Network Connectivity Center를 사용하는 크로스 클라우드 네트워크 VPC 내부 연결

컬렉션을 사용해 정리하기 내 환경설정을 기준으로 콘텐츠를 저장하고 분류하세요.

이 문서에서는 Google Cloud에 교차 클라우드 네트워크 VPC 간 네트워크 토폴로지를 배포하는 데 사용할 수 있는 참조 아키텍처를 제공합니다. 이러한 네트워크 설계를 통해 온프레미스 데이터 센터 또는 기타 클라우드 서비스 제공업체 (CSP)와 같은 Google Cloud 및 외부 네트워크에 소프트웨어 서비스를 배포할 수 있습니다.

이 문서의 대상에는 네트워크 연결을 구축하는 네트워크 관리자, 클라우드 설계자, 엔터프라이즈 설계자가 포함됩니다. 또한 워크로드 배포 방법을 계획하는 클라우드 설계자도 포함됩니다. 이 문서에서는 사용자가 라우팅 및 인터넷 연결에 대한 기본적인 사항을 이해하고 있다고 가정합니다.

이 설계는 여러 외부 연결, 서비스와 서비스 액세스 포인트가 포함된 여러 서비스 액세스 Virtual Private Cloud (VPC) 네트워크, 여러 워크로드 VPC 네트워크를 지원합니다.

이 문서에서 서비스 액세스 포인트라는 용어는 Google Cloud 비공개 서비스 액세스 및 Private Service Connect를 통해 제공되는 서비스에 대한 액세스 포인트를 나타냅니다. Network Connectivity Center는Google Cloud의 네트워크 연결 관리를 위한 허브 및 스포크 제어 영역 모델입니다. 허브 리소스는 Network Connectivity Center VPC 스포크에 중앙 집중식 연결 관리를 제공합니다.

Network Connectivity Center 허브는 연결된 다양한 스포크 유형 간의 경로를 학습하고 배포하는 전역 제어 영역입니다. VPC 스포크는 일반적으로 서브넷 경로를 중앙 집중식 허브 경로 테이블에 삽입합니다. 하이브리드 스포크는 일반적으로 동적 경로를 중앙 집중식 허브 경로 테이블에 삽입합니다. Network Connectivity Center 허브의 제어 영역 정보를 사용하여 Google CloudNetwork Connectivity Center 스포크 간의 데이터 영역 연결을 자동으로 설정합니다.

Network Connectivity Center는 Google Cloud에서 확장 가능한 성장을 위해 VPC를 상호 연결하는 데 권장되는 방법입니다. 트래픽 경로에 네트워크 가상 어플라이언스 (NVA)를 삽입해야 하는 경우 동적 경로에 라우터 어플라이언스 기능을 사용하거나 정적 경로 또는 정책 기반 경로를 VPC 네트워크 피어링과 함께 사용하여 VPC를 상호 연결할 수 있습니다. 자세한 내용은 VPC 네트워크 피어링을 사용한 교차 클라우드 네트워크 간 연결을 참조하세요.

아키텍처

다음 다이어그램은 네트워크 아키텍처와 이 아키텍처가 지원하는 다양한 패킷 흐름을 대략적으로 보여줍니다.

아키텍처에는 다음과 같은 상위 수준 요소가 포함되어 있습니다.

