클라우드 ID, 리소스 계층 구조, 시작 영역 네트워크를 설계하고 온보딩할 때는 Google Cloud의 시작 영역 설계의 설계 권장사항과 엔터프라이즈 기반 청사진에서 다룬 Google Cloud 보안 권장사항을 고려합니다. 다음 문서를 바탕으로 선택한 설계를 검증합니다.
- VPC 설계에 관한 권장사항 및 참조 아키텍처
- Google Cloud 시작 영역의 리소스 계층 구조 결정
- Google Cloud 아키텍처 프레임워크: 보안, 개인 정보 보호, 규정 준수
다음 일반 권장사항도 고려합니다.
하이브리드 또는 멀티 클라우드 네트워크 연결 옵션을 선택할 때 SLA, 성능, 보안, 비용, 신뢰성, 대역폭과 같은 비즈니스 및 애플리케이션 요구사항을 고려합니다. 자세한 내용은 네트워크 연결 제품 선택 및 다른 클라우드 서비스 제공업체를 Google Cloud와 연결하는 패턴을 참조하세요.
적절하고 리소스 계층 구조 설계 요구사항에 맞는 경우 여러 VPC 대신 Google Cloud에서 공유 VPC를 사용합니다. 자세한 내용은 여러 VPC 네트워크 생성 여부 결정을 참조하세요.
계정 및 조직 계획의 권장사항을 따릅니다.
해당하는 경우 시스템이 환경 경계에서 안전하게 인증할 수 있도록 환경 간에 공통 ID를 설정합니다.
하이브리드 설정에서 애플리케이션을 안전하게 기업 사용자에게 노출하고 요구사항에 가장 적합한 방식을 선택하려면 권장 방법에 따라 Google Cloud를 ID 관리 시스템에 통합해야 합니다.
- 하이브리드 환경에서 직원 사용자를 인증하는 패턴도 참조하세요.
온프레미스 및 클라우드 환경을 설계할 때 초기에 처리하는 IPv6 및 서비스에서 지원할 계정을 고려합니다. 자세한 내용은 Google Cloud의 IPv6 소개를 참조하세요. 블로그가 작성될 때 지원되었던 서비스를 요약합니다.
VPC 방화벽 규칙을 설계, 배포, 관리할 때 다음을 수행할 수 있습니다.
- 방화벽 규칙이 VM에 적용되는 방식을 엄격하게 제어해야 하는 경우에는 네트워크 태그 기반 필터링보다 서비스 계정 기반 필터링을 우선 사용합니다.
- 한 번에 모두 업데이트할 수 있도록 여러 방화벽 규칙을 그룹화할 때 방화벽 정책을 사용합니다. 정책을 계층 구조를 만들 수도 있습니다. 계층식 방화벽 정책 사양과 세부정보는 계층식 방화벽 정책을 참조하세요.
- 특정 지리적 위치나 리전을 기반으로 외부 IPv4 및 외부 IPv6 트래픽을 필터링해야 하는 경우에는 방화벽 정책에서 위치정보 객체를 사용합니다.
- 알려진 악성 IP 주소와 같은 위협 인텔리전스 데이터나 퍼블릭 클라우드 IP 주소 범위를 기반으로 트래픽을 허용하거나 차단하여 네트워크를 보호해야 하는 경우 방화벽 정책 규칙의 위협 인텔리전스를 사용합니다. 예를 들어 서비스가 퍼블릭 클라우드와만 통신해야 하는 경우에는 특정 퍼블릭 클라우드 IP 주소 범위에서 트래픽을 허용할 수 있습니다. 자세한 내용은 방화벽 규칙 권장사항을 참조하세요.
항상 다음과 같은 추가 보안 레이어를 고려하여 멀티 레이어 보안 방식을 사용하여 클라우드 및 네트워크 보안을 설계해야 합니다.
이러한 추가 계층은 분석 및 방어를 위해 네트워크와 애플리케이션 계층에서 다양한 위협을 필터링, 검사, 모니터링하는 데 도움이 됩니다.
하이브리드 설정에서 DNS 변환을 수행할 위치를 결정할 때는 비공개 Google Cloud 환경과 온프레미스 환경에서 기존 DNS 서버가 호스팅하는 온프레미스 리소스에 권한 있는 DNS 시스템 2개를 사용하는 것이 좋습니다. 자세한 내용은 DNS 변환이 수행되는 위치 선택을 참조하십시오.
가능하면 항상 API 게이트웨이나 부하 분산기를 사용하여 API를 통해 애플리케이션을 노출합니다. Apigee와 같은 API 플랫폼을 사용하는 것이 좋습니다. Apigee는 보안 기능, 비율 제한, 할당량, 분석과 결합된 백엔드 서비스 API에서 추상화 또는 퍼사드 역할을 합니다.
API 플랫폼(게이트웨이 또는 프록시)과 애플리케이션 부하 분산기는 상호 배타적이지 않습니다. 경우에 따라 API 게이트웨이와 부하 분산기를 함께 사용하면 대규모 API 트래픽을 관리하고 배포할 수 있는 더욱 견고하고 안전한 솔루션이 제공될 수 있습니다. Cloud Load Balancing API 게이트웨이를 사용하면 다음을 달성할 수 있습니다.
Apigee와 Clod CDN을 통해 고성능 API를 제공하여 다음을 수행합니다.
- 지연 시간 감소
- API를 전역적으로 호스팅
트래픽 사용량이 가장 많은 시기에 가용성 향상
자세한 내용은 YouTube의 Apigee 및 Cloud CDN을 사용하여 고성능 API 제공을 시청하세요.
