조직의 심층 방어 전략의 일환으로 의심스러운 네트워크 활동에 대한 인라인 감지 및 차단을 위해 중앙화된 네트워크 어플라이언스 사용을 요구하는 보안 정책을 설정할 수 있습니다. 이 문서에서는 Google Cloud VMware Engine 워크로드를 위해 다음과 같은 고급 네트워크 보호 기능을 설계할 수 있습니다.
- 분산 서비스 거부(DDoS) 공격 완화
- SSL 오프로딩
- 차세대 방화벽(NGFW)
- 침입 방지 시스템(IPS) 및 침입 감지 시스템(IDS)
- 딥 패킷 검사(DPI)
이 문서의 아키텍처에는 Google Cloud Marketplace의 Cloud Load Balancing 및 네트워크 어플라이언스가 사용됩니다. Cloud Marketplace는 엔터프라이즈 IT의 요구에 맞게 Google Cloud 보안 파트너에서 제공되는 프로덕션에 즉시 사용 가능한 공급업체 지원 네트워크 어플라이언스를 제공합니다.
이 문서의 안내는 VMware Engine 워크로드를 위해 네트워크 연결을 설계, 프로비저닝, 관리하는 보안 설계자 및 네트워크 관리자를 대상으로 합니다. 이 문서에서는 사용자가 Virtual Private Cloud(VPC), VMware vSphere, VMware NSX, 네트워크 주소 변환(NAT), Cloud Load Balancing에 익숙하다고 가정합니다.
아키텍처
다음 다이어그램은 온프레미스 네트워크 및 인터넷에서 VMware Engine 워크로드로의 네트워크 연결 아키텍처를 보여줍니다. 이 문서의 후반부에서는 이 아키텍처가 특정 사용 사례의 요구사항을 충족시키도록 확장됩니다.
그림 1은 아키텍처에 대한 다음 기본 구성요소를 보여줍니다.
- VMware Engine 프라이빗 클라우드: 가상 머신(VM), 스토리지, 네트워킹 인프라, VMware vCenter Server로 구성되는 격리된 VMware 스택입니다. VMware NSX-T는 마이크로세그먼테이션 및 방화벽 정책과 같은 네트워킹 및 보안 기능을 제공합니다. VMware Engine VM은 프라이빗 클라우드에서 만드는 네트워크 세그먼트의 IP 주소가 사용됩니다.
- 공개 IP 주소 서비스: 인터넷에서의 인그레스 액세스를 사용 설정하기 위해 VMware Engine VM에 외부 IP 주소를 제공합니다. 인터넷 게이트웨이는 VMware Engine VM에 대해 기본적으로 이그레스 액세스를 제공합니다.
- VMware Engine 테넌트 VPC 네트워크: Google Cloud 서비스와의 통신을 사용 설정하기 위해 모든 VMware Engine 프라이빗 클라우드에 사용되는 Google 관리형 전용 VPC 네트워크입니다.
고객 VPC 네트워크:
- 고객 VPC 네트워크 1(외부): 네트워크 어플라이언스 및 부하 분산기의 공개 대면 인터페이스를 호스팅하는 VPC 네트워크입니다.
- 고객 VPC 네트워크 2(내부): 네트워크 어플라이언스의 내부 인터페이스를 호스팅하고 비공개 서비스 액세스 모드를 사용하여 VMware Engine 테넌트 VPC 네트워크와 피어링되는 VPC 네트워크입니다.
비공개 서비스 액세스: Google 관리형 서비스와 사용자의 VPC 네트워크 사이의 연결을 사용 설정하기 위해 VPC 네트워크 피어링을 사용하는 비공개 액세스 모델입니다.
네트워크 어플라이언스: Cloud Marketplace에서 선택하고 Compute Engine 인스턴스에 배포하는 네트워킹 소프트웨어입니다. Google Cloud에서 타사 네트워크 어플라이언스 배포에 대한 자세한 내용은 Google Cloud에서 중앙화된 네트워크 어플라이언스를 참조하세요.
Cloud Load Balancing: Google Cloud에서 고가용성 분산 워크로드에 대한 트래픽을 관리하기 위해 사용할 수 있는 Google 관리형 서비스입니다. 트래픽 프로토콜 및 액세스 요구사항에 적합한 부하 분산기 유형을 선택할 수 있습니다. 이 문서의 아키텍처에는 내장된 NSX-T 부하 분산기가 사용되지 않습니다.
