Google Cloud에서 프로덕션 워크로드를 실행하기 전 작업 지원을 위한 초기 기반을 구성하는 것이 좋습니다. 관리자는 Google Cloud 설정을 통해 확장 가능한 워크로드에 맞게 Google Cloud를 구성할 수 있습니다. 설정 프로세스의 대화형 절차 안내에 따라 권장사항을 염두에 두고 기반 아키텍처를 만들 수 있습니다.
비즈니스 요구사항에 따라 기본 구성을 빠르게 배포하거나 설정 프로세스를 전반적으로 조정할 수 있습니다. 선호하는 배포 워크플로에 따라 콘솔에서 직접 구성을 배포하거나 Terraform을 다운로드 및 배포하여 자체 코드형 인프라(IaC) 프로세스와 통합할 수 있습니다.
이 문서에는 Google Cloud 콘솔에서 대화형 가이드로도 제공되며, 설정 프로세스를 수행하는 데 도움이 되는 단계 및 배경 정보가 포함되어 있습니다.
설정 프로세스에는 다음 단계가 포함됩니다.
조직, 관리자, 결제 설정: 계층의 최상위 노드를 설정하고, 초기 관리자 사용자를 만들고, 결제 수단을 연결합니다.
초기 아키텍처 만들기: 초기 폴더 및 프로젝트 구조를 선택하고, 액세스를 할당하고, 로깅을 구성하고, 보안 설정을 적용하고, 네트워크를 설정합니다.
설정 배포: 초기 아키텍처 옵션이 Terraform 구성 파일에 컴파일됩니다. Google Cloud 콘솔을 통해 빠르게 배포하거나 맞춤설정할 파일을 다운로드하고 자체 워크플로를 사용해서 반복 처리할 수 있습니다.
모니터링 및 지원 설정 적용: 권장 모니터링 및 지원 설정을 적용하여 아키텍처를 강화합니다.
조직, 관리자, 결제 설정
조직
Google Cloud에서 조직 리소스는 사용자 비즈니스를 나타내며 계층 구조의 최상위 노드로 작동합니다. 조직을 만들려면 Google ID 서비스를 설정하고 이를 도메인에 연결합니다. 이 프로세스를 완료하면 조직 리소스가 자동으로 생성됩니다.
조직 리소스에 대한 개요는 다음을 참조하세요.
이 태스크를 수행할 수 있는 사용자
다음 두 관리자가 이 태스크를 수행합니다.
ID 관리자는 역할 기반 액세스를 할당합니다. 이 사용자를 Cloud ID 최고 관리자로 지정합니다. 최고 관리자 사용자에 대한 자세한 내용은 사전 빌드된 관리자 역할을 참조하세요.
도메인 관리자는 회사 도메인 호스트에 대한 액세스 권한을 갖습니다. 이 사람은 도메인 확인 프로세스에 따라 DNS 구성과 같은 도메인 설정을 수정합니다.
이 태스크에서 수행하는 작업
- 아직 작업을 수행하지 않았으면 최고 관리자 사용자에 대해 관리 사용자 계정을 만드는 Cloud ID를 설정합니다.
- Cloud ID를 도메인에 연결합니다(예: example.com).
- 도메인을 확인합니다. 이 프로세스는 조직 리소스로 알려진 리소스 계층 구조의 루트 노드를 만듭니다.
이 태스크가 권장되는 이유
Google Cloud 기초의 일부로 다음을 구성해야 합니다.
- 중앙에서 ID를 관리하기 위한 Google ID 서비스
- 계층 구조 및 액세스 제어 루트를 설정하기 위한 조직 리소스
Google ID 서비스 옵션
다음 Google ID 서비스 중 하나 또는 모두를 사용해서 Google Cloud 사용자의 사용자 인증 정보를 관리합니다.
- Cloud ID: 사용자 및 그룹을 중앙에서 관리합니다. Google과 다른 ID 공급업체 사이에 ID를 제휴할 수 있습니다. 자세한 내용은 Cloud ID 개요를 참조하세요.
