이 문서에서는 Google Cloud에서 크로스 클라우드 네트워크 허브 및 스포크 네트워크 토폴로지를 배포하는 데 사용할 수 있는 참조 아키텍처를 제공합니다. 이 네트워크 설계를 사용하면 온프레미스 데이터 센터 또는 기타 클라우드 서비스 제공업체 (CSP)와 같은 Google Cloud 및 외부 네트워크에 소프트웨어 서비스를 배포할 수 있습니다.
이 설계는 여러 외부 연결, 여러 서비스 액세스 Virtual Private Cloud (VPC) 네트워크, 여러 워크로드 VPC 네트워크를 지원합니다.
이 문서의 주요 대상은 네트워크 연결을 구축하는 네트워크 관리자와 워크로드 배포 방법을 계획하는 클라우드 설계자입니다. 이 문서에서는 사용자가 라우팅 및 인터넷 연결을 기본적으로 이해하고 있다고 가정합니다.
아키텍처
다음 다이어그램은 네트워크 아키텍처와 이 아키텍처에서 지원하는 4개의 패킷 흐름을 대략적으로 보여줍니다.
이 아키텍처에는 다음과 같은 높은 수준의 요소가 포함됩니다.
| 구성요소 | 목적 | 상호작용 수 |
|---|---|---|
| 외부 네트워크 (온프레미스 또는 기타 CSP 네트워크) | 워크로드 VPC 및 서비스 액세스 VPC에서 실행되는 워크로드의 클라이언트를 호스팅합니다. 외부 네트워크는 서비스를 호스팅할 수도 있습니다. | 전송 네트워크를 통해 Google Cloud의 가상 프라이빗 클라우드 네트워크와 데이터를 교환합니다. Cloud Interconnect 또는 HA VPN을 사용하여 트랜싯 네트워크에 연결합니다. 다음 흐름의 한쪽 끝을 종료합니다.
|
| 전송 VPC 네트워크 | 외부 네트워크, services-access VPC 네트워크, 워크로드 VPC 네트워크의 허브 역할을 합니다. | Cloud Interconnect, HA VPN, VPC 네트워크 피어링의 조합을 통해 외부 네트워크, 서비스 액세스 VPC 네트워크, 워크로드 VPC 네트워크를 서로 연결합니다. |
| 서비스 액세스 VPC 네트워크 | 워크로드 VPC 네트워크 또는 외부 네트워크에서 실행되는 워크로드에 필요한 서비스에 대한 액세스를 제공합니다. 다른 네트워크에서 호스팅되는 관리형 서비스에 대한 액세스 포인트도 제공합니다. | 전송 네트워크를 통해 외부 및 워크로드 네트워크와 데이터를 교환합니다. HA VPN을 사용하여 전송 VPC에 연결됩니다. HA VPN에서 제공하는 전환 라우팅을 사용하면 외부 트래픽이 services-access VPC 네트워크를 통해 관리형 서비스 VPC에 도달할 수 있습니다. 다음 흐름의 한쪽 끝을 종료합니다.
|
| 관리형 서비스 VPC 네트워크 | 다른 네트워크의 클라이언트가 필요로 하는 관리형 서비스를 호스팅합니다. | 외부, 서비스 액세스, 워크로드 네트워크와 데이터를 교환합니다. VPC 네트워크 피어링을 사용하는 비공개 서비스 액세스를 사용하거나 Private Service Connect를 사용하여 서비스 액세스 VPC 네트워크에 연결합니다. 다른 모든 네트워크의 흐름 한쪽 끝을 종료합니다. |
| 워크로드 VPC 네트워크 | 다른 네트워크의 클라이언트가 필요로 하는 워크로드를 호스팅합니다. | 전송 VPC 네트워크를 통해 외부 및 서비스 액세스 VPC 네트워크와 데이터를 교환합니다. VPC 네트워크 피어링을 사용하여 전송 네트워크에 연결됩니다. Network Connectivity Center VPC 스포크를 사용하여 다른 워크로드 VPC 네트워크에 연결됩니다. 다음 흐름의 한쪽 끝을 종료합니다.
|
다음 다이어그램은 네트워크 간의 네 가지 연결을 강조하는 아키텍처를 자세히 보여줍니다.
연결 설명
이 섹션에서는 앞의 다이어그램에 표시된 네 가지 연결을 설명합니다.
