비공개 서비스 액세스

이 페이지에서는 비공개 서비스 액세스를 간략하게 설명합니다.

Google 및 서드 파티 (서비스 프로듀서라고 함)는 VPC 네트워크에서 호스팅되는 VM에서 실행되는 서비스인 VPC 호스팅 서비스를 제공할 수 있습니다. 비공개 서비스 액세스를 사용하면 VPC 네트워크와 서비스 프로듀서의 VPC 네트워크 간에 비공개 연결을 만들어 이러한 서비스에 도달할 수 있습니다. 비공개 연결은 네트워크와 서비스 프로듀서의 네트워크 사이에 VPC 네트워크 피어링 연결을 설정합니다.

비공개 서비스 액세스 트래픽은 공개 인터넷을 통하지 않고 Google 네트워크 내부에서 이동합니다. VPC 네트워크의 인스턴스는 내부 IPv4 주소를 사용하여 서비스에 도달할 수 있습니다. 인스턴스에 외부 IP 주소가 있을 수 있지만 비공개 서비스 액세스에는 외부 IP 주소가 필수적인 것은 아니며 사용되지도 않습니다.

지원되는 서비스

비공개 서비스 액세스를 지원하는 Google VPC 호스팅 서비스는 다음과 같습니다.

• AI Platform Training
• PostgreSQL용 AlloyDB
• Apigee
• 백업 및 DR 서비스
• Cloud Build
• Cloud Intrusion Detection System
• Cloud SQL (DNS 피어링을 지원하지 않음)
• Cloud TPU
• Google Cloud용 IBM Power와 엔터프라이즈 클라우드 통합
• Filestore
• Google Cloud Managed Lustre
• Google Cloud VMware Engine
• Looker(Google Cloud 핵심 서비스)
• Memorystore for Memcached
• Memorystore for Redis
• Vertex AI

비공개 서비스 액세스 및 VPC 네트워크 피어링

비공개 연결에서 서비스 프로듀서 네트워크와 내 네트워크는 VPC 네트워크 피어링을 통해 연결됩니다. 두 네트워크 간의 라우팅이 올바르게 작동하려면 두 네트워크가 서로 다른 IP 주소 범위를 사용해야 합니다. 중복을 방지하려면 비공개 연결에 사용할 할당 범위를 네트워크에 하나 이상 만듭니다.

VPC 네트워크에서 범위를 할당하면 서브넷이나 커스텀 정적 경로의 대상과 같은 다른 리소스에는 해당 범위를 사용할 수 없습니다.

할당된 범위 선택에 대한 자세한 내용은 할당된 범위의 IP 주소 범위 선택을 참고하세요.

비공개 서비스 액세스 워크플로

비공개 서비스 액세스를 사용하면 리소스가 VPC 네트워크와 서비스 프로듀서의 네트워크 모두에 배포됩니다. 다음 단계에서는 이 프로세스를 간략하게 설명합니다.

1. 서비스 소비자는 비공개 서비스 액세스로 서비스 인스턴스를 배포합니다. 세부정보는 배포하는 서비스에 따라 다를 수 있습니다. 다음 단계는 사용자가 실행할 수도 있고 서비스 인스턴스 배포의 일부로 서비스 프로듀서가 자동화할 수도 있습니다.

   1. VPC 네트워크에서 IP 주소 범위를 할당합니다. 이 할당된 범위는 서비스 프로듀서 전용으로 예약되어 있습니다.

   2. 만든 할당 범위를 지정하여 서비스 프로듀서에 대한 비공개 연결을 만듭니다.

   3. 생성한 비공개 연결을 참조하는 서비스 인스턴스(예: Cloud SQL 인스턴스)를 프로비저닝합니다.

2. 서비스 프로듀서가 서비스 인스턴스의 리소스를 프로비저닝합니다.

   1. 서비스 프로듀서가 서비스 인스턴스의 프로젝트를 만듭니다. 이 프로젝트는 격리되어 있으므로 다른 고객이 이를 공유할 수 없으며 서비스 소비자는 서비스 소비자가 프로비저닝한 리소스에 대해서만 요금이 청구됩니다.

   2. 해당 프로젝트 내에서 서비스 프로듀서는 사용자 전용 VPC 네트워크를 만듭니다.

   3. 해당 네트워크 내에서 서비스 공급자는 서브넷을 만듭니다. 이 서브넷의 IP 주소 범위는 사용자가 제공한 할당된 범위에서 선택됩니다. 서비스 생산자는 일반적으로 /29~/24 CIDR 블록을 선택합니다. 서비스 프로듀서의 서브넷 IP 주소 범위를 선택하거나 수정할 수 없습니다.