구성요소	목적	상호작용
외부 네트워크 (온프레미스 또는 다른 CSP 네트워크)	워크로드 VPC 및 서비스 액세스 VPC에서 실행되는 워크로드의 클라이언트를 호스팅합니다. 외부 네트워크에서도 서비스를 호스팅할 수 있습니다.	전송 네트워크를 통해 Google Cloud의 VPC 네트워크와 데이터를 교환합니다. Cloud Interconnect 또는 HA VPN을 사용하여 전송 네트워크에 연결합니다. 다음 흐름의 한쪽 끝을 종료합니다. 외부-외부 외부에서 서비스 간 액세스 External-to-Private-Service-Connect-Consumer 외부-워크로드
전송 VPC 네트워크 (Network Connectivity Center에서 라우팅 VPC 네트워크라고도 함)	외부 네트워크, 서비스 액세스 VPC 네트워크, 워크로드 VPC 네트워크의 허브 역할을 합니다.	Cloud Interconnect, HA VPN, Network Connectivity Center의 조합을 통해 외부 네트워크, 서비스 액세스 VPC 네트워크, Private Service Connect 소비자 네트워크, 워크로드 VPC 네트워크를 함께 연결합니다.
서비스 액세스 VPC 네트워크	워크로드 VPC 네트워크 또는 외부 네트워크에서 실행 중인 워크로드에 필요한 서비스에 대한 액세스를 제공합니다. 또한 다른 네트워크에서 호스팅되는 관리형 서비스에 대한 액세스 포인트를 제공합니다.	전송 네트워크를 통해 외부, 워크로드, Private Service Connect 소비자 네트워크와 데이터를 교환합니다. HA VPN을 사용하여 전송 VPC에 연결합니다. HA VPN에서 제공하는 전환 라우팅을 사용하면 서비스 액세스 VPC 네트워크를 통해 외부 트래픽이 관리형 서비스 VPC에 도달할 수 있습니다. 다음 흐름의 한쪽 끝을 종료합니다. 외부에서 서비스 간 액세스 워크로드-서비스-액세스 Private Service Connect 소비자에 대한 서비스 액세스
관리형 서비스 VPC 네트워크	다른 네트워크의 클라이언트에 필요한 관리형 서비스를 호스팅합니다.	외부의 서비스 액세스, Private Service Connect 소비자, 워크로드 네트워크와 데이터를 교환합니다. VPC 네트워크 피어링을 사용하는 비공개 서비스 액세스를 사용하여 서비스 액세스 VPC 네트워크에 연결합니다. 관리형 서비스 VPC는 Private Service Connect 또는 비공개 서비스 액세스를 사용하여 Private Service Connect 소비자 VPC에 연결할 수도 있습니다. 다른 모든 네트워크에서 흐름의 한쪽 끝을 종료합니다.
Private Service Connect 소비자 VPC	다른 네트워크에서 액세스할 수 있는 Private Service Connect 엔드포인트를 호스팅합니다. 이 VPC는 워크로드 VPC일 수도 있습니다.	전송 VPC 네트워크를 통해 외부 및 서비스 액세스 VPC 네트워크와 데이터를 교환합니다. Network Connectivity Center VPC 스포크를 사용하여 전송 네트워크 및 기타 워크로드 VPC 네트워크에 연결합니다.
워크로드 VPC 네트워크	다른 네트워크의 클라이언트에 필요한 워크로드를 호스팅합니다. 이 아키텍처는 여러 워크로드 VPC 네트워크를 허용합니다.	전송 VPC 네트워크를 통해 외부 및 서비스 액세스 VPC 네트워크와 데이터를 교환합니다. Network Connectivity Center VPC 스포크를 사용하여 전송 네트워크, Private Service Connect 소비자 네트워크, 기타 워크로드 VPC 네트워크에 연결합니다. 다음 흐름의 한쪽 끝을 종료합니다. 외부-워크로드 워크로드-서비스-액세스 Workload-to-Private-Service-Connect-consumer 워크로드-워크로드
Network Connectivity Center	Network Connectivity Center 허브는 모든 리전의 VPC 서브넷 및 하이브리드 연결 경로의 네트워크 제어 영역 역할을 하는 전역 라우팅 데이터베이스를 Google Cloud 통합합니다.	제어 영역 라우팅 테이블을 사용하는 데이터 경로를 빌드하여 임의 간 토폴로지에서 여러 VPC 및 하이브리드 네트워크를 상호 연결합니다.

다음 다이어그램은 구성요소 간 4가지 연결을 강조한 아키텍처를 자세히 보여줍니다.

연결 설명

이 섹션에서는 앞의 다이어그램에 표시된 네 가지 연결을 설명합니다. Network Connectivity Center 문서에서는 전송 VPC 네트워크를 라우팅 VPC라고 합니다. 이러한 네트워크는 이름이 다르지만 용도는 동일합니다.

연결 1: 외부 네트워크와 전송 VPC 네트워크 간

외부 네트워크와 전송 VPC 네트워크 간의 이러한 연결은 Cloud Interconnect 또는 HA VPN을 통해 이루어집니다. 전송 VPC 네트워크의 Cloud Router 간 및 외부 네트워크의 외부 라우터 간에 BGP를 사용하여 경로가 교환됩니다.

• 외부 네트워크의 라우터는 외부 서브넷의 경로를 전송 VPC Cloud Router로 알립니다. 일반적으로 지정된 위치의 외부 라우터는 다른 외부 위치의 경로보다 더 선호되는 동일한 외부 위치의 경로를 알립니다. BGP 측정항목 및 속성을 사용하여 경로의 환경설정을 표현할 수 있습니다.
• 전송 VPC 네트워크의 Cloud Router는 Google Cloud의 VPC에 있는 프리픽스의 경로를 외부 네트워크에 공지합니다. 이러한 경로는 Cloud Router 커스텀 경로 공지를 사용하여 공지해야 합니다.
• Network Connectivity Center를 사용하면 Google 백본 네트워크를 사용하여 서로 다른 온프레미스 네트워크 간에 데이터를 전송할 수 있습니다. Interconnect VLAN 연결을 Network Connectivity Center 하이브리드 스포크로 구성할 때는 사이트 간 데이터 전송을 사용 설정해야 합니다.
• 동일한 외부 네트워크 프리픽스를 가져오는 Cloud Interconnect VLAN 연결은 단일 Network Connectivity Center 스포크로 구성됩니다.

연결 2: 전송 VPC 네트워크와 서비스 액세스 VPC 네트워크 간

전송 VPC 네트워크와 서비스 액세스 VPC 네트워크 간의 이러한 연결은 각 리전에 별도의 터널이 있는 HA VPN을 통해 이루어집니다. 경로는 전송 VPC 네트워크의 리전 Cloud Router와 서비스 액세스 VPC 네트워크의 리전 Cloud Router 간에 BGP를 사용하여 교환됩니다.

