Network Connectivity Center 허브를 만들 때 다음과 같은 사전 설정된 토폴로지 중 하나를 선택할 수 있습니다. 메시 토폴로지가 기본값입니다.
- 메시 토폴로지
- 스타 토폴로지
- 하이브리드 검사 토폴로지
사전 설정된 토폴로지로 허브를 만든 후에는 토폴로지를 변경할 수 없습니다.
스포크 그룹
토폴로지에 따라 허브는 하나 이상의 스포크 그룹을 지원합니다. 각 스포크 그룹에 있을 수 있는 스포크 유형도 허브 토폴로지에 따라 다릅니다. 모든 토폴로지에는 다음과 같은 특성이 적용됩니다.
- 각 스포크 그룹은 자체 경로 테이블이 있는 라우팅 도메인입니다. 스포크 그룹의 경로 테이블은 스포크가 스포크 그룹에 추가되거나 삭제될 때 자동으로 업데이트됩니다.
- 허브에 추가된 각 스포크는 스포크 그룹 하나에만 속할 수 있습니다.
- Network Connectivity Center는 허브와 동일한 프로젝트에서 추가된 스포크를 자동으로 수락합니다.
- Network Connectivity Center는 허브와 다른 프로젝트에 있는 VPC 스포크를 추가할 때 자동 수락 및 스포크 제안 검토 옵션을 모두 제공합니다. 자세한 내용은 허브와 다른 프로젝트에 있는 VPC 스포크를 참고하세요.
토폴로지 및 스포크 그룹을 구성하는 단계는 허브 구성을 참고하세요.
메시 토폴로지
메시 토폴로지를 사용하면 허브의 모든 스포크가 단일 스포크 그룹에 속합니다.
토폴로지를 명시적으로 지정하지 않고 허브를 만들면 허브 토폴로지가 메시로 기본 설정됩니다. 워크로드 VPC 네트워크 2개 이상을 VPC 스포크로 허브에 추가하면 각 VPC 스포크는 구성된 내보내기 포함 및 내보내기 제외 필터에 따라 서브넷 경로를 내보냅니다. VPC 스포크 간의 서브넷 경로 교환에 관한 자세한 내용은 VPC 스포크 개요를 참고하세요.
메시 토폴로지는 VPC 스포크와 하이브리드 스포크 간의 대규모 네트워크 연결도 지원합니다. 하이브리드 스포크가 포함된 라우팅 VPC 네트워크의 스포크 관리자 또는 네트워크 관리자는 VPC 스포크에서 수신한 서브넷 경로의 공지를 구성해야 합니다. 자세한 내용은 하이브리드 스포크와 VPC 스포크 간의 연결 설정을 참고하세요.
다음 다이어그램은 메시 토폴로지를 사용하고 VPC 스포크가 3개인 허브를 보여줍니다.
지원되는 스포크 유형
메시 토폴로지는 단일 스포크 그룹에서 VPC 스포크, 프로듀서 VPC 스포크, 하이브리드 스포크를 지원합니다.
gcloud network-connectivity hubs groups list --hub 명령어는 메시 토폴로지를 사용할 때만 단일 기본 스포크 그룹을 반환합니다.
스타 토폴로지
스타 토폴로지에는 스포크 그룹마다 별도의 경로 테이블을 사용하여 네트워크 세분화를 제공하는 스포크 그룹이 2개 있습니다. 각 스포크 그룹에는 다음과 같은 라우트 테이블 규칙이 적용됩니다.
- 센터 스포크 그룹은 센터 그룹의 스포크에 있는 리소스가 센터 그룹 또는 에지 그룹의 스포크에 있는 리소스와 통신할 수 있는 경로를 경로 테이블에 허용합니다.
- 에지 스포크 그룹은 에지 그룹의 스포크에 있는 리소스가 센터 그룹의 스포크에 있는 리소스와 통신할 수 있는 경로만 경로 테이블에서 허용합니다. Network Connectivity Center는 에지 그룹의 서로 다른 스포크 간에 연결을 제공하는 에지 스포크 그룹 경로 테이블의 경로를 금지합니다.
스포크 그룹 경로 테이블 규칙에 따라 스포크 관리자 또는 네트워크 관리자는 다음을 수행할 수 있습니다.
