추가할 수 있습니다.
1. 허용되는 프로젝트 추가를 클릭합니다.
2. 프로젝트 및 연결 한도를 입력합니다.
선택사항: 선택한 네트워크의 연결 허용으로 전환하는 경우 허용할 네트워크의 세부정보를 제공하거나 나중에 추가할 수 있습니다.
1. 허용되는 네트워크 추가를 클릭합니다.
2. 프로젝트, 네트워크 및 연결 한도를 입력합니다.
저장을 클릭합니다.

gcloud

서비스 연결의 연결 환경설정을 ACCEPT_AUTOMATIC에서 ACCEPT_MANUAL으로 변경합니다.

--consumer-accept-list 및 --consumer-reject-list를 사용하여 서비스에 연결할 수 있는 프로젝트를 제어합니다. 연결 환경설정을 변경할 때 허용 및 거부 목록을 구성하거나 나중에 목록을 업데이트할 수 있습니다.
```
gcloud compute service-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --connection-preference=ACCEPT_MANUAL \
    [ --consumer-accept-list=ACCEPTED_PROJECT_OR_NETWORK_1=LIMIT_1,ACCEPTED_PROJECT_OR_NETWORK_2=LIMIT_2] \
    [ --consumer-reject-list=REJECTED_PROJECT_OR_NETWORK_1,REJECTED_PROJECT_OR_NETWORK_2 ]
```
다음을 바꿉니다.
- ATTACHMENT_NAME: 서비스 연결의 이름
- REGION: 서비스 연결이 있는 리전
- ACCEPTED_PROJECT_OR_NETWORK_1 및 ACCEPTED_PROJECT_OR_NETWORK_2: 허용할 프로젝트 ID, 프로젝트 이름 또는 네트워크 URL. --consumer-accept-list는 선택사항이며 하나 이상의 프로젝트 또는 네트워크를 포함할 수 있지만 두 유형을 혼합하여 포함할 수는 없습니다.
- LIMIT_1 및 LIMIT_2: 프로젝트의 연결 한도. 연결 한도는 이 서비스에 연결할 수 있는 소비자 엔드포인트 수입니다. 허용되는 각 프로젝트에는 연결 한도가 구성되어 있어야 합니다.
- REJECTED_PROJECT_OR_NETWORK_1 및 REJECTED_PROJECT_OR_NETWORK_2: 거부할 프로젝트 ID, 프로젝트 이름 또는 네트워크 URL. --consumer-reject-list는 선택사항이며 하나 이상의 프로젝트 또는 네트워크를 포함할 수 있지만 두 유형을 혼합하여 포함할 수는 없습니다.
서비스 연결의 연결 환경설정을 ACCEPT_MANUAL에서 ACCEPT_AUTOMATIC으로 변경합니다.

허용 목록 또는 거부 목록에 값이 있으면 연결 환경설정을 변경할 때 값을 빈 값으로 설정합니다("" 참조).
```
gcloud compute service-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --connection-preference=ACCEPT_AUTOMATIC \
    --consumer-accept-list="" \
    --consumer-reject-list=""
```
다음을 바꿉니다.
- ATTACHMENT_NAME: 서비스 연결의 이름
- REGION: 서비스 연결이 있는 리전

