Google Cloud 시작 영역 네트워크 설계 구현

이 문서에서는 Google Cloud 시작 영역의 네트워크 설계 결정을 검토한 후 선택한 네트워크 설계를 구현하기 위한 단계와 안내를 제공합니다 아직 선택하지 않았다면 Google Cloud의 시작 영역 설계를 검토하여 옵션을 선택합니다.

이 안내는 조직의 시작 영역에 맞게 네트워크 설계를 만드는 데 필요한 네트워크 엔지니어, 설계자, 기술 담당자를 대상으로 합니다.

네트워크 설계 옵션

선택한 네트워크 설계에 따라 다음 중 하나를 완료합니다.

• 설계 옵션 1: 각 환경의 공유 VPC 네트워크
• 설계 옵션 2: 중앙 집중식 어플라이언스를 사용하는 허브 및 스포크 토폴로지
• 설계 옵션 3: 어플라이언스가 없는 허브 및 스포크 토폴로지
• 설계 옵션 4: Private Service Connect를 사용하여 소비자 제작자 모델의 서비스 노출

설계 옵션 1: 각 환경의 공유 VPC 네트워크

'Google Cloud 시작 영역의 네트워크 설계 결정'에서 각 환경의 공유 VPC 네트워크를 만들도록 선택한 경우 다음 절차를 따르세요.

다음 단계에서는 시작 영역의 단일 인스턴스를 만듭니다. 둘 이상의 시작 영역(개발용 및 프로덕션용)이 필요하면 각 시작 영역에서 해당 단계를 반복합니다.

조직 정책을 사용하여 외부 액세스 제한

인터넷 액세스는 인터넷 액세스가 필요한 리소스로만 제한하는 것이 좋습니다. 외부 주소가 없는 리소스도 비공개 Google 액세스를 통해 많은 Google API 및 서비스에 액세스할 수 있습니다. 비공개 Google 액세스는 서브넷 수준에서 사용 설정되며 리소스가 공개 인터넷으로부터 격리되는 동안 주요 Google 서비스와 상호작용할 수 있게 해줍니다.

사용성을 위해 사용자가 올바른 IAM 권한이 있으면 모든 프로젝트에서 리소스를 만들 수 있습니다. 보안을 강화하려면 의도하지 않은 인터넷 액세스를 유발할 수 있는 리소스 유형에 기본 권한을 제한하는 것이 좋습니다. 그런 다음 특정 프로젝트만 승인하여 이러한 리소스를 만들 수 있습니다. 조직 정책 만들기 및 관리의 안내에 따라 다음 제약조건을 설정합니다.

IP 주소 유형에 따라 프로토콜 전달 제한

프로토콜 전달은 외부 IP 주소를 사용하여 전달 규칙 리소스를 설정하고 트래픽을 VM으로 전달할 수 있습니다.

IP 주소 유형에 따라 프로토콜 전달 제한 제약조건은 전체 조직의 외부 IP 주소로 전달 규칙을 만들지 못하게 합니다. 외부 전달 규칙을 사용하도록 승인된 프로젝트의 경우 폴더 또는 프로젝트 수준에서 제약조건을 수정할 수 있습니다.

이 제약조건을 구성하려면 다음 값을 설정합니다.

• 적용 대상: 맞춤설정
• 정책 시행: 바꾸기
• 정책 값: 커스텀
• 정책 유형: 거부
• 커스텀 값: IS:EXTERNAL

VM 인스턴스에 허용되는 외부 IP 정의

기본적으로 개별 VM 인스턴스는 외부 IP 주소를 가져올 수 있으므로 인터넷과의 아웃바운드 및 인바운드 연결을 모두 허용합니다.

VM 인스턴스에 허용되는 외부 IP 정의 제약조건을 적용하면 VM 인스턴스에서 외부 IP 주소가 사용되지 않습니다. 개별 VM 인스턴스에 외부 IP 주소가 필요한 워크로드의 경우 폴더 또는 프로젝트 수준에서 제약조건을 수정하여 개별 VM 인스턴스를 지정합니다. 또는 관련 프로젝트의 제약조건을 재정의합니다.

• 적용 대상: 맞춤설정
• 정책 시행: 바꾸기
• 정책 값: 모두 거부

VPC 외부 IPv6 사용량 사용 중지

VPC 외부 IPv6 사용 중지 제약조건이 True로 설정되면 VM 인스턴스의 외부 IPv6 주소로 VPC 서브넷을 구성하지 못합니다.

• 적용 대상: 맞춤설정
• 적용: 사용

기본 네트워크 생성 사용 중지

새 프로젝트를 만들 때 기본 VPC가 자동으로 생성됩니다. 이는 특정 네트워크 구성이나 대규모 엔터프라이즈 네트워킹 환경과의 통합이 필요하지 않은 빠른 실험에 유용합니다.

새 프로젝트의 기본 VPC 생성을 중지하려면 기본 네트워크 생성 건너뛰기 제약조건을 구성하세요. 필요한 경우 프로젝트 내에서 기본 네트워크를 수동으로 만들 수 있습니다.

• 적용 대상: 맞춤설정
• 적용: 사용

방화벽 규칙 설계

방화벽 규칙을 사용하면 개발자가 정의한 구성에 따라 VM과의 트래픽을 허용하거나 거부할 수 있습니다. 계층식 방화벽 정책은 조직 및 폴더 수준에서 구현되고 네트워크 방화벽 정책은 리소스 계층 구조의 VPC 네트워크 수준에서 구현됩니다. 이러한 기능을 함께 사용하면 워크로드를 보호하는 데 도움이 되는 중요한 기능을 이용할 수 있습니다.

방화벽 정책이 적용되는 위치에 관계없이 방화벽 규칙을 설계하고 평가할 때 다음 가이드라인을 따르세요.

• 최소 권한(마이크로세그멘테이션이라고도 함) 원칙을 구현합니다. 기본적으로 모든 트래픽을 차단하고 필요한 특정 트래픽만 허용합니다. 여기에는 각 워크로드에 필요한 프로토콜 및 포트로만 규칙을 제한하는 것이 포함됩니다.
• 방화벽 동작을 파악하고 방화벽 통계를 사용하려면 방화벽 규칙 로깅을 사용 설정합니다.
• 방화벽 규칙 우선순위 지정을 위한 번호 지정 방법을 정의합니다. 예를 들어 이슈 대응 중 필요한 규칙에 대해 각 정책에서 낮은 수의 범위를 예약하는 것이 좋습니다. 또한 특정 규칙이 일반 규칙에 의해 섀도잉되지 않도록 일반적인 규칙보다 높은 특정 규칙의 우선순위를 지정하는 것이 좋습니다. 다음 예시는 방화벽 규칙 우선순위에 가능한 접근방식을 보여줍니다.

