리전 및 멀티 리전 API 엔드포인트 개요

Google Cloud 다음 시나리오에서는 리전 또는 멀티 리전 엔드포인트를 사용하는 것이 좋습니다.

• 전송 중인 데이터는 특정 리전 또는 관할권 내에 있어야 합니다.
• 규정 준수 또는 감사 목적으로 리전 데이터 처리 증거가 필요합니다.
• 서비스 액세스를 위해 리전별로 격리된 장애 도메인이 필요합니다. Google Cloud

리전 및 멀티 리전 엔드포인트는 위치별 서비스 사용이 필요한 고객에게 가장 큰 이점을 제공합니다. 이러한 엔드포인트는 전송 중인 데이터가 특정 위치에 유지되도록 보장합니다. 이 데이터 지역성은 비공개 연결을 통해 데이터에 액세스하는지 또는 공개 인터넷을 통해 데이터에 액세스하는지에 관계없이 유지됩니다.

리전 및 멀티 리전 엔드포인트는 비공개 Google 액세스와 다릅니다. 비공개 Google 액세스를 사용하면 비공개 서브넷의 VM이 인터넷을 거치지 않고 Google API에 연결할 수 있습니다. 리전 엔드포인트는 전체 요청 경로와 서비스 프런트엔드가 지역화되므로 더 엄격한 리전 격리 및 데이터 상주를 제공합니다.

리전 엔드포인트

리전 API 엔드포인트는 단일 Google Cloud 리전으로 범위가 지정된 API 엔드포인트를 통해서비스에 대한 액세스를 제공합니다. Google Cloud 리전 엔드포인트로 전송된 트래픽은 지정된 리전 내에서 처리되고 TLS가 종료됩니다.

대부분의 Google Cloud 서비스의 경우 리전 엔드포인트를 사용하여 리전 리소스를 지정된 리전 내에서 사용할 수 있습니다. 전역 리소스, 멀티 리전 리소스, 리전 외부 리전 리소스에 대한 작업은 일반적으로 리전 엔드포인트에서 지원되지 않습니다.

멀티 리전 엔드포인트

멀티 리전 API 엔드포인트는 미국, 인도, 캐나다와 같은 동일한 국가 내의 리전 집합 또는 유럽 연합과 같은 관할권으로 범위가 지정된 API 엔드포인트를 통해서비스에 대한 액세스를 제공합니다. Google Cloud Google Cloud 멀티 리전 엔드포인트로 전송된 트래픽은 지정된 관할권 내에서 완전히 처리되고 TLS가 종료됩니다.

대부분의 Google Cloud 서비스의 경우 멀티 리전 엔드포인트를 사용하여 지정된 멀티 리전 내에서 멀티 리전 리소스를 사용할 수 있습니다. 전역 리소스, 리전 리소스, 다른 관할권의 멀티 리전 리소스에 대한 작업은 일반적으로 지원되지 않습니다.

리전 및 멀티 리전 엔드포인트의 이점

리전 및 멀티 리전 엔드포인트를 사용하면 다음과 같은 이점이 있습니다.

• 데이터 상주: 전송 중인 데이터를 선택한 리전 내에 유지하여 엄격한 데이터 상주 요구사항을 충족하는 데 도움이 됩니다. TLS 세션은 항상 지정된 리전 내에서 종료됩니다.
• 리전 격리: 리전 간 종속성을 줄여 다른 리전의 장애로 인한 문제를 줄입니다.
• 규정 준수: 데이터가 특정 지리적 경계 내에서 처리되고 저장되도록 요구하는 규제 또는 정책 요구사항을 준수하는 데 도움이 됩니다.

리전 및 멀티 리전 엔드포인트의 제한사항

• 리전 및 멀티 리전 엔드포인트는 비공개 Google 액세스를 통해 액세스할 수 없습니다. 비공개 액세스를 통해 리전 엔드포인트에 연결하려면 Private Service Connect를 사용하여 비공개 엔드포인트를 만듭니다. 자세한 내용은 비공개 엔드포인트를 통해 리전 Google API에 액세스를 참조하세요.

