이 문서에서는 Google Cloud에서 시작 영역을 설계하는 방법을 간략하게 설명합니다. 클라우드 기반이라고도 부르는 시작 영역은 조직이 비즈니스 요구에 따라 Google Cloud를 채택할 수 있게 해주는 모듈식 확장 가능한 구성입니다. 시작 영역은 클라우드 환경에 엔터프라이즈 워크로드를 배포하기 위한 필요 조건인 경우가 많습니다.
이 문서는 다음과 같은 개요 정보를 필요로 하는 솔루션 설계자, 기술 실무자, 경영진 이해관계자를 대상으로 합니다.
- Google Cloud에서 일반적인 시작 영역 요소
- 시작 영역 설계에 관한 세부 정보를 확인할 수 있는 장소
- 사전 빌드된 솔루션을 배포하는 옵션을 포함한 기업에서 시작 영역을 배포하는 방법
이 문서는 시작 영역을 설계하고 빌드하는 방법을 이해할 수 있도록 도와주는 시리즈 중 일부입니다. 이 시리즈의 다른 문서에서는 조직의 시작 영역을 설계할 때 수행해야 하는 고급 수준의 의사결정 과정을 안내합니다. 이 시리즈에서는 다음 사항을 알아봅니다.
- Google Cloud의 시작 영역 설계(이 문서)
- Google Cloud에 대한 ID 온보딩 방법 결정
- Google Cloud 시작 영역의 리소스 계층 구조 결정
- Google Cloud 시작 영역의 네트워크 설계 결정
- Google Cloud 시작 영역의 보안 결정
금융 서비스 또는 의료 등 규제 대상 산업의 규정 준수 요구사항은 이 시리즈에서 특별히 다뤄지지 않습니다.
Google Cloud 시작 영역이란 무엇인가요?
시작 영역은 기업이 Google Cloud 서비스를 보다 안전하게 배포, 사용, 확장할 수 있게 해줍니다. 시작 영역은 동적 영역이며 시간별로 기업 내에서 클라우드 기반 워크로드 채택이 증가함에 따라 함께 확장됩니다.
시작 영역을 배포하려면 먼저 조직 리소스 만들기 및 청구 계정 만들기를 온라인 또는 인보이스 상태로 수행해야 합니다.
시작 영역은 여러 영역에 걸쳐 있으며 ID, 리소스 관리, 보안, 네트워킹과 같은 여러 다른 요소를 포함합니다. 시작 영역 요소에 설명된 것처럼 다른 많은 요소들이 시작 영역에 포함될 수 있습니다.
다음 다이어그램은 시작 영역의 샘플 구현을 보여줍니다. Google Cloud에서 하이브리드 클라우드 및 온프레미스 연결이 포함된 Infrastructure as a Service(IaaS) 사용 사례를 보여줍니다.
이전 다이어그램의 아키텍처 예시는 다음 Google Cloud 서비스 및 기능이 포함된 Google Cloud 시작 영역을 보여줍니다.
Cloud ID 계정은 온프레미스 ID 공급업체 및 Identity and Access Management(IAM)와 동기화하여 Google Cloud 리소스에 대해 세부적인 액세스를 제공합니다.
다음을 포함하는 네트워크 배포:
- 여러 프로젝트의 리소스를 VPC 네트워크에 연결하는 각 환경(프로덕션, 개발, 테스트)에 대한 공유 VPC 네트워크
- 공유 VPC 네트워크의 워크로드에 대해 연결을 제어하는 Virtual Private Cloud(VPC) 방화벽 규칙
- Cloud NAT는 외부 IP 주소 없이 해당 네트워크의 리소스에서 인터넷으로의 아웃바운드 연결을 허용합니다.
- Cloud Interconnect는 온프레미스 애플리케이션 및 사용자를 연결합니다. (Dedicated Interconnect 또는 Partner Interconnect를 포함한 다양한 Cloud Interconnect 옵션 중에서 선택할 수 있습니다.)
- Cloud VPN은 다른 클라우드 서비스 제공업체에 연결됩니다.
- Cloud DNS 비공개 영역은 Google Cloud에서 해당 배포에 대한 DNS 레코드를 호스팅합니다.
여러 서비스 프로젝트가 공유 VPC 네트워크를 사용하도록 구성됩니다. 이러한 서비스 프로젝트는 애플리케이션 리소스를 호스팅합니다.
Google Cloud Observability에는 모니터링을 위한 Cloud Monitoring과 로깅을 위한 Cloud Logging이 포함되어 있습니다. Cloud 감사 로그, 방화벽 규칙 로깅, VPC 흐름 로그는 모든 필수 데이터가 로깅되고 분석에 사용될 수 있게 해줍니다.
VPC 서비스 제어 경계에는 공유 VPC와 온프레미스 환경이 포함됩니다. 보안 경계는 서비스와 리소스를 격리함으로써 지원되는 Google Cloud 서비스에서 데이터 무단 반출 위험을 완화할 수 있게 해줍니다.
