Google Cloud 아키텍처 프레임워크의 이 문서에서는 네트워킹 설계를 기반으로 시스템을 배포하기 위한 권장사항을 제공합니다. Virtual Private Cloud(VPC)를 선택하고 구현하는 방법과 네트워크 보안을 테스트하고 관리하는 방법을 알아봅니다.
핵심 원칙
네트워킹 설계는 성공적인 시스템 설계에 매우 중요한데, 그 이유는 성능 최적화와 내부 및 외부 서비스의 안전한 애플리케이션 통신에 도움이 되기 때문입니다. 네트워킹 서비스를 선택할 때는 애플리케이션 요구사항을 평가하고 애플리케이션이 서로 통신하는 방법을 평가하는 것이 중요합니다. 예를 들어 일부 구성요소에는 글로벌 서비스가 필요하지만 다른 구성요소는 특정 리전에 지리적으로 위치해야 할 수 있습니다.
Google의 비공개 네트워크가 리전 위치를 100개가 넘는 글로벌 네트워크 접속 지점으로 연결합니다. Google Cloud는 소프트웨어 정의 네트워킹 및 분산 시스템 기술을 사용하여 전 세계에서 서비스를 호스팅하고 제공합니다. Google Cloud 내에서 네트워킹을 위한 Google의 핵심 요소는 전역 VPC입니다. VPC는 Google의 글로벌 고속 네트워크를 사용하여 리전 간에 애플리케이션을 연결하는 동시에 개인 정보 보호와 안정성을 지원합니다. Google은 병목 현상 대역폭 및 왕복 전파 시간(BBR) 정체 제어 인텔리전스와 같은 기술을 사용하여 높은 처리량으로 콘텐츠를 전송합니다.
클라우드 네트워킹 설계 개발에는 다음 단계가 포함됩니다.
- 워크로드 VPC 아키텍처를 설계합니다. 먼저 필요한 Google Cloud 프로젝트와 VPC 네트워크 수를 파악합니다.
- VPC 간 연결을 추가합니다. 워크로드가 다른 VPC 네트워크의 다른 워크로드에 연결되는 방식을 설계합니다.
- 하이브리드 네트워크 연결을 설계합니다. 워크로드 VPC가 온프레미스 및 기타 클라우드 환경에 연결되는 방식을 설계합니다.
Google Cloud 네트워크를 설계할 때 다음 사항을 고려하세요.
- VPC는 Compute Engine, Google Kubernetes Engine (GKE), 서버리스 컴퓨팅 솔루션에서 빌드된 서비스를 상호 연결하기 위해 클라우드에서 비공개 네트워킹 환경을 제공합니다. VPC를 사용하여 Cloud Storage, BigQuery, Cloud SQL과 같은 Google 관리 서비스에 비공개로 액세스할 수도 있습니다.
- VPC 네트워크는 연결된 라우터와 방화벽 규칙을 포함하여 전역 리소스입니다. 어떠한 특정 리전이나 영역과도 연결되어 있지 않습니다.
- 서브넷은 리전 리소스입니다. 동일한 클라우드 리전의 여러 영역에 배포된 Compute Engine VM 인스턴스는 동일한 서브넷의 IP 주소를 사용할 수 있습니다.
- VPC 방화벽 규칙을 사용하여 인스턴스에서 송수신되는 트래픽을 제어할 수 있습니다.
- Identity and Access Management(IAM) 역할을 사용하여 네트워크 관리를 보호할 수 있습니다.
- Cloud VPN이나 Cloud Interconnect를 사용하여 하이브리드 환경에서 VPC 네트워크를 안전하게 연결할 수 있습니다.
VPC 사양의 전체 목록을 보려면 사양을 참조하세요.
워크로드 VPC 아키텍처
이 섹션에서는 시스템을 지원하기 위해 워크로드 VPC 아키텍처를 설계하기 위한 권장사항을 제공합니다.
초기에 VPC 설계 고려
Google Cloud에서 조직 설정 설계 시 초기 단계에 VPC 네트워크 설계를 고려하세요. 조직 수준에서 선택한 설계는 프로세스의 후반부에서 쉽게 되돌릴 수 없습니다. 자세한 내용은 VPC 설계에 관한 권장사항 및 참조 아키텍처와 Google Cloud 시작 영역의 네트워크 설계 결정을 참조하세요.
