분산 애플리케이션을 위한 교차 클라우드 네트워크

교차 클라우드 네트워크는 분산형 애플리케이션을 조합할 수 있는 아키텍처를 지원합니다. 교차 클라우드 네트워크를 사용하면 여러 클라우드 및 온프레미스 네트워크에 워크로드와 서비스를 배포할 수 있습니다. 이 솔루션은 애플리케이션 개발자와 운영자에게 여러 클라우드에 걸쳐 단일 클라우드의 경험을 제공합니다. 이 솔루션은 하이브리드 및 멀티 클라우드 네트워킹의 기존 사용 사례를 사용할 뿐 아니라 더욱 확장합니다.

이 가이드는 Cross-Cloud Network에서 분산형 애플리케이션을 설계하고 빌드하려는 네트워크 설계자와 엔지니어를 대상으로 작성되었습니다. 이 가이드에서는 Cross-Cloud Network 설계 고려사항을 포괄적으로 설명합니다.

이 디자인 가이드는 다음 문서를 포함하는 시리즈입니다.

• 분산 애플리케이션을 위한 Cross-Cloud 네트워크 설계(이 문서)
• 교차 클라우드 네트워크의 분산형 애플리케이션에 대한 네트워크 세분화 및 연결
• 교차 클라우드 네트워크의 분산형 애플리케이션을 위한 서비스 네트워킹
• Cross-Cloud Network의 분산 애플리케이션을 위한 네트워크 보안

아키텍처는 리전 및 전역 애플리케이션 스택을 지원하며 다음 기능 레이어로 구성됩니다.

• 네트워크 세분화 및 연결: Virtual Private Cloud(VPC) 세분화 구조 및 VPC 간 및 외부 네트워크에 대한 IP 연결을 포함합니다.
• 서비스 네트워킹: 부하 분산되고 프로젝트와 조직 전반에서 사용할 수 있는 애플리케이션 서비스의 배포가 포함됩니다.
• 네트워크 보안: 기본 제공되는 클라우드 보안 및 네트워크 가상 어플라이언스(NVA)를 사용하여 클라우드 내 및 클라우드 간 통신에 보안을 적용할 수 있습니다.

네트워크 세분화 및 연결

세분화 구조와 연결은 설계의 기초입니다. 다음은 통합 또는 세분화된 인프라를 사용하여 구현할 수 있는 VPC 세분화 구조를 보여주는 다이어그램입니다. 이 다이어그램은 네트워크 간의 연결은 보여주지 않습니다.

이 구조에는 다음 구성요소가 포함됩니다.

• 전송 VPC: 외부 네트워크 연결 및 라우팅 정책을 처리합니다. 이 VPC는 다른 VPC 간의 연결도 제공할 수 있습니다.
• 서비스 액세스 VPC: 다양한 서비스에 대한 액세스 포인트를 포함합니다. 이러한 VPC의 서비스 액세스 포인트는 다른 네트워크에서 연결할 수 있습니다.
• 관리형 서비스 VPC: 다른 항목에서 생성한 서비스를 포함합니다. 이 서비스는 Private Service Connect 또는 비공개 서비스 액세스를 사용하여 VPC 네트워크에서 실행되는 애플리케이션에 액세스할 수 있습니다.
• 애플리케이션 VPC: 조직에서 직접 만들고 호스팅하는 소프트웨어 서비스를 구성하는 워크로드가 포함됩니다.

애플리케이션 VPC의 세분화 구조 선택은 필요한 애플리케이션 VPC의 규모, Cross-Cloud Network 또는 외부에 경계 방화벽을 배포할 계획인지 여부와 중앙 또는 분산 서비스 게시 선택에 따라 달라집니다.

교차 클라우드 네트워크는 리전 애플리케이션 스택 및 전역 애플리케이션 스택의 배포를 지원합니다. 이러한 두 애플리케이션 복원력 아키타입은 모두 VPC 간 연결 패턴을 사용하는 제안된 세그먼테이션 구조로 지원됩니다.

Network Connectivity Center를 사용하거나 VPC 네트워크 피어링과 HA VPN 허브 및 스포크 패턴을 조합하여 VPC 간 연결을 구현할 수 있습니다.

DNS 인프라 설계는 연결 패턴과 관계없이 세그먼트화 구조의 컨텍스트에서도 정의됩니다.

서비스 네트워킹

다양한 애플리케이션 배포 아키타입은 서비스 네트워킹의 다양한 패턴으로 이어집니다. 크로스 클라우드 네트워크 설계의 경우 애플리케이션 스택이 둘 이상의Google Cloud 리전의 여러 영역에서 독립적으로 실행되는 멀티 리전 배포 원형에 중점을 둡니다.