• 전송 VPC HA VPN Cloud Router는 외부 네트워크 프리픽스, 워크로드 VPC, 기타 서비스 액세스 VPC의 경로를 서비스 액세스 VPC Cloud Router에 알립니다. 이러한 경로는 Cloud Router 커스텀 경로 공지를 사용하여 공지해야 합니다.
• 서비스 액세스 VPC는 연결된 관리형 서비스 VPC 네트워크의 서브넷과 서브넷을 전송 VPC 네트워크에 알립니다. 관리형 서비스 VPC 경로와 서비스 액세스 VPC 서브넷 경로는 Cloud Router 커스텀 경로 공지를 사용하여 공지해야 합니다.

연결 3: 전송 VPC 네트워크, 워크로드 VPC 네트워크, Private Service Connect 서비스 액세스 VPC 네트워크 간

전송 VPC 네트워크, 워크로드 VPC 네트워크, Private Service Connect 소비자 VPC 네트워크 간의 연결은 Network Connectivity Center를 사용하여 서브넷과 프리픽스 경로가 교환될 때 발생합니다. 이 연결을 통해 워크로드 VPC 네트워크, Network Connectivity Center VPC 스포크로 연결된 서비스 액세스 VPC 네트워크, Network Connectivity Center 하이브리드 스포크로 연결된 기타 네트워크 간의 통신이 가능합니다. 이러한 다른 네트워크에는 각각 연결 1과 연결 2를 사용하는 외부 네트워크 및 서비스 액세스 VPC 네트워크가 포함됩니다.

• 전송 VPC 네트워크의 Cloud Interconnect 또는 HA VPN 연결은 Network Connectivity Center를 사용하여 동적 경로를 워크로드 VPC 네트워크로 내보냅니다.
• 워크로드 VPC 네트워크를 Network Connectivity Center 허브의 스포크로 구성하면 워크로드 VPC 네트워크가 자동으로 서브넷을 전송 VPC 네트워크로 내보냅니다. 원하는 경우 전송 VPC 네트워크를 VPC 스포크로 설정할 수 있습니다 정적 경로는 워크로드 VPC 네트워크에서 전송 VPC 네트워크로 내보내지지 않습니다. 정적 경로는 전송 VPC 네트워크에서 워크로드 VPC 네트워크로 내보내지지 않습니다.

연결 4: Network Connectivity Center 전파가 있는 Private Service Connect 소비자 VPC

• Private Service Connect 엔드포인트는 소비자가 퍼스트 파티 및 서드 파티 관리형 서비스에 액세스할 수 있게 해주는 공통 VPC로 구성됩니다.
• Private Service Connect 소비자 VPC 네트워크는 Network Connectivity Center VPC 스포크로 구성됩니다. 이 스포크는 Network Connectivity Center 허브에서 Private Service Connect 전파를 사용 설정합니다. Private Service Connect 전파는 Private Service Connect 엔드포인트의 호스트 프리픽스를 Network Connectivity Center 허브 라우팅 테이블에 대한 경로로 알립니다.
• Private Service Connect 서비스 액세스 소비자 VPC 네트워크는 워크로드 VPC 네트워크 및 전송 VPC 네트워크에 연결됩니다. 이러한 연결은 Private Service Connect 엔드포인트에 대한 전이 연결을 사용 설정합니다. Network Connectivity Center 허브에 Private Service Connect 연결 전파가 사용 설정되어 있어야 합니다.
• Network Connectivity Center는 모든 스포크에서 Private Service Connect 엔드포인트까지의 데이터 경로를 자동으로 빌드합니다.

트래픽 흐름

다음 다이어그램은 이 참조 아키텍처에 의해 사용 설정되는 흐름을 보여줍니다.

다음 표에서는 다이어그램의 흐름을 설명합니다.

