리전 및 멀티 리전 API 엔드포인트 개요

Google Cloud 에서는 다음 시나리오에서 리전 또는 멀티 리전 엔드포인트를 사용하는 것이 좋습니다.

• 전송 중인 데이터는 특정 리전 또는 관할권 내에 있어야 합니다.
• 규정 준수 또는 감사 목적으로 지역 데이터 처리 증거가 필요합니다.
• Google Cloud서비스에 액세스하려면 리전별로 격리된 장애 도메인이 필요합니다.

리전 및 멀티 리전 엔드포인트는 위치가 특정된 서비스를 사용해야 하는 고객에게 가장 유용합니다. 이러한 엔드포인트는 전송 중인 데이터가 특정 위치에 유지되도록 합니다. 이 데이터 위치는 비공개 연결을 통해 액세스하든 공개 인터넷을 통해 액세스하든 유지됩니다.

리전 및 멀티 리전 엔드포인트는 비공개 Google 액세스와 다릅니다. 비공개 Google 액세스를 사용하면 비공개 서브넷의 VM이 인터넷을 거치지 않고 Google API에 도달할 수 있습니다. 전체 요청 경로와 서비스 프런트엔드가 리전화되어 있으므로 리전 엔드포인트는 더 엄격한 리전 격리 및 데이터 상주를 제공합니다.

리전 엔드포인트

리전 API 엔드포인트는 단일 Google Cloud 리전으로 범위가 지정된 API 엔드포인트를 통해 Google Cloud 서비스에 대한 액세스를 제공합니다. 리전 엔드포인트로 전송된 트래픽은 지정된 리전 내에서 처리되고 TLS가 종료됩니다.

대부분의 Google Cloud 서비스의 경우 리전 엔드포인트를 사용하여 지정된 리전 내의 리전 리소스를 사용할 수 있습니다. 리전 엔드포인트에서는 일반적으로 전역 리소스, 멀티 리전 리소스, 리전 외 리소스에 대한 작업이 지원되지 않습니다.

멀티 리전 엔드포인트

멀티 리전 API 엔드포인트는 미국, 인도, 캐나다와 같은 동일한 국가 또는 유럽연합과 같은 관할권 내의 Google Cloud 리전 집합으로 범위가 지정된 API 엔드포인트를 통해 Google Cloud 서비스에 대한 액세스를 제공합니다. 멀티 리전 엔드포인트로 전송된 트래픽은 지정된 관할권 내에서 완전히 처리되고 TLS가 종료됩니다.

대부분의 Google Cloud 서비스의 경우 멀티 리전 엔드포인트를 사용하여 지정된 멀티 리전 내에서 멀티 리전 리소스를 사용할 수 있습니다. 다른 관할권의 전역 리소스, 리전 리소스, 멀티 리전 리소스에 대한 작업은 일반적으로 지원되지 않습니다.

리전 및 멀티 리전 엔드포인트의 이점

리전 및 멀티 리전 엔드포인트를 사용하면 다음과 같은 이점이 있습니다.

• 데이터 상주: 선택한 리전 내에서 전송 중인 데이터를 유지하여 엄격한 데이터 상주 요구사항을 충족하는 데 도움이 됩니다. TLS 세션은 항상 지정된 리전 내에서 종료됩니다.
• 리전 격리: 리전 간 종속 항목을 줄여 다른 리전의 장애로 인한 문제를 줄입니다.
• 규정 준수: 데이터가 특정 지리적 경계 내에서 처리되고 저장되도록 요구하는 규제 또는 정책 요구사항을 준수하는 데 도움이 됩니다.

리전 및 멀티 리전 엔드포인트의 제한사항

• 리전 및 멀티 리전 엔드포인트는 비공개 Google 액세스를 통해 액세스할 수 없습니다. 비공개 액세스를 통해 리전 엔드포인트에 연결하려면 Private Service Connect를 사용하여 비공개 엔드포인트를 만드세요. 자세한 내용은 비공개 엔드포인트를 통해 리전 Google API 액세스를 참고하세요.

