Private Service Connect 배포 패턴
이 페이지에서는 Private Service Connect를 배포하고 액세스하는 몇 가지 일반적인 방법을 설명합니다.
단일 테넌트 서비스
단일 테넌트 서비스는 단일 소비자 또는 테넌트 전용 서비스입니다. 서비스 인스턴스는 일반적으로 프로듀서 조직의 다른 테넌트 VPC 네트워크와 격리하기 위해 해당 테넌트 전용의 개별 VPC 네트워크에서 호스팅됩니다. 각 서비스는 소비자 허용 목록을 사용하여 서비스에 연결할 수 있는 프로젝트를 제어합니다. 허용 목록을 사용하면 단일 테넌트에 대한 액세스를 제한할 수 있습니다. 하나의 테넌트만 서비스에 연결할 수 있지만, 테넌트가 여러 VPC 네트워크에서 연결하는 경우 여러 엔드포인트 또는 백엔드를 만들 수 있습니다.
그림 1. 단일 테넌트 관리형 서비스에서 프로듀서는 서비스를 해당 소비자 전용의 개별 VPC 네트워크에 배포합니다.
멀티 테넌트 서비스
멀티 테넌트 서비스는 여러 소비자 또는 테넌트가 액세스할 수 있는 서비스입니다. 프로듀서는 여러 프로젝트 또는 모든 프로젝트의 소비자가 서비스에 연결할 수 있도록 서비스의 소비자 허용 목록을 구성합니다. 소비자 허용 목록을 사용하면 프로듀서가 각 프로젝트에서 만들 수 있는 Private Service Connect 연결 수를 제어할 수도 있습니다. 이러한 한도는 프로듀서의 리소스 또는 할당량 소진을 방지하는 데 도움이 됩니다. 프로듀서가 트래픽의 소스인 테넌트를 식별해야 하는 경우 서비스에서 프록시 프로토콜을 사용 설정하면 됩니다.
그림 2. 멀티 테넌트 관리형 서비스에서는 여러 소비자가 하나의 VPC 네트워크에 있는 서비스에 액세스할 수 있습니다.
다중 지점 액세스
다중 지점 액세스는 여러 Private Service Connect 엔드포인트 또는 백엔드가 동일한 서비스 연결에 연결되는 경우입니다. 다중 지점 Private Service Connect는 여러 독립적인 소비자가 동일한 서비스에 연결할 수 있도록 허용하기 때문에 멀티 테넌트 서비스에 유용합니다. 이는 단일 소비자 내의 여러 VPC 네트워크에서 서비스 연결을 만드는 등의 경우에 단일 테넌트 서비스에도 유용합니다.
모든 서비스 프로듀서가 관리형 서비스에서 다중 지점 액세스를 지원하도록 선택하는 것은 아닙니다. 서비스 프로듀서에게 문의하여 서비스 연결이 다중 지점 액세스를 지원하는지 확인합니다.
멀티 리전 액세스
멀티 리전 관리형 서비스는 여러 리전 간에 배포되거나 액세스되는 서비스입니다. 서비스가 로컬 리전에 없는 경우나 고가용성과 멀티 리전 장애 조치를 위해 클라언트가 다른 리전에 있는 서비스에 액세스할 수 있습니다. Google Cloud는 전역 VPC 네트워크를 지원하므로 Private Service Connect 전역 액세스를 사용하면 클라이언트가 모든 리전에서 Private Service Connect 엔드포인트에 도달할 수 있습니다. 클라이언트 트래픽이 Compute Engine 가상 머신(VM) 인스턴스, Cloud VPN 터널, Cloud Interconnect용 VLAN 연결에서 수신될 수 있습니다.
그림 3. 전역 액세스가 지원되는 Private Service Connect 엔드포인트는 모든 리전에서 액세스할 수 있습니다.
온프레미스 및 하이브리드 액세스
Cloud Interconnect 및 Cloud VPN 터널용 VLAN 연결을 사용하여 온프레미스 네트워크 또는 다른 클라우드 제공업체를 VPC 네트워크에 연결할 수 있습니다. Google API용 엔드포인트와 게시된 서비스용 엔드포인트는 모두 전역적으로 액세스할 수 있으므로 연결된 네트워크의 클라이언트가 모든 리전의 엔드포인트로 요청을 보낼 수 있습니다. 하지만 여러 리전에 엔드포인트를 배포하여 하이브리드 네트워크에서 라우팅을 더욱 세부적으로 제어할 수 있습니다. 특정 리전의 하이브리드 트래픽을 가장 짧은 트래픽 경로로 최적화하는 로컬 엔드포인트로 라우팅할 수 있습니다.