API

서비스 연결의 연결 환경설정을 ACCEPT_AUTOMATIC에서 ACCEPT_MANUAL으로 변경합니다.
- 프로젝트에 따라 소비자 허용 및 거부 목록을 업데이트하려면 다음 요청을 수행합니다.
```
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
```
```
{
  ...
  "connectionPreference": "ACCEPT_MANUAL",
  "consumerAcceptLists": [
    {
      "projectIdOrNum": "ACCEPTED_PROJECT_1"
      "connectionLimit": "LIMIT_1",
    },
    {
      "projectIdOrNum": "ACCEPTED_PROJECT_2"
      "connectionLimit": "LIMIT_2",
    }
  ],
  "consumerRejectLists": [
    "REJECTED_PROJECT_1",
    "REJECTED_PROJECT_2",
  ],
  ...
}
```
  다음을 바꿉니다.
  - PROJECT_ID: 서비스 연결의 프로젝트
  - REGION: 서비스 연결의 리전
  - ATTACHMENT_NAME: 서비스 연결에 할당할 이름
  - ACCEPTED_PROJECT_1 및 ACCEPTED_PROJECT_2: 허용할 프로젝트 ID 또는 프로젝트 번호. consumerAcceptList는 선택사항이며 하나 이상의 프로젝트를 포함할 수 있습니다.
  - LIMIT_1 및 LIMIT_2: 프로젝트의 연결 한도. 연결 한도는 이 서비스에 연결할 수 있는 소비자 엔드포인트 수입니다. 허용되는 각 프로젝트에는 연결 한도가 구성되어 있어야 합니다.
  - REJECTED_PROJECT_1 및 REJECTED_PROJECT_2: 거부할 프로젝트 ID 또는 프로젝트 번호. consumerRejectList는 선택사항이며 하나 이상의 프로젝트를 포함할 수 있습니다.
- VPC 네트워크를 기준으로 소비자 허용 및 거부 목록을 업데이트하려면 다음 요청을 수행합니다.
```
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
```
```
{
  ...
  "connectionPreference": "ACCEPT_MANUAL",
  "consumerAcceptLists": [
    {
      "networkUrl": "projects/ACCEPTED_PROJECT_ID_1/global/networks/ACCEPTED_NETWORK_1",
      "connectionLimit": "LIMIT_1"
    },
    {
      "networkUrl": "projects/ACCEPTED_PROJECT_ID_2/global/networks/ACCEPTED_NETWORK_2",
      "connectionLimit": "LIMIT_2"
    }
  ],
  "consumerRejectLists": [
    "projects/REJECTED_PROJECT_ID_1/global/networks/REJECTED_NETWORK_1",
    "projects/REJECTED_PROJECT_ID_2/global/network/REJECTED_NETWORK_2"
  ],
  ...
}
```
  다음을 바꿉니다.
  - ACCEPTED_PROJECT_ID_1 및 ACCEPTED_PROJECT_ID_2: 허용하려는 네트워크의 상위 프로젝트 ID. consumerAcceptLists는 선택사항이며 하나 이상의 네트워크를 포함할 수 있습니다.
  - ACCEPTED_NETWORK_1 및 ACCEPTED_NETWORK_2: 허용할 네트워크의 이름입니다.
  - LIMIT_1 및 LIMIT_2: 네트워크의 연결 한도. 연결 한도는 이 서비스에 연결할 수 있는 소비자 엔드포인트 수입니다. 허용되는 각 네트워크에는 연결 한도가 구성되어 있어야 합니다.
  - REJECTED_PROJECT_ID_1 및 REJECTED_PROJECT_ID_2: 거부하려는 네트워크의 상위 프로젝트 ID입니다. consumerRejectLists는 선택사항이며 하나 이상의 네트워크를 포함할 수 있습니다.
  - REJECTED_NETWORK_1 및 REJECTED_NETWORK_2: 거부하려는 네트워크의 이름.
서비스 연결의 연결 환경설정을 ACCEPT_MANUAL에서 ACCEPT_AUTOMATIC으로 변경합니다.

consumerAcceptLists 또는 consumerRejectLists 필드에서 소비자를 지정하는 경우 연결 환경설정을 ACCEPT_AUTOMATIC으로 변경할 때 값을 빈 값으로 설정합니다.
```
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
```
```
{
  ...
  "connectionPreference": "ACCEPT_AUTOMATIC",
  "consumerAcceptLists": [ ],
  "consumerRejectLists": [ ],
  ...
}
```
다음을 바꿉니다.
- PROJECT_ID: 서비스 연결의 프로젝트
- REGION: 서비스 연결의 리전
- ATTACHMENT_NAME: 서비스 연결의 이름

연결 조정 구성

기존 서비스 연결에 대한 연결 조정을 사용 설정하거나 중지할 수 있습니다.

이 태스크에 필요한 권한

이 태스크를 수행하려면 다음과 같은 권한 또는 다음과 같은 IAM 역할을 부여받아야 합니다.

권한

compute.serviceAttachments.update

역할

역할 정보는 역할을 참조하세요.

콘솔

Google Cloud 콘솔에서 Private Service Connect 페이지로 이동합니다.