소스	대상	설명
외부 네트워크	서비스 액세스 VPC 네트워크	트래픽은 외부 연결을 통해 전송 네트워크의 경로를 따라갑니다. 이 경로는 외부 연결 Cloud Router에서 공지합니다. 트래픽은 서비스 액세스 VPC 네트워크로 가는 커스텀 경로를 따릅니다. HA VPN 연결을 통해 경로가 공지됩니다. 대상이 비공개 서비스 액세스로 서비스 액세스 VPC 네트워크에 연결된 관리형 서비스 VPC 네트워크에 있는 경우 트래픽은 관리형 서비스 네트워크에 대한 Network Connectivity Center 커스텀 경로를 따릅니다.
서비스 액세스 VPC 네트워크	외부 네트워크	트래픽은 HA VPN 터널을 통해 전송 네트워크로 가는 커스텀 경로를 따라갑니다. 트래픽은 외부 연결을 거쳐 외부 네트워크로 돌아가는 경로를 따라갑니다. 경로는 BGP를 통해 외부 라우터에서 학습됩니다.
외부 네트워크	워크로드 VPC 네트워크 또는 Private Service Connect 소비자 VPC 네트워크	트래픽은 외부 연결을 통해 대중교통 네트워크에 대한 경로를 따라갑니다. 경로는 외부용 Cloud Router에서 공지합니다. 트래픽은 서브넷 경로를 따라 관련 워크로드 VPC 네트워크로 이동합니다. 경로는 Network Connectivity Center를 통해 학습됩니다.
워크로드 VPC 네트워크 또는 Private Service Connect 소비자 VPC 네트워크	외부 네트워크	트래픽은 동적 경로를 따라 대중교통 네트워크로 돌아갑니다. 경로는 Network Connectivity Center 커스텀 경로 내보내기를 통해 학습됩니다. 트래픽은 외부 연결을 거쳐 외부 네트워크로 돌아가는 경로를 따라갑니다. 경로는 BGP를 통해 외부 라우터에서 학습됩니다.
워크로드 VPC 네트워크	서비스 액세스 VPC 네트워크	트래픽은 전송 VPC 네트워크의 경로를 따릅니다. 경로는 Network Connectivity Center 커스텀 경로 내보내기를 통해 학습됩니다. 트래픽은 서비스 액세스 VPC 네트워크에 대한 HA VPN 터널 중 하나를 통해 경로를 따라갑니다. 경로는 BGP 커스텀 경로 공지에서 학습됩니다.
서비스 액세스 VPC 네트워크	워크로드 VPC 네트워크	트래픽은 대중교통 네트워크에 대한 커스텀 경로를 따라갑니다. 경로는 HA VPN 터널을 통해 공지됩니다. 트래픽은 서브넷 경로를 따라 관련 워크로드 VPC 네트워크로 이동합니다. 경로는 Network Connectivity Center를 통해 학습됩니다.
워크로드 VPC 네트워크	워크로드 VPC 네트워크	하나의 워크로드 VPC에서 나가는 트래픽은 Network Connectivity Center를 통해 다른 워크로드 VPC로의 보다 구체적인 경로를 따릅니다. 반환 트래픽은 이 경로를 역전시킵니다.

사용 제품

• 가상 프라이빗 클라우드(VPC): Google Cloud 워크로드에 확장 가능한 전역 네트워킹 기능을 제공하는 가상 시스템입니다. VPC에는 VPC 네트워크 피어링, Private Service Connect, 비공개 서비스 액세스, 공유 VPC가 포함됩니다.
• Network Connectivity Center: 허브라고 하는 중앙 관리 리소스에 연결된 스포크 리소스 간의 네트워크 연결을 간소화하는 조정 프레임워크입니다.
• Cloud Interconnect: 지연 시간이 짧은 고가용성 연결을 통해 외부 네트워크를 Google 네트워크로 확장하는 서비스입니다.
• Cloud VPN: IPsec VPN 터널을 통해 피어 네트워크를 Google 네트워크로 안전하게 확장하는 서비스입니다.
• Cloud Router: 경계 게이트웨이 프로토콜(BGP) 스피커 및 응답자 기능을 제공하는 완전 관리형 분산형 제품입니다. Cloud Router는 Cloud Interconnect, Cloud VPN, 라우터 어플라이언스와 함께 작동하여 BGP 수신 경로 및 커스텀 학습된 경로를 기반으로 VPC 네트워크에 동적 경로를 만듭니다.
• Cloud 차세대 방화벽: 내부 및 외부 공격으로부터 워크로드를 보호하도록 Google Cloud 고급 보호 기능, 마이크로 세그먼테이션, 간소화된 관리를 갖춘 완전 분산형 방화벽 서비스입니다.

설계 고려사항

이 섹션에서는 이 참조 아키텍처를 사용하여 보안, 안정성, 성능에 대한 특정 요구사항을 충족하는 토폴로지를 개발할 때 고려해야 하는 설계 요소, 권장사항, 설계 권장사항을 설명합니다.

보안 및 규정 준수

다음 목록은 이 참조 아키텍처의 보안 및 규정 준수 고려사항을 설명합니다.

• 규정 준수를 위해 단일 리전에만 워크로드를 배포할 수 있습니다. 모든 트래픽을 단일 리전에서 유지하려면 99.9% 토폴로지를 사용하면 됩니다.
• Cloud 차세대 방화벽 (Cloud NGFW)을 사용하여 서비스 액세스 및 워크로드 VPC 네트워크로 들어오고 나가는 트래픽을 보호합니다. 전송 네트워크를 통해 하이브리드 네트워크 간에 또는 외부 네트워크와 Google 관리형 서비스 간에 전달되는 트래픽을 검사하려면 외부 방화벽 또는 NVA 방화벽을 사용해야 합니다.
• L7 트래픽 검사가 필요한 경우 취약점, 스파이웨어 방지, 바이러스 백신을 지원하여 악의적인 활동을 차단하고 위협으로부터 워크로드를 보호하도록 침입 감지 및 방지 서비스(선택적으로 TLS 검사 지원 포함)를 사용 설정합니다. 이 서비스는 패킷 가로채기 기술을 사용하여 경로를 재구성할 필요 없이 워크로드를 투명하게 검사하는 Google 관리형 영역 방화벽 엔드포인트를 만드는 방식으로 작동합니다. Cloud Next Generation Firewall Enterprise에서는 영역 방화벽 엔드포인트 및 데이터 처리 요금이 발생합니다.
• Google 위협 인텔리전스 데이터를 기반으로 트래픽을 허용하거나 차단하려면 Google 위협 인텔리전스를 사용하세요. Cloud 차세대 방화벽 표준 데이터 처리 요금이 청구됩니다.
• 방화벽 규칙 로깅을 사용 설정하고 방화벽 통계를 사용하여 방화벽 규칙을 감사, 확인, 이해, 최적화합니다. 방화벽 규칙 로깅은 비용을 발생시킬 수 있으므로 선택적으로 사용하는 것이 좋습니다.
• 연결 테스트를 사용 설정하여 트래픽이 예상대로 작동하는지 확인합니다.
• 트래픽 및 규정 준수 요구사항에 따라 로깅 및 모니터링을 사용 설정합니다. 트래픽 패턴을 파악하려면 VPC 흐름 로그를 흐름 분석기와 함께 사용하세요.
• Cloud IDS 또는 알림 모드의 Cloud NGFW Enterprise 침입 방지 서비스를 사용하여 트래픽에 대한 추가 정보를 수집합니다.

