이 문서에서는 Google Cloud에서 교차 클라우드 네트워크 허브 및 스포크 네트워크 토폴로지를 배포하는 데 사용할 수 있는 참조 아키텍처를 제공합니다. 이 네트워크 설계는 Google Cloud와 온프레미스 데이터 센터 또는 기타 클라우드 서비스 제공업체 (CSP)와 같은 외부 네트워크 전반에 소프트웨어 서비스를 배포할 수 있도록 지원합니다.
이 설계는 여러 외부 연결, 여러 서비스 액세스 Virtual Private Cloud (VPC) 네트워크, 여러 워크로드 VPC 네트워크를 지원합니다.
이 문서는 네트워크 연결을 빌드하는 네트워크 관리자와 워크로드 배포 방법을 계획하는 클라우드 설계자를 대상으로 합니다. 이 문서에서는 라우팅 및 인터넷 연결에 대한 기본적인 지식이 있다고 가정합니다.
아키텍처
다음 다이어그램은 네트워크 아키텍처와 이 아키텍처에서 지원하는 4가지 패킷 흐름을 대략적으로 보여줍니다.
이 아키텍처에는 다음과 같은 높은 수준의 요소가 포함됩니다.
| 구성요소 | 목적 | 상호작용 수 |
|---|---|---|
| 외부 네트워크 (온프레미스 또는 기타 CSP 네트워크) | 워크로드 VPC 및 서비스 액세스 VPC에서 실행되는 워크로드의 클라이언트를 호스팅합니다. 외부 네트워크에서 서비스를 호스팅할 수도 있습니다. | 전송 네트워크를 통해 Google Cloud의 Virtual Private Cloud 네트워크와 데이터를 교환합니다. Cloud Interconnect 또는 HA VPN을 사용하여 전달 네트워크에 연결합니다. 다음 흐름의 한쪽 끝을 종료합니다.
|
| 전송 VPC 네트워크 | 외부 네트워크, 서비스 액세스 VPC 네트워크, 워크로드 VPC 네트워크의 허브 역할을 합니다. | Cloud Interconnect, HA VPN, VPC 네트워크 피어링을 조합하여 외부 네트워크, 서비스 액세스 VPC 네트워크, 워크로드 VPC 네트워크를 서로 연결합니다. |
| 서비스 액세스 VPC 네트워크 | 워크로드 VPC 네트워크 또는 외부 네트워크에서 실행되는 워크로드에 필요한 서비스에 대한 액세스를 제공합니다. 또한 다른 네트워크에서 호스팅되는 관리형 서비스에 대한 액세스 포인트를 제공합니다. | 전달 네트워크를 통해 외부 및 워크로드 네트워크와 데이터를 교환합니다. HA VPN을 사용하여 전송 VPC에 연결합니다. HA VPN에서 제공하는 전이 라우팅을 사용하면 외부 트래픽이 서비스 액세스 VPC 네트워크를 통해 관리형 서비스 VPC에 도달할 수 있습니다. 다음 흐름의 한쪽 끝을 종료합니다.
|
| 관리 서비스 VPC 네트워크 | 다른 네트워크의 클라이언트에게 필요한 관리형 서비스를 호스팅합니다. | 외부, 서비스 액세스, 워크로드 네트워크와 데이터를 교환합니다. VPC 네트워크 피어링을 사용하는 비공개 서비스 액세스를 사용하거나 Private Service Connect를 사용하여 서비스 액세스 VPC 네트워크에 연결합니다. 다른 모든 네트워크의 흐름 한쪽을 종료합니다. |
| 워크로드 VPC 네트워크 | 다른 네트워크의 클라이언트에게 필요한 워크로드를 호스팅합니다. | 전송 VPC 네트워크를 통해 외부 및 서비스 액세스 VPC 네트워크와 데이터를 교환합니다. VPC 네트워크 피어링을 사용하여 전송 네트워크에 연결합니다. Network Connectivity Center VPC 스포크를 사용하여 다른 워크로드 VPC 네트워크에 연결합니다. 다음 흐름의 한쪽 끝을 종료합니다.
|
다음 다이어그램은 네트워크 간의 네 가지 연결을 강조 표시하는 아키텍처를 세부적으로 보여줍니다.
연결 설명
이 섹션에서는 앞의 다이어그램에 표시된 네 가지 연결을 설명합니다.