- Google Workspace: 사용자 및 그룹을 관리하고 Gmail 및 Google Drive와 같은 생산성 및 협업 제품에 대한 액세스를 제공합니다. 자세한 내용은 Google Workspace를 참조하세요.
ID 계획에 대한 자세한 내용은 기업 ID를 위한 온보딩 프로세스 계획을 참조하세요.
시작하기 전에
최고 관리자 계정을 관리하는 방법은 최고 관리자 계정 권장사항을 참조하세요.
ID 공급업체 구성 및 도메인 확인
이 태스크에서 수행하는 단계는 신규 또는 기존 고객인지 여부에 따라 달라집니다. 요구사항에 적합한 옵션을 식별합니다.
신규 고객: Cloud ID를 설정하고, 도메인을 확인하고, 조직을 만듭니다.
기존 Google Workspace 고객: Google Workspace를 Google Workspace 및 Google Cloud에 액세스하는 사용자를 위한 ID 공급업체로 사용합니다. Google Cloud에만 액세스하는 사용자를 만들려면 Cloud ID를 사용 설정합니다.
기존 Cloud ID 고객: 도메인을 확인하고, 조직이 생성되었는지 확인하고, Cloud ID가 사용 설정되었는지 확인합니다.
신규 고객
신규 고객: Cloud ID 설정 및 조직 만들기
조직 리소스를 만들기 위해서는 먼저 Google Cloud 리소스에 액세스하는 사용자 및 그룹을 관리할 수 있도록 Cloud ID를 설정합니다.
이 태스크에서는 Cloud ID 무료 버전을 설정합니다. 초기 설정을 완료한 후 Cloud ID Premium Edition을 사용 설정할 수 있습니다. 자세한 내용은 Cloud ID 기능 및 버전 비교를 참조하세요.
조직에서 Cloud ID 관리자(또는 최고 관리자)로 작동하는 사람을 식별합니다.
admin-name@example.com 형식으로 관리자의 사용자 이름을 기록합니다. 예를 들면 admin-maria@example.com입니다. 첫 번째 관리자 사용자를 만들 때 이 사용자 이름을 지정합니다.
설정 프로세스를 완료하고 최고 관리자 계정을 만들려면 Cloud ID 등록 페이지로 이동합니다.
관리자 계정을 설정할 때 오류가 표시되면 'Google 계정이 이미 있음' 오류를 참조하세요.
도메인 확인 및 조직 리소스 만들기
Cloud ID를 사용하려면 사용자가 도메인 소유자인지 확인해야 합니다. 확인이 완료되면 Google Cloud 조직 리소스가 자동으로 생성됩니다.
ID 공급업체를 구성할 때 최고 관리자 계정을 만들어야 합니다.
Cloud ID에서 도메인을 확인합니다. 확인 프로세스를 완료할 때 다음에 주의하세요.
- 프롬프트가 표시될 때 새 사용자 만들기를 클릭하지 않습니다. 이후 태스크에서 새 사용자를 만듭니다.
- 도메인을 등록할 수 없으면 Google 서비스에 대해 내 도메인을 등록할 수 없음을 참조하세요.
- 인증을 처리하는 데 몇 시간 정도 소요될 수 있습니다.
도메인을 확인하는 단계는 도메인 확인을 참조하세요.
도메인 확인 단계가 완료되었으면 지금 Google Cloud 콘솔 설정을 클릭합니다.
지정한 이메일 주소를 사용해서 Google Cloud 콘솔에 최고 관리자 사용자로 로그인합니다. 예를 들면 admin-maria@example.com입니다.
Google Cloud 설정: 조직으로 이동합니다. 조직은 자동으로 생성됩니다.
페이지 상단의 다음 조직에서 선택 드롭다운 목록에서 조직을 선택합니다.
추가 Cloud ID 사용자 라이선스 요청
Cloud ID Free Edition에는 사용자 라이선스 할당이 포함됩니다. 라이선스를 보고 요청하는 단계는 Cloud ID Free Edition 사용자 한도를 참조하세요.
Workspace 고객
기존 Google Workspace 고객: 도메인 확인 및 Cloud ID 사용 설정
기존 Google Workspace 고객의 경우 도메인을 확인하고 조직 리소스가 자동으로 생성되었는지 확인하고 선택적으로 Cloud ID를 사용 설정합니다.