• 많은 서비스는 리전 엔드포인트에서 리전 간 작업을 지원하지 않습니다. 리전 간 작업을 실행하려면 전역 엔드포인트를 사용하세요. 리전 간 작업이 한 관할권 내에 유지되는 경우 멀티 리전 엔드포인트를 사용하세요.

• 일부 Google Cloud 서비스는 리전 또는 멀티 리전 엔드포인트를 지원하지 않습니다. 지원되는 서비스의 전체 목록은 리전 서비스 엔드포인트를 참조하세요.

• 리전 및 멀티 리전 엔드포인트는 전역 엔드포인트보다 지연 시간이 길 수 있습니다. 성능은 위치와 사용 중인 리전에 따라 다릅니다.

리전 및 멀티 리전 엔드포인트 구현

리전 부하 분산기를 통해 VPC에서 리전 또는 멀티 리전 엔드포인트에 비공개로 액세스할 수 있습니다. 예를 들어 VPC 서비스 제어 경계를 정의하여 특정 프로젝트의 클라우드 리소스를 인터넷 및 승인되지 않은 네트워크로부터 격리할 수 있습니다. 지정된 경계의 경우 VPC 서비스 제어를 적용할 서비스를 결정한 후 경계 내에 프로젝트를 배치합니다. 자세한 내용은 이 문서의 VPC 서비스 제어 사용 섹션을 참조하세요.

공개 액세스

인터넷을 통해 리전 및 멀티 리전 엔드포인트에 공개적으로 액세스할 수 있습니다. 인터넷에서 리전 엔드포인트에 액세스하면 트래픽이 다음으로 라우팅됩니다. Google Cloud 표준 등급 네트워킹 TLS 종료를 포함한 연결은 대상 리전 내에서 처리됩니다.

자세한 내용은 공개 엔드포인트를 통해 리전 Google API에 액세스를 참조하세요.

비공개 액세스

리전 및 멀티 리전 엔드포인트에 비공개로 액세스하려면 Private Service Connect를 사용하세요. Private Service Connect는 Virtual Private Cloud (VPC)에 비공개 IP 주소를 만듭니다. 비공개 IP 주소는 리전 서비스로 라우팅됩니다. 전역 API는 private.googleapis.com과 같은 특수 범위를 사용하여 표준 비공개 Google 액세스를 사용하는 경우가 많지만 리전 및 멀티 리전 엔드포인트에는 명시적인 비공개 엔드포인트 구성이 필요합니다.

자세한 내용은 비공개 엔드포인트를 통해 리전 Google API에 액세스를 참조하세요.

라우팅 및 방화벽 구성

라우팅 및 방화벽을 올바르게 구성하려면 다음 가이드라인을 따르세요.

온프레미스 라우팅

Cloud Interconnect 또는 Cloud VPN을 통해 온프레미스 환경에서 리전 엔드포인트에 연결하는 경우 리전 엔드포인트 비공개 IP 범위를 공지해야 합니다. 이 구성을 통해 온프레미스 네트워크에서 Google Cloud 서비스로의 적절한 라우팅이 보장됩니다.

• Cloud Router: 커스텀 경로 공지를 사용하여 하이브리드 연결을 통해 모든 비공개 IP 범위를 공지합니다.
• 온프레미스 방화벽: 리전 엔드포인트의 공개 또는 비공개 가상 IP 주소 범위로의 아웃바운드 트래픽을 허용하도록 온프레미스 방화벽을 구성합니다. 자세한 내용은 VPC 방화벽 규칙 사용을 참조하세요.

VPC 방화벽 규칙

리전 엔드포인트의 비공개 IP 주소로 트래픽을 허용하도록 이그레스 방화벽 정책을 구성합니다. 기본 경로를 삭제하는 경우 리전 엔드포인트 가상 IP 주소(VIP) 범위에 적절한 경로가 있는지 확인합니다.

• 공개 VIP 액세스의 경우 다음 홉이 기본 인터넷 게이트웨이로 설정된 리전 엔드포인트의 VIP 범위에 대한 경로가 있는지 확인합니다.

• Private Service Connect의 경우 IP 주소 또는 표준 내부 라우팅을 사용합니다.