방화벽 규칙 우선순위 범위	목적
0-999	이슈 대응을 위해 예약됨
1000-1999	항상 차단된 트래픽
2000-1999999999	워크로드별 규칙
2000000000-2100000000	포괄 규칙
2100000001-2147483643	예약됨

계층식 방화벽 정책 구성

계층식 방화벽 정책을 사용하면 조직 전체에 일관된 방화벽 정책을 만들고 적용할 수 있습니다. 계층식 방화벽 정책 사용 예시는 계층식 방화벽 정책 예시를 참조하세요.

계층식 방화벽 정책을 정의하여 다음 네트워크 액세스 제어를 구현합니다.

• TCP 전달을 위한 IAP(Identity-Aware Proxy). TCP 전달을 위한 IAP는 TCP 포트 22 및 3389에 대해 IP 범위 35.235.240.0/20에서 들어오는 인그레스 트래픽을 허용하는 보안 정책을 통해 허용됩니다.
• Cloud Load Balancing 상태 점검. 상태 점검에 사용되는 잘 알려진 범위가 허용됩니다.
  • 대부분의 Cloud Load Balancing 인스턴스(내부 TCP/UDP 부하 분산, 내부 HTTP(S) 부하 분산, 외부 TCP 프록시 부하 분산, 외부 SSL 프록시 부하 분산, HTTP(S) 부하 분산)에서는 80 및 443 포트에 IP 범위 35.191.0.0/16 및 130.211.0.0/22의 인그레스 트래픽을 허용하는 보안 정책이 정의됩니다.
  • 네트워크 부하 분산의 경우 포트 80 및 443에 IP 범위 35.191.0.0/16, 209.85.152.0/22, 209.85.204.0/22의 인그레스 트래픽을 허용하여 기존 상태 점검을 사용 설정하는 보안 정책이 정의됩니다.

공유 VPC 환경 구성

공유 VPC 설계를 구현하기 전에 서비스 프로젝트와 서브넷을 공유하는 방법을 결정합니다. 서비스 프로젝트를 호스트 프로젝트에 연결합니다. 서비스 프로젝트에 사용할 수 있는 서브넷을 확인하려면 호스트 프로젝트 또는 개별 서브넷에 IAM 권한을 할당합니다. 예를 들어 각 서비스 프로젝트에 다른 서브넷을 전용으로 지정하거나 서비스 프로젝트 간에 동일한 서브넷을 공유하도록 선택할 수 있습니다.

1. 공유 VPC의 새 프로젝트 만들기 이 프로세스의 후반에는 이 프로젝트가 호스트 프로젝트가 되어 서비스 프로젝트와 공유할 네트워크 및 네트워킹 리소스가 포함됩니다.
2. 호스트 프로젝트에 Compute Engine API를 사용 설정합니다.
3. 프로젝트에 대한 공유 VPC를 구성합니다.
4. 호스트 프로젝트에서 커스텀 모드 VPC 네트워크를 만듭니다.
5. 워크로드를 배포할 리전에서 서브넷을 만듭니다. 각 서브넷에 외부 IP 주소가 없는 VM 인스턴스가 Google 서비스에 도달할 수 있도록 비공개 Google 액세스를 사용 설정합니다.

Cloud NAT 구성

특정 리전의 워크로드에 아웃바운드 인터넷 액세스가 필요한 경우(예: 소프트웨어 패키지 또는 업데이트 다운로드) 다음 단계를 따르세요.

1. 워크로드에서 아웃바운드 인터넷 액세스가 필요한 리전에 Cloud NAT 게이트웨이를 만듭니다. 필요한 경우 특정 서브넷의 아웃바운드 연결만 허용하도록 Cloud NAT 구성을 맞춤설정할 수 있습니다.
2. 게이트웨이가 최소한 ERRORS_ONLY를 로깅할 수 있도록 Cloud NAT 로깅을 사용 설정합니다. Cloud NAT에서 수행되는 변환에 대한 로그를 포함하려면 ALL을 로깅하도록 각 게이트웨이를 구성합니다.

하이브리드 연결 구성

Dedicated Interconnect, Partner Interconnect 또는 Cloud VPN을 사용하여 시작 영역에 하이브리드 연결을 제공할 수 있습니다. 다음 단계에서는 이 설계 옵션에 필요한 초기 하이브리드 연결 리소스를 만듭니다.

1. Dedicated Interconnect를 사용하는 경우 다음을 수행합니다. Partner Interconnect 또는 Cloud VPN을 사용 중인 경우 다음 단계를 건너뛸 수 있습니다.
   1. 실제 상호 연결 포트를 위한 별도의 프로젝트를 만듭니다.
   2. 프로젝트에서 Compute Engine API를 사용 설정합니다.
   3. Dedicated Interconnect 연결을 만듭니다.
2. VPC 네트워크에서 하이브리드 연결을 종료하는 각 리전마다 다음을 수행합니다.
   1. 각 에지 가용성 영역당 하나씩 두 개의 Dedicated 또는 Partner VLAN 연결을 만듭니다. 이 프로세스의 일부로 Cloud Router를 선택하고 BGP 세션을 만듭니다.
   2. 피어 네트워크(온프레미스 또는 기타 클라우드) 라우터를 구성합니다.

워크로드 프로젝트 구성

각 워크로드에 개별 서비스 프로젝트를 만듭니다.

1. 공유 VPC의 서비스 프로젝트 중 하나로 사용할 새 프로젝트를 만듭니다.
2. 서비스 프로젝트에 Compute Engine API를 사용 설정합니다.
3. 호스트 프로젝트에 프로젝트를 연결합니다.
4. 호스트 프로젝트의 모든 서브넷 또는 호스트 프로젝트의 일부 서브넷에 대한 액세스를 구성합니다.

관측 가능성 구성

Network Intelligence Center는 클라우드 네트워킹 환경을 모니터링, 문제 해결, 시각화하는 통합 방법을 제공합니다. 이를 통해 설계가 원하는 인텐트로 작동하는지 확인합니다.

다음 구성은 사용 설정된 로깅 및 측정항목에 대한 분석을 지원합니다.

• 연결 테스트를 실행하려면 먼저 Network Management API를 사용 설정해야 합니다. API를 직접 사용 설정하려면 API, Google Cloud CLI 또는 Google Cloud 콘솔을 사용해야 합니다.
• 방화벽 통계를 사용하여 작업을 수행하려면 먼저 Firewall Insights API를 사용 설정해야 합니다.

다음 단계

이 네트워크 설계 옵션의 초기 구성이 완료되었습니다. 이제 다음 단계를 반복하여 스테이징 또는 프로덕션 환경과 같은 시작 영역 환경의 추가 인스턴스를 구성하거나 계속 진행하여 Google Cloud 시작 영역의 보안을 결정할 수 있습니다.