구성 참고사항
다음 다이어그램에서는 VMware Engine 워크로드에 네트워크 연결을 제공하기 위해 필요한 리소스를 보여줍니다.
그림 2는 이 아키텍처에서 리소스를 설정하고 구성하기 위해 완료해야 하는 태스크를 보여줍니다. 다음은 추가 정보 및 자세한 지침을 제공하는 문서 링크를 포함하여 각 태스크에 대한 설명입니다.
커스텀 모드 VPC 네트워크 만들기의 안내에 따라 외부 및 내부 VPC 네트워크 및 서브넷을 만듭니다.
- 각 서브넷에 대해 VPC 네트워크에 고유한 IP 주소 범위를 선택합니다.
- 아키텍처 다이어그램에 표시된 관리 VPC 네트워크는 선택사항입니다. 필요한 경우 이를 사용해서 네트워크 어플라이언스를 위한 관리 NIC 인터페이스를 호스팅할 수 있습니다.
Cloud Marketplace에서 필요한 네트워크 어플라이언스를 배포합니다.
네트워크 어플라이언스의 고가용성을 위해 2개 영역 간에 분산된 VM 쌍에 각 어플라이언스를 배포합니다.
인스턴스 그룹에서 네트워크 어플라이언스를 배포할 수 있습니다. 인스턴스 그룹은 관리 또는 공급업체 지원 요구사항에 따라 관리형 인스턴스 그룹(MIG) 또는 비관리형 인스턴스 그룹일 수 있습니다.
다음과 같이 네트워크 인터페이스를 프로비저닝합니다.
- 공개 소스로 트래픽을 라우팅하기 위해 외부 VPC 네트워크에서
nic0
을 프로비저닝합니다. - 어플라이언스 공급업체에 필요한 경우 관리 작업을 위해
nic1
을 프로비저닝합니다. - VMware Engine 리소스와의 내부 통신을 위해 내부 VPC 네트워크에서
nic2
를 프로비저닝합니다.
개별 VPC 네트워크에서 네트워크 인터페이스를 배포하면 공개 및 온프레미스 연결을 위해 인터페이스 수준에서 보안 영역 분리를 보장하는 데 도움이 됩니다.
- 공개 소스로 트래픽을 라우팅하기 위해 외부 VPC 네트워크에서
VMware Engine을 설정합니다.
- VMware Engine 프라이빗 클라우드를 만듭니다.
- VMware Engine VM에 대해 네트워크 세그먼트를 만듭니다.
비공개 서비스 액세스를 사용하여 내부 VPC 네트워크를 VMware Engine에서 관리되는 VPC 네트워크로 연결하도록 VPC 네트워크 피어링을 설정합니다.
온프레미스 네트워크에 대해 하이브리드 연결이 필요하면 Cloud VPN 또는 Cloud Interconnect를 사용합니다.
다음 사용 사례에 대해 그림 2의 아키텍처를 확장할 수 있습니다.
사용 사례 | 사용된 제품 및 서비스 |
---|---|
공개 대면 VMware Engine 워크로드를 위한 NGFW |
|
공개 대면 VMware Engine 워크로드를 위한 NGFW, DDoS 완화, SSL 오프로딩, 콘텐츠 전송 네트워크(CDN) |
|
VMware Engine 워크로드와 온프레미스 데이터 센터 또는 기타 클라우드 공급업체 사이의 비공개 연결을 위한 NGFW |
|
VMware Engine 워크로드를 위한 중앙화된 이그레스의 인터넷 연결 |
|
다음 섹션에서는 이러한 사용 사례를 설명하고 사용 사례 구현을 위한 구성 태스크 개요를 제공합니다.
공개 대면 워크로드를 위한 NGFW
이 사용 사례의 요구사항은 다음과 같습니다.
- 공통 프런트엔드로 L4 부하 분산기를 포함하는 VMware Engine 및 Compute Engine 인스턴스로 구성되는 하이브리드 아키텍처
- IPS/IDS, NGFW, DPI, NAT 솔루션을 사용하여 공개 VMware Engine 워크로드 보호
- VMware Engine의 공개 IP 주소 서비스로 지원되는 더 많은 공개 IP 주소
다음 다이어그램은 공개 대면 VMware Engine 워크로드를 위해 NGFW를 프로비저닝하는 데 필요한 리소스를 보여줍니다.
