VM의 네트워킹 개요

이 문서에서는 가상 머신(VM) 인스턴스의 네트워킹 기능에 대한 개요를 제공합니다. 가상 머신 (VM) 인스턴스가 Virtual Private Cloud (VPC) 네트워크와 상호작용하는 방식에 대한 기본적인 정보가 포함되어 있습니다. VPC 네트워크 및 관련 기능에 대한 상세 설명은 VPC 네트워크 개요를 참조하세요.

네트워크 및 서브넷

모든 VM은 VPC 네트워크의 일부입니다. VPC 네트워크는 다른 Google Cloud 제품 및 인터넷에 대한 VM 인스턴스의 연결 기능을 제공합니다. VPC 네트워크는 자동 모드 또는 커스텀 모드일 수 있습니다.

  • 자동 모드 VPC 네트워크에는 각 리전에 하나의 서브네트워크 (서브넷)가 있습니다. 모든 서브넷은 10.128.0.0/9 IP 주소 범위 내에 포함됩니다. 자동 모드 VPC 네트워크는 IPv4 서브넷 범위만 지원합니다.
  • 커스텀 모드 네트워크에는 지정된 서브넷 구성이 없습니다. 지정한 IP 범위를 사용해서 선택한 리전에 만들려는 서브넷을 결정합니다. 커스텀 모드 네트워크는 또한 IPv6 서브넷 범위를 지원합니다.

명시적으로 사용 중지하지 않는 한, 각 프로젝트에는 default 네트워크가 있으며 이는 자동 모드 VPC 네트워크입니다. 조직 정책을 만들면 기본 네트워크 생성을 중지할 수 있습니다.

VPC 네트워크의 각 서브넷은 하나의 리전과 연결되며 하나 이상의 IP 주소 범위를 포함합니다. 리전당 2개 이상의 서브넷을 만들 수 있습니다. VM의 각 네트워크 인터페이스는 서브넷에 연결되어야 합니다.

VM을 만들 때는 VPC 네트워크 및 서브넷을 지정할 수 있습니다. 이 구성을 생략하면 default 네트워크 및 서브넷이 사용됩니다. Google Cloud 는 선택한 서브넷의 기본 IPv4 주소 범위에서 새 VM에 내부 IPv4 주소를 할당합니다. 서브넷에 IPv6 주소 범위 (이중 스택이라고 함)도 있거나 IPv6 전용 서브넷 (미리보기)을 만든 경우 VM에 IPv6 주소를 할당할 수 있습니다.

VPC 네트워크에 대한 상세 설명은 VPC 네트워크 개요를 참조하세요. 두 리전에 3개의 서브넷이 있는 VPC 네트워크를 사용하는 VM 도식 예시는 VPC 네트워크 예시를 참조하세요.

네트워크 인터페이스 컨트롤러(NIC)

VPC 네트워크의 모든 컴퓨팅 인스턴스에는 기본 네트워크 인터페이스가 있습니다. 컴퓨팅 인스턴스를 만들 때만 네트워크 인터페이스를 정의할 수 있습니다. 네트워크 인터페이스를 구성할 때 인터페이스를 연결할 VPC 네트워크와 해당 VPC 네트워크 내의 서브넷을 선택합니다. 인스턴스에 네트워크 인터페이스를 추가로 만들 수 있지만 각 인터페이스는 다른 VPC 네트워크에 연결되어야 합니다.

다중 네트워크 인터페이스를 활용하면 인스턴스에서 다수의 VPC 네트워크에 직접 연결되는 구성을 만들 수 있습니다. 인스턴스에서 실행 중인 애플리케이션에 데이터 영역 트래픽과 관리 영역 트래픽의 구분과 같은 트래픽 구분이 필요한 경우에도 다중 네트워크 인터페이스가 유용합니다. 여러 NIC 사용에 대한 자세한 내용은 다중 네트워크 인터페이스 개요를 참고하세요.