   4. 서비스 인스턴스에 새 서브넷의 IP 주소가 할당됩니다.

3. 비공개 연결이 활성화됩니다.

   1. VPC 네트워크 피어링 연결이 설정됩니다.

   2. VPC 네트워크가 서비스 프로듀서의 네트워크에서 경로를 가져옵니다.

   3. 네트워크의 VM은 서비스 인스턴스의 내부 IP 주소를 사용하여 서비스 인스턴스와 통신할 수 있습니다. 트래픽은 공개 인터넷을 통하지 않고 Google 네트워크 내부에서만 이동합니다.

초기 배포가 생성된 후 다음 작업을 수행할 수 있습니다.

• 추가 리소스 프로비저닝: 동일한 서비스에 추가 리소스를 프로비저닝할 때 서비스 프로듀서는 공간이 있는 경우 기존 서브넷에 리소스를 배치합니다. 서브넷이 가득 차면 할당된 범위에서 해당 리전에 새 서브넷이 생성됩니다.

• 리소스 삭제: 서비스 프로듀서의 네트워크에 있는 서브넷은 서브넷 내의 모든 서비스 리소스를 삭제할 때만 삭제됩니다. 리소스 삭제에 대한 자세한 내용은 관련 서비스 생산자의 문서를 참고하세요.

예

다음 다이어그램은 비공개 연결을 사용하여 서비스 인스턴스에 액세스하는 방법을 보여줍니다.

이 예시에서 서비스 소비자 VPC 네트워크는 Google 서비스에 10.240.0.0/16 주소 범위를 할당하고 이 할당 범위를 사용하는 비공개 연결을 설정했습니다.

• 비공개 연결에 10.240.0.0/16 할당 범위가 지정되었습니다.

• Google은 서비스 소비자의 리소스에 대한 프로젝트와 VPC 네트워크를 만듭니다. VPC 네트워크는 VPC 네트워크 피어링을 사용하여 연결됩니다.

• 서비스 프로듀서는 IP 주소 범위 10.240.0.0/24를 사용하는 서브넷을 만듭니다.

• Cloud SQL 인스턴스에는 IP 주소 10.240.0.2가 할당됩니다.

• 서브넷이 생성되면 서비스 소비자 네트워크가 서비스 네트워크에서 경로를 가져옵니다.

• 서비스 소비자 VPC 네트워크에서 대상이 10.240.0.2인 요청은 서비스 제작자의 네트워크를 통해 비공개 연결에 라우팅됩니다.

• 서비스 소비자가 europe-west1에서 다른 Google 서비스의 서비스 인스턴스를 배포합니다. Google이 서비스 프로듀서이므로 동일한 프로젝트와 네트워크를 사용할 수 있습니다. 하지만 인스턴스가 다른 리전에 있으므로 새 서브넷이 필요합니다. Google은 IP 주소 범위 10.240.10.0/24를 사용하는 새 서브넷을 만들고 서비스 인스턴스에 IP 주소 10.240.10.2를 할당합니다.

서비스 인스턴스의 연결 가능 여부

하나의 서비스 소비자 VPC 네트워크만 지정된 관리형 서비스 인스턴스에 대한 비공개 연결을 만들 수 있습니다. 하지만 해당 VPC 네트워크 외부에 있는 리소스에서 비공개 연결을 사용할 수 있도록 하는 방법이 있습니다.

• 다른 VPC 네트워크에서 서비스 인스턴스를 사용할 수 있도록 하려면 다음 옵션을 고려하세요.
  • Network Connectivity Center를 통해 액세스
  • 공유 VPC를 통해 액세스
• 온프레미스 네트워크와 같은 연결된 네트워크에서 서비스 인스턴스를 사용할 수 있도록 하려면 하이브리드 연결을 통한 액세스를 참고하세요.

이러한 옵션 중 어느 것도 사용 사례에 적합하지 않은 경우 서비스 제작자가 Private Service Connect와 같은 서비스에 연결하는 다른 방법을 제공할 수 있습니다. 자세한 내용은 서비스 문서를 참고하세요.

Network Connectivity Center를 통한 액세스

비공개 서비스 액세스를 통해 사용할 수 있는 일부 서비스의 경우 Network Connectivity Center를 사용하여 프로듀서 VPC 스포크를 만들어 허브의 다른 스포크에서 서비스에 연결하도록 만들 수 있습니다. 지원되는 서비스에 관한 자세한 내용은 프로듀서 VPC 스포크를 참고하세요.