안정성

다음 목록은 이 참조 아키텍처의 안정성 고려사항을 설명합니다.

• Cloud Interconnect에서 99.99% 의 가용성을 얻으려면 서로 다른 두 영역에 걸쳐 서로 다른 권역의 두 Google Cloud 리전에 연결해야 합니다.
• 안정성을 향상하고 리전 장애에 대한 노출을 최소화하기 위해 워크로드 및 기타 클라우드 리소스를 여러 리전에 분산할 수 있습니다.
• 예상 트래픽을 처리하려면 충분한 수의 VPN 터널을 만드세요. 개별 VPN 터널에는 대역폭 한도가 있습니다.

성능 최적화

다음 목록은 이 참조 아키텍처의 성능 고려사항을 설명합니다.

• 네트워크 및 연결의 최대 전송 단위 (MTU)를 늘리면 네트워크 성능을 개선할 수 있습니다. 자세한 내용은 최대 전송 단위를 참고하세요.
• 전송 VPC와 워크로드 리소스 간의 통신은 Network Connectivity Center 연결을 통해 이루어집니다. 이 연결은 추가 비용 없이 네트워크의 모든 VM에 전체 회선 속도 처리량을 제공합니다. 외부 네트워크를 전송 네트워크에 연결하는 방법에는 여러 가지가 있습니다. 비용 및 성능 고려사항의 균형을 맞추는 방법에 대한 자세한 내용은 네트워크 연결 제품 선택을 참조하세요.

배포

이 섹션에서는 이 문서에 설명된 Network Connectivity Center 아키텍처를 사용하여 교차 클라우드 네트워크 VPC 간 연결을 배포하는 방법을 설명합니다.

이 문서의 아키텍처는 중앙 전송 VPC에 대한 세 가지 유형의 연결, 그리고 워크로드 VPC 네트워크와 워크로드 VPC 네트워크 간의 연결을 만듭니다. Network Connectivity Center가 완전히 구성된 후에는 모든 네트워크 간의 통신이 설정됩니다.

이 배포에서는 워크로드 서브넷이 다른 리전에 있을 수 있지만 외부 네트워크와 전송 네트워크 간의 연결을 두 리전에서 만든다고 가정합니다. 워크로드가 한 리전에만 배치된 경우 해당 리전에만 서브넷을 만들어야 합니다.

이 참조 아키텍처를 배포하려면 다음 작업을 완료하세요.

1. Network Connectivity Center로 네트워크 세분화 만들기
2. 연결 및 워크로드를 배치할 리전 식별
3. VPC 네트워크 및 서브넷 만들기
4. 외부 네트워크와 전송 VPC 네트워크 간에 연결 만들기
5. 전송 VPC 네트워크와 서비스 액세스 VPC 네트워크 간에 연결 만들기
6. 전송 VPC 네트워크와 워크로드 VPC 네트워크 간의 연결 설정
7. Cloud NGFW 정책 구성
8. 워크로드 연결 테스트

Network Connectivity Center로 네트워크 세분화 만들기

Network Connectivity Center 허브를 처음 만들기 전에 풀 메시 토폴로지를 사용할지 스타 토폴로지를 사용할지 결정해야 합니다. 상호 연결된 VPC의 전체 메시 또는 VPC의 스타 토폴로지를 커밋하기로 한 결정은 되돌릴 수 없습니다. 되돌릴 수 없는 결정을 내리려면 다음 일반 가이드라인을 사용하세요.

• 조직의 비즈니스 아키텍처가 VPC 네트워크 간의 트래픽을 허용하는 경우 Network Connectivity Center 메시를 사용합니다.
• 다른 특정 VPC 스포크 간의 트래픽 흐름이 허용되지 않지만 이러한 VPC 스포크를 VPC 스포크의 핵심 그룹에 연결할 수 있는 경우 Network Connectivity Center 스타 토폴로지를 사용합니다.

연결 및 워크로드를 배치할 리전 식별

일반적으로 온프레미스 네트워크 또는 다른 클라우드 클라이언트와 가까운 곳에 연결 및 Google Cloud 워크로드를 배치하는 것이 좋습니다. 워크로드 배치에 대한 자세한 내용은 Google Cloud 리전 선택 도구 및 Compute Engine 리전 선택 권장사항을 참조하세요.