• 많은 서비스가 리전 엔드포인트에서 리전 간 작업을 지원하지 않습니다. 리전 간 작업을 실행하려면 전역 엔드포인트를 사용하세요. 리전 간 작업이 한 관할권 내에 유지되는 경우 멀티 리전 엔드포인트를 사용합니다.

• 일부 Google Cloud 서비스는 리전 또는 멀티 리전 엔드포인트를 지원하지 않습니다. 지원되는 서비스의 전체 목록은 리전 서비스 엔드포인트를 참고하세요.

• 리전 및 멀티 리전 엔드포인트의 지연 시간이 전역 엔드포인트보다 길 수 있습니다. 성능은 위치와 사용 중인 지역에 따라 다릅니다.

리전 및 멀티 리전 엔드포인트 구현

리전 부하 분산기를 통해 VPC에서 리전 또는 멀티 리전 엔드포인트에 비공개로 액세스할 수 있습니다. 예를 들어 VPC 서비스 제어 경계를 정의하여 특정 프로젝트의 클라우드 리소스를 인터넷 및 승인되지 않은 네트워크로부터 격리할 수 있습니다. 특정 경계에 대해 VPC 서비스 제어를 적용할 서비스를 결정한 다음 경계 내에 프로젝트를 배치합니다. 자세한 내용은 이 문서의 VPC 서비스 제어 사용 섹션을 참고하세요.

공개 액세스

인터넷을 통해 리전 및 멀티 리전 엔드포인트에 공개적으로 액세스할 수 있습니다. 인터넷에서 리전 엔드포인트에 액세스하면 트래픽이 Google Cloud 표준 등급 네트워킹을 통해 라우팅됩니다. TLS 종료를 포함한 연결은 대상 리전 내에서 처리됩니다.

자세한 내용은 공용 엔드포인트를 통해 리전 Google API에 액세스를 참고하세요.

비공개 액세스

리전 및 멀티 리전 엔드포인트에 비공개로 액세스하려면 Private Service Connect를 사용하세요. Private Service Connect는 가상 프라이빗 클라우드 (VPC)에 비공개 IP 주소를 만듭니다. 비공개 IP 주소는 리전 서비스로 라우팅됩니다. 전역 API는 특수 범위(예: private.googleapis.com)를 사용하여 표준 비공개 Google 액세스를 사용하는 경우가 많지만 리전 및 멀티 리전 엔드포인트에는 명시적인 비공개 엔드포인트 구성이 필요합니다.

자세한 내용은 비공개 엔드포인트를 통해 리전 Google API에 액세스를 참고하세요.

라우팅 및 방화벽 구성

다음 가이드라인에 따라 라우팅 및 방화벽을 올바르게 구성하세요.

온프레미스 라우팅

Cloud Interconnect 또는 Cloud VPN을 통해 온프레미스 환경에서 리전 엔드포인트에 연결하는 경우 리전 엔드포인트 비공개 IP 범위를 공지해야 합니다. 이 구성을 통해 온프레미스 네트워크에서 Google Cloud 서비스로의 적절한 라우팅이 보장됩니다.

• Cloud Router: 커스텀 경로 공지를 사용하여 하이브리드 연결을 통해 모든 비공개 IP 범위를 공지합니다.
• 온프레미스 방화벽: 리전 엔드포인트의 공개 또는 비공개 가상 IP 주소 범위에 대한 아웃바운드 트래픽을 허용하도록 온프레미스 방화벽을 구성합니다. 자세한 내용은 VPC 방화벽 규칙 사용을 참고하세요.

VPC 방화벽 규칙

리전 엔드포인트의 비공개 IP 주소로 트래픽이 이동하도록 이그레스 방화벽 정책을 구성합니다. 기본 경로를 삭제하는 경우 리전 엔드포인트 가상 IP 주소(VIP) 범위에 적절한 경로가 있는지 확인합니다.

• 공용 VIP 액세스의 경우 다음 홉이 기본 인터넷 게이트웨이로 설정된 리전 엔드포인트의 VIP 범위에 대한 경로가 있는지 확인합니다.

• Private Service Connect의 경우 IP 주소 또는 표준 내부 라우팅을 사용합니다.