공유 VPC를 통한 액세스

공유 VPC를 사용하는 경우 호스트 프로젝트에서 할당된 IP 범위와 비공개 연결을 만듭니다. 이러한 작업은 일반적으로 호스트 프로젝트의 네트워크 관리자가 수행해야 합니다. 호스트 프로젝트가 설정되면 서비스 프로젝트의 VM 인스턴스가 비공개 연결을 사용할 수 있습니다.

하이브리드 연결을 통한 액세스

하이브리드 네트워킹 시나리오에서 온프레미스 네트워크는 Cloud VPN 또는 Cloud Interconnect 연결을 통해 VPC 네트워크에 연결됩니다. 기본적으로 온프레미스 호스트는 비공개 서비스 액세스를 사용하여 서비스 제작자의 네트워크에 연결할 수 없습니다.

VPC 네트워크에는 온프레미스 네트워크에 트래픽을 올바르게 전송하기 위한 커스텀 정적 또는 동적 경로가 있을 수 있지만 서비스 프로듀서의 네트워크에는 이와 같은 경로가 없습니다. 비공개 연결을 만들 때 VPC 네트워크와 서비스 프로듀서 네트워크는 서브넷 경로만 교환합니다.

서비스 프로듀서의 네트워크에는 인터넷에 연결되는 기본 경로 (0.0.0.0/0)가 있습니다. 서비스 프로듀서 네트워크의 기본 경로가 우선 적용되므로 서비스 프로듀서의 네트워크에 내보낸 기본 경로는 무시됩니다. 대신에 보다 구체적인 대상이 포함된 커스텀 경로를 정의하여 내보낼 수 있습니다.

자세한 내용은 하이브리드 연결 구성을 참고하세요.

서비스 프로듀서 네트워크

비공개 연결 시 서비스 프로듀서는 서비스 리소스가 프로비저닝되는 VPC 네트워크를 사용합니다. 서비스 프로듀서의 네트워크는 사용자 전용으로 구축되고 사용자의 리소스만 포함합니다.

서비스 프로듀서 네트워크의 리소스는 VPC 네트워크의 다른 리소스와 비슷합니다. 예를 들어 VPC 네트워크의 다른 리소스에서 내부 IP 주소를 통해 연결할 수 있습니다. 서비스 프로듀서 네트워크에 대한 액세스를 제어하기 위해 VPC 네트워크에 방화벽 규칙도 만들 수 있습니다.

서비스 제작자 측면에 대한 자세한 내용은 서비스 인프라 문서에서 비공개 서비스 액세스 사용 설정을 참고하세요. 이 문서는 단순 참고용이며 사용자가 실제 비공개 서비스 액세스를 사용 설정하거나 사용하는 데 필수 문서는 아니라는 점을 유의해 주세요.

가격 책정

비공개 서비스 액세스 가격 책정은 VPC 가격 책정 페이지의 비공개 서비스 액세스를 참고하세요.

제한사항

비공개 서비스 액세스에는 다음 제한사항이 적용됩니다.

• 비공개 연결은 VPC 네트워크 피어링 연결로 구현되므로 피어링 연결의 동작과 제약조건이 비공개 연결에도 적용됩니다. 예를 들어 VPC 네트워크 피어링은 전환되지 않으므로 피어링된 VPC 네트워크에서는 비공개 연결을 사용할 수 없습니다.

  자세한 내용은 VPC 네트워크 피어링, VPC 네트워크 피어링 제한, 할당량 및 제한을 참고하세요.

• 하나의 서비스 소비자 VPC 네트워크만 특정 관리형 서비스 인스턴스에 연결되는 비공개 연결을 만들 수 있습니다. 하지만 해당 VPC 네트워크 외부에 있는 리소스에서 비공개 연결을 사용할 수 있도록 하는 방법이 있습니다. 자세한 내용은 서비스 인스턴스의 도달 가능성을 참고하세요.

• 할당된 범위와 연결된 IP 주소 범위는 변경할 수 없습니다. 하지만 비공개 연결과 연결된 할당된 범위를 수정할 수는 있습니다.

• 비공개 서비스 액세스에서 IPv6 주소 범위를 사용할 수 없습니다.

다음 단계

• IP 주소 범위를 할당하거나 비공개 연결을 만들거나 비공개 DNS 영역을 공유하려면 비공개 서비스 액세스 구성을 참고하세요.