본문 바로가기

Cloud/GCP

Service Private Access - Part 1

Today Keys :  private , google, access, on-premise, services, 서비스, 비공개, 액세스, gcp, cloud, privatelink


Private Google Access ( 비공개 Google 액세스) 

▪  Public IP가 없는 VM인스턴스에서 Google API 및 서비스에 접근하도록 함.
▪  비공개 Google 서비스 사용 설정 및 Default 라우팅이 기본 인터넷 게이트웨이로 설정되어 있어야 함. (테스트 필요)
▪  Public IP를 갖고 있는 인스턴스에는 영향을 미치지 않음
▪  VPC 네트워크의 서브넷 단위로 적용 
▪  대부분의 Google Cloud 서비스에서 지원함
         - App Engine Memcache / Firestore / Memorystore / CloudSQL 는 사용 불가     

 

Private Google Access for on-premises hosts (온프레미스 호스트의 비공개 Google 액세스)
  ▪ On-Premise에서 Cloud VPN 혹은 Cloud Interconnect 연결을 통해서 Google API 및 서비스에 접근하도록 함
  ▪ On-Premise는 RFC 1918의 사설 IP로 된 경우나, Google에서 사용하지 않은 Public IP를 이용 호출이 가능
      - 단 RFC 1918이 아닌 이외의 주소에서의 호출 기능은 현재 베타버전(20.5월 11일 기준)
  ▪ On-premise 호스트에서 비공개 Google Access를 사용하려면, DNS/방화벽/라우팅 구성이 필요.
  ▪ restricted.googleapis.com 또는 private.googleapis.com 도메인의 가상 IP주소(VIP)를 사용해서 접근해야 함.
        - restricted.googleapis.com : 199.36.153.4/30
        - private.googleapis.com  : 199.36.153.8/30



Private Services Access (비공개 서비스 액세스)
  ▪ Google 및 타 서비스 Provider의 서비스를 VPC 내부 IP 주소로 제공
       - 타 서비스 Provider : 서비스 생성 후,  Private Connection을 만드는 것
  ▪ Private Service Access 사용을 위해서 Internal IP address range를 할당 후, Private Connection을 만들어야 함.
       - IP 할당 범위는 Local VPC 네트워크에서 사용할 수 없는 예약된 CIDR 블록
       - 비공개 서비스 액세스용 대역은 서비스용으로 사용 불가
  ▪ Private Connection Link(비공개 연결)은 사용자 VPC 네트워크와 Provider VPC 네트워크 간을 연결하며, 이러한 연결을 통해서 외부 IP 주소 없이 서비 스 호출이 가능하게 됨
  ▪ Provider에서 다수의 서비스를 제공하는 경우에도 하나의 Private Connection Link만 연결되면 됨.
  ▪ Private Connection Link 생성은 Service Networking API를 사용하나, 실제 연결은 VPC Network Peering으로 구현 되며, Private Connection Link 삭제 필요 시에 이 Peering 연결을 삭제 하면 됨.
  ▪ Private Connection은 VPC Network Peering으로 구현되기 때문에 VPC Network Peering이 가진 한도와 제약 조건이 동일하게 적용됨.
  ▪ Hybrid 연결된 상황에서 On-Premise에서 Private Service Access를 통해서 접근은 불가
     - VPC Peering으로 연결되기 때문에 Provider VPC Network에서는 On-Premise에 대한 정보가 없음. (중간에 별도 NAT 과정 없음)
     - 이러한 연결을 지원하기 위해서는 Private Connection 생성 후, 'Custom경로 내보내기'를 통해서 추가적인 대역 광고가 필요
     - Private Connection에서는 Custom 경로 내보내기 활성화만 하고, 실제 내보낼 경로는 VPC Network Peering에서 설정 해야함.
         * Peering 관련 세부 내용 :  https://cloud.google.com/vpc/docs/using-vpc-peering#update-peer-connection
  ▪ Private Service Access를 이용해서 On-Premise에서의 연결은 기본적으로는 불가하나, VPC 네트워크에서 커스텀 경로를 전달하여 사용하도록 구성 가능.