서비스 비공개 액세스 옵션
이 문서에서는 Google 및 서드 파티 API와 서비스에 대한 비공개 연결에 사용되는 다양한 옵션을 간략하게 설명합니다. 기본적으로 외부 IP 주소가 없는 가상 머신(VM)은 Google API 및 서비스를 포함하여 VPC 네트워크 외부의 어떤 항목에도 연결할 수 없습니다.Google Cloud 는 VM의 내부 IP 주소를 통해 서비스에 비공개 연결을 제공하는 여러 가지 옵션을 제공합니다. 모든 Google Cloud API 및 서비스는 다음 비공개 액세스 옵션 중 최소 하나 이상을 지원합니다.
- Private Service Connect
- 비공개 Google 액세스
- 비공개 서비스 액세스
- VPC 네트워크 피어링
이러한 옵션 중 하나 이상을 구성할 수 있으며 옵션은 서로 독립적으로 작동합니다.
Google Cloud 서비스 유형
Google Cloud 는 두 가지 유형의 서비스를 제공합니다.
Google 프로덕션 인프라에서 실행되는 Google API 및 서비스. 예시 서비스는 다음과 같습니다.
- Gmail, Google Docs, Google 지도와 같은 웹 애플리케이션
*.googleapis.comAPI 서비스 엔드포인트가 있는 API를 포함한 Google API*.appspot.com,*.run.app또는*.cloudfunctions.netURL에서 제공되는 서버리스 리소스*.gstatic.comURL에서 제공되는 파일
Google 프로덕션 인프라에 있는 서비스는 Private Service Connect, 비공개 Google 액세스 또는 둘 다를 통해 비공개 연결을 제공할 수 있습니다.
VPC 네트워크의 Compute Engine VM에서 실행되는 VPC 호스팅 서비스. Google 또는 서드 파티 서비스 제작자가 VPC 호스팅 서비스를 관리할 수 있습니다. 예시 서비스는 다음과 같습니다.
- Cloud SQL
- Filestore
- Memorystore for Redis
VPC 호스팅 서비스는 Private Service Connect, 비공개 서비스 액세스, VPC 네트워크 피어링 또는 이러한 옵션의 조합을 통해 비공개 연결을 제공할 수 있습니다.
또한 서버리스 서비스가 있는 경우 서비스에서 VPC 네트워크로 연결할 수 있습니다.
Google API에 연결
다음 표에서는 Google 프로덕션 인프라에서 호스팅되는 Google API 및 서비스에 연결하는 데 사용되는 비공개 액세스 옵션을 설명합니다.
| 옵션 | 클라이언트 | 연결 | 지원되는 서비스 |
|---|---|---|---|
| Google API용 Private Service Connect 엔드포인트 | |||
| 외부 IP 주소 유무와 관계없는Google Cloud 리소스 또는 온프레미스 시스템 | 요청을 Google API 및 서비스로 전달하는 VPC 네트워크의 엔드포인트에 연결합니다. | 모든 Google Cloud API와 대부분의 다른 Google API 및 서비스를 지원합니다1. | |
| Google API용 Private Service Connect 백엔드 | |||
| 외부 IP 주소 유무와 관계없는Google Cloud 리소스 또는 온프레미스 시스템 | 요청을 Google API 및 서비스로 전달하는 VPC 네트워크의 부하 분산기에 연결합니다. | 선택한 위치 및 전역 Google API 및 서비스를 지원합니다. | |
| 비공개 Google 액세스 | |||
| 외부 IP 주소가 없는Google Cloud 리소스 | VPC 네트워크의 기본 인터넷 게이트웨이를 통해 Google API 및 서비스의 표준 외부 IP 주소 또는 비공개 Google 액세스 도메인 및 VIP에 연결합니다. | 대부분의 Google API 및 서비스를 지원합니다1. | |
| 온프레미스 호스트의 비공개 Google 액세스 | |||
| 외부 IP 주소의 유무와 관계없는 온프레미스 호스트 | 비공개 Google 액세스별 도메인 및 VIP 중 하나를 사용하여 Cloud VPN 터널 또는 VLAN 연결을 통해 온프레미스 네트워크에서 Google API 및 서비스에 연결합니다. | 사용 중인 비공개 Google 액세스별 도메인에 따라 액세스할 수 있는 Google 서비스 | |
VPC 네트워크에서 서비스에 연결
다음 표에서는 VPC 호스팅 서비스에 연결하는 데 사용되는 비공개 액세스 옵션을 설명합니다.
