Private Service Connect

이 문서에서는 Private Service Connect에 대해 간략하게 설명합니다.

Private Service Connect는 소비자가 VPC 네트워크 내부에서 비공개로 관리형 서비스에 액세스할 수 있도록 허용하는 Google Cloud Networking 기능입니다. 마찬가지로 이를 이용해 관리형 서비스 프로듀서는 이러한 서비스를 별도의 개별 VPC 네트워크에서 호스팅하고 소비자에게 비공개 연결을 제공할 수 있습니다. 예를 들어 Private Service Connect를 사용하여 Cloud SQL에 액세스할 때는 사용자가 서비스 소비자이고 Google이 서비스 프로듀서입니다.

Private Service Connect를 사용하면 소비자가 VPC 네트워크를 벗어나지 않고 자체 내부 IP 주소를 사용하여 서비스에 액세스할 수 있습니다. 트래픽은 전적으로 Google Cloud 내에 유지됩니다. Private Service Connect는 소비자 및 프로듀서 사이의 서비스 중심 액세스를 제공하여 서비스 액세스 방법을 세밀하게 제어합니다.

Private Service Connect에서는 다음 유형의 관리형 서비스에 대한 액세스를 지원합니다.

다음을 포함한 게시된 VPC 호스팅 서비스:
- Google에서 게시한 서비스(예: Apigee 또는 GKE 제어 영역)
- Private Service Connect 파트너가 제공하는 3제3자 게시 서비스
- 조직 내에서 게시된 서비스. 여기서 소비자와 프로듀서는 같은 회사 내에 있는 두 개의 서로 다른 VPC 네트워크일 수 있습니다.
Google API(예: Cloud Storage 또는 BigQuery)

**그림 1.** Private Service Connect를 사용하면 트래픽을 Google API 및 게시된 서비스를 포함한 관리형 서비스로 전달하는 엔드포인트와 백엔드로 트래픽을 보낼 수 있습니다. Private Service Connect 인터페이스를 사용하면 관리형 서비스가 소비자 VPC 네트워크에 대한 연결을 시작할 수 있습니다.

Private Service Connect는 다음과 같은 특성을 가진 비공개 연결을 제공합니다.

서비스 지향 설계: 프로듀서 서비스는 단일 IP 주소를 소비자 VPC 네트워크에 노출하는 부하 분산기를 통해 게시됩니다. 프로듀서 서비스에 액세스하는 소비자 트래픽은 단방향이며 전체 피어링된 VPC 네트워크에 대한 액세스 권한이 아닌 서비스 IP 주소에만 액세스할 수 있습니다.
명시적 승인: Private Service Connect는 소비자 및 프로듀서에게 세밀한 제어 기능을 제공하는 승인 모델을 제공하며, 이를 통해 의도한 서비스 엔드포인트만 있고 다른 리소스는 서비스에 연결할 수 없습니다.
공유 종속 항목 없음: 소비자와 프로듀서 간의 트래픽은 NAT를 사용하므로 소비자 주소와 프로듀서 VPC 네트워크 간에는 IP 주소 조정이나 다른 공유 리소스 종속 항목이 존재하지 않습니다. 이 독립성은 배포를 간소화하고 관리형 서비스를 보다 쉽게 확장할 수 있게 해줍니다.
선 속도 성능: Private Service Connect 트래픽은 중간 홉 또는 프록시 없이 소비자 클라이언트에서 프로듀서 백엔드로 직접 이동합니다. NAT는 소비자 및 프로듀서 VM을 호스팅하는 물리적 호스트 머신에서 직접 수행되므로 지연 시간이 줄어들고 대역폭 용량이 늘어납니다. Private Service Connect의 대역폭 용량은 직접 통신하는 클라이언트 및 서버 머신의 대역폭 용량으로만 제한됩니다.

Private Service Connect 유형

Private Service Connect는 다양한 기능과 통신 모드를 제공하는 여러 유형으로 제공됩니다.

서비스 프로듀서는 Private Service Connect 서비스를 만들어 애플리케이션을 소비자에게 게시합니다. 서비스 소비자는 다음 Private Service Connect 유형 중 하나를 통해 Private Service Connect 서비스에 직접 액세스합니다.

Private Service Connect 엔드포인트: 소비자에게 Private Service Connect 서비스에 매핑된 IP 주소를 제공하는 전달 규칙을 사용하여 엔드포인트를 배포합니다.
Private Service Connect 백엔드: 백엔드는 소비자가 Private Service Connect 서비스에 도달하기 전에 부하 분산기로 트래픽을 전달할 수 있도록 하는 네트워크 엔드포인트 그룹(NEG)을 사용하여 배포됩니다.

서비스 프로듀서는 Private Service Connect 인터페이스를 사용하여 서비스 소비자에게 연결을 시작할 수 있습니다. Private Service Connect 인터페이스는 양방향 통신을 제공하며 엔드포인트 및 백엔드와 동일한 VPC 네트워크에서 사용할 수 있습니다.