연결 1: 외부 네트워크와 전송 VPC 네트워크 간
외부 네트워크와 전송 VPC 네트워크 간의 연결은 Cloud Interconnect 또는 HA VPN을 통해 이루어집니다. 경로는 전송 VPC 네트워크의 Cloud Router와 외부 네트워크의 외부 라우터 간에 BGP를 사용하여 교환됩니다.
- 외부 네트워크의 라우터는 외부 서브넷의 경로를 트랜싯 VPC Cloud Router에 공지합니다. 일반적으로 특정 위치의 외부 라우터는 다른 외부 위치의 경로보다 동일한 외부 위치의 경로를 더 선호하는 것으로 공지합니다. 경로의 환경설정은 BGP 측정항목과 속성을 사용하여 표현할 수 있습니다.
- 전송 VPC 네트워크의 Cloud Router는 Google Cloud의 VPC에 있는 프리픽스의 경로를 외부 네트워크에 공지합니다. 이러한 경로는 Cloud Router 커스텀 경로 공지를 사용하여 공지해야 합니다.
연결 2: 전송 VPC 네트워크와 서비스 액세스 VPC 네트워크 간
전송 VPC 네트워크와 서비스 액세스 VPC 네트워크 간의 연결은 각 리전의 별도 터널을 사용하여 HA VPN을 통해 이루어집니다. 경로는 전송 VPC 네트워크와 서비스 액세스 VPC 네트워크의 리전별 Cloud Router 간에 BGP를 사용하여 교환됩니다.
- 전송 VPC HA VPN Cloud Router는 외부 네트워크 접두사, 워크로드 VPC, 기타 서비스 액세스 VPC의 경로를 서비스 액세스 VPC Cloud Router에 알립니다. 이러한 경로는 Cloud Router 커스텀 경로 공지를 사용하여 공지해야 합니다.
- 서비스 액세스 VPC 네트워크는 연결된 관리형 서비스 VPC 네트워크의 서브넷과 함께 자체 서브넷을 트랜싯 VPC 네트워크에 알립니다. 관리 서비스 VPC 경로와 services-access VPC 서브넷 경로는 Cloud Router 커스텀 경로 공지를 사용하여 공지해야 합니다.
연결 3: 전송 VPC 네트워크와 워크로드 VPC 네트워크 간
전송 VPC 네트워크와 워크로드 VPC 네트워크 간의 연결은 VPC 피어링을 통해 구현됩니다. 서브넷과 프리픽스 경로는 VPC 피어링 메커니즘을 사용하여 교환됩니다. 이 연결을 통해 워크로드 VPC 네트워크와 외부 네트워크 및 서비스 액세스 VPC 네트워크를 비롯하여 전송 VPC 네트워크에 연결된 다른 네트워크 간에 통신할 수 있습니다.
- 전송 VPC 네트워크는 VPC 네트워크 피어링을 사용하여 커스텀 경로를 내보냅니다. 이러한 커스텀 경로에는 트랜짓 VPC 네트워크에서 학습한 모든 동적 경로가 포함됩니다. 워크로드 VPC 네트워크는 이러한 커스텀 경로를 가져옵니다.
- 워크로드 VPC 네트워크는 서브넷을 트랜짓 VPC 네트워크로 자동 내보냅니다. 워크로드 VPC에서 트랜싯 VPC로 내보낸 커스텀 경로가 없습니다.
연결 4: 워크로드 VPC 네트워크 간
- 워크로드 VPC 네트워크는 Network Connectivity Center VPC 스포크를 사용하여 서로 연결할 수 있습니다. 이는 선택적 구성입니다. 워크로드 VPC 네트워크가 서로 통신하지 않도록 하려면 생략할 수 있습니다.
트래픽 흐름
다음 다이어그램은 이 참조 아키텍처로 사용 설정되는 네 가지 흐름을 보여줍니다.
다음 표에서는 다이어그램의 흐름을 설명합니다.
| 소스 | 대상 | 설명 |
|---|---|---|
| 외부 네트워크 | 서비스 액세스 VPC 네트워크 |
|
| 서비스 액세스 VPC 네트워크 | 외부 네트워크 |
|
| 외부 네트워크 | 워크로드 VPC 네트워크 |
|
| 워크로드 VPC 네트워크 | 외부 네트워크 |
|
| 워크로드 VPC 네트워크 | 서비스 액세스 VPC 네트워크 |
|
| 서비스 액세스 VPC 네트워크 | 워크로드 VPC 네트워크 |
|
| 워크로드 VPC 네트워크 | 워크로드 VPC 네트워크 | 한 워크로드 VPC를 떠나는 트래픽은 Network Connectivity Center를 통해 다른 워크로드 VPC로 향하는 더 구체적인 경로를 따릅니다. 반환 트래픽은 이 경로를 반대로 합니다. |
사용 제품
이 참조 아키텍처에는 다음과 같은 Google Cloud 제품이 사용됩니다.
