이 페이지에서는 VPC 서비스 제어에 대한 개요와 이를 백업 및 DR 서비스와 통합하여 데이터와 리소스를 보호하는 방법을 설명합니다.
VPC 서비스 제어 정보
VPC 서비스 제어를 사용하면 백업 및 DR 서비스 관리 콘솔에서 데이터 무단 반출 위험을 완화할 수 있습니다. VPC 서비스 제어를 사용하여 다양한 서비스의 리소스와 데이터를 보호하는 서비스 경계를 만들 수 있습니다. 백업 및 DR 서비스가 경계로 보호되는 경우 경계 외부의 리소스는 관리 콘솔과 통신할 수 없습니다. 하지만 서비스 경계 외부의 리소스가 관리 콘솔 및 API에 액세스하도록 허용할 수 있습니다. 자세한 내용은 서비스 경계 외부에서 보호된 리소스에 액세스 허용을 참고하세요.
VPC 서비스 제어, 보안 이점, Google Cloud CLI 제품 전반의 기능에 관한 일반적인 개요는 VPC 서비스 제어 개요를 참고하세요.
시작하기 전에
백업 및 DR 서비스용 VPC 서비스 제어를 구성하기 전에 다음을 실행합니다.
- Google Cloud 콘솔의 프로젝트 선택기 페이지에서 Google Cloud CLI 프로젝트 만들기를 선택합니다.
- Google Cloud 프로젝트에 결제가 사용 설정되어 있는지 확인합니다. 프로젝트에 결제가 사용 설정되어 있는지 확인하는 방법을 알아보세요.
- API 사용 설정 섹션의 안내에 따라 프로젝트에 Access Context Manager API를 사용 설정합니다.
백업 보관소의 액세스 수준 및 방향 정책 구성
백업/복구 어플라이언스와 백업 보관소가 동일한 VPC 서비스 제어 경계에 있는 경우 액세스 수준 및 방향 정책을 구성할 필요가 없습니다. 그렇지 않으면 보안 경계 구성 요구사항에 따라 다음 구성 시나리오 중 하나를 선택합니다.
- 백업/복구 어플라이언스와 백업 보관소가 경계에 있지만 서로 다른 경계에 있는 경우:
- 백업 보관소 리소스가 있는 경계에서 인그레스 예외를 구성합니다.
인그레스 규칙에
backupdr.googleapis.com및storage.googleapis.com를 모두 추가합니다. 소스는 IP 주소, 네트워크 또는 백업/복구 어플라이언스가 있는 프로젝트일 수 있습니다. - 백업/복구 어플라이언스가 있는 경계에서 이그레스 예외를 구성합니다.
이그레스 규칙에
backupdr.googleapis.com및storage.googleapis.com를 모두 추가합니다. 타겟은 백업 보관소 리소스가 있는 프로젝트입니다. 이를 백업/복구 어플라이언스의 IP 주소 또는 기타 속성과 결합할 수 있습니다.
- 백업 보관소 리소스가 있는 경계에서 인그레스 예외를 구성합니다.
인그레스 규칙에
- 백업 보관소 리소스만 경계 내에 있는 경우: 백업 보관소 리소스가 있는 경계에서 인그레스 예외를 구성합니다.
인그레스 규칙에
backupdr.googleapis.com및storage.googleapis.com를 모두 추가합니다. 소스는 백업/복구 어플라이언스가 있는 IP 주소, 네트워크 또는 프로젝트일 수 있습니다. - 경계에 백업/복구 어플라이언스만 있는 경우: 백업/복구 어플라이언스가 있는 경계에서 이그레스 예외를 구성합니다.
이그레스 규칙에
backupdr.googleapis.com및storage.googleapis.com를 모두 추가합니다. 타겟은 백업 보관소 리소스가 있는 프로젝트입니다. 이를 백업/복구 어플라이언스의 IP 주소 또는 기타 속성과 결합할 수 있습니다.
Compute Engine의 액세스 수준 및 방향 정책 구성
관리자 프로젝트와 워크로드 프로젝트가 동일한 VPC 서비스 제어 경계에 있는 경우 액세스 수준 및 방향 정책을 구성할 필요가 없습니다. 그렇지 않은 경우 보안 경계 구성 요구사항에 따라 다음 구성 시나리오 중 하나를 선택합니다.
