이 문서에서는 네트워크 가상 어플라이언스 (NVA)를 사용하여 트래픽을 전달하는 크로스 클라우드 네트워크 허브 및 스포크 네트워크 토폴로지를 배포하는 데 사용할 수 있는 참조 아키텍처를 제공합니다.
이 문서의 주요 대상은 네트워크 연결을 구축하는 네트워크 관리자와 워크로드 배포 방법을 계획하는 클라우드 설계자입니다. 이 문서에서는 라우팅, 인터넷 연결, 배포하려는 NVA 소프트웨어에 대한 기본적인 이해가 있다고 가정합니다. 이 참조 아키텍처를 사용하려면 크로스 클라우드 네트워크 설계 가이드를 숙지해야 합니다.
이 설계는 온프레미스 또는 클라우드 서비스 제공업체 (CSP) 위치에 대한 여러 외부 연결과 여러 워크로드 VPC 네트워크를 지원합니다.
이 설계에서는 단일 리전 배포를 가정합니다. 리전 선호도를 제공하지만 리전 장애 조치는 제공하지 않습니다. 둘 이상의 리전에 배포하려면 Google Cloud 멀티 리전 배포 원형을 사용하면 됩니다.
이 설계에서는 워크로드 VPC 네트워크 내 및 워크로드 VPC 네트워크 간의 흐름을 제외한 모든 흐름에 NVA를 배치합니다. 적절한 건너뛰기 정책 기반 경로를 추가하여 흐름이 NVA를 건너뛰도록 할 수 있습니다. 외부 네트워크와 서비스 액세스 VPC 네트워크 간의 흐름만 NVA가 필요합니다. 다른 모든 흐름은 Cloud Next Generation Firewall에서 검사할 수 있기 때문입니다.
아키텍처
다음 다이어그램은 네트워크 아키텍처와 이 아키텍처가 지원하는 흐름을 대략적으로 보여줍니다.
이 아키텍처에는 다음과 같은 높은 수준의 요소가 포함됩니다.
| 구성요소 | 목적 | 상호작용 수 |
|---|---|---|
| 외부 네트워크 (온프레미스 또는 기타 CSP 네트워크) | 워크로드 VPC 및 서비스 액세스 VPC에서 실행되는 워크로드의 클라이언트를 호스팅합니다. 외부 네트워크는 서비스를 호스팅할 수도 있습니다. | 라우팅 VPC 네트워크에서 호스팅되는 NVA를 통해 Google Cloud의 VPC 네트워크와 데이터를 교환합니다. Cloud Interconnect 또는 HA VPN을 사용하여 라우팅 VPC 네트워크에 연결합니다. 다음 흐름의 한쪽 끝을 종료합니다.
|
| 라우팅 VPC 네트워크 (전송 VPC 네트워크라고도 함) | 외부 네트워크, 서비스 액세스 VPC 네트워크, 워크로드 VPC 네트워크의 허브 역할을 합니다. 네트워크 간 트래픽을 처리하는 데 사용되는 NVA를 호스팅합니다. | Cloud Interconnect, HA VPN, VPC 네트워크 피어링의 조합을 통해 외부 네트워크, 서비스 액세스 VPC 네트워크, 워크로드 VPC 네트워크를 함께 연결합니다. 외부, 서비스 액세스, 워크로드 네트워크의 트래픽이 라우팅 네트워크를 통과하면 정책 기반 경로가 트래픽을 NVA로 전송합니다. |
| 서비스 액세스 VPC 네트워크 | 다른 네트워크에서 호스팅되는 관리형 서비스에 대한 액세스 포인트를 제공합니다. 필요한 경우 서비스 액세스 네트워크에서 서비스를 직접 호스팅할 수도 있습니다. | 라우팅 네트워크를 통해 외부 및 워크로드 네트워크와 데이터를 교환합니다. HA VPN을 사용하여 라우팅 VPC에 연결합니다. HA VPN에서 제공하는 전환 라우팅을 사용하면 외부 트래픽이 services-access VPC 네트워크를 통해 관리형 서비스 VPC에 도달할 수 있습니다. 서비스 액세스 VPC 네트워크가 서비스를 직접 호스팅하는 경우 다른 모든 네트워크의 흐름 한쪽 끝을 종료합니다. |
| 관리형 서비스 VPC 네트워크 | 다른 네트워크의 클라이언트가 필요로 하는 관리형 서비스를 호스팅합니다. | 외부, 서비스 액세스, 워크로드 네트워크와 데이터를 교환합니다. VPC 네트워크 피어링을 사용하는 비공개 서비스 액세스를 사용하거나 Private Service Connect를 사용하여 서비스 액세스 VPC 네트워크에 연결합니다. 다른 모든 네트워크의 흐름 한쪽 끝을 종료합니다. |
| 워크로드 VPC 네트워크 | 다른 네트워크의 클라이언트가 필요로 하는 워크로드를 호스팅합니다. | 라우팅 VPC 네트워크를 통해 외부 및 서비스 액세스 VPC 네트워크와 데이터를 교환합니다. VPC 네트워크 피어링을 사용하여 라우팅 네트워크에 연결됩니다. Network Connectivity Center를 사용하여 다른 워크로드 VPC 네트워크에 연결됩니다. 다음 흐름의 한쪽 끝을 종료합니다.
