교차 클라우드 네트워크는 분산형 애플리케이션을 조합할 수 있는 아키텍처를 지원합니다. 교차 클라우드 네트워크를 사용하면 여러 클라우드 및 온프레미스 네트워크에 워크로드와 서비스를 배포할 수 있습니다. 이 솔루션은 애플리케이션 개발자와 운영자에게 여러 클라우드에 걸쳐 단일 클라우드의 경험을 제공합니다. 이 솔루션은 하이브리드 및 멀티 클라우드 네트워킹의 기존 사용 사례를 사용할 뿐 아니라 더욱 확장합니다.
이 가이드는 Cross-Cloud Network에서 분산형 애플리케이션을 설계하고 빌드하려는 네트워크 설계자와 엔지니어를 대상으로 작성되었습니다. 이 가이드에서는 Cross-Cloud Network 설계 고려사항을 포괄적으로 설명합니다.
이 설계 가이드는 다음 문서가 포함된 시리즈입니다.
- 분산 애플리케이션을 위한 Cross-Cloud 네트워크 설계(이 문서)
- 교차 클라우드 네트워크의 분산형 애플리케이션에 대한 네트워크 세분화 및 연결
- 교차 클라우드 네트워크의 분산형 애플리케이션을 위한 서비스 네트워킹
- Cross-Cloud Network의 분산 애플리케이션을 위한 네트워크 보안
이 아키텍처는 리전 및 전역 애플리케이션 스택을 지원하며 다음과 같은 기능 레이어로 구성됩니다.
- 네트워크 세분화 및 연결: Virtual Private Cloud(VPC) 세분화 구조 및 VPC 간 및 외부 네트워크에 대한 IP 연결을 포함합니다.
- 서비스 네트워킹: 애플리케이션 서비스의 배포가 포함되며, 부하 분산되고 프로젝트 및 조직 전체에서 사용할 수 있습니다.
- 네트워크 보안: 기본 제공되는 클라우드 보안 및 네트워크 가상 어플라이언스(NVA)를 사용하여 클라우드 내 및 클라우드 간 통신에 보안을 적용할 수 있습니다.
네트워크 세분화 및 연결
세분화 구조와 연결은 설계의 기초입니다. 다음은 통합 또는 세분화된 인프라를 사용하여 구현할 수 있는 VPC 세분화 구조를 보여주는 다이어그램입니다. 이 다이어그램은 네트워크 간의 연결은 보여주지 않습니다.
이 구조에는 다음 구성요소가 포함됩니다.
- 전송 VPC: 외부 네트워크 연결 및 라우팅 정책을 처리합니다. 이 VPC는 다른 VPC 간의 연결을 제공할 수도 있습니다.
- 서비스 액세스 VPC: 여러 서비스에 대한 액세스 포인트를 포함합니다. 이러한 VPC의 서비스 액세스 포인트는 다른 네트워크에서 도달할 수 있습니다.
- 관리형 서비스 VPC: 다른 항목에서 생성한 서비스를 포함합니다. 이 서비스는 Private Service Connect 또는 비공개 서비스 액세스를 사용하여 VPC 네트워크에서 실행되는 애플리케이션에 액세스할 수 있습니다.
- 애플리케이션 VPC: 조직에서 직접 만들고 호스팅하는 소프트웨어 서비스를 구성하는 워크로드가 포함됩니다.
애플리케이션 VPC의 세분화 구조 선택은 필요한 애플리케이션 VPC의 규모, Cross-Cloud Network 또는 외부에 경계 방화벽을 배포할 계획인지 여부와 중앙 또는 분산 서비스 게시 선택에 따라 달라집니다.
교차 클라우드 네트워크는 리전 애플리케이션 스택 및 전역 애플리케이션 스택의 배포를 지원합니다. 이 두 애플리케이션 복원력 원형은 모두 VPC 간 연결 패턴을 사용하는 제안된 세분화 구조에서 지원됩니다.
Network Connectivity Center를 사용하거나 VPC 네트워크 피어링과 HA VPN 허브 및 스포크 패턴을 조합하여 VPC 간 연결을 달성할 수 있습니다.
DNS 인프라의 설계는 또한 연결 패턴과는 독립적인 세그먼테이션 구조의 맥락에서 정의됩니다.
서비스 네트워킹
애플리케이션 배포 원형이 다르면 서비스 네트워킹의 패턴도 달라집니다. 교차 클라우드 네트워크 설계의 경우 애플리케이션 스택이 2개 이상의Google Cloud 리전에 속하는 여러 영역에서 독립적으로 실행되는 멀티 리전 배포 원형에 중점을 둡니다.
