하이브리드 및 멀티 클라우드 네트워크를 설계할 때는 다양한 요소가 아키텍처 선택에 영향을 미칩니다. 하이브리드 및 멀티 클라우드 네트워킹 설계를 분석할 때는 다음 설계 고려사항을 고려하세요. 일관된 아키텍처를 빌드하려면 이러한 고려사항을 개별적으로 평가하지 말고 종합적으로 평가하세요.
하이브리드 및 멀티 클라우드 연결
하이브리드 및 멀티 클라우드 연결은 온프레미스, Google Cloud, 기타 클라우드 환경을 연결하는 통신 연결을 의미합니다. 하이브리드 및 멀티 클라우드 아키텍처를 성공적으로 구현하려면 적절한 연결 방법을 선택하는 것이 중요합니다. 이러한 연결은 모든 환경 간 트래픽을 전송하기 때문입니다. 대역폭, 지연 시간, 패킷 손실, 지터와 같은 네트워크 성능 문제는 비즈니스 애플리케이션 및 서비스의 성능에 직접적인 영향을 미칠 수 있습니다.
온프레미스 환경과 Google Cloud 또는 다른 클라우드 간의 연결을 위해 Google Cloud는 다음과 같이 선택할 수 있는 여러 연결 옵션을 제공합니다.
공개 IP 주소를 사용하는 인터넷 기반 연결:
인터넷을 통해 Google Cloud와 온프레미스 환경 또는 다른 클라우드 환경 간에 데이터를 전송합니다. 이 옵션은 인스턴스의 공개 외부 IP 주소를 사용합니다. 애플리케이션 계층 전송 중인 데이터 암호화를 함께 사용하는 것이 좋습니다.
공개 인터넷을 통한 전송 계층 보안(TLS) 암호화를 사용한 API를 통한 보안 연결. 이 옵션을 사용하려면 인터넷에서 공개적으로 애플리케이션 또는 대상 API에 액세스할 수 있어야 하며 애플리케이션이 전송 중인 데이터 암호화를 수행해야 합니다.
Cloud VPN 또는 고객 관리 VPN 게이트를 사용하는 공개 인터넷을 통한 비공개 보안 연결. 이 옵션에는 Google Cloud 파트너의 소프트웨어 정의 WAN(SD-WAN) 솔루션을 비롯한 네트워크 가상 어플라이언스(NVA)를 사용하는 것이 포함됩니다. 이러한 솔루션은 Google Cloud Marketplace에서 제공됩니다.
더 결정론적인 성능을 제공하고 SLA가 있는 Cloud Interconnect(Dedicated Interconnect 또는 Partner Interconnect)를 사용하는 비공개 전송을 통한 비공개 연결. 네트워크 연결 레이어에서 전송 중인 데이터를 암호화해야 하는 경우 Cloud Interconnect를 통한 HA VPN 또는 Cloud Interconnect용 MACsec를 사용할 수 있습니다.
Cross-Cloud Interconnect는 멀티 클라우드 환경을 사용하는 기업에게 클라우드(Google Cloud와 특정 위치에서 지원되는 클라우드 서비스 제공업체 간)에서 비공개 및 보안 연결을 설정할 수 있는 기능을 제공합니다. 이 옵션은 99.9% 및 99.99%의 고가용성 옵션으로 회선 속도 성능을 제공하므로 인프라 관리의 복잡성과 비용 없이 총소유비용(TCO)을 낮출 수 있습니다. 또한 보안 강화를 위해 네트워크 연결 레이어에서 전송 중인 데이터 암호화가 필요한 경우 Cross-Cloud Interconnect는 Cloud Interconnect용 MACsec 암호화를 지원합니다.
클라우드 솔루션 아키텍처 사용 사례에 적합한 경우 Network Connectivity Center를 사용하는 것이 좋습니다. Network Connectivity Center는 허브라는 중앙 관리 리소스에 연결된 가상 프라이빗 클라우드(VPC), 라우터 어플라이언스 또는 하이브리드 연결과 같은 스포크 리소스 간에 네트워크 연결을 제공하는 조정 프레임워크입니다. Network Connectivity Center 허브는 VPC 스포크 또는 하이브리드 스포크를 지원합니다. 자세한 내용은 VPC 연결을 통한 경로 교환을 참조하세요. 또한 Cloud Router 인스턴스와의 경로 교환을 용이하게 하기 위해 Network Connectivity Center는 서드 파티 네트워크 가상 어플라이언스의 통합을 지원합니다. 이 통합에는 Google Cloud Network Connectivity Center 파트너가 지원하는 서드 파티 SD-WAN 라우터가 포함됩니다.