|
| 인터넷 액세스 VPC 네트워크 | 인터넷이 필요한 워크로드에 인터넷 액세스를 제공합니다. | 인터넷에서 업데이트나 기타 데이터를 다운로드해야 하는 워크로드에 인터넷으로의 아웃바운드 액세스를 제공합니다. 데이터는 NVA를 통과하여 Cloud NAT를 통해 나갑니다. 다음 흐름의 한쪽 끝을 종료합니다.
|
연결 설명
다음 다이어그램은 네트워크 간의 네 가지 연결을 강조하는 아키텍처를 자세히 보여줍니다.
이 섹션에서는 앞의 다이어그램에 표시된 네 가지 연결을 설명합니다.
연결 1: 외부 네트워크와 라우팅 VPC 네트워크 간
외부 네트워크와 라우팅 VPC 네트워크 간의 연결은 Cloud Interconnect 또는 HA VPN을 통해 이루어집니다. 라우팅 VPC 네트워크의 Cloud Router와 외부 네트워크의 외부 라우터는 BGP를 사용하여 경로를 교환합니다.
- 외부 네트워크의 라우터는 라우팅 VPC Cloud Router에 외부 서브넷의 경로를 공지합니다. 경로의 환경설정은 BGP 측정항목과 속성을 사용하여 표현할 수 있습니다.
- 라우팅 VPC 네트워크의 Cloud Router는 Google Cloud의 VPC에 있는 프리픽스의 경로를 외부 네트워크에 공지합니다. 이러한 경로는 Cloud Router 커스텀 경로 공지를 사용하여 공지해야 합니다.
연결 2: 라우팅 VPC 네트워크와 서비스 액세스 VPC 네트워크 간
라우팅 VPC 네트워크와 서비스 액세스 VPC 네트워크 간의 연결은 HA VPN을 통해 이루어집니다. 경로는 라우팅 VPC 네트워크와 서비스 액세스 VPC 네트워크의 리전 Cloud Router 간에 BGP를 사용하여 교환됩니다.
- 라우팅 VPC HA VPN Cloud Router는 서비스 액세스 VPC Cloud Router에 외부 네트워크 접두사, 워크로드 VPC, 기타 서비스 액세스 VPC의 경로를 공지합니다. 이러한 경로는 Cloud Router 커스텀 경로 공지를 사용하여 공지해야 합니다.
- 서비스 액세스 VPC 네트워크는 서브넷과 연결된 관리 서비스 VPC 네트워크의 서브넷을 라우팅 VPC 네트워크에 알립니다. 관리 서비스 VPC 경로는 Cloud Router 커스텀 경로 공지를 사용하여 공지해야 합니다.
연결 3: 라우팅 VPC 네트워크와 워크로드 VPC 네트워크 간
라우팅 VPC 네트워크와 워크로드 VPC 네트워크 간의 이 연결은 VPC 네트워크 피어링을 사용하여 구현됩니다. 이 연결을 통해 워크로드 VPC 네트워크와 라우팅 VPC 네트워크에 연결된 다른 네트워크 간에 통신할 수 있습니다. 이러한 다른 네트워크에는 외부 네트워크와 서비스 액세스 VPC 네트워크가 포함됩니다.
- 워크로드 VPC 네트워크는 라우팅 VPC 네트워크로 서브넷을 자동으로 내보냅니다.