자세한 내용은 특정 VPC 네트워크에서 이그레스 트래픽을 허용하도록 계층적 방화벽 정책 구성을 참조하세요.

VPC 서비스 제어 사용

리전 엔드포인트는 VPC 서비스 제어 경계와 호환됩니다. VPC 서비스 제어에 대한 자세한 내용은 서비스 경계 세부정보 및 구성을 참조하세요.

VPC 서비스 제어는 보안 경계를 만들어 Google Cloud 서비스에서 데이터 무단 반출을 방지하는 데 도움이 됩니다. 비공개 Google 액세스를 통해 리전 엔드포인트에 액세스할 수 없으므로 VPC 경계 내의 엔드포인트에 액세스하려면 Private Service Connect를 사용하여 비공개 엔드포인트를 구성해야 합니다.

• 경계 적용: VPC 서비스 제어 경계의 제한된 서비스 목록에 storage.googleapis.com와 같은 서비스를 추가하면 VPC 서비스 제어 규칙이 리전 엔드포인트를 통한 액세스를 포함하여 해당 서비스의 모든 액세스 방법에 적용됩니다.

• 서비스 제어 확인: 공개 또는 비공개 리전 엔드포인트에 대한 API 요청은 서비스 제어 API의 정책 확인 대상입니다. 서비스 제어 API는 VPC 서비스 제어 경계 구성에 대해 요청을 평가하고 소스 네트워크, 소스 프로젝트, 대상 리소스 프로젝트를 검토합니다.

• 경계 내부: 서비스가 경계의 액세스 가능한 서비스에 속하는 경우 VM과 같은 VPC 서비스 제어 경계 내의 리소스는 리전 엔드포인트를 통해 서비스에 액세스할 수 있습니다. 네트워크 엔드포인트는 VPC 경계 내에 있어야 하므로 Private Service Connect를 사용하여 비공개 리전 엔드포인트를 만들어야 합니다. 자세한 내용은 비공개 엔드포인트를 통해 리전 Google API에 액세스를 참조하세요.

• 경계 외부: 액세스 수준 또는 인그레스 및 이그레스 규칙에서 액세스를 명시적으로 허용하지 않는 한 모든 엔드포인트 유형을 사용하여 경계 외부에서 경계 내에서 보호되는 리소스에 액세스하려는 시도는 VPC 서비스 제어에 의해 차단됩니다.

예를 들어 VPC 서비스 제어 경계를 정의하여 Cloud Storage 리소스에 정책을 적용한 후 경계 내에 secure_project를 배치합니다. secure_project의 VM만 secure_project의 Cloud Storage 리소스에 액세스할 수 있습니다. 또한 VM은 경계 외부의 Cloud Storage 리소스에 액세스할 수 없습니다.

VPC 서비스 제어의 이점

VPC 서비스 제어를 사용하면 다음과 같은 이점이 있습니다.

• VPC 서비스 제어의 데이터 무단 반출 보호와 함께 리전 격리 및 데이터 상주 이점을 얻을 수 있습니다.

• VPC 서비스 제어를 사용하면 단일 리전으로 범위가 지정된 액세스도 VPC 서비스 제어 경계의 보안 경계에 의해 관리됩니다.

VPC 서비스 제어 구성

VPC 서비스 제어 경계 내에서 VPC 경계 내에서 Private Service Connect를 사용하여 비공개 리전 엔드포인트에 액세스해야 합니다. 자세한 내용은 비공개 엔드포인트를 통해 리전 Google API에 액세스를 참조하세요.

• 표준 공개 리전 엔드포인트 액세스는 경계 외부에서 시작되는 것으로 보이므로 차단될 수 있습니다.

• compute.googleapis.com 또는 bigquery.googleapis.com과 같이 액세스하는 서비스가 경계에 의해 제한된 서비스 목록에 포함되어 있는지 확인합니다.

추가 적용을 위한 조직 정책 사용

조직 정책은 조직의 클라우드 리소스에 대한 추가 제어를 제공합니다. 다음 두 정책은 리전 엔드포인트와 함께 작동하여 데이터 상주를 적용하고 리전 격리를 개선합니다.

