이 페이지는 Cloud Translation API를 통해 번역되었습니다.

게시된 서비스에 대한 액세스 제어 정보

이 페이지에서는 Private Service Connect를 사용하여 게시된 서비스에 대한 액세스를 제어하는 데 사용할 수 있는 기능을 설명합니다.

연결 환경설정

각 서비스 연결에는 연결이 자동으로 허용되는지 여부를 제어하는 연결 환경설정이 있습니다.

모든 연결을 자동으로 허용. 서비스 연결은 모든 소비자의 모든 인바운드 연결 요청을 자동으로 허용합니다.
선택한 소비자의 연결을 명시적으로 허용합니다. 서비스 연결은 소비자가 서비스 연결의 소비자 허용 목록에 있는 경우에만 인바운드 연결 요청을 수락합니다. 프로젝트, VPC 네트워크 또는 개별 Private Service Connect 엔드포인트(미리보기)별로 소비자를 지정할 수 있습니다. 동일한 소비자 허용 또는 거부 목록에 여러 유형의 소비자를 포함할 수 없습니다.

어떤 연결 환경설정을 사용하든 허용된 연결은 수신 연결을 차단하는 조직 정책으로 재정의되어 거부될 수 있습니다.

선택한 소비자의 연결을 명시적으로 수락하는 것이 좋습니다. 다른 수단을 통해 소비자 액세스를 제어하고 서비스에 대한 권한 액세스를 사용 설정하려면 모든 연결을 자동으로 수락하는 것이 적합할 수 있습니다.

소비자 허용 및 거부 목록

소비자 허용 목록 및 소비자 거부 목록은 서비스 연결의 보안 기능입니다. 이 목록을 사용하면 서비스 프로듀서는 서비스에 대한 Private Service Connect 연결을 설정할 수 있는 소비자를 지정할 수 있습니다. 명시적 승인을 위해 서비스 연결이 구성된 경우 소비자가 허용 목록에 있고 거부 목록에 없는 경우에만 새 연결이 허용됩니다. 연결 조정이 사용 설정되지 않은 경우 소비자 목록 업데이트는 새 연결에만 영향을 미칩니다.

소비자 허용 및 거부 목록을 사용하면 다음 방법 중 하나로 소비자를 지정할 수 있습니다.

프로젝트
VPC 네트워크
Private Service Connect 엔드포인트 (미리보기)

이 방법은 Private Service Connect 백엔드에는 적용되지 않습니다.

동일한 소비자를 허용 목록과 거부 목록에 모두 추가하면 해당 소비자가 서비스 연결에 연결할 수 없습니다. 폴더별 소비자 지정은 지원되지 않습니다.

서비스 연결의 소비자 목록은 모두 동일한 유형의 소비자를 포함해야 합니다. 예를 들어 프로젝트를 허용 목록에 추가하는 경우 허용 목록의 프로젝트를 새 유형의 소비자로 대체하지 않는 한 VPC 네트워크 또는 엔드포인트 URI를 목록에 추가할 수 없습니다.

다양한 유형의 소비자를 허용하는 서비스를 게시하려면 동일한 서비스에 연결되는 서비스 연결을 여러 개 만들면 됩니다. 각 서비스 연결은 자체 연결 환경설정 및 소비자 목록으로 구성할 수 있습니다.

연결을 중단하지 않고 소비자 목록의 소비자 유형을 변경할 수 있지만 업데이트 한 번으로 변경해야 합니다. 그렇지 않으면 작업이 실패합니다.

허용 및 거부 목록에 추가할 수 있는 소비자의 수에는 제한이 있습니다.

소비자 허용 목록에 최대 5,000개의 값을 추가할 수 있습니다.
소비자 거부 목록에 최대 64개의 값을 추가할 수 있습니다.