연결 1: 외부 네트워크와 전송 VPC 네트워크 간 연결
외부 네트워크와 전송 VPC 네트워크 간의 연결은 Cloud Interconnect 또는 HA VPN을 통해 이루어집니다. 경로는 전달 VPC 네트워크의 Cloud Router와 외부 네트워크의 외부 라우터 간에 BGP를 사용하여 교환됩니다.
- 외부 네트워크의 라우터는 외부 서브넷의 경로를 전달 VPC Cloud Router에 공지합니다. 일반적으로 특정 위치의 외부 라우터는 동일한 외부 위치의 경로를 다른 외부 위치의 경로보다 더 선호한다고 공지합니다. 경로의 환경설정은 BGP 측정항목 및 속성을 사용하여 표현할 수 있습니다.
- 전달 VPC 네트워크의 Cloud Router는 Google Cloud VPC의 접두사 경로를 외부 네트워크에 공지합니다. 이러한 경로는 Cloud Router 커스텀 경로 공지를 사용하여 공지해야 합니다.
연결 2: 전달 VPC 네트워크와 서비스 액세스 VPC 네트워크 간 연결
전송 VPC 네트워크와 서비스 액세스 VPC 네트워크 간의 연결은 각 리전에 대해 별도의 터널이 있는 HA VPN을 통해 이루어집니다. 경로는 전달 VPC 네트워크의 지역 Cloud Router와 서비스 액세스 VPC 네트워크 간에 BGP를 사용하여 교환됩니다.
- 전송 VPC HA VPN Cloud Router는 외부 네트워크 접두사, 워크로드 VPC, 기타 서비스 액세스 VPC의 경로를 서비스 액세스 VPC Cloud Router에 공지합니다. 이러한 경로는 Cloud Router 커스텀 경로 공지를 사용하여 공지해야 합니다.
- 서비스 액세스 VPC 네트워크는 전달 VPC 네트워크에 자체 서브넷과 연결된 관리형 서비스 VPC 네트워크의 서브넷을 공지합니다. 관리 서비스 VPC 경로 및 서비스 액세스 VPC 서브넷 경로는 Cloud Router 커스텀 경로 공지를 사용하여 공지해야 합니다.
연결 3: 전송 VPC 네트워크와 워크로드 VPC 네트워크 간 연결
전송 VPC 네트워크와 워크로드 VPC 네트워크 간의 이 연결은 VPC 피어링을 통해 구현됩니다. 서브넷과 접두사 경로는 VPC 피어링 메커니즘을 사용하여 교환됩니다. 이 연결을 통해 워크로드 VPC 네트워크와 외부 네트워크, 서비스 액세스 VPC 네트워크를 비롯하여 전송 VPC 네트워크에 연결된 다른 네트워크 간에 통신할 수 있습니다.
- 전달 VPC 네트워크는 VPC 네트워크 피어링을 사용하여 커스텀 경로를 내보냅니다. 이러한 커스텀 경로에는 전달 VPC 네트워크에서 학습한 모든 동적 경로가 포함됩니다. 워크로드 VPC 네트워크는 이러한 커스텀 경로를 가져옵니다.
- 워크로드 VPC 네트워크는 서브넷을 전달 VPC 네트워크로 자동으로 내보냅니다. 워크로드 VPC에서 전달 VPC로 내보내는 커스텀 경로는 없습니다.
연결 4: 워크로드 VPC 네트워크 간
- 워크로드 VPC 네트워크는 Network Connectivity Center VPC 스포크를 사용하여 서로 연결할 수 있습니다. 이는 선택사항 구성입니다. 워크로드 VPC 네트워크가 서로 통신하지 않도록 하려면 이 속성을 생략할 수 있습니다.
트래픽 흐름
다음 다이어그램은 이 참조 아키텍처에서 사용 설정되는 네 가지 흐름을 보여줍니다.
다음 표는 다이어그램의 흐름을 설명합니다.
| 소스 | 대상 | 설명 |
|---|---|---|
| 외부 네트워크 | 서비스 액세스 VPC 네트워크 |
|
| 서비스 액세스 VPC 네트워크 | 외부 네트워크 |
|
| 외부 네트워크 | 워크로드 VPC 네트워크 |
|
| 워크로드 VPC 네트워크 | 외부 네트워크 |
|
| 워크로드 VPC 네트워크 | 서비스 액세스 VPC 네트워크 |
|
| 서비스 액세스 VPC 네트워크 | 워크로드 VPC 네트워크 |
|
| 워크로드 VPC 네트워크 | 워크로드 VPC 네트워크 | 한 워크로드 VPC를 떠나는 트래픽은 Network Connectivity Center를 통해 다른 워크로드 VPC로 가는 더 구체적인 경로를 따릅니다. 반환 트래픽은 이 경로를 역전시킵니다. |
사용 제품
이 참조 아키텍처에는 다음과 같은 Google Cloud 제품이 사용됩니다.