설계 옵션 2: 중앙 집중식 어플라이언스를 사용하는 허브 및 스포크 토폴로지

'Google Cloud 시작 영역의 네트워크 설계 결정'에서 중앙 집중식 어플라이언스를 사용하는 허브 및 스포크 토폴로지를 만들도록 선택한 경우 다음 절차를 따르세요.

다음 단계에서는 시작 영역의 단일 인스턴스를 만듭니다. 둘 이상의 시작 영역(개발용 및 프로덕션용)이 필요하면 각 시작 영역에서 해당 단계를 반복합니다.

조직 정책을 사용하여 외부 액세스 제한

인터넷 액세스는 인터넷 액세스가 필요한 리소스로만 제한하는 것이 좋습니다. 외부 주소가 없는 리소스도 비공개 Google 액세스를 통해 많은 Google API 및 서비스에 액세스할 수 있습니다. 비공개 Google 액세스는 서브넷 수준에서 사용 설정되며 리소스가 공개 인터넷으로부터 격리되는 동안 주요 Google 서비스와 상호작용할 수 있게 해줍니다.

사용성을 위해 사용자가 올바른 IAM 권한이 있으면 모든 프로젝트에서 리소스를 만들 수 있습니다. 보안을 강화하려면 의도하지 않은 인터넷 액세스를 유발할 수 있는 리소스 유형에 기본 권한을 제한하는 것이 좋습니다. 그런 다음 특정 프로젝트만 승인하여 이러한 리소스를 만들 수 있습니다. 조직 정책 만들기 및 관리의 안내에 따라 다음 제약조건을 설정합니다.

IP 주소 유형에 따라 프로토콜 전달 제한

프로토콜 전달은 외부 IP 주소를 사용하여 전달 규칙 리소스를 설정하고 트래픽을 VM으로 전달할 수 있습니다.

IP 주소 유형에 따라 프로토콜 전달 제한 제약조건은 전체 조직의 외부 IP 주소로 전달 규칙을 만들지 못하게 합니다. 외부 전달 규칙을 사용하도록 승인된 프로젝트의 경우 폴더 또는 프로젝트 수준에서 제약조건을 수정할 수 있습니다.

이 제약조건을 구성하려면 다음 값을 설정합니다.

• 적용 대상: 맞춤설정
• 정책 시행: 바꾸기
• 정책 값: 커스텀
• 정책 유형: 거부
• 커스텀 값: IS:EXTERNAL

VM 인스턴스에 허용되는 외부 IP 정의

기본적으로 개별 VM 인스턴스는 외부 IP 주소를 가져올 수 있으므로 인터넷과의 아웃바운드 및 인바운드 연결을 모두 허용합니다.

VM 인스턴스에 허용되는 외부 IP 정의 제약조건을 적용하면 VM 인스턴스에서 외부 IP 주소가 사용되지 않습니다. 개별 VM 인스턴스에 외부 IP 주소가 필요한 워크로드의 경우 폴더 또는 프로젝트 수준에서 제약조건을 수정하여 개별 VM 인스턴스를 지정합니다. 또는 관련 프로젝트의 제약조건을 재정의합니다.

• 적용 대상: 맞춤설정
• 정책 시행: 바꾸기
• 정책 값: 모두 거부

VPC 외부 IPv6 사용량 사용 중지

VPC 외부 IPv6 사용 중지 제약조건이 True로 설정되면 VM 인스턴스의 외부 IPv6 주소로 VPC 서브넷을 구성하지 못합니다.

• 적용 대상: 맞춤설정
• 적용: 사용

기본 네트워크 생성 사용 중지

새 프로젝트를 만들 때 기본 VPC가 자동으로 생성됩니다. 이는 특정 네트워크 구성이나 대규모 엔터프라이즈 네트워킹 환경과의 통합이 필요하지 않은 빠른 실험에 유용합니다.

새 프로젝트의 기본 VPC 생성을 중지하려면 기본 네트워크 생성 건너뛰기 제약조건을 구성하세요. 필요한 경우 프로젝트 내에서 기본 네트워크를 수동으로 만들 수 있습니다.

• 적용 대상: 맞춤설정
• 적용: 사용

방화벽 규칙 설계

방화벽 규칙을 사용하면 개발자가 정의한 구성에 따라 VM과의 트래픽을 허용하거나 거부할 수 있습니다. 계층식 방화벽 정책은 조직 및 폴더 수준에서 구현되고 네트워크 방화벽 정책은 리소스 계층 구조의 VPC 네트워크 수준에서 구현됩니다. 이러한 기능을 함께 사용하면 워크로드를 보호하는 데 도움이 되는 중요한 기능을 이용할 수 있습니다.

방화벽 정책이 적용되는 위치에 관계없이 방화벽 규칙을 설계하고 평가할 때 다음 가이드라인을 따르세요.

• 최소 권한(마이크로세그멘테이션이라고도 함) 원칙을 구현합니다. 기본적으로 모든 트래픽을 차단하고 필요한 특정 트래픽만 허용합니다. 여기에는 각 워크로드에 필요한 프로토콜 및 포트로만 규칙을 제한하는 것이 포함됩니다.
• 방화벽 동작을 파악하고 방화벽 통계를 사용하려면 방화벽 규칙 로깅을 사용 설정합니다.
• 방화벽 규칙 우선순위 지정을 위한 번호 지정 방법을 정의합니다. 예를 들어 이슈 대응 중 필요한 규칙에 대해 각 정책에서 낮은 수의 범위를 예약하는 것이 좋습니다. 또한 특정 규칙이 일반 규칙에 의해 섀도잉되지 않도록 일반적인 규칙보다 높은 특정 규칙의 우선순위를 지정하는 것이 좋습니다. 다음 예시는 방화벽 규칙 우선순위에 가능한 접근방식을 보여줍니다.

방화벽 규칙 우선순위 범위	목적
0-999	이슈 대응을 위해 예약됨
1000-1999	항상 차단된 트래픽
2000-1999999999	워크로드별 규칙
2000000000-2100000000	포괄 규칙
2100000001-2147483643	예약됨

계층식 방화벽 정책 구성

계층식 방화벽 정책을 사용하면 조직 전체에 일관된 방화벽 정책을 만들고 적용할 수 있습니다. 계층식 방화벽 정책 사용 예시는 계층식 방화벽 정책 예시를 참조하세요.

계층식 방화벽 정책을 정의하여 다음 네트워크 액세스 제어를 구현합니다.