소비자 목록은 엔드포인트 또는 백엔드가 게시된 서비스에 연결할 수 있는지 여부를 제어하지만 해당 엔드포인트에 요청을 보낼 수 있는 사용자는 제어하지 않습니다. 예를 들어 소비자에게 두 개의 서비스 프로젝트가 연결된 공유 VPC 네트워크가 있다고 가정해 보겠습니다. 게시된 서비스의 소비자 허용 목록에 service-project1이 있고 소비자 거부 목록에 service-project2가 있으면 다음이 적용됩니다.

service-project1의 소비자는 게시된 서비스에 연결되는 엔드포인트를 만들 수 있습니다.
service-project2의 소비자는 게시된 서비스에 연결하는 엔드포인트를 만들 수 없습니다.
service-project2의 클라이언트는 트래픽을 차단하는 방화벽 규칙이나 정책이 없는 경우 service-project1의 엔드포인트에 요청을 보낼 수 있습니다.

소비자 허용 목록이 조직 정책과 상호작용하는 방식에 관한 자세한 내용은 소비자 허용 목록과 조직 정책 간의 상호작용을 참고하세요.

소비자 허용 목록 한도

소비자 허용 목록에는 연결 한도가 있습니다. 이 한도는 서비스 연결이 지정된 소비자 프로젝트 또는 VPC 네트워크에서 허용할 수 있는 Private Service Connect 엔드포인트 및 백엔드 연결의 총 수를 설정합니다. Private Service Connect 엔드포인트 기반 허용 목록의 연결 제한을 지정해도 효과가 없습니다. 하나의 엔드포인트만 지정된 URI와 일치할 수 있기 때문입니다.

프로듀서는 연결 한도를 사용하여 개별 소비자가 프로듀서 VPC 네트워크의 IP 주소 또는 리소스 할당량을 소진하지 못하도록 방지할 수 있습니다. 허용되는 각 Private Service Connect 연결은 소비자 프로젝트 또는 VPC 네트워크에 대해 구성된 한도에서 차감됩니다. 한도는 소비자 허용 목록을 만들거나 업데이트할 때 설정됩니다. 서비스 연결을 설명할 때 서비스 연결의 연결을 볼 수 있습니다.

전파된 연결은 이 한도에 포함되지 않습니다.

예를 들어 서비스 연결에 project-1 및 project-2가 포함된 소비자 허용 목록이 있고 둘 다 하나의 연결로 제한된다고 가정합니다. project-1 프로젝트는 연결 2개를 요청하고 project-2는 연결 1개를 요청하며 project-3은 연결 1개를 요청합니다. project-1에는 연결 한도가 1개이므로 첫 번째 연결은 허용되고 두 번째 연결은 대기 상태로 유지됩니다. project-2의 연결은 허용되고 project-3의 연결은 대기 상태로 유지됩니다. project-1의 두 번째 연결은 project-1의 한도를 늘려 허용할 수 있습니다. project-3가 소비자 허용 목록에 추가되면 해당 연결이 대기 중에서 허용됨으로 전환됩니다.

연결 조정

연결 조정은 서비스 연결의 허용 또는 거부 목록 업데이트가 기존 Private Service Connect 연결에 영향을 줄 수 있는지 여부를 결정합니다. 연결 조정이 사용 설정된 경우 허용 또는 거부 목록을 업데이트하면 기존 연결이 종료될 수 있습니다. 이전에 거부된 연결이 허용될 수 있습니다. 연결 조정이 사용 중지된 경우 허용 또는 거부 목록을 업데이트하면 새 연결 및 대기 중인 연결에만 영향을 미칩니다.

예를 들어 Project-A에서 여러 개의 연결이 허용된 서비스 연결을 생각해 보세요. Project-A는 서비스 연결의 허용 목록에 있습니다. 허용 목록에서 Project-A를 삭제하면 서비스 연결이 업데이트됩니다.

연결 조정이 사용 설정되면 Project-A의 모든 기존 연결이 PENDING으로 전환되어 두 VPC 네트워크 간의 네트워크 연결을 종료하고 네트워크 트래픽을 즉시 중지합니다.

연결 조정이 사용 중지된 경우 Project-A의 기존 연결은 영향을 받지 않습니다. 네트워크 트래픽은 기존 Private Service Connect 연결 간에 계속 전송될 수 있습니다. 하지만 새 Private Service Connect 연결은 허용되지 않습니다.

