네트워크 인프라 설계

Google Cloud 아키텍처 프레임워크의 이 문서에서는 네트워킹 설계를 기반으로 시스템을 배포하기 위한 권장사항을 제공합니다. Virtual Private Cloud(VPC)를 선택하고 구현하는 방법과 네트워크 보안을 테스트하고 관리하는 방법을 알아봅니다.

핵심 원칙

네트워킹 설계는 성공적인 시스템 설계에 매우 중요한데, 그 이유는 성능 최적화와 내부 및 외부 서비스와의 안전한 애플리케이션 통신에 도움이 되기 때문입니다. 네트워킹 서비스를 선택할 때는 애플리케이션 요구사항을 평가하고 애플리케이션이 서로 통신하는 방법을 평가하는 것이 중요합니다. 예를 들어 일부 구성요소에는 글로벌 서비스가 필요하지만 다른 구성요소는 특정 리전에 지리적으로 위치해야 할 수 있습니다.

Google의 비공개 네트워크가 리전 위치를 100개가 넘는 글로벌 네트워크 접속 지점으로 연결합니다. Google Cloud는 소프트웨어 정의 네트워킹 및 분산 시스템 기술을 사용하여 전 세계에 서비스를 호스팅하고 제공합니다. Google Cloud 내에서 네트워킹을 위한 Google의 핵심 요소는 전역 VPC입니다. VPC는 Google의 글로벌 고속 네트워크를 사용하여 리전 간에 애플리케이션을 연결하는 동시에 개인정보 보호와 안정성을 지원합니다. Google은 병목 현상 대역폭 및 왕복 전파 시간(BBR) 정체 제어 인텔리전스를 사용하여 콘텐츠가 높은 처리량으로 전송되도록 보장합니다.

클라우드 네트워킹 설계 개발에는 다음 단계가 포함됩니다.

  1. 워크로드 VPC 아키텍처를 설계합니다. 먼저 필요한 Google Cloud 프로젝트 및 VPC 네트워크 수를 확인합니다.
  2. VPC 간 연결을 추가합니다. 워크로드가 서로 다른 VPC 네트워크의 다른 워크로드에 연결되는 방식을 설계합니다.
  3. 하이브리드 네트워크 연결을 설계합니다. 워크로드 VPC가 온프레미스 및 기타 클라우드 환경에 연결되는 방식을 설계합니다.

Google Cloud 네트워크를 설계할 때 다음 사항을 고려하세요.

  • VPCCompute Engine, Google Kubernetes Engine (GKE), 서버리스 컴퓨팅 솔루션에서 빌드된 서비스를 상호 연결하기 위해 클라우드에서 비공개 네트워킹 환경을 제공합니다. VPC를 사용하여 Cloud Storage, BigQuery, Cloud SQL과 같은 Google 관리 서비스에 비공개로 액세스할 수도 있습니다.
  • VPC 네트워크는 연결된 라우터와 방화벽 규칙을 포함하여 전역 리소스입니다. 어떠한 특정 리전이나 영역과도 연결되어 있지 않습니다.
  • 서브넷은 리전 리소스입니다. 동일한 클라우드 리전의 여러 영역에 배포된 Compute Engine VM 인스턴스는 동일한 서브넷의 IP 주소를 사용할 수 있습니다.
  • VPC 방화벽 규칙을 사용하여 인스턴스에서 송수신되는 트래픽을 제어할 수 있습니다.
  • Identity and Access Management(IAM) 역할을 사용하여 네트워크 관리를 보호할 수 있습니다.
  • Cloud VPN이나 Cloud Interconnect를 사용하여 하이브리드 환경에서 VPC 네트워크를 안전하게 연결할 수 있습니다.

VPC 사양의 전체 목록을 보려면 사양을 참조하세요.

워크로드 VPC 아키텍처

이 섹션에서는 시스템을 지원하기 위해 워크로드 VPC 아키텍처를 설계하기 위한 권장사항을 제공합니다.

초기에 VPC 설계 고려

Google Cloud의 조직 설정 설계 시 초기 단계에 VPC 네트워크 설계를 고려하세요. 조직 수준에서 선택한 설계 옵션은 프로세스의 후반부에서 쉽게 되돌릴 수 없습니다. 자세한 내용은 VPC 설계에 관한 권장사항 및 참조 아키텍처기업 조직을 위한 권장사항을 참조하세요.