연결 4: 워크로드 VPC 네트워크 간
워크로드 VPC 네트워크는 동일한 허브의 Network Connectivity Center VPC 스포크를 사용하여 연결됩니다. 따라서 한 워크로드 VPC 네트워크에서 다른 워크로드 VPC 네트워크로 이동하는 트래픽은 네트워크 간에 직접 이동합니다. 트래픽이 라우팅 VPC 네트워크를 통과하지 않습니다.
트래픽 흐름
다음 다이어그램은 이 참조 아키텍처로 사용 설정되는 네 가지 흐름을 보여줍니다.
다음 표에서는 다이어그램의 흐름을 설명합니다.
| 소스 | 대상 | 설명 |
|---|---|---|
| 외부 네트워크 | 서비스 액세스 VPC 네트워크 |
|
| 서비스 액세스 VPC 네트워크 | 외부 네트워크 |
|
| 외부 네트워크 | 워크로드 VPC 네트워크 |
|
| 워크로드 VPC 네트워크 | 외부 네트워크 |
|
| 워크로드 VPC 네트워크 | 서비스 액세스 VPC 네트워크 |
|
| 서비스 액세스 VPC 네트워크 | 워크로드 VPC 네트워크 |
|
| 워크로드 VPC 네트워크 | 워크로드 VPC 네트워크 | 하나의 워크로드 VPC 네트워크를 떠나는 트래픽은 Network Connectivity Center를 통해 다른 워크로드 VPC 네트워크로 향하는 더 구체적인 경로를 따릅니다. 반환 트래픽은 이 경로를 반대로 합니다. 이 트래픽은 NVA를 통과하지 않습니다. |
사용 제품
이 참조 아키텍처에는 다음과 같은 Google Cloud 제품이 사용됩니다.
- 가상 프라이빗 클라우드(VPC): Google Cloud 워크로드에 확장 가능한 전역 네트워킹 기능을 제공하는 가상 시스템입니다. VPC에는 VPC 네트워크 피어링, Private Service Connect, 비공개 서비스 액세스, 공유 VPC가 포함됩니다.
- Network Connectivity Center: 허브라는 중앙 관리 리소스에 연결된 스포크 리소스 간의 네트워크 연결을 간소화하는 조정 프레임워크입니다.
- Cloud Interconnect: 지연 시간이 짧은 고가용성 연결을 통해 외부 네트워크를 Google 네트워크로 확장하는 서비스입니다.
- Cloud VPN: IPsec VPN 터널을 통해 피어 네트워크를 Google 네트워크로 안전하게 확장하는 서비스입니다.
- Cloud Router: 경계 게이트웨이 프로토콜(BGP) 스피커 및 응답자 기능을 제공하는 분산형 완전 관리형 제품입니다. Cloud Router는 Cloud Interconnect, Cloud VPN, 라우터 어플라이언스와 함께 작동하여 BGP 수신 및 커스텀 학습된 경로를 기반으로 VPC 네트워크에 동적 경로를 만듭니다.
- Compute Engine: Google 인프라에서 가상 머신을 만들고 실행할 수 있는 안전하고 맞춤설정 가능한 컴퓨팅 서비스입니다.
- Cloud Load Balancing: 확장 가능한 고성능 전역 및 리전 부하 분산기 포트폴리오입니다.
- Cloud Next Generation Firewall: 고급 보호 기능, 마이크로 세분화, 간소화된 관리를 갖춘 완전 분산형 방화벽 서비스로, 내부 및 외부 공격으로부터 Google Cloud 워크로드를 보호합니다.
설계 고려사항
이 섹션에서는 이 참조 아키텍처를 사용하여 보안, 안정성, 성능 관련 특정 요구사항을 충족하는 토폴로지를 개발할 때 고려해야 하는 설계 요소, 권장사항, 설계 권장사항을 설명합니다.
보안 및 규정 준수
다음 목록은 이 참조 아키텍처의 보안 및 규정 준수 고려사항을 설명합니다.
- 규정 준수상의 이유로 단일 리전에만 Cloud Interconnect를 배포할 수 있습니다. 모든 트래픽을 단일 리전에 유지하려면 99.9% 토폴로지를 사용하면 됩니다. 자세한 내용은 Dedicated Interconnect를 위한 99.9% 의 가용성 설정 및 Partner Interconnect를 위한 99.9% 의 가용성 설정을 참고하세요.