내보내기 포함 및 내보내기 제외 필터를 사용하여 VPC 스포크가 VPC 스포크가 속한 스포크 그룹의 경로 테이블로 내보내는 서브넷 범위를 제어합니다.
하이브리드 스포크의 Cloud Router BGP 세션에서 내보내는 VPC 스포크 서브넷 범위를 제어합니다. 자세한 내용은 하이브리드 스포크와 VPC 스포크 간의 연결 설정을 참고하세요.
다음 다이어그램은 4개의 VPC 스포크 간의 스타 토폴로지 연결을 보여줍니다. center-vpc-a 및 center-vpc-b VPC 스포크는 센터 스포크 그룹의 구성원이며 edge-vpc-c 및 edge-vpc-d VPC 스포크는 에지 스포크 그룹의 구성원입니다.
지원되는 스포크 유형
스타 토폴로지는 VPC 스포크, 프로듀서 VPC 스포크, 하이브리드 스포크를 지원합니다. 다음 표에는 스포크 유형에 따라 지원되는 스포크 그룹이 나와 있습니다.
| Spoke | 중앙 스포크 그룹에 속할 수 있음 | 에지 스포크 그룹에 있을 수 있음 |
|---|---|---|
| VPC 스포크 | ||
| 프로듀서 VPC 스포크 | ||
| 사이트 간 데이터 전송이 사용 중지된 하이브리드 스포크 | ||
| 사이트 간 데이터 전송이 사용 설정된 하이브리드 스포크 |
스타 토폴로지를 사용하는 경우 gcloud network-connectivity hubs groups list --hub 명령어는 center 및 edge 그룹을 반환합니다.
스타 토폴로지와 하이브리드 스포크의 호환성
스타 토폴로지를 사용하도록 구성된 허브는 하이브리드 스포크에 다음과 같은 제한사항을 적용합니다.
- 사이트 간 데이터 전송이 사용 설정된 하이브리드 스포크는 중앙 스포크 그룹에 있어야 합니다.
- 사이트 간 데이터 전송이 사용 설정되지 않은 하이브리드 스포크는 중앙 스포크 그룹 또는 에지 스포크 그룹에 있을 수 있습니다.
VPC 스포크의 메시 또는 스타 토폴로지를 구성하는 방법에 대한 자세한 내용은 허브 구성을 참조하세요.
하이브리드 검사 토폴로지
하이브리드 검사 토폴로지에는 네트워크 세분화 및 패킷 검사 기능을 제공하는 다음과 같은 네 가지 스포크 그룹이 있습니다.
- prod 스포크 그룹은 프로덕션 워크로드를 위해 설계되었습니다.
- non-prod 스포크 그룹은 프로덕션 외 워크로드용으로 설계되었습니다.
- 서비스 스포크 그룹은 프로덕션 및 비프로덕션 워크로드 모두에 필수적인 서비스용으로 설계되었습니다.
- 게이트웨이 스포크 그룹은 보안 검문소 역할을 하는 NCC 게이트웨이 스포크를 지원합니다.
각 스포크 그룹의 라우트 테이블에는 다음 규칙이 적용됩니다.
프로덕션 스포크 그룹은 프로덕션 그룹의 스포크에 있는 리소스가 프로덕션 그룹, 서비스 그룹 또는 게이트웨이 그룹의 스포크에 있는 리소스와 통신할 수 있는 경로 테이블의 경로를 허용합니다. Network Connectivity Center는 프로덕션 스포크 그룹 경로 테이블에서 프로덕션 외 그룹의 스포크에 연결을 제공하는 경로를 금지합니다.
비프로덕션 스포크 그룹은 비프로덕션 그룹의 스포크에 있는 리소스가 비프로덕션 그룹, 서비스 그룹 또는 게이트웨이 그룹의 스포크에 있는 리소스와 통신할 수 있는 경로를 경로 테이블에서 허용합니다. Network Connectivity Center는 프로덕션 그룹의 스포크에 연결을 제공하는 비프로덕션 스포크 그룹 경로 테이블의 경로를 금지합니다.
서비스 스포크 그룹은 서비스 그룹의 스포크에 있는 리소스가 다른 스포크 그룹의 스포크에 있는 리소스와 통신할 수 있는 경로를 경로 테이블에서 허용합니다.
