Private Service Connect 인터페이스의 라우팅 구성

이 페이지에서는 가상 Private Service Connect 인터페이스와 동적 Private Service Connect 인터페이스의 라우팅을 구성하는 방법을 설명합니다.

Private Service Connect 인터페이스를 통해 트래픽 라우팅

Private Service Connect 인터페이스를 만든 후 인터페이스의 VM에서 게스트 운영체제 (게스트 OS)를 구성하여 인터페이스를 통해 트래픽을 라우팅해야 합니다.

SSH 연결 허용

Private Service Connect 인터페이스의 VM에 대한 인그레스 SSH 연결을 허용하도록 방화벽 규칙이 구성되었는지 확인합니다.

Private Service Connect 인터페이스의 Trusted Cloud by S3NS 이름을 찾습니다.

라우팅을 구성하려면 Private Service Connect 인터페이스의 Trusted Cloud by S3NS 이름을 알아야 합니다.

동적 Private Service Connect 인터페이스의 Trusted Cloud by S3NS 이름을 찾으려면 Google Cloud CLI를 사용하세요.

콘솔

  1. Trusted Cloud 콘솔에서 VM 인스턴스 페이지로 이동합니다.

    VM 인스턴스로 이동

  2. Private Service Connect 인터페이스가 있는 VM의 이름을 클릭합니다.

  3. 네트워크 인터페이스 섹션에서 가상 Private Service Connect 인터페이스의 이름(예: nic1)을 찾아 기록합니다.

gcloud

  1. gcloud compute instances describe 명령어를 사용합니다.

    gcloud compute instances describe VM_NAME \
    --zone=ZONE

    다음을 바꿉니다.

    • VM_NAME: Private Service Connect 인터페이스가 있는 VM의 이름
    • ZONE: VM의 영역

  2. 명령어 출력에서 Private Service Connect 인터페이스의 Trusted Cloud by S3NS 이름을 찾아 기록합니다.

    • 가상 Private Service Connect 인터페이스의 경우 이름이 nic[interface_number] 형식입니다(예: nic0 또는 nic1).
    • 동적 Private Service Connect 인터페이스의 경우 이름이 nic[parent_interface_number.VLAN_ID] 형식입니다(예: nic0.10 또는 nic1.42).

동적 Private Service Connect 인터페이스의 자동 관리 구성

동적 Private Service Connect 인터페이스의 라우팅을 구성하는 경우 동적 네트워크 인터페이스의 자동 관리 사용 설정을 선택합니다. 이 작업은 VM당 한 번만 수행하면 됩니다.

Private Service Connect 인터페이스의 게스트 OS 이름 찾기

라우팅을 구성하려면 Private Service Connect 인터페이스의 게스트 OS 이름을 알아야 하며, 이는 Trusted Cloud by S3NS의 인터페이스 이름과 다릅니다.

Debian VM에서 인터페이스 이름을 찾으려면 다음을 수행합니다. 다른 운영체제를 사용하는 VM의 경우 해당 운영체제의 공개 문서를 참조하세요.

  1. Private Service Connect 인터페이스의 VM에 연결합니다.

  2. 다음 명령어를 실행합니다.

    ip address

    네트워크 인터페이스 목록에서 Private Service Connect 인터페이스의 IP 주소와 연결된 인터페이스 이름을 찾아 기록합니다. 예를 들어 Linux 게스트 에이전트가 VM의 네트워크 인터페이스를 관리하는 경우 이름은 다음 형식을 갖습니다.

    • 가상 Private Service Connect 인터페이스: ens[number](예: ens5)
    • 동적 Private Service Connect 인터페이스: gcp.ens[parent_interface_number].[VLAN_ID](예: gcp.ens5.10)

Private Service Connect 인터페이스의 게이트웨이 IP 주소 찾기

라우팅을 구성하려면 Private Service Connect 인터페이스의 기본 게이트웨이의 IP 주소를 알아야 합니다.

  1. Private Service Connect 인터페이스의 VM에 연결합니다.

  2. 인터페이스의 VM에서 연결된 메타데이터 서버GET 요청을 보냅니다.

    • 가상 Private Service Connect 인터페이스의 경우 다음 요청을 전송합니다.

      curl http://metadata.google.internal/computeMetadata/v1/instance/network-interfaces/INTERFACE_NUMBER/gateway -H "Metadata-Flavor: Google" && echo

      INTERFACE_NUMBER를 인터페이스의 색인으로 바꿉니다. 예를 들어 Private Service Connect 인터페이스의Trusted Cloud by S3NS 이름nic1이면 1 값을 사용합니다.

    • 동적 Private Service Connect 인터페이스의 경우 다음 요청을 전송합니다.

      curl http://metadata.google.internal/computeMetadata/v1/instance/vlan-network-interfaces/PARENT_INTERFACE_NUMBER/VLAN_ID/gateway -H "Metadata-Flavor: Google" && echo

      다음을 바꿉니다.

      • PARENT_INTERFACE_NUMBER: 동적 Private Service Connect 인터페이스의 상위 vNIC 색인

        예를 들어 Private Service Connect 인터페이스의Trusted Cloud by S3NS 이름nic1.5이면 1 값을 사용합니다.

      • VLAN_ID: 동적 Private Service Connect 인터페이스의 VLAN ID입니다.

        예를 들어 Private Service Connect 인터페이스의 Trusted Cloud by S3NS 이름이 nic1.5이면 5 값을 사용합니다.