- Cloud Next Generation Firewall을 사용하여 워크로드 VPC 네트워크 간에 이동하는 트래픽을 보호합니다.
- L7 트래픽 검사가 필요한 경우 침입 감지 및 방지 서비스(선택적으로 TLS 검사 지원 포함)를 사용 설정하여 악의적인 활동을 차단하고 위협으로부터 워크로드를 보호하세요. 이 서비스는 취약점, 스파이웨어 방지, 바이러스 백신 보호를 지원합니다. 이 서비스는 라우팅 재설계 없이 패킷 가로채기 기술을 사용하여 워크로드를 투명하게 검사하는 Google 관리 영역 방화벽 엔드포인트를 만들어 작동합니다. Cloud Next Generation Firewall Enterprise에는 영역 방화벽 엔드포인트 및 데이터 처리 요금이 청구됩니다.
- 방화벽 정책 규칙의 Google 위협 인텔리전스를 사용 설정하여 Google 위협 인텔리전스 데이터를 기반으로 연결을 허용하거나 차단합니다.
- 방화벽 정책 규칙의 위치정보 객체를 사용하여 허용된 국가의 트래픽만 허용하고 금수 조치 국가를 차단합니다.
- 트래픽 및 규정 준수 요구사항에 따라 로깅 및 모니터링을 사용 설정합니다. VPC 흐름 로그를 사용하여 트래픽 패턴에 대한 유용한 정보를 얻을 수 있습니다.
- Cloud IDS를 사용하여 트래픽에 관한 추가 통계를 수집합니다.
- NVA가 업데이트를 다운로드하기 위해 인터넷 위치에 연결해야 하는 경우 인터넷 액세스 VPC 네트워크에서 Cloud NAT를 구성합니다.
- 외부 네트워크의 클라이언트가 Google API에 직접 연결되도록 하려면 라우팅 VPC 네트워크에서 다음과 같이 정책 기반 경로를 만드세요.
- 소스 범위: 외부 네트워크의 집계 범위입니다.
- 대상 범위:
199.36.153.4/30 - 다음 홉:
default-internet-gateway
Google Cloud VM이 비공개 연결을 통해 Google API에 액세스하도록 하려면 다음 단계를 따르세요.
- 각 VPC 네트워크에서 비공개 Google 액세스를 사용 설정합니다.
- 각 워크로드 네트워크에서 Google API에 액세스하는 정책 기반 경로를 만듭니다.
- 소스 범위: 워크로드 VPC 서브넷의 주소 범위입니다.
- 대상 범위:
199.36.153.4/30 - 다음 홉:
default-internet-gateway
- 라우팅 VPC 네트워크와 모든 워크로드 VPC 네트워크에 적용되는 비공개 Google 액세스의 DNS 응답 정책을 만듭니다.
DNS 응답 정책에서 다음과 같이 규칙을 만듭니다.
- DNS 이름:
*.googleapis.com. 로컬 데이터:
name="*.googleapis.com.",type="A",ttl=3600,rrdatas="199.36.153.4|199.36.153.5|199.36.153.6|199.36.153.7"
- DNS 이름:
안정성
다음 목록에서는 이 참조 아키텍처의 안정성 고려사항을 설명합니다.
- Cloud Interconnect의 가용성을 99.99% 로 설정하려면 리전이 하나뿐이더라도 서로 다른 Google Cloud 리전 두 개에 연결해야 합니다.
- 안정성을 개선하고 리전 장애에 대한 노출을 최소화하려면 Google Cloud 멀티 리전 배포 원형을 사용하여 여러 리전에 배포를 복제하면 됩니다.
- 서비스 액세스 VPC와 다른 네트워크 간의 예상 트래픽을 처리하려면 충분한 수의 VPN 터널을 만드세요. 개별 VPN 터널에는 대역폭 한도가 있습니다. 외부 네트워크와 라우팅 VPC 네트워크 간에 HA VPN을 사용하는 경우에도 동일한 안내가 적용됩니다.
성능 최적화
다음 목록에서는 이 참조 아키텍처의 성능 고려사항을 설명합니다.