엔드포인트

Private Service Connect 엔드포인트는 해당 네트워크의 클라이언트에서 직접 액세스할 수 있는 소비자 VPC 네트워크의 내부 IP 주소입니다. 엔드포인트는 서비스 연결 또는 Google API 번들을 참조하는 전달 규칙을 배포하여 생성됩니다.

다음은 별도의 VPC 네트워크 및 조직에서 실행 중인 게시된 서비스를 대상으로 하는 Private Service Connect 엔드포인트를 보여주는 다이어그램입니다. Private Service Connect 엔드포인트 및 게시된 서비스를 사용하면 두 개의 독립 회사가 내부 IP 주소를 사용하여 서로 통신할 수 있습니다. 자세한 내용은 엔드포인트를 통해 게시된 서비스 액세스 정보를 참조하세요.

**그림 2.** Private Service Connect를 사용하면 트래픽을 다른 VPC 네트워크의 게시된 서비스로 전달하는 엔드포인트로 트래픽을 보낼 수 있습니다.

마찬가지로 Private Service Connect 엔드포인트를 사용하여 Cloud Storage 또는 BigQuery와 같은 Google API에 액세스할 수 있습니다. 이 기능은 엔드포인트에 자체 내부 IP 주소를 사용할 수 있다는 점을 제외하면 비공개 Google 액세스와 유사합니다. Private Service Connect를 사용하면 라우팅을 보다 직접 제어하고 네트워크에 필요한 만큼 엔드포인트를 만들 수 있습니다. 자세한 내용은 엔드포인트를 통한 Google API 액세스 정보를 참조하세요.

**그림 3.** Private Service Connect를 사용하면 트래픽을 Google API로 전달하는 엔드포인트로 트래픽을 전송할 수 있습니다.

백엔드

Private Service Connect 백엔드를 사용하면 Google Cloud 부하 분산기가 Private Service Connect를 통해 트래픽을 전송하여 게시된 서비스나 Google API에 연결할 수 있습니다. 백엔드는 프로듀서 서비스 연결 또는 지원되는 Google API를 참조하는 Private Service Connect 네트워크 엔드포인트 그룹(NEG)을 통해 배포됩니다. 관리형 서비스 앞에 부하 분산기를 배치하면 Private Service Connect 엔드포인트를 통해 가능한 것보다 더 많은 가시성과 제어를 소비자에게 제공할 수 있습니다. 백엔드를 사용하면 다음과 같은 구성을 만들 수 있습니다.

관리형 서비스 앞의 고객 소유 도메인 및 인증서
다른 리전의 관리형 서비스 간 소비자 제어 장애 조치
관리형 서비스의 중앙 집중식 보안 구성 및 액세스 제어

다음은 게시된 서비스를 참조하는 Private Service Connect 백엔드로 배포된 내부 애플리케이션 부하 분산기를 보여주는 다이어그램입니다. 구성에는 2개의 부하 분산기가 있습니다.

서비스에 대한 트래픽의 제어, 가시성, 보안을 제공하는 소비자 부하 분산기
서비스 백엔드 간에 트래픽을 부하 분산하는 프로듀서 부하 분산기

**그림 4.** Private Service Connect를 사용하면 트래픽을 게시된 서비스로 전달하는 백엔드로 트래픽을 보낼 수 있습니다.

Private Service Connect 엔드포인트와 마찬가지로 백엔드는 Google API 타겟팅도 지원합니다. 다음은 Cloud Storage 버킷을 대상으로 하고 고객 소유 도메인을 사용하여 트래픽을 종료하는 내부 애플리케이션 부하 분산기를 보여주는 다아어그램입니다.

**그림 5.** Private Service Connect를 사용하면 트래픽을 위치 Google API로 전달하는 백엔드로 트래픽을 보낼 수 있습니다.

인터페이스

Private Service Connect 인터페이스는 네트워크 연결을 참조하는 특수 유형의 네트워크 인터페이스입니다.

서비스 프로듀서는 Private Service Connect 인터페이스를 만들고 네트워크 연결에 대한 연결을 요청할 수 있습니다. 서비스 소비자가 연결을 수락하면 Google Cloud는 네트워크 연결에 지정된 소비자 VPC 네트워크의 서브넷에서 IP 주소를 인터페이스에 할당합니다. Private Service Connect 인터페이스의 VM에는 프로듀서의 VPC 네트워크에 연결되는 두 번째 표준 네트워크 인터페이스가 있습니다.

Private Service Connect 인터페이스와 네트워크 연결 간의 연결은 Private Service Connect 엔드포인트와 서비스 연결 간의 연결과 유사하지만 여기에는 두 가지 주요 차이점이 있습니다.