그림 4. Private Service Connect 엔드포인트 및 백엔드는 연결된 네트워크에서 액세스할 수 있습니다.
양방향 연결
소비자 클라이언트는 일반적으로 관리형 서비스에 대한 연결을 시작하지만 관리형 서비스에서 소비자 소유 서비스에 대한 연결을 시작해야 하는 경우가 있습니다.
역방향 비공개 연결
역방향 비공개 연결에서는 소비자가 Private Service Connect를 역방향으로 배포하여 프로듀서 VPC 네트워크의 VM 및 GKE 클러스터가 소비자 VPC 네트워크로의 트래픽을 시작할 수 있습니다. 이 경우 소비자는 내부 부하 분산기와 서비스 연결을 배포하여 서비스를 프로듀서에게 게시합니다. 프로듀서와 소비자는 함께 Private Service Connect를 정방향 및 역방향으로 사용하여 서로의 양방향 연결을 만들 수 있습니다.
그림 5. 역방향 비공개 연결을 사용하면 소비자와 프로듀서가 서로 양방향 연결을 만들 수 있습니다.
Private Service Connect 인터페이스
Private Service Connect 인터페이스는 소비자 및 프로듀서 VPC 네트워크 간에 양방향 전환 연결을 만듭니다. 소비자 및 프로듀서 VPC 네트워크 모두의 리소스는 Private Service Connect 인터페이스를 통해 연결을 시작할 수 있습니다. 또한 연결이 전환되므로 프로듀서 VPC 네트워크의 리소스는 소비자 VPC 네트워크에 연결된 다른 워크로드와 통신할 수 있습니다. 예를 들어 프로듀서 VPC 네트워크의 VM은 Cloud Interconnect 또는 VPC 네트워크 피어링을 통해 소비자 VPC 네트워크에 연결된 네트워크의 워크로드에 도달할 수 있습니다.
하이브리드 서비스
Google Cloud에 없는 하이브리드 서비스가 다른 클라우드나 온프레미스 환경 또는 이러한 위치의 조합에 있을 수 있습니다. Private Service Connect를 사용하면 다른 VPC 네트워크에서 하이브리드 서비스에 액세스할 수 있습니다.
하이브리드 서비스는 지원되는 부하 분산기와 호환되는 하이브리드 NEG를 통해 액세스할 수 있습니다.
이 구성은 서비스 프로듀서가 온프레미스 네트워크에서 호스팅되는 소비자 서비스에 연결하는 역방향 비공개 연결의 형태로 사용되는 경우가 많습니다. Private Service Connect를 사용하면 프로듀서가 이러한 네트워크와 직접 연결을 설정하지 않고도 소비자 하이브리드 네트워크에 연결할 수 있습니다.
그림 6. 역방향 비공개 연결을 사용하면 소비자와 프로듀서가 서로 양방향 연결을 만들 수 있습니다.
구성 예시는 Private Service Connect를 사용하여 하이브리드 서비스 게시를 참조하세요.
공유 VPC
Private Service Connect 리소스는 독립형 VPC 네트워크 또는 공유 VPC 네트워크에 배포할 수 있습니다. Private Service Connect 엔드포인트, 백엔드, 서비스 연결은 호스트 프로젝트 또는 서비스 프로젝트에 배포될 수 있습니다.
예를 들어 소비자 서비스 관리자는 호스트 프로젝트의 서브넷에서 가져온 IP 주소를 사용하여 서비스 프로젝트에 Private Service Connect 엔드포인트 및 백엔드를 배포할 수 있습니다. 이 구성을 사용하면 동일한 공유 VPC 네트워크에 있는 다른 서비스 프로젝트에서 엔드포인트와 백엔드에 연결할 수 있습니다.
공유 VPC 네트워크 내의 모든 클라이언트는 배포된 프로젝트와 관계없이 Private Service Connect 엔드포인트에 연결됩니다. 그러나 프로젝트 선택에 따라 가시성, IAM 액세스, 시간별 리소스 청구 요금이 적용되는 프로젝트가 영향을 받습니다.
그림 7. 공유 VPC 네트워크와 연결된 모든 서비스 프로젝트에서 Private Service Connect 리소스를 사용할 수 있습니다.