- 네트워크 및 연결의 최대 전송 단위 (MTU)를 늘려 네트워크 성능을 개선할 수 있습니다. 자세한 내용은 최대 전송 단위를 참조하세요.
- 라우팅 VPC와 워크로드 리소스 간의 통신은 VPC 네트워크 피어링을 통해 이루어지며, 이를 통해 네트워크의 모든 VM에 추가 비용 없이 전체 회선 속도 처리량이 제공됩니다. 배포를 계획할 때 VPC 네트워크 피어링 할당량 및 한도를 고려하세요.
- HA VPN 또는 Cloud Interconnect를 사용하여 외부 네트워크를 라우팅 VPC 네트워크에 연결할 수 있습니다. 비용과 성능 고려사항의 균형에 대한 자세한 내용은 네트워크 연결 제품 선택을 참고하세요.
배포
이 문서의 아키텍처는 중앙 라우팅 VPC 네트워크에 대한 세 개의 연결과 워크로드 VPC 네트워크 간의 다른 연결을 만듭니다. 모든 연결이 완전히 구성되면 배포의 모든 네트워크가 다른 모든 네트워크와 통신할 수 있습니다.
이 배포에서는 한 리전의 외부 네트워크와 라우팅 VPC 네트워크 간에 연결을 만든다고 가정합니다. 하지만 워크로드 서브넷은 어느 리전에나 있을 수 있습니다. 한 리전에만 워크로드를 배치하는 경우 해당 리전에만 서브넷을 만들면 됩니다.
이 참조 아키텍처를 배포하려면 다음 작업을 완료하세요.
- 연결 및 워크로드를 배치할 리전 식별
- VPC 네트워크 및 서브넷 만들기
- 방화벽 규칙을 관리하는 리소스 태그 만들기
- 네트워크 방화벽 정책 만들기 및 연결
- 외부 네트워크와 라우팅 VPC 네트워크 간 연결 만들기
- 라우팅 VPC 네트워크와 서비스 액세스 VPC 네트워크 간에 연결 만들기
- 라우팅 VPC 네트워크와 워크로드 VPC 네트워크 간 연결 만들기
- 워크로드 VPC 네트워크 연결
- NVA 설치
- 서비스 라우팅 만들기
- 인터넷 액세스 네트워크에서 인터넷 액세스 설정하기
- 워크로드 연결 테스트
연결 및 워크로드를 배치할 리전 식별
일반적으로 온프레미스 네트워크 또는 기타 클라우드 클라이언트와 가까운 곳에 연결, VPC 서브넷, Google Cloud 워크로드를 배치하는 것이 좋습니다. 워크로드 배치에 대한 자세한 내용은 Google Cloud 리전 선택기 및 Compute Engine 리전 선택 권장사항을 참고하세요.
VPC 네트워크 및 서브넷 만들기
VPC 네트워크와 서브넷을 만들려면 다음 작업을 완료하세요.
- VPC 네트워크를 만들 프로젝트를 생성하거나 식별합니다. 외부 연결을 연결하는 라우팅 프로젝트와 서비스 액세스 및 워크로드 VPC 네트워크를 호스팅하는 다른 프로젝트가 필요합니다. 자세한 내용은 네트워크 세분화 및 프로젝트 구조를 참고하세요. 공유 VPC 네트워크를 사용하려면 프로젝트를 공유 VPC 호스트 프로젝트로 프로비저닝하세요.
- 네트워크의 IP 주소 할당을 계획합니다. 내부 범위를 만들어 범위를 사전 할당하고 예약할 수 있습니다. 집계할 수 있는 주소 블록을 할당하면 나중에 구성과 작업을 더 간단하게 할 수 있습니다.
- 라우팅 프로젝트에서 라우팅 VPC 네트워크 VPC 및 서브넷을 만듭니다. 리전이 두 개 이상일 것으로 예상되면 전역 라우팅을 사용 설정하세요.
- 라우팅 프로젝트에서 인터넷 액세스 VPC 네트워크와 서브넷을 만듭니다.
- 호스트 프로젝트에서 services-access VPC 네트워크와 서브넷을 만듭니다. 리전이 두 개 이상일 것으로 예상되면 전역 라우팅을 사용 설정합니다.
- 호스트 프로젝트에서 워크로드 VPC 네트워크 및 서브넷을 만듭니다. 리전이 두 개 이상일 것으로 예상되면 전역 라우팅을 사용 설정하세요.
