이 문서는 데이터 센터 워크로드를 Google Cloud로 마이그레이션하는 기업을 위한 네트워킹 및 보안 아키텍처를 설명하는 시리즈의 일부입니다.
이 시리즈는 다음 문서로 구성됩니다.
- 엔터프라이즈 워크로드 마이그레이션을 위한 네트워크 설계: 아키텍처 접근 방식
- 클라우드 내 보안 액세스를 위한 네트워킹: 참조 아키텍처
- 인터넷 연결 애플리케이션 전송을 위한 네트워킹: 참조 아키텍처(이 문서)
- 하이브리드 및 멀티 클라우드 워크로드를 위한 네트워킹: 참조 아키텍처
Google은 가장 중요한 인터넷 연결 애플리케이션을 손쉽게 보호하고 확장할 수 있는 제품과 기능을 제공합니다. 그림 1은 Google Cloud 서비스를 사용하여 여러 계층으로 웹 애플리케이션을 배포하는 아키텍처를 보여줍니다.
그림 1. Google Cloud에 배포되는 일반적인 다중 계층 웹 애플리케이션
리프트 앤 시프트 아키텍처
인터넷 연결 애플리케이션이 클라우드로 이전됨에 따라 확장할 수 있어야 하며 온프레미스 환경에 있는 제어와 동일한 보안 제어 및 가시성을 가져야 합니다. Marketplace에서 제공되는 네트워크 가상 어플라이언스를 사용하여 이러한 제어를 제공할 수 있습니다.
그림 2. 어플라이언스 기반 외부 부하 분산기로 배포된 애플리케이션
이러한 가상 어플라이언스는 온프레미스 환경과 일치하는 기능 및 가시성을 제공합니다. 네트워크 가상 어플라이언스를 사용하는 경우 자동 확장된 관리형 인스턴스 그룹을 사용하여 소프트웨어 어플라이언스 이미지를 배포합니다. 사용자는 어플라이언스를 실행하는 VM 인스턴스의 상태를 모니터링하고 관리해야 하며 어플라이언스의 소프트웨어 업데이트도 유지해야 합니다.
이전을 처음 수행한 후 자체 관리형 네트워크 가상 어플라이언스에서 관리형 서비스로 전환할 수 있습니다. Google Cloud는 애플리케이션을 대규모로 쉽게 제공할 수 있는 다양한 관리형 서비스를 제공합니다.
그림 2는 웹 계층 애플리케이션의 프런트엔드로 구성된 네트워크 가상 어플라이언스를 보여줍니다. 파트너 생태계 솔루션 목록은 Google Cloud 콘솔의 Google Cloud Marketplace 페이지를 참조하세요.
하이브리드 서비스 아키텍처
Google Cloud는 인터넷 연결 애플리케이션을 대규모로 쉽게 관리할 수 있도록 다음과 같은 접근 방식을 제공합니다.
- 고가용성과 짧은 지연 시간을 제공하는 Google의 글로벌 애니캐스트 DNS 네임서버 네트워크를 사용하여 도메인 이름 요청을 IP 주소로 변환하세요.
- Google의 외부 애플리케이션 부하 분산기 전역 Fleet을 사용하여 Google Cloud 내부, 온프레미스, 다른 퍼블릭 클라우드에서 호스팅되는 애플리케이션으로 트래픽을 라우팅합니다. 이러한 부하 분산기는 트래픽에 따라 자동으로 확장되며 각 요청이 정상적인 백엔드로 전달되도록 합니다. 하이브리드 연결 네트워크 엔트포인트 그룹을 설정하면 외부 애플리케이션 부하 분산기의 네트워킹 기능을 Google Cloud 외부의 기존 인프라에서 실행되는 서비스에 활용할 수 있습니다. 온프레미스 네트워크 또는 기타 퍼블릭 클라우드 네트워크는 VPN 터널 또는 Cloud Interconnect를 통해 Google Cloud 네트워크에 비공개로 연결됩니다.
Cloud CDN과 같은 다른 네트워크 에지 서비스를 사용하여 콘텐츠를 배포하고, Google Cloud Armor를 사용하여 콘텐츠를 보호하고, IAP(Identity-Aware Proxy)를 사용하여 서비스에 대한 액세스를 제어합니다.
그림 3에서는 외부 애플리케이션 부하 분산기를 사용하는 하이브리드 연결을 보여줍니다.