    요청의 출력에 게이트웨이 IP 주소가 표시됩니다.

소비자 서브넷 경로 추가

Private Service Connect 인터페이스에 연결되는 각 소비자 서브넷에 대해 Private Service Connect 인터페이스의 기본 게이트웨이 경로를 추가해야 합니다. 이렇게 하면 소비자 네트워크에 바인딩된 트래픽이 Private Service Connect 인터페이스를 통해 흐릅니다.

다음 단계에서는 Debian 운영체제를 사용하는 VM의 라우팅 테이블을 일시적으로 업데이트하는 방법을 설명합니다. 테이블을 영구적으로 업데이트하거나 다른 운영체제에서 경로를 업데이트하려면 운영체제의 공개 문서를 참조하세요.

  1. Private Service Connect 인터페이스의 VM에 연결합니다.

  2. Private Service Connect 인터페이스에 연결되는 각 소비자 서브넷에 다음 명령어를 실행합니다.

    sudo ip route add CONSUMER_SUBNET_RANGE via GATEWAY_IP dev OS_INTERFACE_NAME

    다음을 바꿉니다.

  3. 캐시 경로 테이블에서 모든 항목을 삭제하려면 다음 명령어를 실행합니다. 이 작업은 이전에 구성된 경로 테이블이 있는 기존 인스턴스를 사용하는 경우에 필요할 수 있습니다.

    sudo ip route flush cache

VPC 서비스 제어와 함께 Private Service Connect 인터페이스 사용

Private Service Connect 인터페이스를 VPC 서비스 제어와 함께 사용할 수 있습니다. 그러면 생산자 VPC 네트워크가 소비자 VPC 네트워크를 통해 Google API 및 서비스에 액세스할 수 있으며 소비자 조직은 VPC 서비스 제어의 보안 이점을 적용할 수 있습니다.

다음 섹션에 설명된 다음 접근 방법 중 하나를 사용하여 이 구성을 구현할 수 있습니다.

  • 게스트 OS 라우팅 구성
  • 네트워크 네임스페이스 또는 VRF로 Private Service Connect 인터페이스를 격리한 후 라우팅 구성

게스트 OS 라우팅 구성

VPC 서비스 제어와 함께 Private Service Connect 인터페이스를 사용하려면 인터페이스의 VM 게스트 OS에서 라우팅을 구성합니다. Private Service Connect 인터페이스를 통해 Google API 및 서비스로 향하는 트래픽을 직접 전송합니다.

다음 단계에서는 Debian 운영체제를 사용하는 VM의 라우팅 테이블을 일시적으로 업데이트하는 방법을 설명합니다. 테이블을 영구적으로 업데이트하거나 다른 운영체제에서 경로를 업데이트하려면 운영체제의 공개 문서를 참조하세요.

라우팅을 구성하려면 다음 단계를 따르세요.

  1. Private Service Connect 인터페이스의 VM에 대한 SSH 연결을 허용합니다.
  2. VM에 연결합니다.

  3. Private Service Connect 인터페이스의 맞춤 라우팅 테이블을 만들려면 다음 명령어를 실행합니다.

    echo "1 ROUTE_TABLE_NAME" | sudo tee -a /etc/iproute2/rt_tables

    ROUTE_TABLE_NAME을 경로 테이블의 이름으로 바꿉니다.

  4. Google API 및 서비스로 향하는 트래픽에 대한 경로를 경로 테이블에 추가합니다. 예를 들어 restricted.googleapis.com 가상 IP (VIP)로 향하는 트래픽의 경로를 추가하려면 다음 명령어를 사용하세요. 이 명령어는 restricted.googleapis.com의 IPv4 주소 범위를 지정합니다.

    sudo ip route add 199.36.153.4/30 dev OS_INTERFACE_NAME table ROUTE_TABLE_NAME

    OS_INTERFACE_NAMEPrivate Service Connect 인터페이스의 게스트 OS 이름(예: ens5 또는 gcp.ens5.10)으로 바꿉니다.

  5. Private Service Connect 인터페이스에서 시작된 패킷에 커스텀 라우팅 테이블을 사용하는 라우팅 규칙을 추가하려면 다음 명령어를 사용하세요.

    sudo ip rule add from INTERFACE_IP table ROUTE_TABLE_NAME

    INTERFACE_IP를 Private Service Connect 인터페이스의 IP 주소로 바꿉니다. 인터페이스의 VM을 설명하여 인터페이스의 IP 주소를 찾을 수 있습니다.

  6. 캐시 경로 테이블에서 모든 항목을 삭제하려면 다음 명령어를 실행합니다. 이 작업은 이전에 구성된 경로 테이블이 있는 기존 인스턴스를 사용하는 경우에 필요할 수 있습니다.

    sudo ip route flush cache

네임스페이스 또는 VRF로 Private Service Connect 인터페이스 격리

또는 네트워크 네임스페이스나 가상 라우팅 및 전달 (VRF)을 사용하여 Private Service Connect 인터페이스를 격리하도록 VM을 구성할 수 있습니다. 이 접근 방식은 Google Kubernetes Engine 포드에서 실행되는 컨테이너화된 워크로드에 유용합니다.

인터페이스를 격리하는 데 사용한 것과 동일한 컨텍스트를 사용하여 라우팅을 구성하고 Private Service Connect 인터페이스를 사용하는 워크로드가 이 동일한 컨텍스트 내에 있는지 확인합니다.