리소스 태그를 만들어 Cloud Next Generation Firewall 규칙 관리
다음 태그를 만듭니다. 원하는 대로 이름을 지정할 수 있습니다. 나열된 이름은 예시일 뿐입니다.
- 라우팅 VPC 네트워크의 경우:
- 키:
routing-vpc-tags - 값:
routing-vpc-multinic - 목적:
GCE_FIREWALL - Purpose-data: 라우팅 VPC 네트워크의 이름입니다.
- 키:
각 워크로드 VPC 네트워크의 경우 다음을 수행합니다.
키:
WORKLOAD_NAME-tagsWORKLOAD_NAME를 워크로드 VPC 네트워크의 이름으로 바꿉니다.값:
WORKLOAD_NAME-clients,WORKLOAD_NAME-wwwWORKLOAD_NAME를 워크로드 VPC 네트워크의 이름으로 바꿉니다.목적:
GCE_FIREWALLPurpose-data: 워크로드 VPC 네트워크의 이름입니다.
인터넷 액세스 네트워크의 경우:
- 키:
internet-tag - 값:
internet-vpc - 목적:
GCE_FIREWALL - Purpose-data: 인터넷 액세스 네트워크의 이름입니다.
- 키:
네트워크 방화벽 정책 만들기 및 연결
이 섹션에서는 배포를 위해 만들고 연결할 Cloud NGFW 규칙을 보여줍니다.
- 라우팅 프로젝트에서 전역 네트워크 방화벽 정책을 만듭니다.
- 정책에서 다음 방화벽 규칙을 만듭니다.
- 사용 중인 포트(예:
tcp:80,443)에 대해 상태 점검 IP 범위의 인그레스 트래픽을 허용하는 규칙 - IAP(Identity-Aware Proxy) 트래픽을 허용하는 규칙
- 서비스 액세스, 워크로드, 외부 네트워크와 같은 내부 범위에서 인그레스 트래픽을 허용하는 규칙
- 사용 중인 포트(예:
- 정책을 라우팅 VPC 네트워크와 연결합니다.
- 워크로드 및 서비스 액세스 VPC의 워크로드를 기반으로 워크로드 호스팅 프로젝트에서 방화벽 정책과 규칙을 만들어 해당 트래픽을 관리합니다.
외부 네트워크와 라우팅 VPC 네트워크 간 연결 만들기
이 섹션에서는 단일 리전의 연결을 가정합니다.
- 외부 네트워크와 라우팅 네트워크 간의 연결을 설정합니다. 이 문제를 어떻게 생각해야 하는지 알아보려면 외부 및 하이브리드 연결을 참고하세요. 연결 제품 선택에 대한 안내는 네트워크 연결 제품 선택을 참고하세요.
- 다음과 같이 BGP를 구성합니다.
- 지정된 외부 위치에서 라우터를 다음과 같이 구성합니다.
- 두 인터페이스에서 동일한 BGP MED(예: 100)를 사용하여 해당 외부 위치의 모든 서브넷을 공지합니다. 두 인터페이스 모두 동일한 MED를 공지하는 경우 Google Cloud 는 ECMP를 사용하여 두 연결 간에 트래픽을 부하 분산할 수 있습니다.
- 연결된 리전의 라우팅 VPC에서 외부 연결 Cloud Router를 다음과 같이 구성합니다.
- 커스텀 경로 공지를 사용하여 외부 Cloud Router 인터페이스를 통해 모든 리전의 모든 서브넷 범위를 공지합니다. 가능한 경우 집계합니다. 두 인터페이스에서 동일한 MED(예: 100)를 사용합니다.
- 지정된 외부 위치에서 라우터를 다음과 같이 구성합니다.
라우팅 VPC 네트워크와 서비스 액세스 VPC 네트워크 간에 연결 만들기
서비스 액세스 VPC는 HA VPN을 사용하여 라우팅 VPC에 연결됩니다. VPN을 사용하면 서비스 액세스 VPC와 외부 및 워크로드 네트워크 간에 전이적 라우팅이 가능합니다.
- 라우팅 VPC와 서비스 액세스 VPC 간에 이동해야 하는 트래픽 양을 추정합니다. 예상 터널 수를 적절하게 조정합니다.
