버전 1.1. 이 버전은 Anthos 버전 지원 정책에 설명된 대로 더 이상 지원되지 않습니다. VMware용 Anthos 클러스터(GKE On-Prem)에 영향을 미치는 보안 취약점, 노출, 문제에 대한 최신 패치와 업데이트를 확인하려면 지원되는 버전으로 업그레이드하세요. 최신 버전은 여기에서 확인할 수 있습니다.

사용 가능한 버전

Google에 연결

온프렘 데이터 센터에서 실행되는 GKE On-Prem 클러스터를 Google 네트워크에 연결할 수 있는 다양한 방법이 있습니다. 방법은 다음과 같습니다.

일반 인터넷 연결

특정 시나리오에서는 인터넷을 Google과 온프렘 데이터 센터 간의 연결로 사용할 수 있습니다. 예를 들면 다음과 같습니다.

GKE On-Prem 배포는 온프레미스 자체에 포함되어 있고 온프렘 구성요소는 Google 네트워크와 거의 통신하지 않습니다. 이 연결은 주로 클러스터 관리에 사용됩니다. 연결 속도, 안정성, 보안은 중요하지 않습니다.
온프렘 클러스터는 Cloud SQL과 같은 Google 서비스에 대한 액세스를 제외하고 자체 완비되어 있습니다. 온프렘 클러스터와 Google 서비스 간의 트래픽은 공개 IP 주소를 사용합니다. 방화벽 규칙을 구성하여 보안을 제공합니다.

정적 경로가 있는 Cloud VPN

Cloud VPN을 사용하면 Google과 온프렘 데이터 센터 간의 트래픽이 공개 인터넷을 통과하지만 암호화됩니다. 온프렘 구성요소는 비공개 IP 주소를 사용하여 클라우드 구성요소와 통신할 수 있습니다. 정적 경로를 사용하면 Google Cloud 네트워크와 온프렘 네트워크 간의 경로를 수동으로 구성해야 합니다. 보안이 중요하지만 속도가 크게 중요하지 않은 경우 Cloud VPN을 사용합니다.

Cloud Router를 사용하는 Cloud VPN

Cloud VPN 및 Cloud Router를 사용하면 Google과 온프렘 데이터 센터 간의 트래픽이 공개 인터넷을 통과하지만 암호화됩니다. 온프렘 구성요소는 비공개 IP 주소를 사용하여 클라우드 구성요소와 통신할 수 있습니다. Cloud Router는 Google Cloud 네트워크와 온프렘 네트워크 간에 동적으로 경로를 교환합니다. 동적 라우팅은 네트워크가 확장되고 변경될 때 특히 유용합니다. 따라서 올바른 라우팅 상태가 온프렘 데이터 센터로 전파됩니다.

Partner Interconnect

Partner Interconnect는 지원되는 서비스 제공업체를 통해 온프렘 네트워크와 Google 네트워크 간의 연결을 제공합니다. Google과 온프렘 데이터 센터 간 트래픽은 공개 인터넷을 통과하지 않습니다. 온프렘 구성요소는 비공개 IP 주소를 사용하여 클라우드 구성요소와 통신할 수 있습니다. Google에 빠르고 안전하고 안정적으로 연결됩니다.

Dedicated Interconnect

Dedicated Interconnect는 온프렘 네트워크와 Google 네트워크 간에 물리적인 직접 연결을 제공합니다. 대역폭 요구사항이 높으면 비용 효율적일 수 있습니다. Google과 온프렘 데이터 센터 간 트래픽은 공개 인터넷을 통과하지 않습니다. 온프렘 구성요소는 비공개 IP 주소를 사용하여 클라우드 구성요소와 통신할 수 있습니다. Google과의 연결은 안전하고 안정적이며 Partner Interconnect를 사용하는 연결보다 훨씬 빠릅니다.

연결 유형 선택

연결 유형 선택에 대한 추가 안내가 필요하면 다음을 참조하세요.

네트워크 모니터링

Google에 대한 기본 연결을 설정하는 방법과 관계없이 네트워크 로깅 및 모니터링을 통해 제공되는 유용한 정보를 활용할 수 있습니다. 자세한 내용은 GKE On-Prem의 로깅 및 모니터링을 참조하세요.

기본 연결 개선

기본 연결이 설정되면 액세스, 보안, 가시성을 높이는 기능을 추가할 수 있습니다. 예를 들어 비공개 Google 액세스, VPC 서비스 제어 또는 연결을 사용 설정할 수 있습니다.

이 주제의 나머지 부분에서는 Google에 대한 기본 연결에 다음 옵션 중 하나를 사용한다고 가정합니다.

비공개 Google 액세스

비공개 Google 액세스를 사용하면 비공개 IP 주소만 있는 VM이 Google API 및 서비스의 IP 주소에 도달할 수 있습니다. 여기에는 GKE On-Prem 클러스터 노드에 비공개 IP 주소만 있는 경우가 포함됩니다. 서브넷 수준에서 비공개 Google 액세스를 사용 설정할 수 있습니다.

비공개 Google 액세스를 사용하면 온프렘 데이터 센터에서 Google 서비스로 보내는 요청이 공개 인터넷을 순회하는 대신 Cloud Interconnect 또는 Cloud VPN 연결을 통과합니다.

다음과 같은 경우에는 비공개 Google 액세스를 사용합니다.

공개 IP 주소가 없는 온프렘 VM은 BigQuery, Pub/Sub 또는 Container Registry와 같은 Google 서비스에 연결해야 합니다.
공개 인터넷을 통과하지 않고 Google 서비스에 연결하려고 합니다.

온프렘 VM에서 Google 비공개 액세스를 지원하는 서비스 목록은 지원되는 서비스를 참조하세요. 온프렘 VM의 비공개 Google 액세스 사용에 대한 자세한 내용은 온프렘 호스트의 비공개 Google 액세스 구성을 참조하세요.

Google 비공개 액세스를 필요로 하지 않는 서비스

비공개 IP 주소만 있는 VM에서 서비스에 연결하기 위해 비공개 Google 액세스가 필요하지 않은 경우도 있습니다. 예를 들면 다음과 같습니다.

공개 IP 주소와 비공개 IP 주소가 모두 있는 Cloud SQL 인스턴스를 만듭니다. 그러면 온프렘 구성요소가 비공개 IP 주소를 사용하여 Cloud SQL 인스턴스에 액세스할 수 있습니다. 이 경우 Google 서비스의 공개 IP 주소에 액세스할 필요가 없으므로 비공개 Google 액세스가 필요하지 않습니다. 이는 Cloud Router가 Cloud SQL 인스턴스의 비공개 IP 주소를 온프렘 네트워크에 공지하는 경우에만 작동합니다.
Google 클라우드에 GKE 클러스터가 있고 클러스터 노드에는 비공개 IP 주소가 있습니다. 온프렘 구성요소는 NodePort 서비스 또는 클라우드 GKE 클러스터의 내부 부하 분산기 서비스에 액세스할 수 있습니다.

VPC 서비스 제어

유출에 대해 추가로 보호하려면 VPC 서비스 제어를 사용할 수 있습니다. VPC 서비스 제어를 사용하면 Google 관리형 서비스의 리소스 주위에 보안 경계를 구성하고 경계를 넘는 데이터 이동을 제어할 수 있습니다.

연결

Connect를 사용하면 Google Cloud 콘솔에서 온프렘 사용자 클러스터를 확인하고 관리할 수 있습니다.

다음 단계

네트워킹

스토리지