컴퓨팅 인스턴스의 네트워크 인터페이스를 구성할 때 인터페이스에 사용할 네트워크 드라이버 유형(VirtIO 또는 Google Virtual NIC(gVNIC))을 지정할 수 있습니다. 1세대 및 2세대 머신 시리즈의 경우 기본값은 VirtIO입니다. 3세대 및 이후 머신 시리즈는 기본적으로 gVNIC를 사용하도록 구성되어 있으며 네트워크 인터페이스에 VirtIO를 지원하지 않습니다. 베어메탈 인스턴스는 IDPF를 사용합니다.

또한 gVNIC 또는 IPDF를 사용하는 컴퓨팅 인스턴스에서 VM당 Tier_1 네트워킹 성능을 사용하도록 선택할 수 있습니다. Tier_1 네트워킹을 사용하면 인바운드 및 아웃바운드 데이터 전송 모두에서 더 높은 네트워크 처리량 한도를 사용할 수 있습니다.

네트워크 대역폭

Google Cloud 는 네트워크 인터페이스 (NIC) 또는 IP 주소당 대역폭이 아니라 VM 인스턴스당 대역폭을 고려합니다. 대역폭은 트래픽 방향(인그레스 및 이그레스)과 대상 IP 주소의 유형 등 두 가지 측정기준을 사용하여 측정됩니다. 가능한 최대 이그레스 속도는 인스턴스 생성에 사용된 머신 유형에 따라 결정되지만 이 가능한 최대 이그레스 속도는 특정 상황에서만 달성할 수 있습니다. 자세한 내용은 네트워크 대역폭을 참고하세요.

3세대 이상 머신 시리즈의 200Gbps와 같은 더 높은 네트워크 대역폭을 지원하려면 Google Virtual NIC (gVNIC)가 필요합니다.

  • 표준 최대 이그레스 대역폭 한도는 1Gbps~100Gbps입니다.
  • VM당 Tier_1 네트워킹 성능은 컴퓨팅 인스턴스의 크기 및 머신 유형에 따라 최대 이그레스 대역폭 한도를 200Gbps로 늘립니다.

일부 머신 시리즈에는 대역폭 요약 표에 설명된 대로 다른 한도가 적용됩니다.

IP 주소

각 VM에는 네트워크 인터페이스와 연결된 서브넷의 IP 주소가 할당됩니다. 다음 목록에는 IP 주소 구성 요구사항에 관한 추가 정보가 나와 있습니다.

  • IPv4 전용 서브넷의 경우 IP 주소는 내부 IPv4 주소입니다. 원하는 경우 VM의 외부 IPv4 주소를 구성할 수 있습니다.
  • 네트워크 인터페이스가 IPv6 범위가 있는 이중 스택 서브넷에 연결되는 경우 커스텀 모드 VPC 네트워크를 사용해야 합니다. VM의 IP 주소는 다음과 같습니다.
    • 내부 IPv4 주소입니다. 원하는 경우 VM의 외부 IPv4 주소를 구성할 수 있습니다.
    • 서브넷의 액세스 유형에 따라 내부 또는 외부 IPv6 주소입니다.
  • IPv6 전용 서브넷 (미리보기)의 경우 커스텀 모드 VPC 네트워크를 사용해야 합니다. VM에는 서브넷의 액세스 유형에 따라 내부 또는 외부 IPv6 주소가 있습니다.
  • 내부 및 외부 IPv6 주소가 모두 있는 IPv6 전용 인스턴스 (미리보기)를 만들려면 VM을 만들 때 두 개의 네트워크 인터페이스를 지정해야 합니다. 기존 인스턴스에 네트워크 인터페이스를 추가할 수 없습니다.

외부 및 내부 IP 주소는 모두 임시 또는 고정 주소일 수 있습니다.

내부 IP 주소는 다음 중 하나의 로컬 주소입니다.