새 서비스 연결에 대한 연결 조정을 구성하는 방법에 대한 자세한 내용은 명시적 승인으로 서비스 게시를 참고하세요.

기존 서비스 연결에 대한 연결 조정을 구성하는 방법에 관한 자세한 내용은 연결 조정 구성을 참고하세요.

Private Service Connect 엔드포인트 연결 수락 또는 거부

엔드포인트의 ID 기반 URI를 서비스 연결의 소비자 목록 중 하나에 추가하여 개별 Private Service Connect 엔드포인트 연결을 수락하거나 거부할 수 있습니다. 멀티 테넌트 서비스에 권장되는 이 접근 방식은 연결 관리를 위한 가장 세부적인 제어를 제공합니다. Private Service Connect 엔드포인트로 소비자를 수락하는 것은 Private Service Connect 엔드포인트에만 적용되며 Private Service Connect 백엔드는 지원하지 않습니다.

프로젝트 또는 VPC 네트워크와 달리 소비자가 엔드포인트를 만든 후에만 개별 Private Service Connect 엔드포인트를 수락하거나 거부할 수 있습니다. 이는 소비자가 엔드포인트를 만든 후에야 엔드포인트의 고유 URI를 알 수 있기 때문입니다. 소비자 허용 목록에 엔드포인트를 추가하는 단계는 다음과 같습니다.

생산자가 소비자 허용 목록에 값을 추가하지 않고 명시적 승인이 필요한 서비스를 게시합니다.
소비자가 게시된 서비스에 연결되는 엔드포인트를 만듭니다. 연결이 서비스 연결에 Pending 상태로 표시됩니다.
대기 중인 엔드포인트의 ID 기반 URI를 찾기 위해 프로듀서는 서비스 연결을 설명할 수 있고 소비자는 엔드포인트를 설명할 수 있습니다.
프로듀서가 엔드포인트의 ID 기반 URI를 소비자 허용 목록에 추가합니다. 연결이 설정되고 상태가 Accepted로 변경됩니다.

연결 상태

Private Service Connect 엔드포인트, 백엔드, 서비스 연결에는 연결 상태를 설명하는 연결 상태가 있습니다. 연결의 양측을 형성하는 소비자 및 프로듀서 리소스는 항상 상태가 동일합니다. 엔드포인트 세부정보를 보거나 백엔드를 설명하거나 게시된 서비스에 대한 세부 정보를 볼 때 연결 상태를 볼 수 있습니다.

다음 표에서는 가능한 상태를 설명합니다.

연결 상태	설명
수락됨	Private Service Connect 연결이 설정됩니다. 두 VPC 네트워크가 연결되어 있고 연결이 정상적으로 작동합니다.
대기 중	Private Service Connect 연결이 설정되지 않으며 네트워크 트래픽이 두 네트워크 간에 이동할 수 없습니다. 다음과 같은 이유로 연결이 이 상태가 될 수 있습니다. 서비스 연결에 명시적 승인이 필요하며 소비자는 소비자 허용 목록에 없는 경우 연결 수가 서비스 연결의 연결 한도를 초과하는 경우 엔드포인트와 연결된 전파된 연결 수가 서비스 연결의 전파된 연결 한도를 초과하는 경우 이러한 이유로 차단된 연결은 기본 문제가 해결될 때까지 무기한 대기 중 상태로 유지됩니다.
거부됨	Private Service Connect 연결이 설정되지 않습니다. 네트워크 트래픽이 두 네트워크 간에 이동할 수 없습니다. 다음과 같은 이유로 연결이 이 상태가 될 수 있습니다. 프로듀서 조직 정책에서 연결을 거부하는 경우 소비자 거부 목록에서 연결을 거부했습니다.
주의 필요	연결의 프로듀서 측에 문제가 있습니다. 일부 트래픽은 두 네트워크 간에 흐를 수 있지만 일부 연결은 작동하지 않을 수 있습니다. 예를 들어 프로듀서의 NAT 서브넷이 소진되어 새 연결에 IP 주소를 할당하지 못할 수 있습니다.
비공개	서비스 연결이 삭제되고 Private Service Connect 연결이 종료되었습니다. 네트워크 트래픽이 두 네트워크 간에 이동할 수 없습니다. 종료된 연결은 터미널 상태입니다. 연결을 복원하려면 서비스 연결과 엔드포인트 또는 백엔드를 모두 다시 만들어야 합니다.

