이 페이지의 일부 또는 모든 정보는 S3NS의 Cloud de Confiance에 적용되지 않을 수 있습니다. 자세한 내용은 Google Cloud와의 차이점을 참조하세요.

이 페이지는 Cloud Translation API를 통해 번역되었습니다.

게시된 서비스에 대한 액세스 제어 정보

이 페이지에서는 Private Service Connect를 사용하여 게시된 서비스에 대한 액세스를 제어하는 데 사용할 수 있는 기능을 설명합니다.

연결 환경설정

각 서비스 연결에는 연결이 자동으로 허용되는지 여부를 제어하는 연결 환경설정이 있습니다.

모든 연결을 자동으로 허용. 서비스 연결은 모든 소비자의 모든 인바운드 연결 요청을 자동으로 허용합니다.
선택한 소비자의 연결을 명시적으로 허용합니다. 서비스 연결은 소비자가 서비스 연결의 소비자 허용 목록에 있는 경우에만 인바운드 연결 요청을 수락합니다. 프로젝트, VPC 네트워크 또는 개별 Private Service Connect 엔드포인트(미리보기)별로 소비자를 지정할 수 있습니다. 동일한 소비자 허용 또는 거부 목록에 여러 유형의 소비자를 포함할 수 없습니다.

어떤 연결 환경설정을 사용하든 허용된 연결은 수신 연결을 차단하는 조직 정책으로 재정의되어 거부될 수 있습니다.

선택한 소비자의 연결을 명시적으로 수락하는 것이 좋습니다. 다른 수단을 통해 소비자 액세스를 제어하고 서비스에 대한 권한 액세스를 사용 설정하려면 모든 연결을 자동으로 수락하는 것이 적합할 수 있습니다.

소비자 허용 및 거부 목록

소비자 허용 목록 및 소비자 거부 목록은 서비스 연결의 보안 기능입니다. 이 목록을 사용하면 서비스 프로듀서는 서비스에 대한 Private Service Connect 연결을 설정할 수 있는 소비자를 지정할 수 있습니다. 명시적 승인을 위해 서비스 연결이 구성된 경우 소비자가 허용 목록에 있고 거부 목록에 없는 경우에만 새 연결이 허용됩니다. 연결 조정이 사용 설정되지 않은 경우 소비자 목록 업데이트는 새 연결에만 영향을 미칩니다.

소비자 허용 및 거부 목록을 사용하면 다음 방법 중 하나로 소비자를 지정할 수 있습니다.

프로젝트
VPC 네트워크
Private Service Connect 엔드포인트 (미리보기)

이 방법은 Private Service Connect 백엔드에는 적용되지 않습니다.

동일한 소비자를 허용 목록과 거부 목록에 모두 추가하면 해당 소비자가 서비스 연결에 연결할 수 없습니다. 폴더별 소비자 지정은 지원되지 않습니다.

서비스 연결의 소비자 목록은 모두 동일한 유형의 소비자를 포함해야 합니다. 예를 들어 프로젝트를 허용 목록에 추가하는 경우 허용 목록의 프로젝트를 새 유형의 소비자로 대체하지 않는 한 VPC 네트워크 또는 엔드포인트 URI를 목록에 추가할 수 없습니다.

다양한 유형의 소비자를 허용하는 서비스를 게시하려면 동일한 서비스에 연결되는 서비스 연결을 여러 개 만들면 됩니다. 각 서비스 연결은 자체 연결 환경설정 및 소비자 목록으로 구성할 수 있습니다.

연결을 중단하지 않고 소비자 목록의 소비자 유형을 변경할 수 있지만 업데이트 한 번으로 변경해야 합니다. 그렇지 않으면 작업이 실패합니다.

허용 및 거부 목록에 추가할 수 있는 소비자의 수에는 제한이 있습니다.

소비자 허용 목록에 최대 5,000개의 값을 추가할 수 있습니다.
소비자 거부 목록에 최대 64개의 값을 추가할 수 있습니다.

소비자 목록은 엔드포인트 또는 백엔드가 게시된 서비스에 연결할 수 있는지 여부를 제어하지만 해당 엔드포인트에 요청을 보낼 수 있는 사용자는 제어하지 않습니다. 예를 들어 소비자에게 두 개의 서비스 프로젝트가 연결된 공유 VPC 네트워크가 있다고 가정해 보겠습니다. 게시된 서비스의 소비자 허용 목록에 service-project1이 있고 소비자 거부 목록에 service-project2가 있으면 다음이 적용됩니다.

service-project1의 소비자는 게시된 서비스에 연결되는 엔드포인트를 만들 수 있습니다.
service-project2의 소비자는 게시된 서비스에 연결하는 엔드포인트를 만들 수 없습니다.
service-project2의 클라이언트는 트래픽을 차단하는 방화벽 규칙이나 정책이 없는 경우 service-project1의 엔드포인트에 요청을 보낼 수 있습니다.

소비자 허용 목록이 조직 정책과 상호작용하는 방식에 관한 자세한 내용은 소비자 허용 목록과 조직 정책 간의 상호작용을 참고하세요.