자세한 내용은 특정 VPC 네트워크에서 이그레스 트래픽을 허용하도록 계층적 방화벽 정책 구성을 참고하세요.

VPC 서비스 제어 사용

리전 엔드포인트는 VPC 서비스 제어 경계와 호환됩니다. VPC 서비스 제어에 대한 자세한 내용은 서비스 경계 세부정보 및 구성을 참고하세요.

VPC 서비스 제어는 보안 경계를 만들어 Google Cloud 서비스에서 데이터가 무단으로 반출되지 않도록 방지합니다. Private Google Access를 통해 리전 엔드포인트에 액세스할 수 없으므로 VPC 경계 내의 엔드포인트에 액세스하려면 Private Service Connect를 사용하여 비공개 엔드포인트를 구성해야 합니다.

• 경계 시행: storage.googleapis.com와 같은 서비스를 VPC 서비스 제어 경계의 제한된 서비스 목록에 추가하면 리전 엔드포인트를 통한 액세스를 비롯한 해당 서비스의 모든 액세스 방법에 VPC 서비스 제어 규칙이 적용됩니다.

• 서비스 제어 확인: 공개 또는 비공개 여부와 관계없이 리전 엔드포인트에 대한 API 요청에는 서비스 제어 API의 정책 확인이 적용됩니다. 서비스 제어 API는 VPC 서비스 제어 경계 구성에 대해 요청을 평가하고 소스 네트워크, 소스 프로젝트, 타겟 리소스 프로젝트를 검토합니다.

• 경계 내부: VM과 같은 VPC 서비스 제어 경계 내의 리소스는 서비스가 경계의 액세스 가능 서비스에 속하는 경우 리전 엔드포인트를 통해 서비스에 액세스할 수 있습니다. 네트워크 엔드포인트는 VPC 경계 내에 있어야 하므로 Private Service Connect를 사용하여 비공개 리전 엔드포인트를 만들어야 합니다. 자세한 내용은 비공개 엔드포인트를 통해 리전 Google API에 액세스를 참고하세요.

• 경계 외부: 액세스 수준 또는 인그레스 및 이그레스 규칙에서 명시적으로 액세스를 허용하지 않는 한, 엔드포인트 유형을 사용하여 경계 외부에서 경계 내에서 보호되는 리소스에 액세스하려고 하면 VPC 서비스 제어에 의해 차단됩니다.

예를 들어 Cloud Storage 리소스에 정책을 적용하기 위해 VPC 서비스 제어 경계를 정의한 다음 경계 내에 secure_project를 배치합니다. secure_project의 VM만 secure_project의 Cloud Storage 리소스에 액세스할 수 있습니다. 또한 VM은 경계 외부의 Cloud Storage 리소스에 액세스할 수 없습니다.

VPC 서비스 제어의 이점

VPC 서비스 제어를 사용하면 다음과 같은 이점이 있습니다.

• VPC 서비스 제어의 데이터 무단 반출 보호 기능과 함께 리전 격리 및 데이터 상주라는 이점을 누릴 수 있습니다.

• VPC 서비스 제어를 사용하면 단일 리전으로 범위가 지정된 액세스도 VPC 서비스 제어 경계의 보안 경계에 따라 관리됩니다.

VPC 서비스 제어를 구성합니다.

VPC 서비스 제어 경계 내에서 VPC 경계 내에서 Private Service Connect를 사용하여 비공개 리전 엔드포인트에 액세스해야 합니다. 자세한 내용은 비공개 엔드포인트를 통해 리전 Google API에 액세스를 참고하세요.

• 표준 공개 리전 엔드포인트 액세스가 경계 외부에서 시작된 것으로 보이므로 차단될 수 있습니다.

• compute.googleapis.com 또는 bigquery.googleapis.com과 같이 액세스하는 서비스가 경계에 의해 제한된 서비스 목록에 포함되어 있는지 확인합니다.

추가 적용을 위해 조직 정책 사용

조직 정책은 조직의 클라우드 리소스에 대한 추가 제어 기능을 제공합니다. 다음 두 정책은 리전 엔드포인트와 함께 작동하여 데이터 상주를 적용하고 리전 격리를 개선합니다.