- Virtual Private Cloud (VPC): Google Cloud 워크로드에 확장 가능한 전역 네트워킹 기능을 제공하는 가상 시스템입니다. VPC에는 VPC 네트워크 피어링, Private Service Connect, 비공개 서비스 액세스, 공유 VPC가 포함됩니다.
- Network Connectivity Center: hub라는 중앙 관리 리소스에 연결된 스포크 리소스 간의 네트워크 연결을 간소화하는 오케스트레이션 프레임워크입니다.
- Cloud Interconnect: 지연 시간이 짧은 고가용성 연결을 통해 외부 네트워크를 Google 네트워크로 확장하는 서비스입니다.
- Cloud VPN: IPsec VPN 터널을 통해 피어 네트워크를 Google 네트워크로 안전하게 확장하는 서비스입니다.
- Cloud Router: 경계 게이트웨이 프로토콜(BGP) 스피커 및 응답자 기능을 제공하는 분산형 완전 관리형 제품입니다. Cloud Router는 Cloud Interconnect, Cloud VPN, 라우터 어플라이언스와 함께 작동하여 BGP 수신 및 커스텀 학습된 경로를 기반으로 VPC 네트워크에 동적 경로를 만듭니다.
설계 고려사항
이 섹션에서는 이 참조 아키텍처를 사용하여 보안, 안정성, 성능에 대한 특정 요구사항을 충족하는 토폴로지를 개발할 때 고려해야 하는 설계 요소, 권장사항, 설계 권장사항을 설명합니다.
보안 및 규정 준수
다음 목록은 이 참조 아키텍처의 보안 및 규정 준수 고려사항을 설명합니다.
- 규정 준수상의 이유로 단일 리전에만 워크로드를 배포해야 할 수 있습니다. 모든 트래픽을 단일 리전에 유지하려면 99.9% 토폴로지를 사용하면 됩니다. 자세한 내용은 Dedicated Interconnect를 위한 99.9% 의 가용성 설정 및 Partner Interconnect를 위한 99.9% 의 가용성 설정을 참고하세요.
- Cloud 차세대 방화벽을 사용하여 서비스 액세스 및 워크로드 VPC 네트워크를 통과하는 트래픽을 보호합니다. 외부 네트워크와 전달 네트워크 간에 전달되는 트래픽을 보호하려면 외부 방화벽 또는 NVA 방화벽을 사용해야 합니다.
- 트래픽 및 규정 준수 요구사항에 따라 로깅 및 모니터링을 사용 설정합니다. VPC 흐름 로그를 사용하여 트래픽 패턴에 대한 유용한 정보를 얻을 수 있습니다.
- Cloud IDS를 사용하여 트래픽에 관한 추가 통계를 수집합니다.
안정성
다음 목록은 이 참조 아키텍처의 안정성 고려사항을 설명합니다.
- Cloud Interconnect의 가용성을 99.99% 로 높이려면 두 개의 서로 다른 Google Cloud 리전에 연결해야 합니다.
- 안정성을 개선하고 지역 장애에 대한 노출을 최소화하려면 워크로드와 기타 클라우드 리소스를 여러 지역으로 분산할 수 있습니다.
- 예상 트래픽을 처리하려면 충분한 수의 VPN 터널을 만듭니다. 개별 VPN 터널에는 대역폭 한도가 있습니다.
성능 최적화
다음 목록에서는 이 참조 아키텍처의 성능 고려사항을 설명합니다.
- 네트워크 및 연결의 최대 전송 단위 (MTU)를 늘리면 네트워크 성능을 개선할 수 있습니다. 자세한 내용은 최대 전송 단위를 참고하세요.
- 전송 VPC와 워크로드 리소스 간의 통신은 VPC 네트워크 피어링을 통해 이루어지며, 이 피어링은 추가 비용 없이 네트워크의 모든 VM에 전체 회선 속도 처리량을 제공합니다. 배포를 계획할 때는 VPC 네트워크 피어링 할당량 및 한도를 고려하세요. 외부 네트워크를 전달 네트워크에 연결하는 방법에는 여러 가지가 있습니다. 비용과 성능 고려사항의 균형에 관한 자세한 내용은 네트워크 연결 제품 선택을 참고하세요.