- 가상 프라이빗 클라우드(VPC): Google Cloud 워크로드에 확장 가능한 전역 네트워킹 기능을 제공하는 가상 시스템입니다. VPC에는 VPC 네트워크 피어링, Private Service Connect, 비공개 서비스 액세스, 공유 VPC가 포함됩니다.
- Network Connectivity Center: 허브라는 중앙 관리 리소스에 연결된 스포크 리소스 간의 네트워크 연결을 간소화하는 조정 프레임워크입니다.
- Cloud Interconnect: 지연 시간이 짧은 고가용성 연결을 통해 외부 네트워크를 Google 네트워크로 확장하는 서비스입니다.
- Cloud VPN: IPsec VPN 터널을 통해 피어 네트워크를 Google 네트워크로 안전하게 확장하는 서비스입니다.
- Cloud Router: 경계 게이트웨이 프로토콜(BGP) 스피커 및 응답자 기능을 제공하는 분산형 완전 관리형 제품입니다. Cloud Router는 Cloud Interconnect, Cloud VPN, 라우터 어플라이언스와 함께 작동하여 BGP 수신 및 커스텀 학습된 경로를 기반으로 VPC 네트워크에 동적 경로를 만듭니다.
설계 고려사항
이 섹션에서는 이 참조 아키텍처를 사용하여 보안, 안정성, 성능 관련 특정 요구사항을 충족하는 토폴로지를 개발할 때 고려해야 하는 설계 요소, 권장사항, 설계 권장사항을 설명합니다.
보안 및 규정 준수
다음 목록은 이 참조 아키텍처의 보안 및 규정 준수 고려사항을 설명합니다.
- 규정 준수상의 이유로 단일 리전에만 워크로드를 배포할 수 있습니다. 모든 트래픽을 단일 리전에 유지하려면 99.9% 토폴로지를 사용하면 됩니다. 자세한 내용은 Dedicated Interconnect를 위한 99.9% 의 가용성 설정 및 Partner Interconnect를 위한 99.9% 의 가용성 설정을 참고하세요.
- Cloud Next Generation Firewall을 사용하여 서비스 액세스 및 워크로드 VPC 네트워크에 들어오거나 나가는 트래픽을 보호합니다. 외부 네트워크와 트랜짓 네트워크 간에 전달되는 트래픽을 보호하려면 외부 방화벽 또는 NVA 방화벽을 사용해야 합니다.
- 트래픽 및 규정 준수 요구사항에 따라 로깅 및 모니터링을 사용 설정합니다. VPC 흐름 로그를 사용하여 트래픽 패턴에 대한 유용한 정보를 얻을 수 있습니다.
- Cloud IDS를 사용하여 트래픽에 관한 추가 통계를 수집합니다.
안정성
다음 목록에서는 이 참조 아키텍처의 안정성 고려사항을 설명합니다.
- Cloud Interconnect의 가용성을 99.99% 로 높이려면 서로 다른 Google Cloud 리전에 연결해야 합니다.
- 안정성을 개선하고 리전 장애에 대한 노출을 최소화하려면 리전 간에 워크로드와 기타 클라우드 리소스를 분산하면 됩니다.
- 예상 트래픽을 처리하려면 충분한 수의 VPN 터널을 만드세요. 개별 VPN 터널에는 대역폭 한도가 있습니다.
성능 최적화
다음 목록에서는 이 참조 아키텍처의 성능 고려사항을 설명합니다.
- 네트워크 및 연결의 최대 전송 단위 (MTU)를 늘려 네트워크 성능을 개선할 수 있습니다. 자세한 내용은 최대 전송 단위를 참조하세요.
- 전송 VPC와 워크로드 리소스 간의 통신은 VPC 네트워크 피어링을 통해 이루어지며, 이를 통해 네트워크의 모든 VM에 추가 비용 없이 전체 회선 속도 처리량이 제공됩니다. 배포를 계획할 때 VPC 네트워크 피어링 할당량 및 한도를 고려하세요. 외부 네트워크를 트랜짓 네트워크에 연결하는 방법에는 여러 가지가 있습니다. 비용과 성능 고려사항의 균형에 대한 자세한 내용은 네트워크 연결 제품 선택을 참고하세요.