그림 3은 이 아키텍처에서 리소스를 설정하고 구성하기 위해 완료해야 하는 태스크를 보여줍니다. 다음은 추가 정보 및 자세한 지침을 제공하는 문서 링크를 포함하여 각 태스크에 대한 설명입니다.
외부 VPC 네트워크에서 외부 패스 스루 네트워크 부하 분산기를 VMware Engine 워크로드에 대한 공개 대면 인그레스 진입점으로 프로비저닝합니다.
- 여러 VMware Engine 워크로드를 지원하도록 여러 전달 규칙을 만듭니다.
- 고유 IP 주소 및 TCP 또는 UDP 포트 번호로 각 전달 규칙을 구성합니다.
- 네트워크 어플라이언스를 부합 분산기에 대한 백엔드로 구성합니다.
VMware Engine에서 공개 대면 애플리케이션을 호스팅하는 VM의 내부 IP 주소에 대한 전달 규칙의 공개 IP 주소에 대해 대상 NAT(DNAT)를 수행하도록 네트워크 어플라이언스를 구성합니다.
- 네트워크 어플라이언스는 대칭적인 반환 경로를 보장하기 위해
nic2
인터페이스의 트래픽에 대해 소스 NAT(SNAT)를 수행해야 합니다. - 네트워크 어플라이언스는 또한 VMware Engine 네트워크로 지정된 트래픽을
nic2
인터페이스를 통해 서브넷 게이트웨이(서브넷의 첫 번째 IP 주소)로 라우팅해야 합니다. - 상태 확인을 통과하려면 네트워크 어플라이언스가 보조 또는 루프백 인터페이스를 사용하여 전달 규칙의 IP 주소에 응답해야 합니다.
- 네트워크 어플라이언스는 대칭적인 반환 경로를 보장하기 위해
VMware Engine 트래픽을 VPC 네트워크 피어링에 다음 홉으로 전달하도록 내부 VPC 네트워크의 라우팅 테이블을 설정합니다.
이 구성에서 VMware Engine VM은 인터넷 리소스에 대한 이그레스를 위해 VMware Engine의 인터넷 게이트웨이 서비스를 사용합니다. 하지만 인그레스는 VM에 매핑된 공개 IP 주소에 대해 네트워크 어플라이언스에서 관리됩니다.
NGFW, DDoS 완화, SSL 오프로딩, CDN
이 사용 사례의 요구사항은 다음과 같습니다.
- 공통 프런트엔드로 L7 부하 분산기를 포함하는 VMware Engine 및 Compute Engine 인스턴스로 구성되는 하이브리드 아키텍처와 적합한 백엔드로 트래픽을 라우팅하기 위한 URL 매핑
- IPS/IDS, NGFW, DPI, NAT 솔루션을 사용하여 공개 VMware Engine 워크로드 보호
- Google Cloud Armor를 사용한 공개 VMware Engine 워크로드를 위한 L3—L7 DDoS 마이그레이션
- 공개 대면 VMware Engine 워크로드에 대한 HTTPS 또는 SSL 연결에 사용되는 SSL 버전 및 암호화를 제어하기 위해 Google 관리형 SSL 인증서 또는 SSL 정책을 사용하는 SSL 종료
- 사용자에게 가까운 위치에서 콘텐츠를 제공하기 위해 Cloud CDN을 사용하는 VMware Engine 워크로드에 대한 가속화된 네트워크 제공
다음 다이어그램은 공개 대면 VMware Engine 워크로드를 위해 NGFW 용량, DDoS 완화, SSL 오프로딩, CDN을 프로비저닝하는 데 필요한 리소스를 보여줍니다.
그림 4는 이 아키텍처에서 리소스를 설정하고 구성하기 위해 완료해야 하는 태스크를 보여줍니다. 다음은 추가 정보 및 자세한 지침을 제공하는 문서 링크를 포함하여 각 태스크에 대한 설명입니다.
외부 VPC 네트워크에서 전역 외부 애플리케이션 부하 분산기를 VMware Engine 워크로드에 대한 공개 대면 인그레스 진입점으로 프로비저닝합니다.
- 여러 VMware Engine 워크로드를 지원하도록 여러 전달 규칙을 만듭니다.
- 고유 공개 IP 주소로 각 전달 규칙을 구성하고 HTTP(S) 트래픽을 리슨하도록 설정합니다.