• TCP 전달을 위한 IAP(Identity-Aware Proxy). TCP 전달을 위한 IAP는 TCP 포트 22 및 3389에 대해 IP 범위 35.235.240.0/20에서 들어오는 인그레스 트래픽을 허용하는 보안 정책을 통해 허용됩니다.
• Cloud Load Balancing 상태 점검. 상태 점검에 사용되는 잘 알려진 범위가 허용됩니다.
  • 대부분의 Cloud Load Balancing 인스턴스(내부 TCP/UDP 부하 분산, 내부 HTTP(S) 부하 분산, 외부 TCP 프록시 부하 분산, 외부 SSL 프록시 부하 분산, HTTP(S) 부하 분산)에서는 80 및 443 포트에 IP 범위 35.191.0.0/16 및 130.211.0.0/22의 인그레스 트래픽을 허용하는 보안 정책이 정의됩니다.
  • 네트워크 부하 분산의 경우 포트 80 및 443에 IP 범위 35.191.0.0/16, 209.85.152.0/22, 209.85.204.0/22의 인그레스 트래픽을 허용하여 기존 상태 점검을 사용 설정하는 보안 정책이 정의됩니다.

VPC 환경 구성

전송 및 허브 VPC 네트워크는 워크로드 스포크 VPC 네트워크와 온프레미스 또는 멀티 클라우드 네트워크 간의 연결을 사용 설정하는 네트워킹 리소스를 제공합니다.

1. 전송 및 허브 VPC 네트워크를 위한 새 프로젝트를 만듭니다. 두 VPC 네트워크 모두 가상 네트워크 어플라이언스를 통한 연결을 지원하기 위해 동일한 프로젝트에 포함됩니다.
2. 프로젝트에서 Compute Engine API를 사용 설정합니다.
3. 전송 커스텀 모드 VPC 네트워크를 만듭니다.
4. 전송 VPC 네트워크에서 가상 네트워크 어플라이언스를 배포하려는 리전에 서브넷을 만듭니다.
5. 허브 커스텀 모드 VPC 네트워크를 만듭니다.
6. 허브 VPC 네트워크에서 가상 네트워크 어플라이언스를 배포하려는 리전에 서브넷을 만듭니다.
7. 네트워크 가상 어플라이언스의 인그레스 및 이그레스 트래픽을 허용하도록 전역 또는 리전 네트워크 방화벽 정책을 구성합니다.
8. 가상 네트워크 어플라이언스의 관리형 인스턴스 그룹을 만듭니다.
9. 전송 VPC의 내부 TCP/UDP 부하 분산 리소스를 구성합니다. 이 부하 분산기는 가상 네트워크 어플라이언스를 통해 전송 VPC에서 허브 VPC로 트래픽을 라우팅하는 데 사용됩니다.
10. 허브 VPC의 내부 TCP/UDP 부하 분산 리소스를 구성합니다. 이 부하 분산기는 가상 네트워크 어플라이언스를 통해 허브 VPC에서 전송 VPC로 트래픽을 라우팅하는 데 사용됩니다.
11. 허브 VPC에 Google API용 Private Service Connect를 구성합니다.
12. 네트워크 가상 어플라이언스를 통해 모든 트래픽을 전송하도록 VPC 경로를 수정합니다.
    1. 허브 VPC에서 다음 홉 default-internet-gateway를 사용하여 0.0.0.0/0 경로를 삭제합니다.
    2. 대상 0.0.0.0/0 및 허브 VPC의 부하 분산기에 대한 전달 규칙의 다음 홉으로 새 경로를 구성합니다.

Cloud NAT 구성

특정 리전의 워크로드에 아웃바운드 인터넷 액세스가 필요한 경우(예: 소프트웨어 패키지 또는 업데이트 다운로드) 다음 단계를 따르세요.

1. 워크로드에서 아웃바운드 인터넷 액세스가 필요한 리전에 Cloud NAT 게이트웨이를 만듭니다. 필요한 경우 특정 서브넷의 아웃바운드 연결만 허용하도록 Cloud NAT 구성을 맞춤설정할 수 있습니다.
2. 게이트웨이가 최소한 ERRORS_ONLY를 로깅할 수 있도록 Cloud NAT 로깅을 사용 설정합니다. Cloud NAT에서 수행되는 변환에 대한 로그를 포함하려면 ALL을 로깅하도록 각 게이트웨이를 구성합니다.

하이브리드 연결 구성

Dedicated Interconnect, Partner Interconnect 또는 Cloud VPN을 사용하여 시작 영역에 하이브리드 연결을 제공할 수 있습니다. 다음 단계에서는 이 설계 옵션에 필요한 초기 하이브리드 연결 리소스를 만듭니다.

1. Dedicated Interconnect를 사용하는 경우 다음을 수행합니다. Partner Interconnect 또는 Cloud VPN을 사용 중인 경우 다음 단계를 건너뛸 수 있습니다.
   1. 실제 상호 연결 포트를 위한 별도의 프로젝트를 만듭니다.
   2. 프로젝트에서 Compute Engine API를 사용 설정합니다.
   3. Dedicated Interconnect 연결을 만듭니다.
2. VPC 네트워크에서 하이브리드 연결을 종료하는 각 리전마다 다음을 수행합니다.
   1. 각 에지 가용성 영역당 하나씩 두 개의 Dedicated 또는 Partner VLAN 연결을 만듭니다. 이 프로세스의 일부로 Cloud Router를 선택하고 BGP 세션을 만듭니다.
   2. 피어 네트워크(온프레미스 또는 기타 클라우드) 라우터를 구성합니다.
   3. Cloud Router에서 허브 및 워크로드 VPC의 서브넷 범위에 대한 커스텀 경로 공지를 구성합니다.

워크로드 프로젝트 구성

각 워크로드에 개별 스포크 VPC를 만듭니다.

1. 워크로드를 호스팅할 새 프로젝트를 만듭니다.
2. 프로젝트에서 Compute Engine API를 사용 설정합니다.
3. 다음 설정으로 워크로드 스포크 VPC와 허브 VPC 간에 VPC 네트워크 피어링을 구성합니다.
   • 허브 VPC에서 커스텀 경로 내보내기를 사용 설정합니다.
   • 워크로드 스포크 VPC에서 커스텀 경로 가져오기를 사용 설정합니다.
4. 워크로드를 배포할 리전에서 서브넷을 만듭니다. 각 서브넷에 대해 비공개 Google 액세스를 사용 설정하여 내부 IP 주소만 있는 VM 인스턴스가 Google 서비스에 연결하도록 허용합니다.
5. Google API용 Private Service Connect를 구성합니다.
6. 허브 VPC의 가상 네트워크 어플라이언스를 통해 모든 트래픽을 라우팅하려면 워크로드 스포크 VPC에서 다음 홉 default-internet-gateway가 있는 0.0.0.0/0 경로를 삭제합니다.
7. 워크로드에 인그레스 및 이그레스 트래픽을 허용하도록 전역 또는 리전 네트워크 방화벽 정책을 구성합니다.

