메시 패턴은 하이브리드 네트워크 아키텍처 설정을 기반으로 합니다. 이 아키텍처는 여러 컴퓨팅 환경에 걸쳐 있습니다. 이러한 환경에서는 모든 시스템이 서로 통신할 수 있고 애플리케이션의 보안 요구사항을 기반으로 하는 단방향 통신으로 제한되지 않습니다. 이 네트워킹 패턴은 계층형 하이브리드, 파티션을 나눈 멀티 클라우드, 버스팅 아키텍처에 주로 적용됩니다. 또한 Google Cloud에서 재해 복구(DR) 환경을 프로비저닝하는 비즈니스 연속성 설계에 적용될 수 있습니다. 모든 경우에 다음 통신 요구사항에 맞는 방법으로 컴퓨팅 환경을 연결해야 합니다.
- 워크로드는 비공개 RFC 1918 IP 주소를 사용하여 환경 경계에서 서로 통신할 수 있습니다.
- 통신은 어느 쪽에서나 시작할 수 있습니다. 통신 모델의 사양은 이어지는 설계 옵션에서 논의하는 통신 모델과 같은 애플리케이션 및 보안 요구사항에 따라 달라질 수 있습니다.
- 사용하는 방화벽 규칙은 해당 패턴이 설계된 애플리케이션의 요구사항에 따라 특정 IP 주소 소스와 대상 사이의 트래픽을 허용해야 합니다. 이상적으로는 컴퓨팅 환경 사이에 그리고 환경 내에서 멀티 레이어 보안 접근 방법을 사용하여 미세 조정된 방식으로 트래픽 흐름을 제한할 수 있습니다.
아키텍처
다음 다이어그램은 메시 패턴의 상위 수준의 참조 아키텍처를 보여줍니다.
- 모든 환경은 겹치지 않는 RFC 1918 IP 주소 공간을 사용해야 합니다.
- Google Cloud 측에서는 단일 또는 다중 공유 VPC 또는 비공유 VPC에 워크로드를 배포할 수 있습니다. 이 패턴의 다른 가능한 설계 옵션은 이어지는 설계 변형을 참조하세요. VPC의 선택한 구조는 조직의 프로젝트 및 리소스 계층 구조 설계와 일치해야 합니다.
- Google Cloud의 VPC 네트워크는 다른 컴퓨팅 환경으로 확장됩니다. 이러한 환경은 온프레미스이거나 다른 클라우드에 있을 수 있습니다. 비즈니스 및 애플리케이션 요구사항을 충족하는 하이브리드 및 멀티 클라우드 네트워킹 연결 중 하나를 사용합니다.
소스 및 대상의 허용되는 IP 주소로만 통신을 제한합니다. 다음 기능을 사용하거나 조합합니다.
네트워크 경로에 배치된 차세대 방화벽(NGFW) 검사 기능을 사용하는 네트워크 가상 어플라이언스(NVA)
침입 방지 서비스(IPS)를 사용해서 네트워크 설계 또는 라우팅을 변경하지 않고 위협 방지를 위해 심층 패킷 검사를 구현하는 Cloud Next Generation Firewall Enterprise
변형
메시 아키텍처 패턴은 다른 설계 요구사항을 충족하기 위해 다른 접근 방법과 함께 조합할 수 있으며, 패턴의 통신 요구사항을 고려할 수 있습니다. 패턴 옵션에 대해서는 다음 섹션에서 설명합니다.
환경당 하나의 VPC
환경당 하나의 VPC 옵션을 고려할만한 일반적인 이유는 다음과 같습니다.
- 클라우드 환경에서는 조직의 리소스 계층 구조 설계에 맞게 VPC 네트워크와 리소스를 네트워크 수준에서 분리해야 합니다.
관리 도메인 분리가 필요하면 환경당 개별 프로젝트와 조합할 수도 있습니다.
- 공통 네트워크에서 네트워크 리소스를 중앙에서 관리하고 여러 환경 간에 네트워크 격리를 제공하기 위해서는 개발, 테스트, 프로덕션과 같이 Google Cloud에 있는 각 환경에 대한 공유 VPC를 사용합니다.
- 단일 VPC 또는 프로젝트의 VPC 할당량을 초과할 필요가 있을 수 있는 확장 요구사항
다음 다이어그램에 표시된 것처럼 환경당 하나의 VPC 설계에서는 각 VPC가 VPN 또는 여러 VLAN 연결이 포함된 Cloud Interconnect를 사용해서 온프레미스 환경 또는 다른 클라우드 환경과 직접 통합할 수 있습니다.
이전 다이어그램에 표시된 패턴은 랜딩 영역 허브 및 스포크 네트워크 토폴로지에 적용될 수 있습니다. 이 토폴로지에서는 단일(또는 다중) 하이브리드 연결을 모든 스포크 VPC와 공유할 수 있습니다. 하이브리드 연결과 기타 스포크 VPC를 모두 종료하기 위해 전송 VPC를 사용하여 공유됩니다. 또한 다음 섹션 "중앙화된 애플리케이션 레이어 방화벽 사용"에 설명된 대로 전송 VPC에서 차세대 방화벽을 지원하는 NVA(NGFW) 조사 기능을 추가하여 이 설계를 확장할 수 있습니다.