배포
이 문서의 아키텍처는 중앙 전송 VPC 네트워크에 대한 세 가지 연결과 워크로드 VPC 네트워크 간의 다른 연결을 만듭니다. 모든 연결이 완전히 구성되면 배포의 모든 네트워크가 다른 모든 네트워크와 통신할 수 있습니다.
이 배포에서는 두 리전의 외부 네트워크와 트랜짓 네트워크 간에 연결을 만든다고 가정합니다. 하지만 워크로드 서브넷은 어느 리전에나 있을 수 있습니다. 한 리전에만 워크로드를 배치하는 경우 해당 리전에만 서브넷을 만들면 됩니다.
이 참조 아키텍처를 배포하려면 다음 작업을 완료하세요.
- 연결 및 워크로드를 배치할 리전 식별
- VPC 네트워크 및 서브넷 만들기
- 외부 네트워크와 전송 VPC 네트워크 간 연결 만들기
- 전송 VPC 네트워크와 서비스 액세스 VPC 네트워크 간에 연결 만들기
- 전송 VPC 네트워크와 워크로드 VPC 네트워크 간 연결 만들기
- 워크로드 VPC 네트워크 연결
- 워크로드 연결 테스트
연결 및 워크로드를 배치할 리전 식별
일반적으로 연결 및 Google Cloud 워크로드를 온프레미스 네트워크 또는 기타 클라우드 클라이언트와 가까운 곳에 배치하는 것이 좋습니다. 워크로드 배치에 대한 자세한 내용은 Google Cloud 리전 선택기 및 Compute Engine 리전 선택 권장사항을 참고하세요.
VPC 네트워크 및 서브넷 만들기
VPC 네트워크와 서브넷을 만들려면 다음 작업을 완료하세요.
- VPC 네트워크를 만들 프로젝트를 생성하거나 식별합니다. 자세한 내용은 네트워크 세분화 및 프로젝트 구조를 참고하세요. 공유 VPC 네트워크를 사용하려면 프로젝트를 공유 VPC 호스트 프로젝트로 프로비저닝하세요.
- 네트워크의 IP 주소 할당을 계획합니다. 내부 범위를 만들어 범위를 사전 할당하고 예약할 수 있습니다. 집계할 수 있는 주소 블록을 할당하면 나중에 구성과 작업을 더 간단하게 할 수 있습니다.
- 전역 라우팅이 사용 설정된 전송 네트워크 VPC를 만듭니다.
- 서비스 VPC 네트워크를 만듭니다. 여러 리전에 워크로드가 있는 경우 전역 라우팅을 사용 설정합니다.
- 워크로드 VPC 네트워크를 만듭니다. 여러 리전에 워크로드가 있는 경우 전역 라우팅을 사용 설정합니다.
외부 네트워크와 전송 VPC 네트워크 간 연결 만들기
이 섹션에서는 두 리전의 연결을 가정하고 외부 위치가 연결되어 서로 장애 조치할 수 있다고 가정합니다. 또한 외부 위치 A의 클라이언트가 리전 A의 서비스에 연결하는 것을 선호한다고 가정합니다.
- 외부 네트워크와 전송 네트워크 간의 연결을 설정합니다. 이 문제를 어떻게 생각해야 하는지 알아보려면 외부 및 하이브리드 연결을 참고하세요. 연결 제품 선택에 대한 안내는 네트워크 연결 제품 선택을 참고하세요.
- 연결된 각 리전에서 다음과 같이 BGP를 구성합니다.
- 지정된 외부 위치에서 라우터를 다음과 같이 구성합니다.
- 두 인터페이스에서 동일한 BGP MED(예: 100)를 사용하여 해당 외부 위치의 모든 서브넷을 공지합니다. 두 인터페이스 모두 동일한 MED를 공지하는 경우 Google Cloud 는 ECMP를 사용하여 두 연결 간에 트래픽을 부하 분산할 수 있습니다.
- 첫 번째 리전의 MED(예: 200)보다 낮은 우선순위의 MED를 사용하여 다른 외부 위치의 모든 서브넷을 공지합니다. 두 인터페이스에서 동일한 MED를 알립니다.
- 연결된 리전의 전송 VPC에서 외부 연결 Cloud Router를 다음과 같이 구성합니다.
- Cloud Router ASN을 16550으로 설정합니다.