관측 가능성 구성

Network Intelligence Center는 클라우드 네트워킹 환경을 모니터링, 문제 해결, 시각화하는 통합 방법을 제공합니다. 이를 통해 설계가 원하는 인텐트로 작동하는지 확인합니다.

다음 구성은 사용 설정된 로깅 및 측정항목에 대한 분석을 지원합니다.

• 연결 테스트를 실행하려면 먼저 Network Management API를 사용 설정해야 합니다. API를 직접 사용 설정하려면 API, Google Cloud CLI 또는 Google Cloud 콘솔을 사용해야 합니다.
• 방화벽 통계를 사용하여 작업을 수행하려면 먼저 Firewall Insights API를 사용 설정해야 합니다.

다음 단계

이 네트워크 설계 옵션의 초기 구성이 완료되었습니다. 이제 다음 단계를 반복하여 스테이징 또는 프로덕션 환경과 같은 시작 영역 환경의 추가 인스턴스를 구성하거나 계속 진행하여 Google Cloud 시작 영역의 보안을 결정할 수 있습니다.

설계 옵션 3: 어플라이언스가 없는 허브 및 스포크 토폴로지

'Google Cloud 시작 영역의 네트워크 설계 결정'에서 어플라이언스가 없는 허브 및 스포크 토폴로지를 만들도록 선택한 경우 다음 절차를 따르세요.

다음 단계에서는 시작 영역의 단일 인스턴스를 만듭니다. 둘 이상의 시작 영역(개발용 및 프로덕션용)이 필요하면 각 시작 영역에서 해당 단계를 반복합니다.

조직 정책을 사용하여 외부 액세스 제한

인터넷 액세스는 인터넷 액세스가 필요한 리소스로만 제한하는 것이 좋습니다. 외부 주소가 없는 리소스도 비공개 Google 액세스를 통해 많은 Google API 및 서비스에 액세스할 수 있습니다. 비공개 Google 액세스는 서브넷 수준에서 사용 설정되며 리소스가 공개 인터넷으로부터 격리되는 동안 주요 Google 서비스와 상호작용할 수 있게 해줍니다.

사용성을 위해 사용자가 올바른 IAM 권한이 있으면 모든 프로젝트에서 리소스를 만들 수 있습니다. 보안을 강화하려면 의도하지 않은 인터넷 액세스를 유발할 수 있는 리소스 유형에 기본 권한을 제한하는 것이 좋습니다. 그런 다음 특정 프로젝트만 승인하여 이러한 리소스를 만들 수 있습니다. 조직 정책 만들기 및 관리의 안내에 따라 다음 제약조건을 설정합니다.

IP 주소 유형에 따라 프로토콜 전달 제한

프로토콜 전달은 외부 IP 주소를 사용하여 전달 규칙 리소스를 설정하고 트래픽을 VM으로 전달할 수 있습니다.

IP 주소 유형에 따라 프로토콜 전달 제한 제약조건은 전체 조직의 외부 IP 주소로 전달 규칙을 만들지 못하게 합니다. 외부 전달 규칙을 사용하도록 승인된 프로젝트의 경우 폴더 또는 프로젝트 수준에서 제약조건을 수정할 수 있습니다.

이 제약조건을 구성하려면 다음 값을 설정합니다.

• 적용 대상: 맞춤설정
• 정책 시행: 바꾸기
• 정책 값: 커스텀
• 정책 유형: 거부
• 커스텀 값: IS:EXTERNAL

VM 인스턴스에 허용되는 외부 IP 정의

기본적으로 개별 VM 인스턴스는 외부 IP 주소를 가져올 수 있으므로 인터넷과의 아웃바운드 및 인바운드 연결을 모두 허용합니다.

VM 인스턴스에 허용되는 외부 IP 정의 제약조건을 적용하면 VM 인스턴스에서 외부 IP 주소가 사용되지 않습니다. 개별 VM 인스턴스에 외부 IP 주소가 필요한 워크로드의 경우 폴더 또는 프로젝트 수준에서 제약조건을 수정하여 개별 VM 인스턴스를 지정합니다. 또는 관련 프로젝트의 제약조건을 재정의합니다.

• 적용 대상: 맞춤설정
• 정책 시행: 바꾸기
• 정책 값: 모두 거부

VPC 외부 IPv6 사용량 사용 중지

VPC 외부 IPv6 사용 중지 제약조건이 True로 설정되면 VM 인스턴스의 외부 IPv6 주소로 VPC 서브넷을 구성하지 못합니다.

• 적용 대상: 맞춤설정
• 적용: 사용

기본 네트워크 생성 사용 중지

새 프로젝트를 만들 때 기본 VPC가 자동으로 생성됩니다. 이는 특정 네트워크 구성이나 대규모 엔터프라이즈 네트워킹 환경과의 통합이 필요하지 않은 빠른 실험에 유용합니다.

새 프로젝트의 기본 VPC 생성을 중지하려면 기본 네트워크 생성 건너뛰기 제약조건을 구성하세요. 필요한 경우 프로젝트 내에서 기본 네트워크를 수동으로 만들 수 있습니다.

• 적용 대상: 맞춤설정
• 적용: 사용

방화벽 규칙 설계

방화벽 규칙을 사용하면 개발자가 정의한 구성에 따라 VM과의 트래픽을 허용하거나 거부할 수 있습니다. 계층식 방화벽 정책은 조직 및 폴더 수준에서 구현되고 네트워크 방화벽 정책은 리소스 계층 구조의 VPC 네트워크 수준에서 구현됩니다. 이러한 기능을 함께 사용하면 워크로드를 보호하는 데 도움이 되는 중요한 기능을 이용할 수 있습니다.

방화벽 정책이 적용되는 위치에 관계없이 방화벽 규칙을 설계하고 평가할 때 다음 가이드라인을 따르세요.

• 최소 권한(마이크로세그멘테이션이라고도 함) 원칙을 구현합니다. 기본적으로 모든 트래픽을 차단하고 필요한 특정 트래픽만 허용합니다. 여기에는 각 워크로드에 필요한 프로토콜 및 포트로만 규칙을 제한하는 것이 포함됩니다.
• 방화벽 동작을 파악하고 방화벽 통계를 사용하려면 방화벽 규칙 로깅을 사용 설정합니다.
• 방화벽 규칙 우선순위 지정을 위한 번호 지정 방법을 정의합니다. 예를 들어 이슈 대응 중 필요한 규칙에 대해 각 정책에서 낮은 수의 범위를 예약하는 것이 좋습니다. 또한 특정 규칙이 일반 규칙에 의해 섀도잉되지 않도록 일반적인 규칙보다 높은 특정 규칙의 우선순위를 지정하는 것이 좋습니다. 다음 예시는 방화벽 규칙 우선순위에 가능한 접근방식을 보여줍니다.

