하이브리드 및 멀티 클라우드 워크로드를 위한 네트워킹: 참조 아키텍처

Last reviewed 2023-11-13 UTC

이 문서는 데이터 센터 워크로드를 Google Cloud로 마이그레이션하는 기업을 위한 네트워킹 및 보안 아키텍처를 설명하는 시리즈의 일부입니다.

이 시리즈는 다음 문서로 구성됩니다.

이 문서에서는 워크로드가 온프레미스 및 클라우드 또는 여러 클라우드 환경과 같이 둘 이상의 위치에서 실행되는 시나리오의 네트워킹을 설명합니다.

리프트 앤 시프트 아키텍처

첫 번째 하이브리드 워크로드 액세스 시나리오는 리프트 앤 시프트 아키텍처입니다.

비공개 연결 설정

Dedicated Interconnect 또는 Partner Interconnect를 사용하여 온프레미스 네트워크에 대한 연결을 설정할 수 있습니다. 그림 1에 표시된 토폴로지는 서로 다른 2개의 권역과 서로 다른 에지 가용성 도메인에서 4개의 Interconnect 연결을 사용하여 Dedicated Interconnect를 사용하여 99.99%의 가용성을 달성하는 방법을 보여줍니다. 자세한 내용과 권장사항은 엔터프라이즈 기반 청사진의 온프레미스 환경과 Google Cloud 사이의 하이브리드 연결을 참고하세요.

99.99%의 가용성을 위한 중복 Cloud Interconnect 연결 구성

그림 1. 99.99%의 가용성을 위한 중복 Cloud Interconnect 연결 구성

Network Connectivity Center를 사용하면 여러 온프레미스 또는 클라우드 호스팅 사이트 간의 데이터 전송에 Google 네트워크를 사용할 수 있습니다. 이 방식을 사용하면 데이터 이동이 필요할 때 Google 네트워크의 범위 및 안정성을 활용할 수 있습니다. 기존 Cloud VPN, Cloud Interconnect, SD-WAN 라우터 어플라이언스를 Network Connectivity Center 스포크로 사용하여 온프레미스 네트워크와 브랜치 사이트 간 데이터 전송을 지원할 수 있습니다(그림 2 참조).

Google 백본 네트워크를 사용하여 Google Cloud 외부의 다양한 온프레미스 엔터프라이즈 네트워크를 연결하는 Network Connectivity Center 구성

그림 2. Google 백본 네트워크를 사용하여 Google Cloud 외부의 다양한 온프레미스 엔터프라이즈 및 기타 클라우드 네트워크를 연결하는 Network Connectivity Center 구성

Network Connectivity Center 설정에 대한 자세한 내용은 Network Connectivity Center 문서의 고려사항을 참고하세요.

SD-WAN 어플라이언스

Network Connectivity Center를 사용하면 서드 파티 네트워크 가상 어플라이언스를 Network Connectivity Center 스포크로 사용하여 외부 사이트와 VPC 네트워크 리소스 간의 연결을 설정할 수 있습니다. 라우터 어플라이언스는 Google 파트너 중 하나에서 지원하는 서드 파티 SD-WAN 라우터 또는 Cloud Router 인스턴스와 경로를 교환할 수 있는 다른 가상 어플라이언스일 수 있습니다. 이러한 어플라이언스 기반 솔루션은 Cloud VPN 및 Cloud Interconnect에서 스포크로 사용할 수 있는 현재 사이트-클라우드 연결 옵션에 추가됩니다. 그림 3은 SD-WAN 어플라이언스를 사용하는 토폴로지를 보여줍니다.

SD-WAN 구현을 Google 네트워크와 통합하기 위해 라우터 어플라이언스를 사용하는 Network Connectivity Center 구성

그림 3. SD-WAN 구현을 Google 네트워크와 통합하기 위해 라우터 어플라이언스를 사용하는 Network Connectivity Center 구성

타사 어플라이언스를 사용하여 보안 기능을 수행할 수 있습니다. 어플라이언스의 보안 기능은 그림 3과 같이 라우터 어플라이언스에 통합할 수 있습니다. 또한 그림 4에서와 같이 온프레미스 트래픽이 전송 VPC 네트워크에 전달되고 어플라이언스가 워크로드 VPC 네트워크와 연결을 설정하는 네트워킹 가상 어플라이언스를 사용하는 것도 일반적인 패턴입니다.

Network Connectivity Center 설정에 대한 자세한 내용은 Network Connectivity Center 문서의 고려사항을 참고하세요.

하이브리드 서비스 아키텍처

클라우드 내 보안 액세스를 위한 네트워킹: 참조 아키텍처에서 설명한 클라우드 내 사용 사례와 마찬가지로, Network Connectivity Center는 브랜치 사이트 및 온프레미스 네트워크에서 Google Cloud로의 연결을 지원합니다. Private Service Connect를 사용하면 Google 관리형 서비스에 대한 비공개 액세스를 제공하거나 클라우드에서 빌드 및 배포된 다른 서비스를 사용할 수 있습니다.

그림 4와 같이 VPC 서비스 제어, Google Cloud 방화벽, 네트워크 가상 어플라이언스를 조합하여 네트워크 보안을 구현할 수도 있습니다.

리프트 앤 시프트 패턴과 보안 데이터 영역을 제공하도록 설계된 하이브리드 서비스 설계 패턴을 모두 사용하는 아키텍처를 갖춘 네트워크입니다.