  • VPC 네트워크
  • VPC 네트워크 피어링을 사용하여 연결된 VPC 네트워크
  • Cloud VPN, Cloud Interconnect, 라우터 어플라이언스를 사용하여 VPC 네트워크에 연결된 온프레미스 네트워크

인스턴스는 VM의 내부 IPv4 주소를 사용해서 동일한 VPC 네트워크 또는 이전 목록에 지정된 대로 연결된 네트워크에 있는 인스턴스와 통신할 수 있습니다. VM 네트워크 인터페이스가 이중 스택 서브넷 또는 IPv6 전용 서브넷에 연결된 경우 VM의 내부 또는 외부 IPv6 주소를 사용하여 동일한 네트워크의 다른 인스턴스와 통신할 수 있습니다. 가능한 한 내부 통신에는 내부 IPv6 주소를 사용하는 것이 좋습니다. IP 주소에 대한 자세한 내용은 Compute Engine의 IP 주소 개요를 참조하세요.

인터넷 또는 외부 시스템과 통신하려면 VM 인스턴스에 구성된 외부 IPv4 또는 외부 IPv6 주소를 사용하세요. 외부 IP 주소는 공개적으로 라우팅 가능한 IP 주소입니다. 인스턴스에 외부 IP 주소가 없으면 IPv4 트래픽에 Cloud NAT를 사용할 수 있습니다.

단일 VM 인스턴스에서 여러 서비스를 실행하는 경우 별칭 IP 범위를 사용하여 각 서비스에 서로 다른 내부 IPv4 주소를 지정할 수 있습니다. VPC 네트워크는 특정 서비스가 대상인 패킷을 해당 VM에 전달합니다. 자세한 내용은 별칭 IP 범위를 참조하세요.

네트워크 서비스 등급

네트워크 서비스 등급을 사용하면 인터넷에 있는 시스템과 Compute Engine 인스턴스 사이의 연결을 최적화할 수 있습니다. 프리미엄 등급은 Google의 프리미엄 백본으로 트래픽을 제공하고, 표준 등급은 일반 ISP 네트워크를 사용합니다. 프리미엄 등급을 사용하여 성능을 최적화하고 표준 등급을 사용하여 비용을 최적화하세요.

VM의 외부 IP 주소와 같이 리소스 수준에서 네트워크 등급을 선택하기 때문에 일부 리소스에는 표준 등급을 사용하고 다른 리소스에는 프리미엄 등급을 사용할 수 있습니다. 등급을 지정하지 않으면 프리미엄 등급이 사용됩니다.

VPC 네트워크 내에서 통신하기 위해 내부 IP 주소를 사용하는 Compute 인스턴스에는 항상 프리미엄 등급 네트워킹 인프라가 사용됩니다.

프리미엄 등급 또는 표준 등급을 사용하는 경우 인바운드 데이터 전송에 대한 요금이 청구되지 않습니다. 아웃바운드 데이터 전송 가격은 전송되는 GiB당 책정되며 네트워크 서비스 등급마다 다릅니다. 가격 책정에 관한 자세한 내용은 네트워크 서비스 등급 가격 책정을 참고하세요.

네트워크 서비스 등급은 컴퓨팅 인스턴스와 함께 사용할 수 있는 구성 옵션인 VM당 Tier_1 네트워킹 성능과 다릅니다. Tier_1 높은 대역폭 네트워크 가격 책정에 설명된 대로 Tier_1 네트워킹을 사용하는 데는 추가 비용이 발생합니다. Tier_1 네트워킹에 관한 자세한 내용은 VM당 Tier_1 네트워킹 성능 구성을 참고하세요.

프리미엄 등급

프리미엄 등급은 Google의 짧은 지연 시간과 높은 안정성의 전역 네트워크를 사용하여 외부 시스템에서 Google Cloud리소스로 트래픽을 전달합니다. 이 네트워크는 트래픽을 전달하면서도 여러 오류 및 중단 내결함성을 갖도록 설계되었습니다. 프리미엄 등급은 최고의 네트워크 성능과 안정성을 필요로 하는 전 세계 여러 곳의 사용자를 보유한 고객에게 이상적입니다.