전파된 연결

엔드포인트를 사용하여 서비스 연결에 연결하는 소비자는 연결 전파를 사용 설정할 수 있습니다. 전파된 연결을 사용하면 소비자 VPC 스포크의 워크로드는 두 VPC 네트워크가 엔드포인트를 통해 직접 연결된 것처럼 프로듀서 VPC 네트워크의 관리형 서비스에 액세스할 수 있습니다. 각 전파된 연결은 서비스 연결의 NAT 서브넷에서 IP 주소를 사용합니다.

게시된 서비스에 대한 세부정보를 볼 때 연결된 엔드포인트와 연결된 전파된 연결 수를 확인할 수 있습니다. 이 수에는 프로듀서의 전파된 연결 한도에 의해 차단된 전파된 연결은 포함되지 않습니다.

전파된 연결 한도

서비스 연결에는 전파된 연결 한도가 있어 서비스 프로듀서가 단일 소비자로부터 서비스 연결에 설정할 수 있는 전파된 연결 수를 제한할 수 있습니다. 지정되지 않은 경우 기본 전파된 연결 한도는 250개입니다.

서비스 연결의 연결 환경설정이 ACCEPT_MANUAL인 경우 소비자 허용 목록의 소비자 유형에 따라 한도가 적용됩니다.
- 프로젝트 기반 소비자 허용 목록의 경우 목록에 있는 각 프로젝트에 한도가 적용됩니다.
- VPC 네트워크 기반 소비자 허용 목록의 경우 목록에 있는 각 네트워크에 한도가 적용됩니다.
- Private Service Connect 엔드포인트 기반 소비자 허용 목록(미리보기)의 경우 목록에 있는 각 엔드포인트의 프로젝트에 한도가 적용됩니다. 동일한 프로젝트의 엔드포인트가 목록에 여러 개 있는 경우 단일 한도를 공유합니다.
연결 환경설정이 ACCEPT_AUTOMATIC인 경우 연결된 엔드포인트를 포함하는 각 프로젝트에 한도가 적용됩니다.

소비자가 전파된 연결 한도를 초과하면 더 이상 전파된 연결이 생성되지 않습니다. 더 많은 전파된 엔드포인트를 만들려면 전파된 연결 한도를 늘리면 됩니다. 이 한도를 늘리면 새 연결이 업데이트된 한도를 초과하지 않는 한 Network Connectivity Center에서 한도로 인해 차단된 전파된 연결을 만듭니다. 이 한도를 업데이트해도 기존에 전파된 연결에는 영향을 미치지 않습니다.

할당량 소진 방지

프로듀서 VPC 네트워크에 액세스할 수 있는 모든 소비자의 Private Service Connect 엔드포인트 및 전파된 연결의 총 수는 PSC ILB consumer forwarding rules per producer VPC network 할당량에 따라 제어됩니다. 특히 멀티 테넌트 서비스의 경우 이 할당량이 소진되지 않도록 보호하는 것이 중요합니다.

다음 한도를 사용하여 할당량 소진을 방지할 수 있습니다.

소비자 허용 목록 연결 한도는 단일 소비자 VPC 네트워크 또는 프로젝트에서 서비스 연결에 대한 연결을 만들 수 있는 Private Service Connect 엔드포인트의 총 개수를 제어합니다. 이러한 한도를 낮추어도 기존 연결에는 영향을 미치지 않습니다. 이러한 한도는 전파된 연결에는 적용되지 않습니다.
전파된 연결 한도는 단일 소비자로부터 서비스 연결에 설정할 수 있는 전파된 연결의 총 개수를 제어합니다. 이 한도를 낮추면 기존에 전파된 연결에는 영향을 미치지 않습니다.