단일 VPC 네트워크로 시작

공통적인 요구사항이 있는 리소스를 포함하는 여러 사용 사례에서는 단일 VPC 네트워크가 필요한 기능을 제공합니다. 단일 VPC 네트워크는 간단하게 만들고 유지관리하며 이해할 수 있습니다. 자세한 내용은 VPC 네트워크 사양을 참조하세요.

VPC 네트워크 토폴로지 단순화

관리 가능하고 안정적이며 이해하기 쉬운 아키텍처를 보장하려면 VPC 네트워크 토폴로지 설계를 가능한 한 단순화합니다.

커스텀 모드에서 VPC 네트워크 사용

Google Cloud Networking을 기존 네트워킹 시스템과 원활하게 통합하려면 VPC 네트워크를 만들 때 커스텀 모드를 사용하는 것이 좋습니다. 커스텀 모드를 사용하면 Google Cloud 네트워킹을 기존 IP 주소 관리 체계와 통합할 수 있으며 VPC에 포함할 클라우드 리전을 제어할 수 있습니다. 자세한 내용은 VPC를 참조하세요.

VPC 간 연결

이 섹션에서는 시스템 간 VPC 간 연결을 설계하기 위한 권장사항을 제공합니다.

VPC 연결 선택

여러 VPC 네트워크를 구현하려면 이러한 네트워크를 연결해야 합니다. VPC 네트워크는 Google의 Andromeda 소프트웨어 정의 네트워크(SDN) 내 격리된 테넌트 공간입니다. VPC 네트워크는 서로 통신하는 여러 가지 방법이 있습니다. 대역폭, 지연 시간, 서비스수준계약(SLA) 요구사항에 따라 네트워크 연결 방법을 선택하세요.

연결 옵션에 대한 자세한 내용은 비용, 성능 및 보안 니즈를 충족하는 VPC 연결 방법 선택을 참조하세요.

공유 VPC를 사용하여 여러 작업 그룹 관리

여러 팀으로 구성된 조직의 경우 공유 VPC를 사용하면 아키텍처 측면에서 단순한 단일 VPC 네트워크를 여러 작업 그룹에 걸쳐 확장할 수 있습니다.

간단한 이름 지정 규칙 사용

간단하고 직관적이며 일관된 이름 지정 규칙을 선택하세요. 이렇게 하면 관리자와 사용자가 각 리소스의 용도, 배치 위치, 다른 리소스와의 차별점을 이해하는 데 도움이 됩니다.

연결 테스트를 사용하여 네트워크 보안 확인

네트워크 보안과 관련하여 연결 테스트를 사용하여 두 엔드포인트 간에 차단하려는 트래픽이 차단되는지 확인할 수 있습니다. 트래픽이 차단되었는지, 차단되는 이유를 확인하려면 두 엔드포인트 간의 테스트를 정의하고 결과를 평가하세요. 예를 들어 트래픽 차단을 지원하는 규칙을 정의할 수 있는 VPC 기능을 테스트할 수 있습니다. 자세한 내용은 연결 테스트 개요를 참조하세요.

Private Service Connect를 사용하여 비공개 엔드포인트 만들기

자체 IP 주소 체계로 Google 서비스에 액세스할 수 있는 비공개 엔드포인트를 만들려면 Private Service Connect를 사용합니다. 비공개 엔드포인트는 VPC 내에서 그리고 VPC에서 종료되는 하이브리드 연결을 통해 액세스할 수 있습니다.

외부 연결 보호 및 제한

인터넷 액세스는 인터넷 액세스가 필요한 리소스로만 제한합니다. 비공개 내부 IP 주소만 있는 리소스도 비공개 Google 액세스를 통해 많은 Google API 및 서비스에 액세스할 수 있습니다.

Network Telemetry를 사용하여 클라우드 네트워크 가시성 향상

조직에 보안 또는 운영상 위험을 초래할 수 있는 트래픽과 액세스 패턴을 거의 실시간으로 식별할 수 있습니다. Network Telemetry는 네트워크 운영과 보안 운영 모두를 위해 Google Cloud 네트워킹 서비스에 대한 심층적인 응답형 로그를 제공합니다.

다음 단계

다음을 포함하여 스토리지 관리 권장사항에 대해 알아보세요.

안정성, 운영 우수성, 보안, 개인정보 보호, 규정 준수 등 아키텍처 프레임워크의 다른 카테고리 살펴보기