배포
이 문서의 아키텍처는 중앙 전달 VPC 네트워크에 대한 세 세트의 연결과 워크로드 VPC 네트워크 간의 다른 연결을 만듭니다. 모든 연결이 완전히 구성되면 배포의 모든 네트워크가 다른 모든 네트워크와 통신할 수 있습니다.
이 배포에서는 두 리전의 외부 네트워크와 전달 네트워크 간에 연결을 만드는 것으로 가정합니다. 하지만 워크로드 서브넷은 모든 리전에 있을 수 있습니다. 워크로드를 한 리전에만 배치하는 경우 해당 리전에서만 서브넷을 만들면 됩니다.
이 참조 아키텍처를 배포하려면 다음 작업을 완료합니다.
- 연결 및 워크로드를 배치할 리전 식별
- VPC 네트워크 및 서브넷 만들기
- 외부 네트워크와 전송 VPC 네트워크 간의 연결 만들기
- 전송 VPC 네트워크와 서비스 액세스 VPC 네트워크 간에 연결 만들기
- 전송 VPC 네트워크와 워크로드 VPC 네트워크 간에 연결 만들기
- 워크로드 VPC 네트워크 연결
- 워크로드 연결 테스트
연결 및 워크로드를 배치할 리전 식별
일반적으로 연결 및 Google Cloud 워크로드를 온프레미스 네트워크 또는 기타 클라우드 클라이언트와 가까운 곳에 배치하는 것이 좋습니다. 워크로드 배치에 관한 자세한 내용은 Google Cloud 리전 선택 도구 및 Compute Engine 리전 선택 권장사항을 참고하세요.
VPC 네트워크 및 서브넷 만들기
VPC 네트워크 및 서브넷을 만들려면 다음 작업을 완료합니다.
- VPC 네트워크를 만들 프로젝트를 만들거나 식별합니다. 자세한 내용은 네트워크 세분화 및 프로젝트 구조를 참고하세요. 공유 VPC 네트워크를 사용하려면 프로젝트를 공유 VPC 호스트 프로젝트로 프로비저닝합니다.
- 네트워크의 IP 주소 할당을 계획합니다. 내부 범위를 만들어 범위를 사전 할당하고 예약할 수 있습니다. 집계할 수 있는 주소 블록을 할당하면 나중에 구성 및 작업을 더 간단하게 할 수 있습니다.
- 전역 라우팅이 사용 설정된 전송 네트워크 VPC를 만듭니다.
- 서비스 VPC 네트워크를 만듭니다. 여러 리전에 워크로드가 있는 경우 전역 라우팅을 사용 설정하세요.
- 워크로드 VPC 네트워크를 만듭니다. 여러 리전에 워크로드가 있는 경우 전역 라우팅을 사용 설정하세요.
외부 네트워크와 전달 VPC 네트워크 간에 연결 만들기
이 섹션에서는 두 리전의 연결을 가정하고 외부 위치가 연결되어 있고 서로 장애 조치될 수 있다고 가정합니다. 또한 외부 위치 A의 클라이언트가 리전 A의 서비스에 연결하는 것을 선호한다고 가정합니다.
- 외부 네트워크와 전송 네트워크 간의 연결을 설정합니다. 이 문제를 어떻게 생각해야 하는지 알아보려면 외부 및 하이브리드 연결을 참고하세요. 연결 제품을 선택하는 방법에 관한 안내는 네트워크 연결 제품 선택을 참고하세요.
- 다음과 같이 연결된 각 리전에서 BGP를 구성합니다.
- 다음과 같이 지정된 외부 위치에서 라우터를 구성합니다.
- 두 인터페이스에서 동일한 BGP MED(예: 100)를 사용하여 해당 외부 위치의 모든 서브넷을 공지합니다. 두 인터페이스가 동일한 MED를 공지하면 Google Cloud는 ECMP를 사용하여 두 연결에서 트래픽을 부하 분산할 수 있습니다.
- 첫 번째 리전보다 우선순위가 낮은 MED(예: 200)를 사용하여 다른 외부 위치의 모든 서브넷을 공지합니다. 두 인터페이스에서 동일한 MED를 공지합니다.
- 연결된 리전의 전송 VPC에서 외부 노출 Cloud Router를 다음과 같이 구성합니다.
- Cloud Router ASN을 16550으로 설정합니다.
- 커스텀 경로 공지를 사용하여 외부용 Cloud Router 인터페이스 두 개 모두를 통해 모든 리전의 모든 서브넷 범위를 공지합니다. 가능하면 집계합니다. 두 인터페이스에서 동일한 MED(예: 100)를 사용합니다.