- 네트워크 어플라이언스를 부합 분산기에 대한 백엔드로 구성합니다.
또한 다음을 수행할 수 있습니다.
- 네트워크 어플라이언스를 보호하려면 부하 분산기에서 Google Cloud Armor 보안 정책을 설정합니다.
- CDN 백엔드로 작동하는 네트워크 어플라이언스에 대해 라우팅, 상태 확인, Anycast IP 주소를 지원하려면 네트워크 어플라이언스를 호스팅하는 MIG에 대해 Cloud CDN을 설정합니다.
- 요청을 다른 백엔드로 라우팅하려면 부하 분산기에서 URL 매핑을 설정합니다. 예를 들어
/api
요청을 Compute Engine VM으로 라우팅하고,/images
요청을 Cloud Storage 버킷으로 라우팅하고 네트워크 어플라이언스를 통한/app
요청을 VMware Engine VM으로 라우팅합니다.
VMware Engine에서 공개 대면 애플리케이션을 호스팅하는 VM의 내부 IP 주소에 대해 해당
nic0
인터페이스의 내부 IP 주소에 대해 대상 NAT(DNAT)를 수행하도록 각 네트워크 어플라이언스를 구성합니다.- 네트워크 어플라이언스는 대칭적 반환 경로를 보장하기 위해
nic2
인터페이스(내부 IP 주소)의 소스 트래픽에 대해 SNAT를 수행해야 합니다. - 또한 네트워크 어플라이언스가
nic2
인터페이스를 통해 VMware Engine 네트워크로 대상이 지정된 트래픽을 서브넷 게이트웨이(서브넷의 첫 번째 IP 주소)로 라우팅해야 합니다.
부하 분산기가 Google Front End(GFE) 서비스로 구현되는 프록시 기반 서비스이기 때문에 DNAT 단계가 필요합니다. 클라이언트의 위치에 따라 여러 GFE가 백엔드 네트워크 어플라이언스의 내부 IP 주소로 HTTP(S) 연결을 시작할 수 있습니다. GFE의 패킷은 원래 클라이언트 IP 주소가 아니라 상태 확인 프로브(35.191.0.0/16 및 130.211.0.0/22)에 사용되는 것과 동일한 범위의 소스 IP 주소를 갖습니다. 부하 분산기는
X-Forwarded-For
헤더를 사용하여 클라이언트 IP 주소를 첨부합니다.상태 확인이 통과하려면 보조 또는 루프백 인터페이스를 사용해서 전달 규칙의 IP 주소에 대응하도록 네트워크 어플라이언스를 구성합니다.
- 네트워크 어플라이언스는 대칭적 반환 경로를 보장하기 위해
VMware Engine 트래픽을 VPC 네트워크 피어링에 전달하도록 내부 VPC 네트워크의 라우팅 테이블을 설정합니다.
이 구성에서 VMware Engine VM은 인터넷에 대한 이그레스를 위해 VMware Engine의 인터넷 게이트웨이 서비스를 사용합니다. 하지만 인그레스는 VM의 공개 IP 주소에 대해 네트워크 어플라이언스에서 관리됩니다.
비공개 연결을 위한 NGFW
이 사용 사례의 요구사항은 다음과 같습니다.
- 공통 프런트엔드로 L4 부하 분산기를 포함하는 VMware Engine 및 Compute Engine 인스턴스로 구성되는 하이브리드 아키텍처
- IPS/IDS, NGFW, DPI, NAT 솔루션을 사용하여 비공개 VMware Engine 워크로드 보호
- 온프레미스 네트워크와의 연결을 위한 Cloud Interconnect 또는 Cloud VPN
다음 다이어그램은 VMware Engine 워크로드 및 온프레미스 네트워크 또는 기타 클라우드 공급업체 사이의 비공개 연결을 위해 NGFW를 프로비저닝하는 데 필요한 리소스를 보여줍니다.
그림 5는 이 아키텍처에서 리소스를 설정하고 구성하기 위해 완료해야 하는 태스크를 보여줍니다. 다음은 추가 정보 및 자세한 지침을 제공하는 문서 링크를 포함하여 각 태스크에 대한 설명입니다.
외부 VPC 네트워크에서 모든 트래픽을 리슨하도록 단일 전달 규칙을 사용해서 내부 패스 스루 네트워크 부하 분산기를 프로비저닝합니다. 네트워크 어플라이언스를 부합 분산기에 대한 백엔드로 구성합니다.