• 엔드포인트 사용 제한 (constraints/gcp.restrictEndpointUsage)
• 리소스 위치 제약 조건 (constraints/gcp.resourceLocations)

리전 엔드포인트 사용 강제

리전 엔드포인트 사용을 강제하려면 엔드포인트 사용 제한 조직 정책 제약 조건을 사용하여 전역 엔드포인트에 대한 액세스를 거부하세요. 자세한 내용은 Assured Workloads 문서의 엔드포인트 사용 제한을 참고하세요.

리전 엔드포인트는 전송 중인 데이터가 리전 내에 유지되도록 하고, 엔드포인트 사용 제한 제약 조건은 저장 데이터를 저장하는 데 사용되는 리소스가 허용된 리전에만 생성되도록 합니다. 두 정책을 모두 사용하면 저장 데이터와 전송 중 데이터에 대해 더 포괄적인 데이터 상주 보호를 제공할 수 있습니다.

엔드포인트 사용 제한 제약 조건은 차단 목록을 사용하여 설정되며, 명시적으로 거부되지 않은 지원되는 모든 서비스의 API 엔드포인트에 대한 요청을 허용합니다. 리전 엔드포인트를 구성한 후에도 엔드포인트 사용 제한 조직 정책 제약 조건을 사용하지 않는 한 전역 엔드포인트에 계속 액세스할 수 있습니다.

엔드포인트 사용 제한 제약 조건은 사용자가 새 Google Cloud 리소스를 만들고 저장할 수 있는 물리적 위치를 제어하여 저장 시 데이터 상주를 적용합니다. 이 정책은 지원되는 서비스의 새 리소스 생성에만 적용됩니다. 기존 리소스는 영향을 받지 않습니다.

위치 제약 조건 적용

리소스 위치 제약 조건 정책 (constraints/gcp.resourceLocations)은 새 Google Cloud 리소스를 만들고 저장할 수 있는 물리적 위치를 제어하여 영구 저장 데이터의 데이터 상주를 해결합니다. 자세한 내용은 Resource Manager 문서의 조직 정책 설정을 참고하세요.

리소스 위치 제약 조건 정책을 사용하면 허용되거나 거부된 Google Cloud 위치 목록을 정의합니다. 위치의 경우 리전, 영역 또는 멀티 리전을 사용할 수 있습니다. 이 정책은 지원되는 서비스의 새 리소스 생성에만 적용됩니다. 기존 리소스는 영향을 받지 않습니다.

리전 엔드포인트와 함께 이 정책을 사용하면 전송 중인 데이터가 리전 내에 유지되고 위치 제약 조건 정책을 통해 허용된 리전에 데이터를 저장하는 리소스가 유지되므로 유용합니다.

결합된 시행

엔드포인트 사용 제한 정책을 사용하여 전역 엔드포인트를 거부하고 리소스 위치 제약 조건 정책을 사용하여 리소스를 생성할 수 있는 위치를 제한하면 저장 데이터와 전송 중인 데이터를 적용할 수 있습니다.

• 저장 데이터: 리소스는 허용된 리전에서만 생성되고 저장됩니다.
• 전송 중인 데이터: 해당 리전 엔드포인트를 사용하는 경우 이러한 리소스와의 API 상호작용은 지정된 리전 내에서만 처리됩니다.

가격 책정

비공개 리전 엔드포인트의 경우 가격은 Private Service Connect 사용량을 기준으로 책정됩니다. 청구 요금에는 엔드포인트와 데이터 처리가 포함됩니다.

공개 리전 엔드포인트의 경우 인그레스 트래픽에 요금이 청구되지 않습니다. 이그레스 트래픽은 Standard 등급 네트워크 가격 책정을 기준으로 청구됩니다.

참조 문서

• Google Cloud CLI를 사용하여 리전 엔드포인트를 관리합니다.
• regionalEndpoints REST 문서를 참고하세요.

다음 단계

• 비공개 리전 엔드포인트에 액세스합니다.
• 공개 리전 엔드포인트에 액세스
• 백엔드를 통해 리전 Google API에 액세스
• Google Cloud 지원되는 리전 서비스 엔드포인트를 참고하세요.