- 관리자 프로젝트와 워크로드 프로젝트가 모두 서로 다른 서비스 경계에 있는 경우:
- 관리자 프로젝트는
backupdr.googleapis.com및compute.googleapis.com모두의 워크로드 프로젝트에 백업 보관소 서비스 에이전트의 이그레스 규칙을 추가해야 합니다. - 워크로드 프로젝트는 백업 볼트 서비스 에이전트의 호출을 허용하는 인그레스 규칙과 백업 볼트 서비스 에이전트의
backupdr.googleapis.com및compute.googleapis.com모두에 대한 관리자 프로젝트로의 이그레스 규칙을 추가해야 합니다.
- 관리자 프로젝트는
- 관리자 프로젝트에만 서비스 경계가 있는 경우:
관리자 프로젝트는
backupdr.googleapis.com및compute.googleapis.com모두의 워크로드 프로젝트에 백업 보관소 서비스 에이전트의 이그레스 규칙을 추가해야 합니다. - 워크로드 프로젝트에만 서비스 경계가 있는 경우: 워크로드 프로젝트는 백업 보관소 서비스 에이전트의 호출을 허용하는 인그레스 규칙과 백업 보관소 서비스 에이전트의 관리자 프로젝트에 대한 이그레스 규칙을
backupdr.googleapis.com및compute.googleapis.com모두에 추가해야 합니다.
백업 및 DR 서비스에 대한 VPC 서비스 제어 구성
다음 단계에 따라 백업 및 DR 서비스에 VPC 서비스 제어를 구성합니다.
다음 섹션에서 각 단계를 자세히 설명합니다.
서비스 경계 만들기
다음 안내에 따라 서비스 경계를 만듭니다.
- Google Cloud 콘솔의 프로젝트 선택 도구 페이지에서 VPC 서비스 경계로 보호할 백업 및 DR 서비스 프로젝트를 선택합니다.
- 서비스 경계 만들기에 설명된 안내에 따라 서비스 경계를 만듭니다.
제한된 서비스 섹션의 서비스 경계에 다음 API를 추가합니다.
- 필수: 백업 및 DR 서비스 API -
backupdr.googleapis.com - 선택사항: Compute Engine API -
compute.googleapis.com - 선택사항: Resource Manager API -
cloudresourcemanager.googleapis.com - 선택사항: Workflows API -
workflows.googleapis.com - 선택사항: Cloud Key Management Service API -
cloudkms.googleapis.com - 선택사항: Identity and Access Management API -
iam.googleapis.com - 선택사항: Cloud Logging API -
logging.googleapis.com - 선택사항: Cloud Storage API -
storage.googleapis.com
- 필수: 백업 및 DR 서비스 API -
공유 VPC를 사용하는 경우 리소스 추가 섹션에 호스트 및 서비스 프로젝트를 추가합니다.
경계를 설정하면 기본적으로 백업 및 DR 서비스 관리 콘솔 및 API에 대한 액세스는 보안 경계 내에서만 허용됩니다.
예를 들어 백업/복구 어플라이언스가 Compute Engine 인스턴스를 동일한 경계에 있지 않은 프로젝트 또는 VPC 네트워크로 복구하기 위해 서비스 경계 외부에 클라우드 API를 요청하는 경우 VPC 서비스 제어 액세스 위반이 발생할 수 있습니다. API 요청을 허용하려면 백업/복구 어플라이언스 서비스 계정의 VPC 서비스 제어 서비스 경계에서 적절한 인그레스 및 이그레스 규칙을 만들어야 합니다.
Google API 및 서비스에 대한 연결 구성
VPC 서비스 제어 구성에서 네트워크 트래픽을 제어하려면 restricted.googleapis.com 도메인을 통해 Google API 및 서비스에 대한 액세스를 구성합니다. 이 도메인은 VPC 서비스 제어를 지원하지 않는 Google API 및 서비스에 대한 액세스를 차단합니다. 자세한 내용은 도메인 옵션을 참고하세요.
