[GCP] 비공개 Google 액세스 구성 방법

Tech Note 정보
카테고리: [ Cloud Computing & MSA ]
조회수: 481

 

Google Cloud 내부 기준

Public IP를 가진 VM은 무조건 인터넷 호출

Private IP만 가진 VM 기준

- 네트워크 구성 O + 서브넷 PGA O -> 내부 (private.googleapis.com, restricted.googleapis.com 도메인)
- 네트워크 구성 O +서브넷  PGA X -> API 호출 불가
- 네트워크 구성 X +서브넷  PGA O -> 내부 (기본 도메인)
- 네트워크 구성 X + 서브넷 PGA X -> API 호출 불가

Subent 의 Private Google Access 만 on을 할 경우, Private VM이 google api 사용을 허용해줌. 

 

추가 설정 없이, PGA만 on한 경우 외부 IP 를 바라보는 것은 정상적인 상황. 외부 IP 주소더라도, GCP 내부 통신임.
외부IP가 VM에 없으면 무조건 비공개 google 액세스
https://cloud.google.com/vpc/docs/private-google-access?hl=ko
"외부 IP 주소 없이 내부 IP 주소만 있는 VM 인스턴스는 비공개 Google 액세스를 사용할 수 있습니다. 
이러한 인스턴스는 Google API 및 서비스의 외부 IP 주소에 도달할 수 있습니다"
https://cloud.google.com/vpc/docs/private-google-access?hl=ko#pga

 

서브넷 PGA on 하기 전 요구사항(사용하고자 하는 도메인 옵션에 따라 다름)
https://cloud.google.com/vpc/docs/configure-private-google-access#config

 


내부 Google API 사용 방법: PGA on (Firewall, Cloud Router, Cloud DNS 옵션 설정) 설정이 필요.
기본 도메인만 사용으로 하거나 private, restricted.googleapis.com 도메인 사용 가능. 
private, restricted.googleapis.com 으로 하면 VIP로 보안 관리 용이.
Google API DNS를 199.36.153.4/30 대역으로 변경 및 허용하는 과정.(private, restricted.googleapis.com 사용 시)
https://cloud.google.com/vpc-service-controls/docs/set-up-private-connectivity#procedure-overview
 

- 구글 문서 기준 구성 방법
https://cloud.google.com/vpc/docs/configure-private-google-access?hl=ko#enabling-pga



https://cloud.google.com/vpc/docs/private-google-access?hl=ko