- 커스텀 경로 공지를 사용하여 외부 Cloud Router 인터페이스를 통해 모든 리전의 모든 서브넷 범위를 공지합니다. 가능한 경우 집계합니다. 두 인터페이스에서 동일한 MED(예: 100)를 사용합니다.
- 지정된 외부 위치에서 라우터를 다음과 같이 구성합니다.
전송 VPC 네트워크와 서비스 액세스 VPC 네트워크 간에 연결 만들기
외부 네트워크와 서비스 액세스 VPC 간, 워크로드 VPC와 서비스 액세스 VPC 간에 전환 라우팅을 제공하기 위해 서비스 액세스 VPC는 연결에 HA VPN을 사용합니다.
- 각 리전에서 전송 VPC와 서비스 액세스 VPC 간에 이동해야 하는 트래픽 양을 추정합니다. 예상 터널 수를 적절하게 조정합니다.
- HA VPN 게이트웨이를 만들어 VPC 네트워크 연결의 안내에 따라 리전 A의 전송 VPC와 서비스 액세스 VPC 간에 HA VPN을 구성합니다. 전송 네트워크에 전용 HA VPN Cloud Router를 만듭니다. 외부 네트워크 연결을 위해 외부 네트워크 연결 라우터를 그대로 둡니다.
- 전송 VPC Cloud Router 구성:
- 서비스 액세스 VPC에 외부 네트워크 및 워크로드 VPC 서브넷을 공지하려면 전송 VPC의 Cloud Router에서 커스텀 경로 공지를 사용하세요.
- 서비스 액세스 VPC Cloud Router 구성:
- 서비스 액세스 VPC 서브넷을 트랜싯 VPC에 공지하려면 서비스 액세스 VPC Cloud Router에서 커스텀 경로 공지를 사용하세요.
- 비공개 서비스 액세스를 사용하여 관리 서비스 VPC를 서비스 액세스 VPC에 연결하는 경우 커스텀 경로를 사용하여 해당 서브넷도 공지합니다.
- 전송 VPC Cloud Router 구성:
- 비공개 서비스 액세스를 사용하여 관리 서비스 VPC를 services-access VPC에 연결하는 경우 VPC 네트워크 피어링 연결이 설정된 후 VPC 네트워크 피어링 연결의 services-access VPC 측을 업데이트하여 커스텀 경로를 내보냅니다.
전송 VPC 네트워크와 워크로드 VPC 네트워크 간 연결 만들기
전송 VPC와 각 워크로드 VPC 간에 VPC 네트워크 피어링 연결을 만듭니다.
- 각 연결의 전송 VPC 측에 대해 커스텀 경로 내보내기를 사용 설정합니다.
- 각 연결의 워크로드 VPC 측에 대해 커스텀 경로 가져오기를 사용 설정합니다.
- 기본 시나리오에서는 워크로드 VPC 서브넷 경로만 트랜짓 VPC로 내보내집니다. 워크로드 VPC에서 커스텀 경로를 내보낼 필요가 없습니다.
워크로드 VPC 네트워크 연결
Network Connectivity Center VPC 스포크를 사용하여 워크로드 VPC 네트워크를 서로 연결합니다. 모든 스포크를 동일한 Network Connectivity Center 스포크 피어 그룹에 포함합니다. 핵심 피어 그룹을 사용하여 VPC 간의 전체 메시 통신을 허용합니다.
Network Connectivity Center 연결은 워크로드 VPC 네트워크 간에 특정 경로를 공지합니다. 이러한 네트워크 간 트래픽은 해당 경로를 따릅니다.
워크로드 연결 테스트
VPC 네트워크에 이미 배포된 워크로드가 있는 경우 지금 액세스를 테스트하세요. 워크로드를 배포하기 전에 네트워크를 연결한 경우 지금 워크로드를 배포하고 테스트할 수 있습니다.
다음 단계
- 이 설계 가이드에서 사용되는 Google Cloud 제품에 대해 자세히 알아보세요.
- 그 밖의 참조 아키텍처, 다이어그램, 튜토리얼, 권장사항을 알아보려면 클라우드 아키텍처 센터를 확인하세요.
참여자
저자:
- Deepak Michael | 네트워킹 전문 고객 엔지니어
- 빅터 모레노 | Cloud Networking 제품 관리자
- Osvaldo Costa | 네트워킹 전문 고객 엔지니어
기타 참여자:
- 마크 슐라겐하우프 | 네트워킹 테크니컬 라이터
- 아밋 윌리엄스 | 개발자 관계팀 엔지니어
- Ghaleb Al-habian | 네트워크 전문가