프리미엄 등급 네트워크는 전 세계 100개가 넘는 접속 지점 (PoP)을 보유한 광범위한 비공개 광케이블 네트워크로 구성되어 있습니다. Google 네트워크 내에서 트래픽은 해당 PoP에서 VPC 네트워크의 컴퓨팅 인스턴스로 라우팅됩니다. 아웃바운드 트래픽은 Google 네트워크를 통해 전송되고 대상에 가장 가까운 PoP에서 종료됩니다. 이 라우팅 방법은 최종 사용자와 사용자에게 가장 가까운 PoP 간의 홉 수를 줄임으로써 정체를 최소화하고 성능을 극대화합니다.

표준 등급

표준 등급 네트워크는 인터넷을 통해 외부 시스템에서Google Cloud 리소스로 트래픽을 전달합니다. Google 네트워크를 나가는 패킷은 공개 인터넷을 사용하여 전달되며, 중계 접속 서비스 제공업체 및 ISP의 안정성에 영향을 받습니다. 표준 등급은 다른 클라우드 제공업체와 비슷한 네트워크 품질 및 신뢰성을 제공합니다.

표준 등급의 가격은 인터넷에서 시스템의 트래픽이 VPC 네트워크의 컴퓨팅 인스턴스로 전송되기 전에 중계 접속 (ISP) 네트워크를 통해 라우팅되기 때문에 프리미엄 등급보다 낮습니다. 표준 등급 아웃바운드 트래픽은 일반적으로 목적지에 관계없이 전송 컴퓨팅 인스턴스에서 사용하는 것과 동일한 리전에서 Google 네트워크 밖으로 나갑니다.

표준 등급에는 모든 프로젝트에서 사용하는 각 리전에 대해 리소스별로 매월 200GB의 무료 사용량이 포함됩니다.

내부 DNS(도메인 이름 시스템) 이름

가상 머신 (VM) 인스턴스를 만들 때 Google Cloud는 VM 이름으로부터 내부 DNS 이름을 만듭니다. 커스텀 호스트 이름을 지정하지 않으면Google Cloud 는 자동으로 생성된 내부 DNS 이름을 VM에 제공하는 호스트 이름으로 사용합니다.

동일한 VPC 네트워크에서 VM 간 통신의 경우 내부 IP 주소를 사용하는 대신 대상 인스턴스의 정규화된 DNS 이름 (FQDN)을 지정할 수 있습니다. Google Cloud 는 FQDN을 인스턴스의 내부 IP 주소로 자동으로 확인합니다.

정규화된 도메인 이름(FQDN)에 대한 자세한 내용은 영역 및 전역 내부 DNS 이름을 참조하세요.

경로

Google Cloud 경로는 네트워크 트래픽이 가상 머신 (VM) 인스턴스에서 다른 대상 위치로 이동하는 경로를 정의합니다. 이 대상은 VPC 네트워크의 내부에 있거나(예: 다른 VM 내) 외부에 있을 수 있습니다. VPC 네트워크의 라우팅 테이블은 VPC 네트워크 수준에서 정의됩니다. 각 VM 인스턴스에는 네트워크의 라우팅 테이블의 모든 적용 가능한 경로에 대한 정보를 유지하는 컨트롤러가 있습니다. VM에서 나가는 각 패킷은 라우팅 순서에 따라 적용 가능한 경로의 적절한 다음 홉으로 전달됩니다.

서브넷 경로는 VPC 네트워크의 VM 및 내부 부하 분산기와 같은 리소스의 경로를 정의합니다. 각 서브넷에는 대상 위치가 서브넷의 기본 IP 범위와 일치하는 서브넷 경로가 하나 이상 있습니다. 서브넷 경로의 대상 위치는 항상 가장 구체적입니다. 다른 경로의 우선순위가 더 높더라도 이 경로보다 우선 적용될 수 없습니다. 이는 Google Cloud에서 경로를 선택할 때 우선순위보다 대상 위치의 구체성을 먼저 고려하기 때문입니다. 서브넷 IP 범위에 대한 자세한 내용은 서브넷 개요를 참고하세요.