위 다이어그램은 시작 영역에 대한 단일 또는 표준 구현이 없기 때문에 예시만 보여줍니다. 기업은 다음과 같은 여러 요소에 따라 다양한 설계 옵션을 선택해야 합니다.
- 업종
- 조직 구조 및 프로세스
- 보안 및 규정 준수 요구사항
- Google Cloud로 이동하려는 워크로드
- 기존 IT 인프라 및 기타 클라우드 환경
- 기업 조직과 고객의 위치
시작 영역 빌드 시기
시작 영역은 다음과 같은 이점을 제공하기 때문에 Google Cloud에 첫 번째 기업 워크로드를 배포하기 전에 시작 영역을 빌드하는 것이 좋습니다.
- 안전하게 설계된 기초
- 기업 워크로드를 위한 네트워크
- 내부 비용 분산을 관리하는 데 필요한 도구
하지만 시작 영역이 모듈형이기 때문에 시작 영역의 첫 번째 버전이 최종 버전이 아닌 경우가 많습니다. 따라서 확장성과 성장을 염두에 두고 시작 영역을 설계하는 것이 좋습니다. 예를 들어 첫 번째 워크로드에 온프레미스 네트워크 리소스에 대한 액세스가 필요하지 않다면 온프레미스 환경에 대한 연결을 나중에 빌드할 수 있습니다.
조직 및 Google Cloud에서 실행하려는 워크로드 유형에 따라 일부 워크로드는 요구사항이 매우 다를 수 있습니다. 예를 들어 일부 워크로드는 확장성 또는 규정 준수 요구사항이 고유할 수 있습니다. 이 경우 대부분의 워크로드를 호스팅하기 위한 하나의 시작 영역과 고유한 워크로드를 호스팅하기 위한 별개의 시작 영역과 같이 조직에 시작 영역이 두 개 이상 필요할 수 있습니다. ID, 청구, 조직 리소스와 같은 일부 요소를 시작 영역 간에 공유할 수 있습니다. 하지만 네트워크 설정, 배포 메커니즘, 폴더 수준의 정책과 같은 다른 요소는 다를 수 있습니다.
시작 영역의 요소
시작 영역에서는 Google Cloud에서 다음과 같은 핵심 요소를 설계해야 합니다.
이러한 핵심 요소 외에도 기업에 따라 추가 요구사항이 있을 수 있습니다. 다음 표에서는 이러한 요소들과 이에 대한 추가 정보를 찾을 수 있는 위치를 설명합니다.
시작 영역 요소 | 설명 |
---|---|
모니터링 및 로깅 |
모든 관련 데이터가 로깅되고 데이터를 시각화하는 대시보드 및 실행 가능한 예외에 대한 알림을 이용할 수 있도록 모니터링 및 로깅 전략을 설계합니다.
자세한 내용은 다음을 참조하세요. |
백업 및 재해 복구 |
백업 및 재해 복구 전략을 설계합니다.
자세한 내용은 다음을 참조하세요. |
규정 준수 |
조직과 관련된 규정 준수 프레임워크를 따릅니다. 자세한 내용은 규정 준수 리소스 센터를 참조하세요. |
비용 효율성 및 제어 |
시작 영역의 워크로드 비용을 모니터링하고 최적화하는 기능 설계
자세한 내용은 다음을 참조하세요. |
API 관리 | 개발하는 API를 위한 확장 가능한 솔루션을 설계합니다. 자세한 내용은 Apigee API 관리를 참조하세요. |
클러스터 관리 |
확장성, 복원력, 관측성이 뛰어난 서비스를 빌드하기 위해 권장사항을 따르는 Google Kubernetes Engine(GKE) 클러스터를 설계합니다. 자세한 내용은 다음을 참조하세요. |
시작 영역 설계 및 배포를 위한 권장사항
시작 영역을 설계 및 배포하려면 계획이 필요합니다. 태스크 수행을 위한 적합한 팀이 있어야 하고 프로젝트 관리 프로세스를 사용해야 합니다. 또한 이 시리즈에 설명된 대로 기술적인 권장사항을 따르는 것이 좋습니다.
팀 구축
조직 내 여러 기술 분야의 사람들이 포함된 팀을 구축합니다. 팀에는 보안, ID, 네트워크, 운영을 포함하여 모든 시작 영역 요소를 구축할 수 있는 사람들이 포함되어야 합니다. Google Cloud를 이해하고 팀을 이끌 수 있는 클라우드 실무자를 식별하십시오. 팀에는 프로젝트를 관리하고 업무 성과를 추적하는 구성원과 애플리케이션 또는 비즈니스 소유자와 협력하는 구성원이 포함되어야 합니다.