중앙 집중식 애플리케이션 레이어 방화벽 사용
기술 요구사항에 따라 애플리케이션 레이어(레이어 7) 및 클라우드 차세대 방화벽의 기능을 초과하는 고급 방화벽 기능과 함께 심층 패킷 검사를 고려해야 할 경우에는 NVA에서 호스팅되는 NGFW 어플라이언스를 사용할 수 있습니다. 하지만 이러한 NVA는 조직의 보안 요구를 충족해야 합니다. 이러한 메커니즘을 구현하기 위해서는 다음 다이어그램에 표시된 것처럼 중앙 집중식 NVA 방화벽을 통해 모든 교차 환경 트래픽을 전달하도록 토폴로지를 확장할 수 있습니다.
중앙 집중식 어플라이언스가 포함된 허브 및 스포크 토폴로지를 사용하여 랜딩 영역 설계에서 다음 다이어그램의 패턴을 적용할 수 있습니다.
이전 다이어그램에 표시된 것처럼 NVA는 경계 보안 레이어로 작동하며 인라인 트래픽 조사를 사용 설정하기 위한 기초로 사용됩니다. 또한 엄격한 액세스 제어 정책을 적용합니다. 동서 및 북남 트래픽 흐름을 모두 조사하기 위해서는 중앙 집중식 NVA 설계에 여러 수준의 보안 액세스 제어가 지원되는 다중 세그먼트가 포함될 수 있습니다.
마이크로서비스 제로 트러스트 분산 아키텍처
컨테이너화된 애플리케이션이 사용된 경우에는 미러링 패턴 섹션에서 논의된 마이크로서비스 제로 트러스트 분산 아키텍처를 이 아키텍처 패턴에도 적용할 수 있습니다.
이 패턴과 미러링 패턴 사이의 주요 차이점은 Google Cloud의 워크로드와 다른 환경 사이의 통신 모델을 어느 쪽에서든 시작할 수 있다는 것입니다. 서비스 메시를 사용해서 애플리케이션 요구사항과 보안 요구사항을 기반으로 트래픽을 제어하고 미세 조정해야 합니다.
메시 패턴 권장사항
- 다른 작업을 수행하기 전 리소스 계층 구조 설계와 프로젝트 및 VPC를 지원하는 데 필요한 설계를 결정합니다. 이렇게 하면 Google Cloud 프로젝트의 구조와 일치하는 최적의 네트워킹 아키텍처를 선택하는 데 도움이 됩니다.
- 비공개 컴퓨팅 환경 및 Google Cloud 내에서 Kubernetes를 사용할 때 제로 트러스트 분산 아키텍처를 사용합니다.
설계에서 중앙 집중식 NVA를 사용할 때는 다른 수준의 보안 액세스 제어와 트래픽 조사 정책을 사용해서 여러 세그먼트를 정의해야 합니다. 애플리케이션의 보안 요구사항을 기준으로 이러한 제어 및 정책을 정의합니다. 자세한 내용은 Google Cloud의 중앙 집중식 네트워크 어플라이언스를 참조하세요.
NVA가 포함된 솔루션을 설계할 때는 모든 통신을 차단할 수 있는 단일 장애 지점을 방지하기 위해 NVA의 고가용성(HA)을 고려해야 합니다. NVA를 제공하는 Google Cloud 보안 공급업체에서 제공되는 HA 및 중복성 설계와 구현 안내를 따르세요.
향상된 개인 정보 보호, 데이터 무결성, 제어 통신 모델을 제공하려면 Apigee 및 엔드 투 엔드 mTLS가 포함된 Apigee Hybrid와 같은 API 게이트웨이를 사용해서 API를 통해 애플리케이션을 노출합니다. 또한 동일한 조직 리소스에서 공유 Apigee 지원 VPC를 사용할 수 있습니다.
솔루션 설계를 위해 공개 인터넷에 대한 Google Cloud 기반 애플리케이션 노출이 필요하면 인터넷 연결 애플리케이션 배포를 위한 네트워킹에서 논의하는 설계 권장사항을 고려하세요.
프로젝트에서 Google Cloud 서비스를 보호하고 데이터 무단 반출 위험을 줄이기 위해서는 VPC 서비스 제어를 사용하여 프로젝트 및 VPC 네트워크 수준에서 서비스 경계를 지정합니다. 또한 승인된 VPN 또는 Cloud Interconnect를 통해 하이브리드 환경으로 서비스 경계를 확장할 수 있습니다. 서비스 경계의 이점에 대한 자세한 내용은 VPC 서비스 제어 개요를 참조하세요.
하이브리드 및 멀티 클라우드 네트워킹 패턴에 대한 일반적인 권장사항을 참조하세요.
Google Cloud에서 호스팅되는 애플리케이션과 다른 환경의 애플리케이션 간에 더 엄격한 격리와 보다 미세 조정된 액세스를 적용하기 위해서는 이 시리즈의 다른 문서에서 논의하는 게이트 패턴 중 하나를 사용합니다.