- HA VPN 게이트웨이를 만들어 VPC 네트워크 연결하기의 안내에 따라 라우팅 VPC와 서비스 액세스 VPC 간에 HA VPN을 구성합니다. 라우팅 네트워크에 전용 HA VPN Cloud Router를 만듭니다. 외부 네트워크 연결을 위해 외부 네트워크 연결 라우터를 그대로 둡니다.
- 라우팅 VPC Cloud Router 구성:
- 서비스 액세스 VPC에 외부 네트워크 및 워크로드 VPC 서브넷을 공지하려면 라우팅 VPC의 Cloud Router에서 커스텀 경로 공지를 사용합니다.
- 서비스 액세스 VPC Cloud Router 구성:
- 라우팅 VPC에 서비스 액세스 VPC 서브넷을 공지하려면 서비스 액세스 VPC Cloud Router에서 커스텀 경로 공지를 사용하세요.
- 비공개 서비스 액세스를 사용하여 관리 서비스 VPC를 서비스 액세스 VPC에 연결하는 경우 커스텀 경로를 사용하여 해당 서브넷도 공지합니다.
- 라우팅 VPC Cloud Router 구성:
- 비공개 서비스 액세스를 사용하여 관리 서비스 VPC를 services-access VPC에 연결하는 경우 VPC 네트워크 피어링 연결이 설정된 후 VPC 네트워크 피어링 연결의 services-access VPC 측을 업데이트하여 커스텀 경로를 내보냅니다.
라우팅 VPC 네트워크와 워크로드 VPC 네트워크 간 연결 만들기
라우팅 VPC와 각 워크로드 VPC 간에 VPC 네트워크 피어링 연결을 만듭니다.
- 각 연결의 라우팅 VPC 측에 대해 커스텀 경로 내보내기를 사용 설정합니다.
- 각 연결의 워크로드 VPC 측에 대해 커스텀 경로 가져오기를 사용 설정합니다.
- 기본 시나리오에서는 워크로드 VPC 서브넷 경로만 라우팅 VPC로 내보내집니다. 워크로드 VPC에서 커스텀 경로를 내보낼 필요가 없습니다.
워크로드 VPC 네트워크 연결
Network Connectivity Center VPC 스포크를 사용하여 워크로드 VPC 네트워크를 서로 연결합니다. 모든 스포크를 동일한 Network Connectivity Center 스포크 피어 그룹에 포함합니다. 핵심 피어 그룹을 사용하여 VPC 간의 전체 메시 통신을 허용합니다.
Cloud Next Generation Firewall을 사용하여 워크로드 VPC 네트워크 내 및 네트워크 간 트래픽을 관리합니다.
Network Connectivity Center 연결은 워크로드 VPC 네트워크 간에 특정 경로를 공지합니다. 이러한 네트워크 간 트래픽은 해당 경로를 따릅니다.
NVA 설치
이 안내에서는 NVA에 사용할 VM 이미지가 있다고 가정합니다.
부하 분산된 NVA 그룹을 만듭니다. 자세한 내용은 서드 파티 어플라이언스용 내부 패스 스루 네트워크 부하 분산기 설정을 참고하세요.
다음 매개변수를 사용하여 NVA 이미지를 기반으로 인스턴스 템플릿을 만듭니다.
네트워크 태그:
nva-REGIONREGION을 리전의 이름으로 바꿉니다.Resource Manager 태그:
routing-vpc-tags=routing-vpc-multinic외부 IP 주소가 없는 라우팅 VPC 네트워크의 네트워크 인터페이스
외부 IP 주소가 없는 인터넷 액세스 VPC 네트워크의 네트워크 인터페이스
VM 및 운영체제에
can IP forward를 설정합니다.라우팅과 인터넷 액세스 네트워크 간에 트래픽을 전송하는
ip route경로와iptables규칙을 만듭니다.
예상 트래픽을 처리할 만큼 충분한 VM이 있는 리전 관리형 인스턴스 그룹 (MIG)을 만듭니다.
서비스 라우팅 만들기
이 섹션에서는 NVA를 통해 트래픽을 전송하거나 필요에 따라 NVA를 우회하는 방법을 설명합니다.
- 라우팅 VPC 네트워크에서 다음 매개변수를 사용하여 정책 기반 경로를 만듭니다.