방화벽 규칙 우선순위 범위	목적
0-999	이슈 대응을 위해 예약됨
1000-1999	항상 차단된 트래픽
2000-1999999999	워크로드별 규칙
2000000000-2100000000	포괄 규칙
2100000001-2147483643	예약됨

계층식 방화벽 정책 구성

계층식 방화벽 정책을 사용하면 조직 전체에 일관된 방화벽 정책을 만들고 적용할 수 있습니다. 계층식 방화벽 정책 사용 예시는 계층식 방화벽 정책 예시를 참조하세요.

계층식 방화벽 정책을 정의하여 다음 네트워크 액세스 제어를 구현합니다.

• TCP 전달을 위한 IAP(Identity-Aware Proxy). TCP 전달을 위한 IAP는 TCP 포트 22 및 3389에 대해 IP 범위 35.235.240.0/20에서 들어오는 인그레스 트래픽을 허용하는 보안 정책을 통해 허용됩니다.
• Cloud Load Balancing 상태 점검. 상태 점검에 사용되는 잘 알려진 범위가 허용됩니다.
  • 대부분의 Cloud Load Balancing 인스턴스(내부 TCP/UDP 부하 분산, 내부 HTTP(S) 부하 분산, 외부 TCP 프록시 부하 분산, 외부 SSL 프록시 부하 분산, HTTP(S) 부하 분산)에서는 80 및 443 포트에 IP 범위 35.191.0.0/16 및 130.211.0.0/22의 인그레스 트래픽을 허용하는 보안 정책이 정의됩니다.
  • 네트워크 부하 분산의 경우 포트 80 및 443에 IP 범위 35.191.0.0/16, 209.85.152.0/22, 209.85.204.0/22의 인그레스 트래픽을 허용하여 기존 상태 점검을 사용 설정하는 보안 정책이 정의됩니다.

허브 VPC 환경 구성

허브 VPC는 워크로드 스포크 VPC 네트워크와 온프레미스 또는 멀티 클라우드 네트워크 간의 연결을 사용 설정하는 네트워킹 리소스를 제공합니다.

1. 허브 VPC 네트워크의 새 프로젝트를 만듭니다.
2. 프로젝트에서 Compute Engine API를 사용 설정합니다.
3. 허브 커스텀 모드 VPC 네트워크를 만듭니다.
4. 허브 VPC에 Google API용 Private Service Connect를 구성합니다.

하이브리드 연결 구성

Dedicated Interconnect, Partner Interconnect 또는 Cloud VPN을 사용하여 시작 영역에 하이브리드 연결을 제공할 수 있습니다. 다음 단계에서는 이 설계 옵션에 필요한 초기 하이브리드 연결 리소스를 만듭니다.

1. Dedicated Interconnect를 사용하는 경우 다음을 수행합니다. Partner Interconnect 또는 Cloud VPN을 사용 중인 경우 다음 단계를 건너뛸 수 있습니다.
   1. 실제 상호 연결 포트를 위한 별도의 프로젝트를 만듭니다.
   2. 프로젝트에서 Compute Engine API를 사용 설정합니다.
   3. Dedicated Interconnect 연결을 만듭니다.
2. VPC 네트워크에서 하이브리드 연결을 종료하는 각 리전마다 다음을 수행합니다.
   1. 각 에지 가용성 영역당 하나씩 두 개의 Dedicated 또는 Partner VLAN 연결을 만듭니다. 이 프로세스의 일부로 Cloud Router를 선택하고 BGP 세션을 만듭니다.
   2. 피어 네트워크(온프레미스 또는 기타 클라우드) 라우터를 구성합니다.
   3. Cloud Router에서 허브 및 워크로드 VPC의 서브넷 범위에 대한 커스텀 경로 공지를 구성합니다.

워크로드 프로젝트 구성

각 워크로드에 개별 스포크 VPC를 만듭니다.

1. 워크로드를 호스팅할 새 프로젝트를 만듭니다.
2. 프로젝트에서 Compute Engine API를 사용 설정합니다.
3. 다음 설정으로 워크로드 스포크 VPC와 허브 VPC 간에 VPC 네트워크 피어링을 구성합니다.
   • 허브 VPC에서 커스텀 경로 내보내기를 사용 설정합니다.
   • 워크로드 스포크 VPC에서 커스텀 경로 가져오기를 사용 설정합니다.
4. 워크로드를 배포할 리전에서 서브넷을 만듭니다. 각 서브넷에 대해 비공개 Google 액세스를 사용 설정하여 내부 IP 주소만 있는 VM 인스턴스가 Google 서비스에 연결하도록 허용합니다.
5. Google API용 Private Service Connect를 구성합니다.

Cloud NAT 구성

특정 리전의 워크로드에 아웃바운드 인터넷 액세스가 필요한 경우(예: 소프트웨어 패키지 또는 업데이트 다운로드) 다음 단계를 따르세요.

1. 워크로드에서 아웃바운드 인터넷 액세스가 필요한 리전에 Cloud NAT 게이트웨이를 만듭니다. 필요한 경우 특정 서브넷의 아웃바운드 연결만 허용하도록 Cloud NAT 구성을 맞춤설정할 수 있습니다.
2. 게이트웨이가 최소한 ERRORS_ONLY를 로깅할 수 있도록 Cloud NAT 로깅을 사용 설정합니다. Cloud NAT에서 수행되는 변환에 대한 로그를 포함하려면 ALL을 로깅하도록 각 게이트웨이를 구성합니다.

관측 가능성 구성

Network Intelligence Center는 클라우드 네트워킹 환경을 모니터링, 문제 해결, 시각화하는 통합 방법을 제공합니다. 이를 통해 설계가 원하는 인텐트로 작동하는지 확인합니다.

다음 구성은 사용 설정된 로깅 및 측정항목에 대한 분석을 지원합니다.

• 연결 테스트를 실행하려면 먼저 Network Management API를 사용 설정해야 합니다. API를 직접 사용 설정하려면 API, Google Cloud CLI 또는 Google Cloud 콘솔을 사용해야 합니다.
• 방화벽 통계를 사용하여 작업을 수행하려면 먼저 Firewall Insights API를 사용 설정해야 합니다.

다음 단계

이 네트워크 설계 옵션의 초기 구성이 완료되었습니다. 이제 다음 단계를 반복하여 스테이징 또는 프로덕션 환경과 같은 시작 영역 환경의 추가 인스턴스를 구성하거나 계속 진행하여 Google Cloud 시작 영역의 보안을 결정할 수 있습니다.