다양한 하이브리드 및 멀티 클라우드 연결 옵션이 제공되므로 가장 적합한 옵션을 선택하려면 비즈니스 및 기술 요구사항을 철저히 평가해야 합니다. 이러한 요구사항에는 다음 요소가 포함됩니다.
- 네트워크 성능
- 보안
- 비용
- 신뢰성 및 SLA
- 확장성
Google Cloud 연결 옵션을 선택하는 방법에 관한 자세한 내용은 네트워크 연결 제품 선택을 참조하세요. 멀티 클라우드 아키텍처의 요구사항을 충족하는 네트워크 연결 옵션을 선택하는 방법에 관한 안내는 다른 클라우드 서비스 제공업체를 Google Cloud와 연결하기 위한 패턴을 참조하세요.
Google Cloud 프로젝트 및 VPC
이 가이드에서 설명하는 네트워킹 아키텍처 패턴은 단일 프로젝트 또는 지원되는 경우 여러 프로젝트에서 사용할 수 있습니다. Google Cloud의 프로젝트에는 단일 관리 도메인이 있는 관련 서비스와 워크로드가 포함됩니다. 프로젝트는 다음 프로세스의 기반을 형성합니다.
- Google Cloud 서비스 만들기, 사용 설정, 사용
- 서비스 API 관리
- 결제 사용 설정
- 공동작업자 추가 및 삭제
- 권한 관리
프로젝트에는 하나 이상의 VPC 네트워크가 포함될 수 있습니다. 조직 또는 프로젝트에서 사용하는 애플리케이션의 구조에 따라 단일 프로젝트를 사용할지 아니면 여러 프로젝트를 사용할지 결정해야 합니다. 조직 또는 애플리케이션의 구조에 따라 VPC를 사용하는 방법도 결정해야 합니다. 자세한 내용은 Google Cloud 시작 영역의 리소스 계층 구조 결정을 참조하세요.
다음 요소는 하나 이상의 프로젝트에 단일 VPC, 여러 VPC 또는 공유 VPC를 사용할지 결정하는 데 영향을 줄 수 있습니다.
- 조직 리소스 계층 구조
- 워크로드 간의 네트워크 트래픽, 통신, 관리 도메인 요구사항
- 보안 요구사항
- 보안 요구사항에 따라 특정 네트워크 또는 애플리케이션 간의 경로에 있는 서드 파티 NVA의 레이어 7 방화벽 검사가 필요할 수 있습니다.
- 리소스 관리
- 네트워크 운영팀이 네트워킹 리소스를 관리하는 관리 모델을 사용하는 기업에서는 팀 수준에서 워크로드를 분리해야 할 수 있습니다.
VPC 사용 결정
- 여러 Google Cloud 프로젝트에서 공유 VPC를 사용하면 워크로드 또는 팀별로 여러 개의 개별 VPC를 유지할 필요가 없습니다.
- 공유 VPC를 사용하면 다음과 같은 기술적 요소를 포함하여 호스트 VPC 네트워킹을 중앙 집중식으로 관리할 수 있습니다.
- 피어링 구성
- 서브넷 구성
- Cloud Firewall 구성
- 권한 구성
단일 VPC의 리소스 한도를 초과하지 않고 확장 요구사항을 충족하기 위해 두 개 이상의 VPC(또는 공유 VPC)를 사용해야 할 수도 있습니다.
자세한 내용은 여러 VPC 네트워크 생성 여부 결정을 참조하세요.
DNS 확인
하이브리드 및 멀티 클라우드 아키텍처에서 도메인 이름 시스템(DNS)은 통신이 허용되는 환경 간에 확장되고 통합되어야 합니다. 이 작업은 다양한 서비스와 애플리케이션 간에 원활한 통신을 제공하는 데 도움이 됩니다. 이러한 환경 간에 비공개 DNS 변환도 유지됩니다.
Google Cloud를 사용하는 하이브리드 및 멀티 클라우드 아키텍처에서 DNS 피어링 및 DNS 전달 기능을 사용하여 여러 환경 간에 DNS 통합을 사용 설정할 수 있습니다. 이러한 DNS 기능을 사용하면 다양한 네트워킹 통신 모델에 맞게 여러 사용 사례를 다룰 수 있습니다. 기술적으로는 DNS 전달 영역을 사용하여 온프레미스 DNS 서버를 쿼리하고 인바운드 DNS 서버 정책을 사용하여 온프레미스 환경의 쿼리를 허용할 수 있습니다. DNS 피어링을 사용하여 Google Cloud 환경 내에서 DNS 요청을 전달할 수도 있습니다.