단일 VPC 네트워크로 시작
공통 요구사항이 있는 리소스를 포함하는 많은 사용 사례의 경우 단일 VPC 네트워크가 필요한 기능을 제공합니다. 단일 VPC 네트워크는 생성, 유지 관리, 파악이 간단합니다. 자세한 내용은 VPC 네트워크 사양을 참조하세요.
VPC 네트워크 토폴로지 단순화
관리 가능하고 안정적이며 이해하기 쉬운 아키텍처를 보장하려면 VPC 네트워크 토폴로지 설계를 가능한 한 단순화합니다.
커스텀 모드에서 VPC 네트워크 사용
Google Cloud 네트워킹이 기존 네트워킹 시스템과 원활하게 통합되도록 VPC 네트워크를 만들 때 커스텀 모드를 사용하는 것이 좋습니다. 커스텀 모드를 사용하면 Google Cloud 네트워킹을 기존 IP 주소 관리 체계에 통합하는 데 도움이 되며 VPC에 포함할 클라우드 리전을 제어할 수 있습니다. 자세한 내용은 VPC를 참조하세요.
VPC 간 연결
이 섹션에서는 시스템을 지원하기 위해 VPC 간 연결을 설계하기 위한 권장사항을 제공합니다.
VPC 연결 방법 선택
여러 VPC 네트워크를 구현하기로 결정한 경우 해당 네트워크를 연결해야 합니다. VPC 네트워크는 Google의 Andromeda 소프트웨어 정의 네트워크(SDN) 내의 격리된 테넌트 공간입니다. VPC 네트워크가 서로 통신할 수 있는 방법에는 여러 가지가 있습니다 대역폭, 지연 시간, 서비스수준계약(SLA) 요구사항에 따라 네트워크 연결 방법을 선택합니다. 연결 옵션에 대한 자세한 내용은 비용, 성능 및 보안 요구사항을 충족하는 VPC 연결 방법 선택을 참조하세요.
공유 VPC를 사용하여 여러 작업 그룹 관리
여러 팀으로 구성된 조직의 경우 공유 VPC를 사용하면 아키텍처 측면에서 단순한 단일 VPC 네트워크를 여러 작업 그룹에 걸쳐 확장할 수 있습니다.
간단한 명명 규칙 사용
간단하고 직관적이며 일관된 명명 규칙을 선택하세요. 이렇게 하면 관리자와 사용자가 각 리소스의 목적, 위치, 다른 리소스와의 차이점을 이해하는 데 도움이 됩니다.
연결 테스트를 사용하여 네트워크 보안 확인
네트워크 보안의 맥락에서 연결 테스트를 사용하여 두 엔드포인트 사이에서 막으려는 트래픽이 차단되었는지 확인할 수 있습니다. 트래픽이 차단되었는지 여부와 차단된 이유를 확인하려면 두 엔드포인트 간의 테스트를 정의하고 결과를 평가합니다. 예를 들어 트래픽 차단을 지원하는 규칙을 정의할 수 있는 VPC 기능을 테스트할 수 있습니다. 자세한 내용은 연결 테스트 개요를 참조하세요.
Private Service Connect를 사용하여 비공개 엔드포인트 만들기
자체 IP 주소 스킴으로 Google 서비스에 액세스할 수 있는 비공개 엔드포인트를 만들려면 Private Service Connect를 사용하세요. VPC에서 종료되는 하이브리드 연결을 통해 또는 VPC 내에서 비공개 엔드포인트에 액세스할 수 있습니다.
외부 연결 보안 및 제한
인터넷 액세스는 인터넷 액세스가 필요한 리소스로만 제한합니다. 비공개 내부 IP 주소만 있는 리소스도 비공개 Google 액세스를 통해 많은 Google API 및 서비스에 액세스할 수 있습니다.
Network Intelligence Center를 사용하여 클라우드 네트워크 모니터링
Network Intelligence Center에서는 모든 리전 간에 Google Cloud 네트워크를 포괄적으로 파악할 수 있습니다. 운영 및 보안 위험을 초래할 수 있는 트래픽 및 액세스 패턴을 식별할 수 있게 도와줍니다.
다음 단계
다음을 포함하여 스토리지 관리 권장사항에 대해 알아보세요.
안정성, 운영 우수성, 보안, 개인정보 보호, 규정 준수 등 아키텍처 프레임워크의 다른 카테고리 살펴보기