VPC 네트워크 및 서브넷 만들기

VPC 네트워크 및 서브넷을 만들려면 다음 작업을 완료하세요.

1. VPC 네트워크를 만들 프로젝트를 만들거나 식별합니다. 자세한 내용은 네트워크 세분화 및 프로젝트 구조를 참고하세요. 공유 VPC 네트워크를 사용하려면 프로젝트를 공유 VPC 호스트 프로젝트로 프로비저닝합니다.

2. 네트워크의 IP 주소 할당을 계획하세요. 내부 범위를 만들어 범위를 사전 할당 및 예약할 수 있습니다. 이렇게 하면 이후 구성 및 작업이 더 간단해집니다.

3. 전역 라우팅이 사용 설정된 전송 네트워크 VPC를 만듭니다.

4. 서비스 액세스 VPC 네트워크를 만듭니다. 여러 리전에 워크로드를 사용하려는 경우 전역 라우팅을 사용 설정하세요.

5. 워크로드 VPC 네트워크를 만듭니다. 여러 리전에 워크로드가 있는 경우 전역 라우팅을 사용 설정하세요.

외부 네트워크와 전송 VPC 네트워크 간의 연결 만들기

이 섹션에서는 두 리전이 연결되어 있다고 가정하고 외부 위치가 연결되어 있으며 서로 장애 조치할 수 있다고 가정합니다. 또한 외부 위치의 클라이언트가 외부 위치가 있는 리전의 서비스에 연결하려는 환경설정이 있다고 가정합니다.

1. 외부 네트워크와 전송 네트워크 간의 연결을 설정합니다. 자세한 내용은 외부 및 하이브리드 연결을 참조하세요. 연결 제품 선택에 대한 안내는 네트워크 연결 제품 선택을 참조하세요.

2. 다음과 같이 연결된 각 리전에 BGP를 구성합니다.

   • 지정된 외부 위치에서 라우터를 다음과 같이 구성합니다.
     • 두 인터페이스에서 동일한 BGP MED(예: 100)를 사용하여 해당 외부 위치의 모든 서브넷을 알립니다. 두 인터페이스가 동일한 MED를 공지하면 Google Cloud ECMP를 사용하여 두 연결 간에 트래픽 부하를 분산할 수 있습니다.
     • 첫 번째 리전보다 우선순위가 낮은 MED(예: 200)를 사용하여 다른 외부 위치의 모든 서브넷을 공지합니다. 두 인터페이스에서 동일한 MED를 발표합니다.
   • 연결된 리전의 전송 VPC에서 외부 연결 Cloud Router를 다음과 같이 구성합니다.
     • Cloud Router에 비공개 ASN을 설정합니다.
     • 커스텀 경로 공지를 사용하여 두 외부 연결 Cloud Router 인터페이스를 통해 모든 리전의 모든 서브넷 범위를 알립니다. 가능하면 집계하세요. 두 인터페이스에서 동일한 MED(예: 100)를 사용합니다.

3. Network Connectivity Center 허브 및 하이브리드 스포크를 사용하려면 기본 매개변수를 사용합니다.

   • Network Connectivity Center 허브를 만듭니다. 조직에서 모든 VPC 네트워크 간의 트래픽을 허용하는 경우 기본 전체 메시 구성을 사용합니다.
   • Partner Interconnect, Dedicated Interconnect, HA-VPN 또는 라우터 어플라이언스를 사용하여 온프레미스 프리픽스에 연결하는 경우 이러한 구성요소를 다른 Network Connectivity Center 하이브리드 스포크로 구성합니다.
     • Network Connectivity Center 허브 경로 테이블 서브넷을 원격 BGP 인접 항목에 알리려면 모든 IPv4 주소 범위를 포함하도록 필터를 설정합니다.
     • 데이터 전송을 지원하는 리전의 Cloud Router에서 하이브리드 연결이 종료되면 사이트 간 데이터 전송이 사용 설정된 하이브리드 스포크를 구성합니다. 이렇게 하면 Google의 백본 네트워크를 사용하는 사이트 간 데이터 전송이 지원됩니다.

전송 VPC 네트워크와 서비스 액세스 VPC 네트워크 간에 연결 만들기

외부 네트워크와 서비스 액세스 VPC 간에 그리고 워크로드 VPC와 서비스 액세스 VPC 간에 전이 라우팅을 제공하기 위해 서비스 액세스 VPC는 연결에 HA VPN을 사용합니다.

1. 각 리전에서 전송 VPC와 서비스 액세스 VPC 간에 이동해야 하는 트래픽 양을 예측합니다. 이에 따라 예상 터널 수를 확장합니다.

2. VPC 네트워크 연결을 위한 HA VPN 게이트웨이 만들기의 안내에 따라 전송 VPC 네트워크와 리전 A의 서비스 액세스 VPC 네트워크 간에 HA VPN을 구성합니다. 전송 VPC 네트워크에 전용 HA VPN Cloud Router를 만듭니다. 외부 네트워크 연결 라우터는 외부 네트워크 연결용으로 남겨 둡니다.