설계 옵션 4: Private Service Connect를 사용하여 소비자 제작자 모델의 서비스 노출

'Google Cloud 시작 영역의 네트워크 설계 결정'에 설명된 대로 시작 영역에 Private Service Connect를 사용하여 소비자 제작자 모델의 서비스를 노출하도록 선택한 경우 이 절차를 따릅니다.

다음 단계에서는 시작 영역의 단일 인스턴스를 만듭니다. 둘 이상의 시작 영역(개발용 및 프로덕션용)이 필요하면 각 시작 영역에서 해당 단계를 반복합니다.

조직 정책을 사용하여 외부 액세스 제한

인터넷 액세스는 인터넷 액세스가 필요한 리소스로만 제한하는 것이 좋습니다. 외부 주소가 없는 리소스도 비공개 Google 액세스를 통해 많은 Google API 및 서비스에 액세스할 수 있습니다. 비공개 Google 액세스는 서브넷 수준에서 사용 설정되며 리소스가 공개 인터넷으로부터 격리되는 동안 주요 Google 서비스와 상호작용할 수 있게 해줍니다.

사용성을 위해 사용자가 올바른 IAM 권한이 있으면 모든 프로젝트에서 리소스를 만들 수 있습니다. 보안을 강화하려면 의도하지 않은 인터넷 액세스를 유발할 수 있는 리소스 유형에 기본 권한을 제한하는 것이 좋습니다. 그런 다음 특정 프로젝트만 승인하여 이러한 리소스를 만들 수 있습니다. 조직 정책 만들기 및 관리의 안내에 따라 다음 제약조건을 설정합니다.

IP 주소 유형에 따라 프로토콜 전달 제한

프로토콜 전달은 외부 IP 주소를 사용하여 전달 규칙 리소스를 설정하고 트래픽을 VM으로 전달할 수 있습니다.

IP 주소 유형에 따라 프로토콜 전달 제한 제약조건은 전체 조직의 외부 IP 주소로 전달 규칙을 만들지 못하게 합니다. 외부 전달 규칙을 사용하도록 승인된 프로젝트의 경우 폴더 또는 프로젝트 수준에서 제약조건을 수정할 수 있습니다.

이 제약조건을 구성하려면 다음 값을 설정합니다.

• 적용 대상: 맞춤설정
• 정책 시행: 바꾸기
• 정책 값: 커스텀
• 정책 유형: 거부
• 커스텀 값: IS:EXTERNAL

VM 인스턴스에 허용되는 외부 IP 정의

기본적으로 개별 VM 인스턴스는 외부 IP 주소를 가져올 수 있으므로 인터넷과의 아웃바운드 및 인바운드 연결을 모두 허용합니다.

VM 인스턴스에 허용되는 외부 IP 정의 제약조건을 적용하면 VM 인스턴스에서 외부 IP 주소가 사용되지 않습니다. 개별 VM 인스턴스에 외부 IP 주소가 필요한 워크로드의 경우 폴더 또는 프로젝트 수준에서 제약조건을 수정하여 개별 VM 인스턴스를 지정합니다. 또는 관련 프로젝트의 제약조건을 재정의합니다.

• 적용 대상: 맞춤설정
• 정책 시행: 바꾸기
• 정책 값: 모두 거부

VPC 외부 IPv6 사용량 사용 중지

VPC 외부 IPv6 사용 중지 제약조건이 True로 설정되면 VM 인스턴스의 외부 IPv6 주소로 VPC 서브넷을 구성하지 못합니다.

• 적용 대상: 맞춤설정
• 적용: 사용

기본 네트워크 생성 사용 중지

새 프로젝트를 만들 때 기본 VPC가 자동으로 생성됩니다. 이는 특정 네트워크 구성이나 대규모 엔터프라이즈 네트워킹 환경과의 통합이 필요하지 않은 빠른 실험에 유용합니다.

새 프로젝트의 기본 VPC 생성을 중지하려면 기본 네트워크 생성 건너뛰기 제약조건을 구성하세요. 필요한 경우 프로젝트 내에서 기본 네트워크를 수동으로 만들 수 있습니다.

• 적용 대상: 맞춤설정
• 적용: 사용

방화벽 규칙 설계

방화벽 규칙을 사용하면 개발자가 정의한 구성에 따라 VM과의 트래픽을 허용하거나 거부할 수 있습니다. 계층식 방화벽 정책은 조직 및 폴더 수준에서 구현되고 네트워크 방화벽 정책은 리소스 계층 구조의 VPC 네트워크 수준에서 구현됩니다. 이러한 기능을 함께 사용하면 워크로드를 보호하는 데 도움이 되는 중요한 기능을 이용할 수 있습니다.

방화벽 정책이 적용되는 위치에 관계없이 방화벽 규칙을 설계하고 평가할 때 다음 가이드라인을 따르세요.

• 최소 권한(마이크로세그멘테이션이라고도 함) 원칙을 구현합니다. 기본적으로 모든 트래픽을 차단하고 필요한 특정 트래픽만 허용합니다. 여기에는 각 워크로드에 필요한 프로토콜 및 포트로만 규칙을 제한하는 것이 포함됩니다.
• 방화벽 동작을 파악하고 방화벽 통계를 사용하려면 방화벽 규칙 로깅을 사용 설정합니다.
• 방화벽 규칙 우선순위 지정을 위한 번호 지정 방법을 정의합니다. 예를 들어 이슈 대응 중 필요한 규칙에 대해 각 정책에서 낮은 수의 범위를 예약하는 것이 좋습니다. 또한 특정 규칙이 일반 규칙에 의해 섀도잉되지 않도록 일반적인 규칙보다 높은 특정 규칙의 우선순위를 지정하는 것이 좋습니다. 다음 예시는 방화벽 규칙 우선순위에 가능한 접근방식을 보여줍니다.

방화벽 규칙 우선순위 범위	목적
0-999	이슈 대응을 위해 예약됨
1000-1999	항상 차단된 트래픽
2000-1999999999	워크로드별 규칙
2000000000-2100000000	포괄 규칙
2100000001-2147483643	예약됨

계층식 방화벽 정책 구성

계층식 방화벽 정책을 사용하면 조직 전체에 일관된 방화벽 정책을 만들고 적용할 수 있습니다. 계층식 방화벽 정책 사용 예시는 계층식 방화벽 정책 예시를 참조하세요.

계층식 방화벽 정책을 정의하여 다음 네트워크 액세스 제어를 구현합니다.