Private Service Connect 인터페이스를 사용하면 프로듀서 VPC 네트워크가 소비자 VPC 네트워크(관리형 서비스 이그레스)로의 연결을 시작할 수 있습니다. 엔드포인트가 반대 방향으로 작동하므로 소비자 VPC 네트워크가 프로듀서 VPC 네트워크(관리형 서비스 인그레스)로의 연결을 시작할 수 있습니다.
Private Service Connect 인터페이스 연결은 전환됩니다. 즉, 프로듀서 네트워크의 워크로드가 소비자 VPC 네트워크에 연결된 다른 워크로드에 대한 연결을 시작할 수 있습니다. Private Service Connect 엔드포인트는 프로듀서 VPC 네트워크에 대한 연결만 시작할 수 있습니다.

**그림 6.** Private Service Connect 인터페이스를 사용하면 서비스 프로듀서가 서비스 소비자에게 연결을 시작할 수 있습니다.

Private Service Connect 관리형 서비스

관리형 서비스는 서비스 소비자가 아닌 다른 사용자가 소유하고 관리하는 서비스입니다. Private Service Connect를 사용하면 Google, 서드 파티 Software as a Service(SaaS) 회사 또는 소비자 소유 회사의 다른 팀에서 소유한 관리형 서비스에 액세스할 수 있습니다. 게시된 서비스와 Google API 모두 Private Service Connect의 대상이 될 수 있습니다.

게시된 서비스

게시된 서비스는 프로듀서의 VPC 네트워크에 배포되고 소비자의 VPC 네트워크에서 액세스하는 VPC 호스팅 서비스입니다. 서비스를 게시하면 서비스 프로듀서가 자체 VPC 네트워크에서 서비스 배포를 소유하고 제어할 수 있습니다. 게시된 서비스는 다음을 포함할 수 있습니다.

Google 서비스(예: GKE, Apigee, Cloud Composer). 이러한 서비스는 Google에서 관리하는 테넌트 프로젝트 및 VPC 네트워크에서 실행됩니다.
제3자 서비스: 제3자는 Google Cloud에 게시된 서비스에 대한 비공개 액세스 권한을 제공합니다.
조직 내 서비스: 한 회사에 여러 VPC 네트워크의 내부 애플리케이션에 액세스하는 클라이언트가 있습니다. 일부 조직은 내부 세분화를 위해 별도의 VPC 네트워크를 사용합니다. 이러한 구성을 사용하면 한 팀이 별도의 VPC 네트워크에서 작업하는 다른 팀에 관리형 서비스를 제공할 수 있습니다.

서비스 연결

서비스 연결은 Private Service Connect의 게시된 서비스를 만드는 데 사용되는 리소스입니다.

서비스 엔드포인트는 엔드포인트 또는 백엔드를 사용하여 액세스할 수 있습니다. 여러 백엔드 또는 엔드포인트가 동일한 서비스 연결에 연결할 수 있으므로 여러 VPC 네트워크 또는 여러 소비자가 동일한 서비스 인스턴스에 액세스할 수 있습니다.

서비스 연결은 프로듀서 부하 분산기를 대상으로 지정하며 소비자 VPC 네트워크의 클라이언트가 부하 분산기에 액세스하도록 허용합니다. 서비스 연결 구성은 다음을 정의합니다.

서비스에 연결할 수 있는 소비자를 정의하는 소비자 허용 목록
변환된 트래픽이 프로듀서 VPC 네트워크에서 제공되는 NAT 서브넷
선택적 DNS 도메인(제공되는 경우). 이는 소비자의 Cloud DNS 영역에서 자동으로 생성되는 엔드포인트의 DNS 항목에 사용됩니다.

Google API

비공개 Google 액세스 또는 Google API용 공개 도메인 이름의 대안으로 Private Service Connect를 사용하여 Google API에 액세스할 수 있습니다. 이 경우 프로듀서는 Google입니다.

Google API는 엔드포인트 또는 백엔드를 사용하여 액세스할 수 있습니다. 엔드포인트를 사용하면 Google API 번들을 타겟팅할 수 있으며 백엔드를 사용하면 특정 위치 Google API를 타겟팅할 수 있습니다.

Private Service Connect를 사용하면 다음을 수행할 수 있습니다.

다양한 사용 사례에 대해 Google API에 액세스할 수 있도록 내부 IP 주소를 하나 이상 만들 수 있습니다.
Google API에 액세스할 때 특정 IP 주소 및 리전으로 온프레미스 트래픽을 전달할 수 있습니다.
Google API 트래픽을 HTTP(S) 부하 분산기로 중앙화하여 자체 인증서, 보안 정책, 관측 가능성을 적용할 수 있습니다.

다음 단계

다음 Codelab 중 하나를 완료합니다.
- Private Service Connect를 소비한 서비스 게시 및 사용
- Private Service Connect를 소비하여 GKE로 서비스 게시 및 사용
엔드포인트를 통해 게시된 서비스에 액세스 알아보기
엔드포인트를 통한 Google API 액세스 알아보기
백엔드 알아보기
서비스 게시 알아보기