그림 4. 리프트 앤 시프트 패턴과 보안 데이터 영역을 제공하도록 설계된 하이브리드 서비스 설계 패턴을 모두 사용하는 아키텍처를 갖춘 네트워크입니다.

제로 트러스트 분산 아키텍처

하이브리드 환경에서 마이크로서비스는 다양한 클라우드 제공업체 및 온프레미스 환경에 배포된 서비스 메시에서 실행됩니다. mTLS 및 승인 정책을 사용하여 마이크로서비스 간의 통신을 보호할 수 있습니다. 기업은 클라우드에 서비스 메시를 빌드하고 메시를 온프레미스로 확장하는 것이 일반적입니다. 그림 5는 온프레미스에 배포된 서비스가 클라우드의 서비스에 액세스하는 예시를 보여줍니다. 서비스 간 엔드 투 엔드 mTLS는 east-west 게이트웨이 및 SNI 기반 라우팅을 사용하여 사용 설정됩니다. Cloud Service Mesh를 사용하면 서비스 간 통신을 보호함으로써 서비스에 대한 승인 정책을 구성하고 관리형 인증 기관에서 제공하는 인증서와 키를 배포할 수 있습니다.

하이브리드 환경에는 일반적으로 여러 GKE 클러스터와 같은 여러 메시 배포를 특징으로 합니다. 이 흐름에서 중요한 구성요소는 SNI 라우팅으로, 각 클러스터의 GKE east-west 게이트웨이에서 사용됩니다. 이 구성은 엔드 투 엔드 mTLS 연결을 유지하면서 게이트웨이별 직접 워크로드 mTLS 라우팅을 허용합니다.

온프레미스 환경과 Google Cloud에 배포된 제로 트러스트 서비스 메시

그림 5. 온프레미스 환경과 Google Cloud에 배포된 제로 트러스트 서비스 메시

기업은 Cloud Service Mesh를 사용하여 여러 클라우드에 배포할 수 있습니다. 클라우드 서비스 제공업체에서 ID와 인증서를 관리하는 데 따르는 문제를 해결하기 위해 Cloud Service Mesh는 CA 서비스를 사용하여 워크로드 ID 및 클러스터 내 중개 인증 기관(CA)을 제공합니다. 중간 CA를 외부 CA에 연결하거나 Google에서 호스팅할 수 있습니다. 엔터프라이즈 소유 HSM과 Cloud HSM을 사용하여 리전 및 서명 알고리즘과 같은 CA 속성을 맞춤설정할 수 있습니다.

워크로드 아이덴티티를 사용하면 클러스터의 마이크로서비스마다 고유하고 세분화된 ID 및 승인을 할당할 수 있습니다. Cloud Service Mesh는 통신을 중단하지 않고 인증서 발급 및 키 및 인증서 자동 순환 프로세스를 관리합니다. 또한 GKE 클러스터 간에 신뢰할 수 있는 단일 루트를 제공합니다.

그림 6은 Cloud Service Mesh를 사용하여 ID 및 승인을 관리하는 아키텍처를 보여줍니다.

메시의 서비스는 워크로드 아이덴티티 제휴를 사용하여 Google Cloud 서비스에 액세스할 수 있습니다. 이 기능을 사용하면 서비스가 Google Cloud API를 호출할 때 Google 서비스 계정의 권한으로 작동할 수 있습니다. 또한 워크로드 아이덴티티 제휴를 사용하면 다른 클라우드 제공업체에 설치된 서비스 메시가 Google Cloud API에 액세스할 수 있습니다.

클라우드 전반에 배포된 제로 트러스트 서비스 메시

그림 6. 클라우드 전반에 배포된 제로 트러스트 서비스 메시

Cloud Service Mesh를 사용하여 메시에서 온프레미스 또는 다른 클라우드로 트래픽을 라우팅할 수 있습니다.

예를 들어 Cloud Service Mesh에서 on-prem-serviceother-cloud-service라는 서비스를 만들고 엔드포인트가 10.1.0.1:8010.2.0.1:80인 하이브리드 연결 네트워크 엔드포인트 그룹 (NEG)을 추가할 수 있습니다. 그런 다음 Cloud Service Mesh는 애플리케이션과 함께 실행되는 메시 사이드카 프록시인 클라이언트로 트래픽을 전송합니다. 따라서 애플리케이션이 on-prem-service 서비스에 요청을 보내면 Cloud Service Mesh 클라이언트가 요청을 검사하여 이를 10.0.0.1:80 엔드포인트로 전달합니다. 그림 7은 이 구성을 보여줍니다.

Cloud Service Mesh를 사용하여 서비스 메시에서 조정된 트래픽

그림 7. Cloud Service Mesh를 사용하여 서비스 메시에서 조정된 트래픽

그림 8과 같이 가중치 기반 트래픽 조정과 같은 고급 기능도 통합할 수 있습니다. 이 기능을 사용하면 클라우드 마이그레이션과 같은 중요한 엔터프라이즈 니즈를 사용 설정할 수 있습니다. Cloud Service Mesh는 서비스 메시에 대해 전역적으로 관리되는 다목적 제어 영역 역할을 합니다.

Cloud Service Mesh를 사용하여 조정된 가중치 트래픽

그림 8. Cloud Service Mesh를 사용하여 조정된 가중치 트래픽

다음 단계