할당량 및 연결 한도 예시

다음 예시는 PSC ILB consumer forwarding rules per producer VPC network 할당량과 관련하여 전파된 연결 제한과 소비자 허용 목록 제한이 어떻게 작동하는지 보여줍니다.

소비자가 스포크 VPC 네트워크 spoke-vpc-1에 엔드포인트 두 개를 만든 경우를 가정해 보겠습니다. 두 엔드포인트 모두 producer-vpc-1의 service-attachment-1에 연결됩니다. 스포크가 연결 전파가 사용 설정된 Network Connectivity Center 허브에 연결되어 있고 해당 허브에 연결된 다른 스포크는 없습니다.

서비스 프로듀서는 허용 목록의 각 프로젝트에 대해 소비자 허용 목록 한도가 4개가 되도록 service-attachment-1을 구성했습니다. 프로듀서는 전파된 연결 한도를 2개로 구성하여 단일 프로젝트에 최대 2개의 전파된 연결이 있을 수 있다고 지정했습니다.

이 예시 구성에는 두 개의 엔드포인트와 전파된 연결이 없습니다(확대하려면 클릭).

이 구성의 할당량 및 한도 사용량은 다음과 같습니다.

할당량/한도	사용	설명
프로듀서 VPC 네트워크당 PSC ILB 소비자 전달 규칙	2	엔드포인트당 하나
`consumer-project-1`에 대한 서비스 연결 소비자 허용 목록 연결 한도	2	엔드포인트당 하나
`consumer-project-1`에 대한 서비스 연결 전파된 연결 한도	0	전파된 연결 없음

consumer-project-1이 spoke-vpc-2라는 다른 스포크를 spoke-vpc-1과 동일한 Network Connectivity Center 허브에 연결한다고 가정해 보겠습니다. 이렇게 하면 consumer-project-1에 기존 엔드포인트마다 하나씩 두 개의 전파된 연결이 생성됩니다.

이 예시 구성에는 두 개의 엔드포인트와 두 개의 전파된 연결이 포함되어 있습니다(확대하려면 클릭).

이 구성의 할당량 및 한도 사용량은 다음과 같습니다.

할당량/한도	사용	설명
프로듀서 VPC 네트워크당 PSC ILB 소비자 전달 규칙	4	엔드포인트당 하나, 전파된 연결당 하나
`consumer-project-1`에 대한 서비스 연결 소비자 허용 목록 연결 한도	2	엔드포인트당 하나
`consumer-project-1`에 대한 서비스 연결 전파된 연결 한도	2	전파된 연결당 하나

Consumer-project-1의 전파된 연결 한도가 소진되었습니다. 소비자가 다른 VPC 스포크를 추가하면 Private Service Connect는 전파된 연결을 새로 만들지 않습니다.

다른 소비자가 consumer-project-2에 두 개의 VPC 스포크가 있다고 가정해 보겠습니다. 스포크는 전파된 연결이 사용 설정된 Network Connectivity Center 허브에 연결됩니다. VPC 스포크 중 하나에는 service-attachment-1에 연결되는 단일 엔드포인트가 포함되어 있습니다.

이 예시 구성에는 3개의 엔드포인트와 3개의 전파된 연결이 포함되어 있습니다(확대하려면 클릭).

이 구성의 할당량 및 한도 사용량은 다음과 같습니다.

할당량/한도	사용	설명
프로듀서 VPC 네트워크당 PSC ILB 소비자 전달 규칙	6	`consumer-project-1`에서 4개, `consumer-project-2`에서 2개
`consumer-project-1`에 대한 서비스 연결 소비자 허용 목록 연결 한도	2	`consumer-project-1`의 엔드포인트당 하나
`consumer-project-2`에 대한 서비스 연결 소비자 허용 목록 연결 한도	1	`consumer-project-2`의 엔드포인트당 하나
`consumer-project-1`에 대한 서비스 연결 전파된 연결 한도	2	`consumer-project-1`의 전파된 연결당 하나
`consumer-project-2`에 대한 서비스 연결 전파된 연결 한도	1	`consumer-project-2`의 전파된 연결당 하나