• TCP 전달을 위한 IAP(Identity-Aware Proxy). TCP 전달을 위한 IAP는 TCP 포트 22 및 3389에 대해 IP 범위 35.235.240.0/20에서 들어오는 인그레스 트래픽을 허용하는 보안 정책을 통해 허용됩니다.
• Cloud Load Balancing 상태 점검. 상태 점검에 사용되는 잘 알려진 범위가 허용됩니다.
  • 대부분의 Cloud Load Balancing 인스턴스(내부 TCP/UDP 부하 분산, 내부 HTTP(S) 부하 분산, 외부 TCP 프록시 부하 분산, 외부 SSL 프록시 부하 분산, HTTP(S) 부하 분산)에서는 80 및 443 포트에 IP 범위 35.191.0.0/16 및 130.211.0.0/22의 인그레스 트래픽을 허용하는 보안 정책이 정의됩니다.
  • 네트워크 부하 분산의 경우 포트 80 및 443에 IP 범위 35.191.0.0/16, 209.85.152.0/22, 209.85.204.0/22의 인그레스 트래픽을 허용하여 기존 상태 점검을 사용 설정하는 보안 정책이 정의됩니다.

VPC 환경 구성

전송 VPC는 워크로드 스포크 VPC 네트워크와 온프레미스 또는 멀티 클라우드 네트워크 간의 연결을 사용 설정하는 네트워킹 리소스를 제공합니다.

1. 전송 VPC 네트워크의 새 프로젝트를 만듭니다.
2. 프로젝트에서 Compute Engine API를 사용 설정합니다.
3. 전송 커스텀 모드 VPC 네트워크를 만듭니다.
4. 허브 VPC 또는 온프레미스 환경에서 실행 중인 서비스를 게시하려는 각 리전에 Private Service Connect 서브넷을 만듭니다. IP 주소 지정 계획을 결정할 때 Private Service Connect 서브넷 크기 조정을 고려하세요.
5. Google Cloud에서 실행되는 워크로드에 노출하려는 각 온프레미스 서비스마다 내부 HTTP(S) 또는 TCP 프록시 부하 분산기를 만들고 Private Service Connect를 사용하여 서비스를 노출합니다.
6. 전송 VPC에 Google API용 Private Service Connect를 구성합니다.

하이브리드 연결 구성

Dedicated Interconnect, Partner Interconnect 또는 Cloud VPN을 사용하여 시작 영역에 하이브리드 연결을 제공할 수 있습니다. 다음 단계에서는 이 설계 옵션에 필요한 초기 하이브리드 연결 리소스를 만듭니다.

1. Dedicated Interconnect를 사용하는 경우 다음을 수행합니다. Partner Interconnect 또는 Cloud VPN을 사용 중인 경우 다음 단계를 건너뛸 수 있습니다.
   1. 실제 상호 연결 포트를 위한 별도의 프로젝트를 만듭니다.
   2. 프로젝트에서 Compute Engine API를 사용 설정합니다.
   3. Dedicated Interconnect 연결을 만듭니다.
2. VPC 네트워크에서 하이브리드 연결을 종료하는 각 리전마다 다음을 수행합니다.
   1. 각 에지 가용성 영역당 하나씩 두 개의 Dedicated 또는 Partner VLAN 연결을 만듭니다. 이 프로세스의 일부로 Cloud Router를 선택하고 BGP 세션을 만듭니다.
   2. 피어 네트워크(온프레미스 또는 기타 클라우드) 라우터를 구성합니다.

워크로드 프로젝트 구성

각 워크로드에 개별 VPC를 만듭니다.

1. 워크로드를 호스팅할 새 프로젝트를 만듭니다.
2. 프로젝트에서 Compute Engine API를 사용 설정합니다.
3. 커스텀 모드 VPC 네트워크를 만듭니다.
4. 워크로드를 배포할 리전에서 서브넷을 만듭니다. 각 서브넷에 대해 비공개 Google 액세스를 사용 설정하여 내부 IP 주소만 있는 VM 인스턴스가 Google 서비스에 연결하도록 허용합니다.
5. Google API용 Private Service Connect를 구성합니다.
6. 다른 VPC 또는 온프레미스 환경에서 사용하는 각 워크로드에 대해 Private Service Connect 소비자 엔드포인트를 만듭니다.
7. 다른 VPC 또는 온프레미스 환경에 생성하는 각 워크로드에 대해 서비스에 대한 내부 부하 분산기 및 서비스 연결을 만듭니다. IP 주소 지정 계획을 결정할 때 Private Service Connect 서브넷 크기 조정을 고려하세요.
8. 온프레미스 환경에서 서비스에 연결할 수 있어야 하는 경우 전송 VPC에 Private Service Connect 소비자 엔드포인트를 만듭니다.

Cloud NAT 구성

특정 리전의 워크로드에 아웃바운드 인터넷 액세스가 필요한 경우(예: 소프트웨어 패키지 또는 업데이트 다운로드) 다음 단계를 따르세요.

1. 워크로드에서 아웃바운드 인터넷 액세스가 필요한 리전에 Cloud NAT 게이트웨이를 만듭니다. 필요한 경우 특정 서브넷의 아웃바운드 연결만 허용하도록 Cloud NAT 구성을 맞춤설정할 수 있습니다.
2. 게이트웨이가 최소한 ERRORS_ONLY를 로깅할 수 있도록 Cloud NAT 로깅을 사용 설정합니다. Cloud NAT에서 수행되는 변환에 대한 로그를 포함하려면 ALL을 로깅하도록 각 게이트웨이를 구성합니다.

관측 가능성 구성

Network Intelligence Center는 클라우드 네트워킹 환경을 모니터링, 문제 해결, 시각화하는 통합 방법을 제공합니다. 이를 통해 설계가 원하는 인텐트로 작동하는지 확인합니다.

다음 구성은 사용 설정된 로깅 및 측정항목에 대한 분석을 지원합니다.

• 연결 테스트를 실행하려면 먼저 Network Management API를 사용 설정해야 합니다. API를 직접 사용 설정하려면 API, Google Cloud CLI 또는 Google Cloud 콘솔을 사용해야 합니다.
• 방화벽 통계를 사용하여 작업을 수행하려면 먼저 Firewall Insights API를 사용 설정해야 합니다.

다음 단계

이 네트워크 설계 옵션의 초기 구성이 완료되었습니다. 이제 다음 단계를 반복하여 스테이징 또는 프로덕션 환경과 같은 시작 영역 환경의 추가 인스턴스를 구성하거나 계속 진행하여 Google Cloud 시작 영역의 보안을 결정할 수 있습니다.

다음 단계

• Google Cloud 시작 영역의 보안을 결정합니다(이 시리즈의 다음 문서).
• VPC 네트워크 설계 권장사항 알아보기
• Google Cloud의 중앙 집중식 네트워크 어플라이언스 사용 방법 알아보기
• Private Service Connect 자세히 알아보기