• 엔드포인트 사용 제한 (constraints/gcp.restrictEndpointUsage)
• 리소스 위치 제약 조건 (constraints/gcp.resourceLocations)

리전 엔드포인트 사용 적용

리전 엔드포인트 사용을 적용하려면 엔드포인트 사용 제한 조직 정책 제약 조건을 사용하여 전역 엔드포인트에 대한 액세스를 거부합니다. 자세한 내용은 엔드포인트 사용 제한을 참조하세요.

리전 엔드포인트는 전송 중인 데이터가 리전 내에 유지되도록 보장하고 엔드포인트 사용 제한 제약 조건은 저장 데이터를 저장하는 데 사용되는 리소스가 허용하는 리전에서만 생성되도록 보장합니다. 두 정책을 모두 사용하면 저장 데이터와 전송 중인 데이터에 대해 보다 포괄적인 데이터 상주 보호를 제공할 수 있습니다.

엔드포인트 사용 제한 제약 조건은 차단 목록을 사용하여 설정되며, 명시적으로 거부되지 않은 지원되는 모든 서비스의 API 엔드포인트에 대한 요청을 허용합니다. 리전 엔드포인트를 구성한 후에도 엔드포인트 사용 제한 조직 정책 제약 조건을 사용하지 않는 한 전역 엔드포인트에 계속 액세스할 수 있습니다.

엔드포인트 사용 제한 제약 조건은 사용자가 새 Google Cloud 리소스를 만들고 저장할 수 있는 물리적 위치를 제어하여 저장 데이터의 데이터 상주를 적용합니다. 이 정책은 지원되는 서비스의 새 리소스 생성에만 적용됩니다. 기존 리소스는 영향을 받지 않습니다.

위치 제약 조건 적용

리소스 위치 제약 조건 정책 (constraints/gcp.resourceLocations) 은 새 Google Cloud 리소스를 만들고 저장할 수 있는 물리적 위치를 제어하여 저장 데이터의 데이터 상주를 해결합니다. 자세한 내용은 Resource Manager 문서에서 조직 정책 설정 을 참조하세요.

리소스 위치 제약 조건 정책을 사용하면 허용되거나 거부된 Google Cloud 위치 목록을 정의합니다. 위치의 경우 리전, 영역 또는 멀티 리전을 사용할 수 있습니다. 이 정책은 지원되는 서비스의 새 리소스 생성에만 적용됩니다. 기존 리소스는 영향을 받지 않습니다.

리전 엔드포인트는 전송 중인 데이터가 리전 내에 유지되도록 보장하고 위치 제약 조건 정책은 허용하는 리전을 저장하는 리소스를 보장하므로 이 정책을 리전 엔드포인트와 함께 사용하는 것이 좋습니다.

결합된 적용

엔드포인트 사용 제한 정책을 사용하여 전역 엔드포인트를 거부하고 리소스 위치 제약 조건 정책을 사용하여 리소스를 만들 수 있는 위치를 제한하면 저장 데이터와 전송 중인 데이터를 적용할 수 있습니다.

• 저장 데이터: 리소스는 허용된 리전에서만 생성되고 저장됩니다.
• 전송 중인 데이터: 해당 리전 엔드포인트를 사용할 때 이러한 리소스와의 API 상호작용은 지정된 리전 내에서 완전히 처리됩니다.

가격 책정

비공개 리전 엔드포인트의 경우 가격은 Private Service Connect 사용량을 기준으로 합니다. 청구 요금에는 엔드포인트 및 데이터 처리가 포함됩니다.

공개 리전 엔드포인트의 경우 인그레스 트래픽은 청구되지 않습니다. 이그레스 트래픽은 표준 등급 네트워크 가격 책정을 기준으로 청구됩니다.

참조 문서

• Google Cloud CLI를 사용하여 리전 엔드포인트를 관리합니다.
• regionalEndpoints REST 문서를 참조하세요.

다음 단계

• 비공개 리전 엔드포인트에 액세스합니다.
• 공개 리전 엔드포인트에 액세스합니다.
• 백엔드를 통해 리전 Google API에 액세스합니다.
• 지원되는 리전 서비스 엔드포인트를 참조하세요. Google Cloud