게이트웨이 스포크 그룹은 각 NCC 게이트웨이 스포크가 프로덕션 그룹, 비프로덕션 그룹 또는 서비스 그룹의 스포크에 있는 리소스와 통신할 수 있는 경로를 경로 테이블에 허용합니다. Network Connectivity Center에서는 NCC 게이트웨이 스포크가 서로 통신할 수 없습니다.
스포크 그룹 경로 테이블 규칙에 따라 스포크 관리자 또는 네트워크 관리자는 다음을 수행할 수 있습니다.
내보내기 포함 및 내보내기 제외 필터를 사용하여 VPC 스포크가 VPC 스포크가 속한 스포크 그룹의 경로 테이블로 내보내는 서브넷 범위를 제어합니다.
NCC 게이트웨이 스포크에서 하이브리드 연결을 관리하는 Cloud Router의 BGP 세션에 커스텀 경로 공지를 만듭니다. 이러한 커스텀 경로 공지에는 VPC 스포크 서브넷 범위가 포함될 수 있습니다. 자세한 내용은 NCC 게이트웨이에 하이브리드 연결 추가를 참고하세요.
하이브리드 스포크의 Cloud Router BGP 세션에서 내보내는 VPC 스포크 서브넷 범위를 제어합니다. 자세한 내용은 하이브리드 스포크와 VPC 스포크 간의 연결 설정을 참고하세요.
Security Service Edge 사용 가능 여부
보안 서비스 에지 (SSE) 패킷 검사는 게이트웨이 스포크 그룹의 NCC 게이트웨이 스포크와 프로덕션 그룹, 비프로덕션 그룹 또는 서비스 그룹의 스포크 간에 라우팅되는 트래픽에만 사용할 수 있습니다.
다음 표에는 서로 다른 스포크 그룹의 스포크 간에 라우팅되는 트래픽에 대해 라우팅이 허용되는지 여부와 SSE 패킷 검사를 사용할 수 있는지 여부가 요약되어 있습니다.
| 대상 리소스 스포크 | ||||
|---|---|---|---|---|
| 소스 리소스 스포크 | prod 그룹 | non-prod 그룹에 있는 | 서비스 그룹 | 게이트웨이 그룹 |
| prod 그룹 | 라우팅 SSE 검사 |
라우팅 SSE 검사 |
라우팅 SSE 검사 |
라우팅 SSE 검사 |
| non-prod 그룹에 있는 | 라우팅 SSE 검사 |
라우팅 SSE 검사 |
라우팅 SSE 검사 |
라우팅 SSE 검사 |
| 서비스 그룹 | 라우팅 SSE 검사 |
라우팅 SSE 검사 |
라우팅 SSE 검사 |
라우팅 SSE 검사 |
| 게이트웨이 그룹 | 라우팅 SSE 검사 |
라우팅 SSE 검사 |
라우팅 SSE 검사 |
라우팅 SSE 검사 |
지원되는 스포크 유형
하이브리드 검사 토폴로지는 VPC 스포크, 프로듀서 VPC 스포크, 하이브리드 스포크, NCC 게이트웨이 스포크를 지원합니다. 다음 표에는 스포크 유형에 따라 지원되는 스포크 그룹이 나와 있습니다.
| Spoke | 프로덕션 스포크 그룹에 있을 수 있음 | 프로덕션 외 스포크 그룹에 있을 수 있음 | 서비스 스포크 그룹에 있을 수 있음 | 게이트웨이 스포크 그룹에 속할 수 있음 |
|---|---|---|---|---|
| VPC 스포크 | ||||
| 프로듀서 VPC 스포크 | ||||
| 사이트 간 데이터 전송이 사용 중지된 하이브리드 스포크 | ||||
| 사이트 간 데이터 전송이 사용 설정된 하이브리드 스포크 | ||||
| NCC 게이트웨이 스포크 |
gcloud network-connectivity hubs groups list --hub 명령어는 하이브리드 검사 토폴로지를 사용할 때 프로덕션, 비프로덕션, 서비스, 게이트웨이 그룹을 반환합니다.
다음 단계
- Network Connectivity Center에 대한 자세한 내용은 Network Connectivity Center 개요를 참고하세요.
- 일반적인 문제의 해결 방법은 Network Connectivity Center 문제 해결 참조하기
- API 및
gcloud명령어에 대한 자세한 내용은 API 및 참조 확인하기 - 허브 및 스포크를 만들려면 허브 및 스포크 작업을 참조하세요.