자세한 내용은 Cloud DNS 권장사항 및 Google Cloud를 사용하는 하이브리드 DNS용 참조 아키텍처를 참조하세요.
하이브리드 설정에서 Cloud DNS 가용성을 유지하기 위한 중복 메커니즘에 관해 알아보려면 DNS가 아님: 하이브리드 클라우드 환경에서 고가용성 보장을 참고하세요. AWS와 Google Cloud 간에 멀티 클라우드 비공개 DNS를 설계하고 구성하는 방법을 보여주는 데모도 시청하세요.
클라우드 네트워크 보안
클라우드 네트워크 보안은 클라우드 보안의 기본 레이어입니다. 네트워크 경계가 해체되는 위험을 관리할 수 있도록 기업이 보안 모니터링, 위협 방지, 네트워크 보안 제어를 포함할 수 있게 해줍니다.
네트워크 보안에 대한 표준 온프레미스 접근 방식은 주로 인터넷 에지와 조직의 내부 네트워크 간에 구분된 경계를 기반으로 합니다. 물리적 방화벽, 라우터, 침입 감지 시스템 등 네트워크 경로에서 다양한 다층 보안 예방 시스템을 사용합니다.
클라우드 기반 컴퓨팅을 사용해도 특정 사용 사례에는 이 접근 방식이 여전히 적용됩니다. 하지만 자동 확장 및 컨테이너화된 워크로드와 같은 클라우드 워크로드의 확장성과 분산된 동적 특성을 자체적으로 처리하기에는 충분하지 않습니다. 클라우드 네트워크 보안 접근 방식을 사용하면 여러 클라우드 중심 기능을 통해 위험을 최소화하고, 규정 준수 요구사항을 충족하고, 안전하고 효율적인 운영을 보장할 수 있습니다. 자세한 내용은 클라우드 네트워크 보안 이점을 참조하세요. 네트워크를 보호하려면 클라우드 네트워크 보안 문제 및 일반적인 클라우드 네트워크 보안 권장사항도 참조하세요.
하이브리드 클라우드 아키텍처를 채택하려면 온프레미스 접근 방식을 복제하는 것 이상의 보안 전략이 필요합니다. 이러한 접근 방식을 복제하면 설계 유연성이 제한될 수 있습니다. 또한 클라우드 환경을 보안 위협에 노출시킬 수도 있습니다. 대신 먼저 회사의 보안 요구사항을 충족하는 사용 가능한 클라우드 중심 네트워크 보안 기능을 파악해야 합니다. 이러한 기능을 네트워크 가상 어플라이언스와 같은 Google Cloud 기술 파트너의 서드 파티 보안 솔루션과 결합해야 할 수도 있습니다.
멀티 클라우드 아키텍처의 여러 환경에서 일관된 아키텍처를 설계하려면 각 클라우드 제공업체에서 제공하는 다양한 서비스와 기능을 파악하는 것이 중요합니다. 어떤 경우든 모든 환경에서 가시성을 제공하는 통합된 보안 상황을 사용하는 것이 좋습니다.
하이브리드 클라우드 아키텍처 환경을 보호하려면 심층 방어 원칙을 사용하는 것도 고려해야 합니다.
마지막으로 처음부터 네트워크 보안을 염두에 두고 클라우드 솔루션을 설계합니다. 초기 설계 과정에서 필요한 모든 기능을 통합합니다. 이러한 초기 작업을 거치면 설계 과정에서 나중에 보안 기능을 통합하기 위해 설계를 대폭 변경하지 않아도 됩니다.
하지만 클라우드 보안은 네트워킹 보안에만 국한되지 않습니다. 개발부터 프로덕션, 운영에 이르기까지 전체 애플리케이션 스택의 전체 애플리케이션 개발 수명 주기에 걸쳐 적용되어야 합니다. 다층 보호(심층 방어 접근 방식)와 보안 가시성 도구를 사용하는 것이 좋습니다. Google Cloud에서 안전한 서비스를 설계하고 운영하는 방법에 대한 자세한 내용은 Google Cloud 아키텍처 프레임워크의 보안, 개인 정보 보호, 규정 준수 요소를 참조하세요.
다양한 위협으로부터 중요한 데이터와 인프라를 보호하려면 클라우드 보안에 대한 포괄적인 접근 방식을 채택하세요. 기존 위협에 대비하려면 보안 전략을 지속적으로 평가하고 조정해야 합니다.