Private Service Connect로 이동
게시된 서비스 탭을 클릭합니다.
업데이트할 서비스를 클릭한 다음 서비스 세부정보 수정을 클릭합니다.
연결 조정 사용 설정 체크박스를 선택하거나 선택 해제한 후 저장을 클릭합니다.

gcloud

연결 조정을 사용 설정하려면 다음 명령어를 사용합니다.
```
gcloud compute service-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --reconcile-connections
```
다음을 바꿉니다.
- ATTACHMENT_NAME: 서비스 연결의 이름
- REGION: 서비스 연결의 리전

연결 조정을 사용 중지하려면 다음 명령어를 사용합니다.

gcloud compute service-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --no-reconcile-connections

API

연결 조정을 사용 설정하려면 PATCH 요청을 전송하고 다음을 포함합니다.
```
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
```
```
{
  ...
  "reconcileConnections": true
  ...
}
```
다음을 바꿉니다.
- PROJECT_ID: 서비스 연결의 프로젝트
- REGION: 서비스 연결의 리전
- ATTACHMENT_NAME: 서비스 연결의 이름

연결 조정을 사용 중지하려면 PATCH 요청을 전송하고 다음을 포함합니다.

PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME

{
 ...
 "reconcileConnections": false
  ...
}

게시된 서비스에서 서브넷 추가 또는 삭제

게시된 서비스를 수정하여 Private Service Connect 서브넷을 추가할 수 있습니다.

예를 들어 기존 서비스에 더 많은 IP 주소를 사용할 수 있도록 해야 할 수 있습니다. 주소를 더 추가하려면 다음 중 하나를 수행합니다.

다른 Private Service Connect 서브넷을 만들고 서비스 연결을 수정하여 새 서브넷을 추가합니다.
서브넷을 수정하여 IPv4 범위를 확장합니다.

마찬가지로 게시된 서비스를 수정하여 Private Service Connect 서브넷을 삭제할 수 있습니다. 하지만 Private Service Connect에 대해 SNAT를 수행하기 위해 서브넷의 IP 주소가 사용되고 있으면 서브넷을 삭제할 수 없습니다.

서브넷 구성을 변경하는 경우 새 서브넷의 요청이 백엔드 VM에 도달할 수 있도록 방화벽 규칙을 업데이트합니다.

이 태스크에 필요한 권한

이 태스크를 수행하려면 다음과 같은 권한 또는 다음과 같은 IAM 역할을 부여받아야 합니다.

권한

compute.serviceAttachments.update

역할

역할 정보는 역할을 참조하세요.

콘솔

Google Cloud 콘솔에서 Private Service Connect 페이지로 이동합니다.

Private Service Connect로 이동
게시된 서비스 탭을 클릭합니다.
업데이트할 서비스를 클릭한 다음 수정을 클릭합니다.
이 서비스에 사용되는 서브넷을 수정합니다.

새 서브넷을 추가하려면 다음과 같이 서브넷을 만듭니다.
1. 새 서브넷 예약을 클릭합니다.
2. 서브넷의 이름과 설명(선택사항)을 입력합니다.
3. 서브넷의 리전을 선택합니다.
4. 서브넷에 사용할 IP 범위를 입력하고 추가를 클릭합니다.
저장을 클릭합니다.

gcloud

이 서비스 연결에 사용되는 Private Service Connect 서브넷을 업데이트합니다.

gcloud compute service-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --nat-subnets=PSC_SUBNET_LIST

다음을 바꿉니다.

ATTACHMENT_NAME: 서비스 연결의 이름
REGION: 서비스 연결이 있는 리전
PSC_SUBNET_LIST: 이 서비스 연결에서 사용할 하나 이상의 서브넷의 쉼표로 구분된 목록입니다.

API

이 서비스 연결에 사용되는 Private Service Connect 서브넷을 업데이트합니다.

PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME

{
  ...
  "natSubnets": [
    "PSC_SUBNET1_URI",
    "PSC_SUBNET2_URI",
  ],
  ...
}

다음을 바꿉니다.

PROJECT_ID: 서비스 연결의 프로젝트
REGION: 서비스 연결의 리전
ATTACHMENT_NAME: 서비스 연결에 할당할 이름
PSC_SUBNET1_URI 및 PSC_SUBNET2_URI: 이 서비스 연결과 함께 사용할 서브넷의 URI. 하나 이상의 서브넷을 지정할 수 있습니다.