그림 3. 외부 애플리케이션 부하 분산기 및 네트워크 에지 서비스를 사용하는 하이브리드 연결 구성
그림 4에서는 하이브리드 연결 네트워크 엔드포인트 그룹을 사용하는 다른 연결 옵션을 보여줍니다.
그림 4. 하이브리드 연결 네트워크 엔드포인트 그룹을 사용하는 외부 애플리케이션 부하 분산기 구성
애플리케이션 부하 분산기(HTTP/HTTPS)를 사용하여 HTTP 통합 리소스 식별자(URI)와 같은 속성을 기반으로 요청을 라우팅합니다. 프록시 네트워크 부하 분산기를 사용하여 TLS 오프로드, TCP 프록시 또는 멀티 리전에 위치한 백엔드에 대한 외부 부하 분산 지원을 구현합니다. 패스 스루 네트워크 부하 분산기를 사용하여 클라이언트 소스 IP 주소를 보존하고 프록시 오버헤드를 방지하고 UDP, ESP, ICMP와 같은 추가 프로토콜을 지원합니다.
Google Cloud Armor로 서비스를 보호합니다. 이 제품은 전역 외부 애플리케이션 부하 분산기를 통해 액세스되는 모든 서비스에서 사용 가능한 에지 DDoS 방어 및 WAF 보안 제품입니다.
Google 관리형 SSL 인증서를 사용합니다. 이미 다른 Google Cloud 제품에서 사용하는 인증서와 비공개 키를 재사용할 수 있습니다. 이렇게 하면 별도의 인증서를 관리할 필요가 없습니다.
Cloud CDN의 분산 애플리케이션 배포 공간을 활용하려면 애플리케이션에서 캐싱을 사용 설정합니다.
네트워크 가상 어플라이언스를 사용하여 그림 5와 같이 north-south(인터넷 간) 및 east-west(온프레미스 네트워크 또는 VPC 네트워크) 트래픽을 검사하고 필터링합니다.
그림 5. 트래픽 검사를 위해 내부 패스 스루 네트워크 부하 분산기 및 VPC 네트워크 피어링을 사용하는 고가용성 네트워크 가상 어플라이언스의 구성
그림 6과 같이 Cloud IDS를 사용하여 north-south 트래픽에서 위협을 감지합니다.
그림 6. 모든 인터넷 및 내부 트래픽을 미러링하고 검사하는 Cloud IDS 구성
제로 트러스트 분산 아키텍처
제로 트러스트 분산 아키텍처를 확장하여 인터넷에서의 애플리케이션 전송을 포함할 수 있습니다. 이 모델에서는 Google 외부 애플리케이션 부하 분산기가 고유한 클러스터에서 Anthos Service Mesh 메시가 있는 GKE 클러스터에서 전역 부하 분산을 제공합니다. 이 시나리오에서는 복합 인그레스 모델을 채택합니다. 첫 번째 계층 부하 분산기는 클러스터 선택을 제공하고 Anthos Service Mesh 관리형 인그레스 게이트웨이는 클러스터별 부하 분산 및 인그레스 보안을 제공합니다. 이 멀티 클러스터 인그레스의 예시는 엔터프라이즈 애플리케이션 청사진에 설명된 대로 Cymbal Bank 참조 아키텍처입니다. Anthos Service Mesh 에지 인그레스에 대한 자세한 내용은 에지에서 메시로: GKE 인그레스를 통해 서비스 메시 애플리케이션 노출을 참조하세요.
그림 7은 외부 애플리케이션 부하 분산기가 인그레스 게이트웨이를 통해 인터넷에서 서비스 메시로 트래픽을 전달하는 구성을 보여줍니다. 게이트웨이는 서비스 메시의 전용 프록시입니다.
그림 7. 제로 트러스트 마이크로서비스 환경의 애플리케이션 배포
다음 단계
- 클라우드 내 보안 액세스를 위한 네트워킹: 참조 아키텍처
- 하이브리드 및 멀티 클라우드 워크로드를 위한 네트워킹: 참조 아키텍처
- Google Cloud로의 마이그레이션에서 워크로드를 Google Cloud로 마이그레이션하는 프로세스를 계획, 설계, 구현하는 방법 알아보기
- Google Cloud의 시작 영역 설계에서 시작 영역 네트워크 생성에 대해 알아보기
- 클라우드 아키텍처 센터에서 참조 아키텍처, 다이어그램, 권장사항 자세히 살펴보기