모든 이해관계자가 프로세스 초기에 포함되도록 해야 합니다. 이해관계자는 프로세스 범위를 공동으로 이해하고 프로젝트가 시작될 때 상위 수준의 의사결정을 내릴 수 있어야 합니다.
시작 영역 배포에 프로젝트 관리 적용
시작 영역을 설계하고 배포하기 위해서는 몇 주의 기간이 소요될 수 있으므로, 프로젝트 관리가 필수적입니다. 프로젝트 목적이 명확하게 정의되어 모든 이해관계자에게 전달되었고 프로젝트 변경이 있을 때마다 모든 당사자에게 업데이트가 전달되는지 확인해야 합니다. 실질적인 타임라인에 따라 운영 프로세스 및 예기치 않은 지연을 고려하는 마일스톤에 대한 정기적인 체크포인트와 협의 사항을 정의합니다.
비즈니스 요구사항에 가장 잘 맞게 Google Cloud에서 먼저 배포하려는 사용 사례들을 기준으로 초기 시작 영역 배포를 계획합니다. 다중 계층 웹 애플리케이션의 수평 확장과 같이 Google Cloud에서 가장 쉽게 실행될 수 있는 워크로드를 먼저 배포하는 것이 좋습니다. 이러한 워크로드는 신규 또는 기존 워크로드일 수 있습니다. 기존 워크로드의 마이그레이션 준비 상태를 평가하려면 Google Cloud로 마이그레이션: 시작하기를 참조하세요.
시작 영역은 모듈형이기 때문에 첫 번째 워크로드를 마이그레이션하는 데 필요한 요소들을 중심으로 초기 설계를 만들고 다른 요소는 나중에 추가하도록 계획합니다.
기술 권장사항 따르기
예를 들어 Terraform과 같은 코드형 인프라(IaC)를 사용할 수 있습니다. IaC를 사용하면 반복 가능한 모듈형 배포를 만들 수 있습니다. GitOps를 사용하여 클라우드 인프라 변경사항을 배포하는 CI/CD 파이프라인을 지정하면 내부 가이드라인에 따라 올바른 제어를 배치할 수 있습니다.
시작 영역을 설계할 때는 기술적 권장사항을 고려해야 합니다. 시작 영역 결정에 대한 자세한 내용은 이 시리즈의 다른 가이드를 참조하세요.
이 시리즈 외에도 다음 표에서는 사용 사례에 따라 권장사항을 따를 수 있게 해주는 프레임워크, 가이드, 청사진에 대해 설명합니다.
관련 문서 | 설명 |
---|---|
Google Cloud 설정 체크리스트 | 확장 가능하며 프로덕션에 바로 사용 가능한 엔터프라이즈 워크로드에 맞게 Google Cloud를 설정하는 데 도움이 되는 대략적인 체크리스트입니다. |
보안 기반 청사진 | CISO, 보안 실무자, 위험 관리자, 규정 준수 책임자를 대상으로 하는 Google Cloud 보안 권장사항에 대한 전문가 의견이 담긴 설명입니다. |
Google Cloud 아키텍처 프레임워크 | 설계자, 개발자, 관리자, 기타 클라우드 실무자가 보안, 효율성, 복원력, 고성능, 비용 효율성이 뛰어난 클라우드 토폴로지를 설계하고 운영할 수 있게 해주는 권장사항입니다. |
Terraform 청사진 | Terraform 모듈로 패키징되었고 Google Cloud용 리소스 생성에 사용할 수 있는 청사진 및 모듈 목록입니다. |
시작 영역 구현에 도움이 되는 리소스 식별
Google Cloud에서는 시작 영역의 설정을 돕기 위해 다음과 같은 옵션이 제공됩니다.
- Google Cloud 파트너 또는 Google Cloud 전문 서비스를 통해 요구사항에 맞는 시작 영역을 설계하고 배포합니다.
- Google Cloud 고객 온보딩 프로그램으로 워크로드를 온보딩합니다.
- Google Cloud 콘솔의 설정 가이드에서 일반 시작 영역을 배포합니다.
- Terraform 예시 기반을 사용하여 보안 기반 청사진에 맞는 독자적인 시작 영역을 배포합니다.
이러한 모든 제안에는 전 세계 여러 업종 및 비즈니스 규모의 요구에 맞게 특별히 설계된 접근 방식이 포함되어 있습니다. 사용 사례에 맞는 최적의 옵션을 선택하기 위해서는 Google Cloud 계정팀과의 협력에 따라 옵션을 선택하고 성공적인 프로젝트 운영을 보장하는 것이 좋습니다.
다음 단계
- Google Cloud에 대한 ID 온보딩 방법 결정(이 시리즈의 다음 문서)
- Google Cloud 시작 영역의 리소스 계층 구조 결정
- Google Cloud 시작 영역의 네트워크 설계 결정
- Google Cloud 시작 영역의 보안 결정