전달 규칙

경로가 인스턴스를 떠나는 트래픽을 제어하는 동안 전달 규칙은 트래픽을 IP 주소, 프로토콜, 포트를 기반으로 VPC 네트워크의 Google Cloud 리소스로 보냅니다. 일부 전달 규칙은 Google Cloud 외부에서 네트워크에 있는 대상으로 트래픽을 전달합니다. 그 외의 규칙은 네트워크 내부에서 트래픽을 전달합니다.

IP, Cloud VPN, 비공개 가상 IP(VIP), 부하 분산을 통해 가상 호스팅을 구현하도록 인스턴스의 전달 규칙을 구성할 수 있습니다. 전달 규칙에 대한 상세 설명은 프로토콜 전달 사용을 참조하세요.

방화벽 규칙

VPC 방화벽 규칙을 사용하면 지정한 구성을 기준으로 VM으로 들어가고 나가는 연결을 허용하거나 거부할 수 있습니다. Google Cloud 는 항상 사용 설정된 VPC 방화벽 규칙을 적용하여 VM이 시작되지 않았더라도 해당 구성 및 운영체제와 관계없이 VM을 보호합니다.

기본적으로 모든 VPC 네트워크에는 들어오는 모든 연결을 차단하고 나가는 모든 연결을 허용하는 수신 (인그레스)과 송신(이그레스) 방화벽 규칙이 있습니다. default 네트워크에는 네트워크의 인스턴스 간 통신을 허용하는 default-allow-internal 규칙을 비롯한 추가 방화벽 규칙이 있습니다. default 네트워크를 사용하지 않는 경우에는 인스턴스가 서로 통신할 수 있도록 명시적으로 우선순위가 더 높은 인그레스 방화벽 규칙을 만들어야 합니다.

모든 VPC 네트워크는 분산형 방화벽으로 작동합니다. 방화벽 규칙은 VPC 수준에서 정의되며, 네트워크의 모든 인스턴스에 적용될 수 있습니다. 또는 대상 태그 또는 대상 서비스 계정을 사용하여 특정 인스턴스에 규칙을 적용할 수 있습니다. VPC 방화벽 규칙은 인스턴스와 다른 네트워크 사이뿐만 아니라 동일한 네트워크 내의 개별 인스턴스 간에 존재하는 것으로 생각할 수 있습니다.

계층식 방화벽 정책을 사용하면 조직 전체에 일관된 방화벽 정책을 만들고 적용할 수 있습니다. 계층식 방화벽 정책을 조직 전체 또는 개별 폴더에 할당할 수 있습니다. 이러한 정책에는 VPC 방화벽 규칙과 동일하게 연결을 명시적으로 거부 또는 허용할 수 있는 규칙이 포함됩니다. 또한 계층식 방화벽 정책 규칙은 goto_next 작업을 통해 하위 수준 정책 또는 VPC 방화벽 규칙에 평가를 위임할 수 있습니다. 하위 수준의 규칙은 리소스 계층 구조에서 높은 위치에 있는 규칙을 재정의할 수 없습니다. 이렇게 하면 조직 전체 관리자가 중요한 방화벽 규칙을 한 곳에서 관리할 수 있습니다.

관리형 인스턴스 그룹 및 네트워킹 구성

관리형 인스턴스 그룹(MIG)을 사용하는 경우 인스턴스 템플릿에 지정한 네트워크 구성은 이 템플릿으로 만든 모든 VM에 적용됩니다. 자동 모드 VPC 네트워크에서 인스턴스 템플릿을 만들 경우 Google Cloud 는 관리형 인스턴스 그룹을 만든 리전의 서브넷을 자동으로 선택합니다.

자세한 내용은 네트워크 및 서브넷인스턴스 템플릿 만들기를 참고하세요.

다음 단계