고급 트래픽 관리를 구현합니다.
Google Cloud Armor를 DDoS 보호, WAF, 네트워크 보안 서비스로 사용하여 API를 보호합니다.
여러 리전의 게이트웨이에서 효율적인 부하 분산을 관리합니다. 자세한 내용은 PSC 및 Apigee를 사용하여 API 보호 및 멀티 리전 장애 조치 구현을 시청하세요.
사용할 Cloud Load Balancing 제품을 결정하려면 먼저 부하 분산기가 처리해야 하는 트래픽 유형을 결정해야 합니다. 자세한 내용은 부하 분산기 선택을 참조하세요.
Cloud Load Balancing을 사용할 때 해당되는 경우 애플리케이션 용량 최적화 기능을 사용해야 합니다. 이렇게 하면 전역으로 분산된 애플리케이션에서 발생할 수 있는 일부 용량 문제를 해결하는 데 도움이 됩니다.
- 지연 시간에 대한 심층 분석은 부하 분산으로 애플리케이션 지연 최적화를 참조하세요.
Cloud VPN에서 환경 간에 트래픽을 암호화하는 동안에 Cloud Interconnect를 사용하면 Cloud Interconnect에서 MACsec 또는 HA VPN을 사용하여 연결 레이어에서 전송 중인 트래픽을 암호화해야 합니다. 자세한 내용은 Cloud Interconnect에서 트래픽을 암호화하려면 어떻게 해야 하나요?를 참조하세요.
- TLS를 사용한 서비스 레이어 암호화를 고려할 수도 있습니다. 자세한 내용은 전송 중 데이터 암호화에 대한 규정 준수 요건을 충족하는 방법 결정을 참조하세요.
단일 VPN 터널에서 지원할 수 있는 트래픽 볼륨보다 VPN 하이브리드 연결에서 더 많은 트래픽 볼륨이 필요한 경우에는 활성/활성 HA VPN 라우팅 옵션을 사용하는 것이 좋을 수 있습니다.
- 아웃바운드 데이터 전송 볼륨이 높은 장기 하이브리드 또는 멀티 클라우드 설정의 경우 Cloud Interconnect 또는 Cross-Cloud Interconnect를 사용하는 것이 좋습니다. 이러한 연결 옵션은 연결 성능을 최적화하는 데 도움이 되고 특정 조건을 충족하는 트래픽의 아웃바운드 데이터 전송 비용을 줄일 수 있습니다. 자세한 내용은 Cloud Interconnect 가격 책정을 참조하세요.
Google Cloud 리소스에 연결하고 Cloud Interconnect, 다이렉트 피어링 또는 이동통신사 피어링을 선택하려고 할 때는 Google Workspace 애플리케이션에 액세스할 필요가 없는 한 Cloud Interconnect를 사용하는 것이 좋습니다. 자세한 내용은 Cloud Interconnect와 다이렉트 피어링 및 Cloud Interconnect와 이동통신사 피어링의 기능을 비교해 보세요.
기존 RFC 1918 IP 주소 공간에서 클라우드 호스팅 시스템을 수용할 수 있는 충분한 IP 주소 공간을 허용합니다.
IP 주소 범위를 유지해야 하는 기술적 제한사항이 있는 경우 다음을 수행할 수 있습니다.
하이브리드 서브넷을 사용하여 내부 IP 주소를 Google Cloud에 마이그레이션하는 동안 온프레미스 워크로드에 같은 내부 IP 주소를 사용합니다.
사용자 IP 사용(BYOIP)을 사용하는 Google Cloud 리소스의 자체 공개 IPv4 주소를 Google에 프로비저닝하고 사용합니다.
솔루션을 설계할 때 Google Cloud 기반 애플리케이션을 공개 인터넷에 노출해야 하는 경우 인터넷 연결 애플리케이션 배포를 위한 네트워킹에 설명된 설계 권장사항을 고려합니다.
해당하는 경우 세밀한 방식으로 내부 IP 주소를 사용하여 Google API 또는 게시된 서비스에 비공개로 액세스하도록 Private Service Connect 엔드포인트를 사용하여 Google Cloud, 온프레미스 또는 하이브리드 연결을 사용하는 다른 클라우드의 워크로드를 허용합니다.
Private Service Connect를 사용할 때는 다음을 제어해야 합니다.
- Private Service Connect 리소스를 배포할 수 있는 사용자
- 소비자와 생산자 사이에서 연결 설정 가능 여부
- 이러한 연결에 액세스할 수 있는 네트워크 트래픽
자세한 내용은 Private Service Connect 보안을 참조하세요.
하이브리드 및 멀티 클라우드 아키텍처에서 강력한 클라우드 설정을 달성하려면 다음을 수행합니다.
- 다양한 환경에서 서로 다른 애플리케이션에 필요한 신뢰성 수준을 포괄적으로 평가합니다. 이렇게 하면 가용성 및 복원력 목표를 달성하는 데 도움이 됩니다.
- 클라우드 제공업체의 신뢰성 기능과 설계 원칙을 이해합니다. 자세한 내용은 Google Cloud 인프라 신뢰성을 참조하세요.
클라우드 네트워크 가시성과 모니터링은 신뢰할 수 있는 커뮤니케이션을 유지하는 데 필수입니다. Network Intelligence Center는 네트워크 가시성, 모니터링, 문제 해결을 위한 단일 콘솔을 제공합니다.