- 소스 범위:
0.0.0.0/0 - 대상 범위:
0.0.0.0/0 - 다음 홉: 내부 패스 스루 네트워크 부하 분산기 전달 규칙의 IP 주소
- 네트워크 태그: 네트워크 태그를 지정하지 않습니다. 이러한 매개변수는 VLAN 연결, VPN 터널 또는 네트워크의 다른 VM에서 발생하는 모든 트래픽에 적용되는 규칙을 만듭니다.
- 소스 범위:
라우팅 네트워크에서 다음 매개변수를 사용하여 건너뛰기 정책 기반 경로를 만듭니다.
- 소스 범위:
0.0.0.0/0 - 대상 범위:
0.0.0.0/0 - 다음 홉: 다른 정책 기반 경로를 건너뛰고 기본 라우팅을 사용하도록 다음 홉을 설정합니다.
네트워크 태그:
nva-REGIONREGION을 리전의 이름으로 바꿉니다.
이러한 매개변수는 NVA VM을 벗어나는 트래픽에만 적용되는 규칙을 만듭니다. 이로 인해 해당 트래픽이 생성한 첫 번째 정책 기반 경로를 건너뛰고 대신 VPC 라우팅 테이블을 따릅니다.
- 소스 범위:
각 워크로드 네트워크에서 다음 구성으로 각 서브넷에 대한 정책 기반 경로를 만듭니다.
- 소스 범위: 워크로드 VPC 서브넷의 주소 범위입니다.
- 대상 범위:
0.0.0.0/0 - 다음 홉: 라우팅 네트워크에 있는 내부 패스 스루 네트워크 부하 분산기 전달 규칙의 IP 주소
각 워크로드 네트워크에서 서브넷 내 트래픽의 건너뛰기 정책 기반 경로를 만듭니다.
- 소스 범위: 워크로드 VPC 서브넷의 주소 범위입니다.
- 대상 범위: 워크로드 VPC 서브넷의 주소 범위입니다.
- 다음 홉: 다른 정책 기반 경로를 건너뛰고 기본 라우팅을 사용하도록 다음 홉을 설정합니다.
각 워크로드 네트워크에서 서브넷 간 트래픽에 대한 건너뛰기 정책 기반 경로를 만듭니다. 경로를 집계할 수 없는 경우 각 다른 워크로드 서브넷에 대해 경로를 만들어야 합니다.
- 소스 범위: 워크로드 VPC 서브넷의 주소 범위입니다.
- 대상 범위: 다른 워크로드 서브넷의 범위입니다.
- 다음 홉: 다른 정책 기반 경로를 건너뛰고 기본 라우팅을 사용하도록 다음 홉을 설정합니다.
이 안내에서는 VPC 서브넷 내 및 워크로드 VPC 서브넷 간의 트래픽을 제외한 모든 트래픽이 NVA를 통해 라우팅된다고 가정합니다. 워크로드 VPC와 서비스 액세스 VPC 간 트래픽이 NVA를 건너뛰도록 하려면 추가 정책 기반 라우팅 건너뛰기 경로를 설치하고 이 트래픽에 대한 추가 Cloud NGFW 규칙을 구성합니다.
인터넷 액세스 네트워크에서 인터넷 액세스 설정
인터넷에 대한 아웃바운드 액세스를 구성하려면 인터넷 액세스 네트워크에서 Cloud NAT를 설정합니다.
워크로드 연결 테스트
VPC 네트워크에 이미 배포된 워크로드가 있는 경우 지금 액세스를 테스트하세요. 워크로드를 배포하기 전에 네트워크를 연결한 경우 지금 워크로드를 배포하고 테스트할 수 있습니다.
다음 단계
- 이 설계 가이드에서 사용되는 Google Cloud 제품에 대해 자세히 알아보세요.
- 그 밖의 참조 아키텍처, 다이어그램, 튜토리얼, 권장사항을 알아보려면 클라우드 아키텍처 센터를 확인하세요.
참여자
저자:
- Osvaldo Costa | 네트워킹 전문 고객 엔지니어
- Deepak Michael | 네트워킹 전문 고객 엔지니어
- 빅터 모레노 | Cloud Networking 제품 관리자
- 마크 슐라겐하우프 | 네트워킹 테크니컬 라이터
기타 참여자: 아밋 윌리엄스 | 개발자 관계팀 엔지니어