- 다음과 같이 지정된 외부 위치에서 라우터를 구성합니다.
전달 VPC 네트워크와 서비스 액세스 VPC 네트워크 간에 연결 만들기
외부 네트워크와 서비스 액세스 VPC 간에, 그리고 워크로드 VPC와 서비스 액세스 VPC 간에 전이 라우팅을 제공하기 위해 서비스 액세스 VPC는 연결에 HA VPN을 사용합니다.
- 각 리전의 전달 및 서비스 액세스 VPC 간에 이동해야 하는 트래픽의 양을 추정합니다. 예상 터널 수를 적절하게 조정합니다.
- HA VPN 게이트웨이를 만들어 VPC 네트워크 연결하기의 안내에 따라 리전 A의 전송 VPC와 서비스 액세스 VPC 간에 HA VPN을 구성합니다. 전송 네트워크에 전용 HA VPN Cloud Router를 만듭니다. 외부 네트워크 연결을 위해 외부 네트워크에 연결된 라우터를 그대로 둡니다.
- 전달 VPC Cloud Router 구성:
- 서비스 액세스 VPC에 외부 네트워크 및 워크로드 VPC 서브넷을 공지하려면 전달 VPC의 Cloud Router에서 커스텀 경로 공지를 사용하세요.
- 서비스 액세스 VPC Cloud Router 구성:
- 서비스 액세스 VPC 서브넷을 전달 VPC에 공지하려면 서비스 액세스 VPC Cloud Router에서 커스텀 경로 공지를 사용하세요.
- 비공개 서비스 액세스를 사용하여 관리 서비스 VPC를 서비스 액세스 VPC에 연결하는 경우 커스텀 경로를 사용하여 이러한 서브넷도 공지합니다.
- 전달 VPC Cloud Router 구성:
- 비공개 서비스 액세스를 사용하여 관리형 서비스 VPC를 서비스 액세스 VPC에 연결하는 경우 VPC 네트워크 피어링 연결이 설정된 후 VPC 네트워크 피어링 연결의 서비스 액세스 VPC 측을 업데이트하여 맞춤 경로를 내보냅니다.
전달 VPC 네트워크와 워크로드 VPC 네트워크 간에 연결 만들기
전달 VPC와 각 워크로드 VPC 간에 VPC 네트워크 피어링 연결을 만듭니다.
- 각 연결의 전송 VPC 측에 커스텀 경로 내보내기를 사용 설정합니다.
- 각 연결의 워크로드 VPC 측에 커스텀 경로 가져오기를 사용 설정합니다.
- 기본 시나리오에서는 워크로드 VPC 서브넷 경로만 전달 VPC로 내보내집니다. 워크로드 VPC에서 커스텀 경로를 내보낼 필요가 없습니다.
워크로드 VPC 네트워크 연결
Network Connectivity Center VPC 스포크를 사용하여 워크로드 VPC 네트워크를 서로 연결합니다. 모든 스포크를 동일한 Network Connectivity Center 스포크 피어 그룹의 일부로 만듭니다. 핵심 피어 그룹을 사용하여 VPC 간에 전체 메시 통신을 허용합니다.
Network Connectivity Center 연결은 워크로드 VPC 네트워크 간에 특정 경로를 공지합니다. 이러한 네트워크 간의 트래픽은 이러한 경로를 따릅니다.
워크로드 연결 테스트
VPC 네트워크에 이미 워크로드가 배포된 경우 지금 워크로드에 대한 액세스를 테스트합니다. 워크로드를 배포하기 전에 네트워크를 연결했다면 이제 배포하고 테스트할 수 있습니다.
다음 단계
- 이 설계 가이드에서 사용되는 Google Cloud 제품을 자세히 알아보세요.
- 그 밖의 참조 아키텍처, 다이어그램, 튜토리얼, 권장사항을 알아보려면 클라우드 아키텍처 센터를 확인하세요.
참여자
저자:
- Deepak Michael | 네트워킹 전문 고객 엔지니어
- 빅터 모레노 | Cloud Networking 제품 관리자
- Osvaldo Costa | 네트워킹 전문 고객 엔지니어
기타 참여자:
- 마크 슐라겐하우프 | 네트워킹 테크니컬 라이터
- 아밋 윌리엄스 | 개발자 관계팀 엔지니어
- Ghaleb Al-habian | 네트워크 전문가