Google API 및 서비스에 대한 DNS 규칙을 구성하지 않으면 기본 도메인에 대한 도메인 옵션을 사용하여 해결됩니다.
백업 및 DR 서비스는 다음 도메인을 사용합니다.
*.backupdr.cloud.google.com는 관리 콘솔에 액세스하는 데 사용됩니다.*.googleapis.com은 다른 Google 서비스에 액세스하는 데 사용됩니다.
DNS 레코드 섹션에서 다음 restricted.googleapis.com 엔드포인트에 대한 연결을 구성합니다.
| 도메인 | DNS 이름 | CNAME 레코드 | A 레코드 |
|---|---|---|---|
*.googleapis.com
|
googleapis.com.
|
DNS 이름: *.googleapis.com.리소스 레코드 유형: CNAME표준 이름: googleapis.com.
|
리소스 레코드 유형: AIPv4 주소:
199.36.153.4,
|
*.backupdr.cloud.google.com
|
backupdr.cloud.google.com.
|
DNS 이름: *.backupdr.cloud.google.com.리소스 레코드 유형: CNAME표준 이름: backupdr.cloud.google.com.
|
리소스 레코드 유형: AIPv4 주소:
|
*.backupdr.googleusercontent.com
|
backupdr.googleusercontent.com
|
DNS 이름: *.backupdr.googleusercontent.com.리소스 레코드 유형: CNAME표준 이름: backupdr.googleusercontent.com.
|
리소스 레코드 유형: AIPv4 주소:
|
DNS 레코드 만들기
다음 안내에 따라 DNS 레코드를 만듭니다.
Google Cloud 콘솔에서 DNS 영역 만들기 페이지로 이동합니다.
영역 유형으로 비공개를 선택합니다.
영역 이름 필드에 이름을 입력합니다. 예를 들면
backup-dr-new-zone입니다.DNS 이름 필드에 소유한 도메인 이름을 사용하여 영역의 이름을 입력합니다(예:
backupdr.cloud.google.com).선택사항: 설명을 추가합니다.
옵션에서 기본값(비공개)을 선택합니다.
만들기를 클릭합니다.
영역 세부정보 페이지에서 표준 추가를 클릭합니다.
레코드 세트 만들기 페이지에서 다음 단계에 따라 CNAME 레코드의 레코드 세트를 추가합니다.
- DNS 이름 필드에
*.backupdr.cloud.google.com을 입력합니다. - 리소스 레코드 유형에서 CNAME을 선택합니다.
- 표준 이름 필드에
backupdr.cloud.google.com를 입력합니다. - 만들기를 클릭합니다.
- DNS 이름 필드에
영역 세부정보 페이지에서 표준 추가를 클릭하고 다음 단계에 따라 IP 주소가 포함된 레코드 모음을 추가합니다.
- DNS 이름 필드에
*.backupdr.cloud.google.com을 입력합니다. - 리소스 레코드 유형으로 A를 선택합니다.
- IPv4 주소 입력란에 199.36.153.4, 199.36.153.5, 199.36.153.6, 199.36.153.7을 입력합니다.
- 만들기를 클릭합니다.
- DNS 이름 필드에
자세한 내용은 Google API 및 서비스에 대한 비공개 연결 설정을 참고하세요.
문제 해결
백업 및 DR 서비스용 VPC 서비스 제어는 버전 11.0.5 이상에서 지원됩니다. 관리 콘솔의 도움말 > 정보에서 버전을 확인할 수 있습니다.
백업 및 DR 서비스에 VPC 서비스 제어를 구성하는 중에 문제가 발생하면 VPC 서비스 제어 문제 해결 섹션을 참고하세요.
제한사항
gcloud 명령어(gcloud services vpc-peerings enable-vpc-service-controls)를 사용하여 서비스 프로듀서 프로젝트에서 인터넷 기본 경로를 삭제한 경우 관리 콘솔에 액세스하거나 만들 수 없습니다. 이 문제가 발생하면 Google Cloud Customer Care에 문의하세요.
Compute Engine 백업 이미지를 마운트하기 전에 서비스 프로젝트와 호스트 프로젝트를 동일한 경계에 추가합니다. 그렇지 않으면 사용 가능한 네트워크가 표시되지 않을 수 있습니다.