| 옵션 | 클라이언트 | 연결 | 지원되는 서비스 | 사용 |
|---|---|---|---|---|
| 서비스에 연결 | ||||
| 게시된 서비스용 Private Service Connect 엔드포인트 | ||||
| 외부 IP 주소의 유무와 관계없는Google Cloud VM 인스턴스 | 엔드포인트를 통해 다른 VPC 네트워크의 서비스에 연결합니다. | 서비스 제작자용 Private Service Connect를 사용하여 게시된 서비스를 지원합니다. | Google Cloud 리소스에 외부 IP 주소를 할당하지 않고 다른 VPC 네트워크에서 지원되는 서비스에 연결하려면 이 옵션을 사용하세요. | |
| 게시된 서비스용 Private Service Connect 백엔드 | ||||
| 외부 IP 주소의 유무와 관계없는Google Cloud VM 인스턴스 | 부하 분산기를 통해 다른 VPC 네트워크의 서비스에 연결합니다. | 서비스 제작자용 Private Service Connect를 사용하여 게시된 서비스를 지원합니다. | 소비자 관리형 부하 분산기를 통해 다른 VPC 네트워크에서 지원되는 서비스에 연결하려면 이 옵션을 사용합니다. Google Cloud 리소스에 외부 IP 주소를 할당할 필요가 없습니다. | |
| 서비스 연결 정책 | ||||
| 외부 IP 주소의 유무와 관계없는Google Cloud VM 인스턴스 | 엔드포인트를 통해 다른 VPC 네트워크의 서비스에 연결합니다. | 특정 Google 및 서드파티 서비스를 지원합니다. 서비스에서 서비스 연결 정책을 지원하는지 여부를 확인하려면 서비스 제공업체에 문의하세요. | 관리형 서비스 인스턴스를 배포하고 서비스의 관리 API 또는 UI를 통해 연결을 구성하려면 이 옵션을 사용합니다. 서비스 인스턴스는 엔드포인트를 통해 VPC 네트워크에 연결된 프로듀서 VPC 네트워크에 배포됩니다. Google Cloud 리소스에 외부 IP 주소를 할당할 필요가 없습니다. | |
| 비공개 서비스 액세스 | ||||
| 외부 IP 주소의 유무와 관계없는Google Cloud VM 인스턴스 | VPC 네트워크 피어링 연결을 통해 Google 또는 타사 관리형 VPC 네트워크에 연결합니다. | Google 서비스2와 Service Networking API를 사용하여 사용할 수 있는 타사 서비스를 지원합니다. | Google Cloud 및 Google 또는 서드 파티 리소스에 외부 IP 주소를 할당하지 않고 특정 Google 및 서드 파티 서비스에 연결하려면 이 옵션을 사용하세요. | |
서버리스 Google 서비스에서 VPC 네트워크로 연결
직접 VPC 이그레스를 사용하면 Cloud Run, App Engine 표준, Cloud Run Functions 환경에서 패킷을 VPC 네트워크에 있는 리소스의 내부 IPv4 주소로 보낼 수 있습니다. 직접 VPC 이그레스를 사용할 수 없는 경우 대신 서버리스 VPC 액세스 커넥터를 구성할 수 있습니다. 두 옵션 모두 선택한 VPC 네트워크에 연결된 다른 네트워크로 패킷을 전송할 수 있습니다.