VMware Engine 네트워크로 대상이 지정된 트래픽의 다음 홉으로 전달 규칙을 가리키도록 외부 VPC 네트워크의 라우팅 테이블을 설정합니다.
다음과 같이 네트워크 어플라이언스를 구성합니다.
- VMware Engine 네트워크로 대상이 지정된 트래픽을
nic2
인터페이스를 통해 서브넷 게이트웨이(서브넷의 첫 번째 IP 주소)로 라우팅합니다. - 상태 확인이 통과하려면 보조 또는 루프백 인터페이스를 사용해서 전달 규칙의 IP 주소에 대응하도록 네트워크 어플라이언스를 구성합니다.
- 내부 부하 분산기에 대해 전달할 상태 확인에 대해 적절한 라우팅을 보장하도록 여러 가상 라우팅 도메인을 구성합니다. 이 단계는 공개 범위(35.191.0.0/16 및 130.211.0.0/22)로 소싱되는 상태 확인 트래픽을 반환하도록
nic2
인터페이스를 허용하기 위해 필요합니다. 네트워크 어플라이언스의 기본 경로는nic0
인터페이스를 가리킵니다. 부하 분산기 상태 확인을 위한 IP 범위에 대한 자세한 내용은 프로브 IP 범위 및 방화벽 규칙을 참조하세요.
- VMware Engine 네트워크로 대상이 지정된 트래픽을
VMware Engine 트래픽을 VPC 네트워크 피어링에 다음 홉으로 전달하도록 내부 VPC 네트워크의 라우팅 테이블을 설정합니다.
VMware Engine에서 원격 네트워크로 시작된 트래픽 또는 반환 트래픽에 대해 VPC 네트워크 피어링을 통해 비공개 서비스 액세스 VPC 네트워크로 공지되는 다음 홉으로 내부 패스 스루 네트워크 부하 분산기를 구성합니다.
인터넷에 대한 중앙화된 이그레스
이 사용 사례의 요구사항은 다음과 같습니다.
- 인터넷 이그레스를 위해 중앙화된 URL 필터링, 로깅 및 트래픽 적용
- Cloud Marketplace에서 네트워크 어플라이언스를 사용하는 VMware Engine 워크로드에 대한 맞춤설정된 보호
다음 다이어그램은 VMware Engine 워크로드에서 인터넷으로 중앙화된 이그레스 포인트를 프로비저닝하는 데 필요한 리소스를 보여줍니다.
그림 6은 이 아키텍처에서 리소스를 설정하고 구성하기 위해 완료해야 하는 태스크를 보여줍니다. 다음은 추가 정보 및 자세한 지침을 제공하는 문서 링크를 포함하여 각 태스크에 대한 설명입니다.
내부 VPC 네트워크에서 VMware Engine 워크로드에 대한 이그레스 진입점으로 내부 패스 스루 네트워크 부하 분산기를 프로비저닝합니다.
- 모든 트래픽을 리슨하도록 단일 전달 규칙을 만듭니다.
- 네트워크 어플라이언스를 부합 분산기에 대한 백엔드로 구성합니다.
공개 IP 주소(
nic0
)의 트래픽을 SNAT하도록 네트워크 어플라이언스를 구성합니다. 상태 확인이 통과하려면 보조 또는 루프백 인터페이스를 사용해서 네트워크 어플라이언스가 전달 규칙의 IP 주소에 대응해야 합니다.내부 부하 분산기의 전달 규칙을 다음 홉으로 사용하여 비공개 서비스 액세스 VPC 네트워크에 대해 VPC 네트워크 피어링을 통해 기본 경로를 공지하도록 내부 VPC 네트워크를 구성합니다.
인터넷 게이트웨이 대신 네트워크 어플라이언스를 통해 트래픽 이그레스를 허용하려면 온프레미스 연결을 통해 인터넷 트래픽 라우팅을 사용 설정할 때와 동일한 프로세스를 사용합니다.
다음 단계
- VMware Engine 자세히 알아보기
- VPC 네트워크 설계 권장사항 검토
- VMware Engine 네트워킹 알아보기
- Cloud Load Balancing 알아보기.
- Google Cloud에서 중앙화된 네트워크 어플라이언스 설정 알아보기
- Cloud Marketplace 살펴보기