멀티 리전 배포 원형에는 Cross-Cloud Network 설계에 유용한 다음과 같은 기능이 있습니다.
- DNS 라우팅 정책을 사용해서 들어오는 트래픽을 리전 부하 분산기로 라우팅할 수 있습니다.
- 그러면 리전 부하 분산기가 트래픽을 애플리케이션 스택에 분산할 수 있습니다.
- 애플리케이션 스택의 DNS 매핑을 DNS 장애 조치 라우팅 정책으로 다시 앵커링하여 리전 장애 조치를 구현할 수 있습니다.
멀티 리전 배포 archetype 대신 단일 스택이 전역 부하 분산기에 빌드되고 여러 리전에 걸쳐 있는 전역 배포 archetype을 사용할 수 있습니다. Cross-Cloud Network 설계로 작업할 때는 이 archetype의 다음 기능을 고려하세요.
- 부하 분산기는 사용자와 가장 가까운 리전에 트래픽을 분산합니다.
- 인터넷 연결 프런트엔드는 전역이지만 내부 연결 프런트엔드는 전역 액세스가 가능한 리전이므로 장애 조치 시나리오에서 도달할 수 있습니다.
- 애플리케이션 스택의 내부 서비스 레이어에서 위치정보 DNS 라우팅 정책 및 DNS 상태 확인을 사용할 수 있습니다.
관리형 게시 서비스에 대한 액세스를 제공하는 방법은 연결해야 하는 서비스에 따라 다릅니다. 다양한 비공개 연결 가능성 모델은 모듈화되어 있으며 애플리케이션 스택의 설계와 직각을 이룹니다.
서비스에 따라 Private Service Connect 또는 비공개 서비스 액세스를 사용하여 비공개 액세스를 할 수 있습니다. 기본 제공 서비스와 다른 조직에서 게시한 서비스를 결합하여 애플리케이션 스택을 빌드할 수 있습니다. 필요한 복원력 수준과 최적화된 액세스 지연 시간을 충족하도록 서비스 스택은 리전 또는 전역일 수 있습니다.
네트워크 보안
워크로드 보안을 위해 Google Cloud의 방화벽 정책을 사용하는 것이 좋습니다.
조직에서 보안 또는 규정 준수 요구사항을 충족하기 위해 추가 고급 기능이 필요한 경우 차세대 방화벽(NGFW) 네트워크 가상 어플라이언스(NVA)를 삽입하여 경계 보안 방화벽을 통합할 수 있습니다.
단일 네트워크 인터페이스(단일 NIC 모드) 또는 다중 네트워크 인터페이스(다중 NIC 모드)를 통해 NGFW NVA를 삽입할 수 있습니다. NGFW NVA는 보안 영역 또는 클래스 없는 도메인 간 라우팅(CIDR) 기반 경계 정책을 지원할 수 있습니다. 교차 클라우드 네트워크는 전송 VPC 및 VPC 라우팅 정책을 사용하여 경계 NGFW NVA를 배포합니다.
다음 단계
- Cross-Cloud Network 애플리케이션을 위한 네트워크 세분화 및 연결 설계하기
- 이 설계 가이드에서 사용되는 Google Cloud 제품에 대해 자세히 알아보세요.
- 더 많은 참조 아키텍처, 설계 가이드, 권장사항을 알아보려면 클라우드 아키텍처 센터를 살펴보세요.
참여자
저자:
- 빅터 모레노 | Cloud Networking 제품 관리자
- Ghaleb Al-habian | 네트워크 전문가
- Deepak Michael | 네트워킹 전문 고객 엔지니어
- Osvaldo Costa | 네트워킹 전문 고객 엔지니어
- Jonathan Almaleh | 직원 기술 솔루션 컨설턴트
기타 참여자:
- Zach Seils | 네트워킹 전문가
- Christopher Abraham | 네트워킹 전문가 고객 엔지니어
- Emanuele Mazza | 네트워킹 제품 전문가
- Aurélien Legrand | 전략적 클라우드 엔지니어
- Eric Yu | 네트워킹 전문가 고객 엔지니어
- 저자: 쿠마르 다나고팔 | 크로스 프로덕트 솔루션 개발자
- 마크 슐라겐하우프 | 네트워킹 테크니컬 라이터
- 마르완 알 샤위 | 파트너 고객 엔지니어
- Ammett Williams | 개발자 관계 엔지니어