   • 전송 VPC Cloud Router 구성:
     • 외부 네트워크 및 워크로드 VPC 서브넷을 서비스 액세스 VPC에 공지하려면 전송 VPC의 Cloud Router에서 커스텀 경로 공지를 사용합니다.
   • 서비스 액세스 VPC Cloud Router 구성:
     • 서비스 액세스 VPC 네트워크 서브넷을 전송 VPC에 알리려면 서비스 액세스 VPC 네트워크 Cloud Router에서 커스텀 경로 공지를 사용합니다.
     • 비공개 서비스 액세스를 사용하여 관리형 서비스 VPC 네트워크를 서비스 액세스 VPC에 연결하는 경우 커스텀 경로를 사용하여 이러한 서브넷도 공지합니다.
   • HA VPN 터널의 전송 VPC 측에서 터널 쌍을 Network Connectivity Center 하이브리드 스포크로 구성합니다.
     • 리전 간 데이터 전송을 지원하려면 사이트 간 데이터 전송이 사용 설정된 하이브리드 스포크를 구성합니다.
     • 원격 BGP 인접 항목에 대한 Network Connectivity Center 허브 경로 테이블 서브넷을 알리려면 모든 IPv4 주소 범위를 포함하도록 필터를 설정합니다. 이 작업은 이웃에 대한 모든 IPv4 서브넷 경로를 알립니다.
       • 외부 라우터의 용량이 제한될 때 동적 경로를 설치하려면 커스텀 경로 공지를 사용하여 요약 경로를 알리도록 Cloud Router를 구성합니다. Network Connectivity Center 허브의 전체 경로 테이블을 공지하는 대신 이 접근 방식을 사용합니다.

3. VPC 네트워크 피어링 연결이 설정된 후 비공개 서비스 액세스를 사용하여 관리형 서비스 VPC를 서비스 액세스 VPC에 연결하는 경우 VPC 네트워크 피어링 연결의 서비스 액세스 VPC 측도 업데이트하여 커스텀 경로를 내보내야 합니다.

전송 VPC 네트워크와 워크로드 VPC 네트워크 간의 연결 설정

규모에 맞게 VPC 간 연결을 설정하려면 VPC 스포크와 함께 Network Connectivity Center를 사용하세요. Network Connectivity Center는 두 가지 유형의 데이터 영역 모델, 즉 풀 메시 데이터 영역 모델과 스타 토폴로지 데이터 영역 모델을 지원합니다.

• 모든 네트워크가 상호 통신을 허용할 수 있는 경우에는 전체 메시 연결을 설정합니다.
• 비즈니스 아키텍처에 포인트-멀티포인트 토폴로지가 필요한 경우 스타 토폴로지 연결을 설정하세요.

전체 메시 연결 설정

Network Connectivity Center VPC 스포크에는 전송 VPC, Private Service Connect 소비자 VPC, 모든 워크로드 VPC가 포함됩니다.

• Network Connectivity Center는 VPC 스포크의 완전 메시 네트워크를 빌드하지만 네트워크 운영자는 방화벽 규칙 또는 방화벽 정책을 사용하여 소스 네트워크와 대상 네트워크 간의 트래픽 흐름을 허용해야 합니다.
• 모든 워크로드, 전송, Private Service Connect 소비자 VPC를 Network Connectivity Center VPC 스포크로 구성합니다. VPC 스포크 간에는 서브넷이 겹칠 수 없습니다
  • VPC 스포크를 구성할 때 겹치지 않는 IP 주소 서브넷 범위를 Network Connectivity Center 허브 경로 테이블에 알립니다.
    • 내보내기 서브넷 범위를 포함합니다.
    • 내보내기 서브넷 범위를 제외합니다.
• VPC 스포크가 다른 프로젝트에 있고 스포크를 Network Connectivity Center 허브 관리자가 아닌 다른 관리자가 관리하는 경우 VPC 스포크 관리자는 다른 프로젝트의 Network Connectivity Center 허브에 참여하도록 요청을 시작해야 합니다.
  • Network Connectivity Center 허브 프로젝트에서 Identity and Access Management (IAM) 권한을 사용하여 해당 사용자에게 roles/networkconnectivity.groupUser 역할을 부여합니다.
• 다른 Network Connectivity Center 스포크에서 비공개 서비스 연결에 전이적, 전역적으로 액세스할 수 있도록 하려면 Network Connectivity Center 허브에서 Private Service Connect 연결 전파를 사용 설정하세요.

워크로드 VPC 간의 완전 메시 VPC 간 통신이 허용되지 않는 경우 Network Connectivity Center 스타 토폴로지를 사용하는 것이 좋습니다.

스타 토폴로지 연결 설정

포인트 간 토폴로지가 필요한 중앙 집중식 비즈니스 아키텍처는 Network Connectivity Center 스타 토폴로지를 사용할 수 있습니다.

Network Connectivity Center 스타 토폴로지를 사용하려면 다음 작업을 완료하세요.