멀티 리전 배포 원형에는 Cross-Cloud Network 설계에 유용한 다음과 같은 기능이 있습니다.

• DNS 라우팅 정책을 사용해서 들어오는 트래픽을 리전 부하 분산기로 라우팅할 수 있습니다.
• 그런 다음 리전 부하 분산기가 애플리케이션 스택으로 트래픽을 분산할 수 있습니다.
• DNS 장애 조치 라우팅 정책을 사용하여 애플리케이션 스택의 DNS 매핑을 다시 고정하여 리전 장애 조치를 구현할 수 있습니다.

멀티 리전 배포 원형의 대안은 전역 배포 원형입니다. 이 원형에서는 단일 스택이 전역 부하 분산기를 기반으로 빌드되고 여러 리전에 걸쳐 있습니다. Cross-Cloud Network 설계로 작업할 때는 이 archetype의 다음 기능을 고려하세요.

• 부하 분산기는 사용자에게 가장 가까운 리전으로 트래픽을 분산합니다.
• 인터넷 연결 프런트엔드는 전역이지만 내부 연결 프런트엔드는 전역 액세스가 있는 리전이므로 장애 조치 시나리오에서 연결할 수 있습니다.
• 애플리케이션 스택의 내부 서비스 레이어에서 위치정보 DNS 라우팅 정책과 DNS 상태 점검을 사용할 수 있습니다.

관리형 게시 서비스에 대한 액세스를 제공하는 방법은 연결해야 하는 서비스에 따라 다릅니다. 다양한 비공개 도달 가능성 모델은 모듈화되어 있으며 애플리케이션 스택 설계와 직교합니다.

서비스에 따라 비공개 액세스에 Private Service Connect 또는 비공개 서비스 액세스를 사용할 수 있습니다. 기본 제공 서비스와 다른 조직에서 게시한 서비스를 결합하여 애플리케이션 스택을 빌드할 수 있습니다. 서비스 스택은 필요한 수준의 복원력과 최적화된 액세스 지연 시간을 충족하기 위해 리전 또는 전역일 수 있습니다.

네트워크 보안

워크로드 보안의 경우 Google Cloud의 방화벽 정책을 사용하는 것이 좋습니다.

조직에서 보안 또는 규정 준수 요구사항을 충족하기 위해 추가 고급 기능이 필요한 경우 차세대 방화벽(NGFW) 네트워크 가상 어플라이언스(NVA)를 삽입하여 경계 보안 방화벽을 통합할 수 있습니다.

단일 네트워크 인터페이스(단일 NIC 모드) 또는 다중 네트워크 인터페이스(다중 NIC 모드)를 통해 NGFW NVA를 삽입할 수 있습니다. NGFW NVA는 보안 영역 또는 클래스 없는 도메인 간 라우팅(CIDR) 기반 경계 정책을 지원할 수 있습니다. 교차 클라우드 네트워크는 전송 VPC 및 VPC 라우팅 정책을 사용하여 경계 NGFW NVA를 배포합니다.

다음 단계

• Cross-Cloud Network 애플리케이션을 위한 네트워크 세분화 및 연결 설계하기
• 이 설계 가이드에서 사용되는 Google Cloud 제품에 대해 자세히 알아보세요.
  • VPC 네트워크
  • 공유 VPC
  • VPC 네트워크 피어링
  • Private Service Connect
  • 비공개 서비스 액세스
• 더 많은 참조 아키텍처, 설계 가이드, 권장사항을 알아보려면 클라우드 아키텍처 센터를 살펴보세요.

참여자

저자:

• 빅터 모레노 | Cloud Networking 제품 관리자
• Ghaleb Al-habian | 네트워크 전문가
• Deepak Michael | 네트워킹 전문 고객 엔지니어
• Osvaldo Costa | 네트워킹 전문 고객 엔지니어
• Jonathan Almaleh | 직원 기술 솔루션 컨설턴트

기타 참여자:

• Zach Seils | 네트워킹 전문가
• Christopher Abraham | 네트워킹 전문가 고객 엔지니어
• Emanuele Mazza | 네트워킹 제품 전문가
• Aurélien Legrand | 전략적 클라우드 엔지니어
• Eric Yu | 네트워킹 전문가 고객 엔지니어
• 저자: 쿠마르 다나고팔 | 크로스 프로덕트 솔루션 개발자
• 마크 슐라겐하우프 | 네트워킹 테크니컬 라이터
• 마르완 알 샤위 | 파트너 고객 엔지니어
• Ammett Williams | 개발자 관계 엔지니어