소비자 허용 목록 한도

소비자 허용 목록에는 연결 한도가 있습니다. 이 한도는 서비스 연결이 지정된 소비자 프로젝트 또는 VPC 네트워크에서 허용할 수 있는 Private Service Connect 엔드포인트 연결의 총 수를 설정합니다.

프로듀서는 연결 한도를 사용하여 개별 소비자가 프로듀서 VPC 네트워크의 IP 주소 또는 리소스 할당량을 소진하지 못하도록 방지할 수 있습니다. 허용되는 각 Private Service Connect 연결은 소비자 프로젝트 또는 VPC 네트워크에 대해 구성된 한도에서 차감됩니다. 한도는 소비자 허용 목록을 만들거나 업데이트할 때 설정됩니다. 서비스 연결을 설명할 때 서비스 연결의 연결을 볼 수 있습니다.

예를 들어 서비스 연결에 project-1 및 project-2가 포함된 소비자 허용 목록이 있고 둘 다 하나의 연결로 제한된다고 가정합니다. project-1 프로젝트는 연결 2개를 요청하고 project-2는 연결 1개를 요청하며 project-3은 연결 1개를 요청합니다. project-1에는 연결 한도가 1개이므로 첫 번째 연결은 허용되고 두 번째 연결은 대기 상태로 유지됩니다. project-2의 연결은 허용되고 project-3의 연결은 대기 상태로 유지됩니다. project-1의 두 번째 연결은 project-1의 한도를 늘려 허용할 수 있습니다. project-3가 소비자 허용 목록에 추가되면 해당 연결이 대기 중에서 허용됨으로 전환됩니다.

연결 조정

연결 조정은 서비스 연결의 허용 또는 거부 목록 업데이트가 기존 Private Service Connect 연결에 영향을 줄 수 있는지 여부를 결정합니다. 연결 조정이 사용 설정된 경우 허용 또는 거부 목록을 업데이트하면 기존 연결이 종료될 수 있습니다. 이전에 거부된 연결이 허용될 수 있습니다. 연결 조정이 사용 중지된 경우 허용 또는 거부 목록을 업데이트하면 새 연결 및 대기 중인 연결에만 영향을 미칩니다.

예를 들어 Project-A에서 여러 개의 연결이 허용된 서비스 연결을 생각해 보세요. Project-A는 서비스 연결의 허용 목록에 있습니다. 허용 목록에서 Project-A를 삭제하면 서비스 연결이 업데이트됩니다.

연결 조정이 사용 설정되면 Project-A의 모든 기존 연결이 PENDING으로 전환되어 두 VPC 네트워크 간의 네트워크 연결을 종료하고 네트워크 트래픽을 즉시 중지합니다.

연결 조정이 사용 중지된 경우 Project-A의 기존 연결은 영향을 받지 않습니다. 네트워크 트래픽은 기존 Private Service Connect 연결 간에 계속 전송될 수 있습니다. 하지만 새 Private Service Connect 연결은 허용되지 않습니다.

새 서비스 연결에 대한 연결 조정을 구성하는 방법에 대한 자세한 내용은 명시적 승인으로 서비스 게시를 참고하세요.

기존 서비스 연결에 대한 연결 조정을 구성하는 방법에 관한 자세한 내용은 연결 조정 구성을 참고하세요.

Private Service Connect 엔드포인트 연결 수락 또는 거부

엔드포인트의 ID 기반 URI를 서비스 연결의 소비자 목록 중 하나에 추가하여 개별 Private Service Connect 엔드포인트 연결을 수락하거나 거부할 수 있습니다. 멀티 테넌트 서비스에 권장되는 이 접근 방식은 연결 관리를 위한 가장 세부적인 제어를 제공합니다. Private Service Connect 엔드포인트로 소비자를 수락하는 것은 Private Service Connect 엔드포인트에만 적용되며 Private Service Connect 백엔드는 지원하지 않습니다.

프로젝트 또는 VPC 네트워크와 달리 소비자가 엔드포인트를 만든 후에만 개별 Private Service Connect 엔드포인트를 수락하거나 거부할 수 있습니다. 이는 소비자가 엔드포인트를 만든 후에야 엔드포인트의 고유 URI를 알 수 있기 때문입니다. 소비자 허용 목록에 엔드포인트를 추가하는 단계는 다음과 같습니다.

생산자가 소비자 허용 목록에 값을 추가하지 않고 명시적 승인이 필요한 서비스를 게시합니다.
소비자가 게시된 서비스에 연결되는 엔드포인트를 만듭니다. 연결이 서비스 연결에 Pending 상태로 표시됩니다.
대기 중인 엔드포인트의 ID 기반 URI를 찾기 위해 프로듀서는 서비스 연결을 설명할 수 있고 소비자는 엔드포인트를 설명할 수 있습니다.
프로듀서가 엔드포인트의 ID 기반 URI를 소비자 허용 목록에 추가합니다. 연결이 설정되고 상태가 Accepted로 변경됩니다.