1. Network Connectivity Center에서 Network Connectivity Center 허브를 만들고 스타 토폴로지를 지정합니다.
2. 다른 Network Connectivity Center 스포크에서 비공개 서비스 연결에 전이적이고 전역적으로 액세스할 수 있도록 하려면 Network Connectivity Center 허브에서 Private Service Connect 연결 전파를 사용 설정합니다.
3. 스타 토폴로지를 위해 Network Connectivity Center 허브를 구성할 때 VPC를 미리 정의된 두 그룹(센터 그룹 또는 에지 그룹) 중 하나로 그룹화할 수 있습니다.

4. 센터 그룹에서 VPC를 그룹화하려면 전송 VPC 및 Private Service Connect 소비자 VPC를 센터 그룹의 일부인 Network Connectivity Center VPC 스포크로 구성합니다.

   Network Connectivity Center는 센터 그룹에 배치된 VPC 스포크 간에 완전 메시 네트워크를 빌드합니다.

5. 에지 그룹에서 워크로드 VPC를 그룹화하려면 이러한 각 네트워크를 해당 그룹 내의 Network Connectivity Center VPC 스포크로 구성합니다.

   Network Connectivity Center는 각 Network Connectivity Center VPC 스포크에서 센터 그룹의 모든 VPC로의 지점 간 데이터 경로를 빌드합니다.

Cloud NGFW 정책 구성

보안 및 규정 준수의 안내 외에도 방화벽 규칙 권장사항을 고려하세요.

기타 고려사항:

• 워크로드가 Compute Engine VM에서 실행되는 경우 VPC 방화벽 규칙 대신 네트워크 방화벽 정책을 사용하는 것이 좋습니다. 네트워크 방화벽 정책은 태그를 사용한 세분화된 보안 및 액세스 제어, 간소화된 규칙 관리, 운영 편의성, 더 풍부한 기능 세트, 유연한 데이터 저장 위치 등의 이점을 제공합니다. VPC 방화벽 규칙이 이미 있는 경우 VPC 방화벽 규칙 마이그레이션 도구를 사용하면 전역 네트워크 방화벽 정책으로 마이그레이션하는 데 도움이 됩니다.
• Google Kubernetes Engine은 특정 VPC 방화벽 규칙을 자동으로 만들고 관리하여 필수 트래픽을 허용하므로 이러한 규칙을 수정하거나 삭제하지 않는 것이 좋습니다. 그러나 네트워크 방화벽 정책은 VPC 방화벽 규칙과 함께 계속 사용할 수 있으며 원하는 경우 정책 적용 순서를 변경할 수 있습니다.
• IAM 제어, 향상된 확장, 네트워크 방화벽 정책 지원이 있으므로 방화벽 규칙이 있는 네트워크 태그 대신 태그를 사용하는 것이 좋습니다. 하지만 계층적 방화벽 정책에서는 태그가 지원되지 않습니다. 따라서 Network Connectivity Center 피어링된 네트워크를 통해서는 태그가 지원되지 않으므로 이 경우 CIDR 범위를 기반으로 규칙을 만들어야 합니다.

1. Cloud NGFW에서 L7 검사를 사용 설정하려면 보안 프로필, 방화벽 엔드포인트, VPC 연결을 포함하여 침입 방지 서비스를 구성합니다.
2. 전역 네트워크 방화벽 정책과 필수 방화벽 규칙을 만듭니다. 모든 VPC 네트워크에 존재하는 이그레스 트래픽을 허용하고 인그레스 트래픽을 거부하는 기존의 묵시적 규칙을 고려합니다.
3. VPC 네트워크와 정책을 연결합니다.
4. 네트워크에서 이미 VPC 방화벽 규칙을 사용 중인 경우 새 규칙이 VPC 방화벽 규칙보다 먼저 평가되도록 정책 및 규칙 평가 순서를 변경하는 것이 좋습니다.
5. 필요한 경우 방화벽 규칙 로깅을 사용 설정합니다.

워크로드 연결 테스트

워크로드가 VPC 네트워크에 이미 배포된 경우 지금 액세스를 테스트합니다. 워크로드를 배포하기 전에 네트워크를 연결했다면 지금 워크로드를 배포하고 테스트할 수 있습니다.

다음 단계

• 이 설계 가이드에서 사용되는 Google Cloud 제품에 대해 자세히 알아보세요.
  • VPC 네트워크
  • Network Connectivity Center
  • Cloud Interconnect
  • HA VPN
• 그 밖의 참조 아키텍처, 다이어그램, 튜토리얼, 권장사항을 알아보려면 클라우드 아키텍처 센터를 확인하세요.

참여자

저자:

• Eric Yu | 네트워킹 전문가 고객 엔지니어
• Deepak Michael | 네트워킹 전문 고객 엔지니어
• 빅터 모레노 | Cloud Networking 제품 관리자
• Osvaldo Costa | 네트워킹 전문 고객 엔지니어

기타 참여자:

• 마크 슐라겐하우프 | 네트워킹 테크니컬 라이터
• 아밋 윌리엄스 | 개발자 관계팀 엔지니어
• Ghaleb Al-habian | 네트워크 전문가
• Tony Sarathchandra | 선임 제품 관리자