Google Workspace에서 도메인을 확인하려면 도메인 확인을 참조하세요. 확인 프로세스를 완료할 때 다음에 주의하세요.
- 프롬프트가 표시될 때 새 사용자 만들기를 클릭하지 않습니다. 이후 태스크에서 새 사용자를 만듭니다.
- 도메인을 등록할 수 없으면 Google 서비스에 대해 내 도메인을 등록할 수 없음을 참조하세요.
- 인증을 처리하는 데 몇 시간 정도 소요될 수 있습니다.
Google Cloud 콘솔에 최고 관리자 사용자로 로그인합니다.
Google Cloud 설정: 조직으로 이동합니다.
현재 Google Workspace 고객을 참조하세요.
조직 이름이 조직 목록에 표시되는지 확인합니다.
Google Cloud에 액세스하지만 Google Workspace 라이선스가 없는 사용자를 만들려면 다음을 수행합니다.
Google Workspace에서 Cloud ID를 사용 설정합니다.
Cloud ID를 설정할 때 자동 Google Workspace 라이선스를 사용 중지합니다.
Cloud ID 고객
기존 Cloud ID 고객: 도메인 확인
기존 Cloud ID 고객의 경우 도메인이 확인되었고 조직 리소스가 자동으로 생성되었는지 확인합니다.
도메인이 확인되었는지 보려면 도메인 확인을 참조하세요. 확인 프로세스를 완료할 때 다음에 주의하세요.
- 프롬프트가 표시될 때 새 사용자 만들기를 클릭하지 않습니다. 이후 태스크에서 새 사용자를 만듭니다.
- 도메인을 등록할 수 없으면 Google 서비스에 대해 내 도메인을 등록할 수 없음을 참조하세요.
- 인증을 처리하는 데 몇 시간 정도 소요될 수 있습니다.
Google Cloud 콘솔에 최고 관리자 사용자로 로그인합니다.
Google Cloud 설정: 조직으로 이동합니다.
현재 Cloud ID 고객입니다를 선택합니다.
조직 이름이 조직 목록에 표시되는지 확인합니다.
Google 관리 콘솔: 구독에서 Cloud ID가 사용 설정되었는지 확인합니다. 최고 관리자 사용자로 로그인합니다.
다음 단계
사용자 및 그룹
이 태스크에서는 Google Cloud 리소스에 대한 액세스를 관리할 수 있는 ID, 사용자, 그룹을 설정합니다.
Google Cloud에서 액세스 관리에 대한 자세한 내용은 다음을 참조하세요.
- Identity and Access Management(IAM) 개요
- 권장사항은 ID 및 액세스 관리를 참조하세요.
이 태스크를 수행할 수 있는 사용자
다음 중 하나가 있으면 이 태스크를 수행할 수 있습니다.
- 조직 태스크에서 만든 Google Workspace 또는 Cloud ID 최고 관리자
- 다음 IAM 역할 중 하나:
- 조직 관리자(
roles/resourcemanager.organizationAdmin
) - 인력 ID 풀 관리자(
roles/iam.workforcePoolAdmin
)
- 조직 관리자(
이 태스크에서 수행하는 작업
Cloud ID 또는 외부 ID 공급업체(IdP)에 연결합니다.
나머지 Google Cloud 설정 단계를 실행할 관리 그룹과 사용자를 만듭니다. 이후 태스크에서 이러한 그룹에 대한 액세스 권한을 부여합니다.
이 태스크가 권장되는 이유
이 태스크를 통해 다음 보안 권장사항을 구현할 수 있습니다.
최소 권한의 원칙: 사용자에게 역할을 수행하는 데 필요한 최소 권한을 제공하고, 더 이상 필요하지 않은 액세스 권한을 삭제합니다.
역할 기반 액세스 제어(RBAC): 작업 역할에 따라 사용자 그룹에 권한을 할당합니다. 개별 사용자 계정에 권한을 추가하지 마세요.
그룹을 사용해서 사용자 컬렉션에 IAM 역할을 효율적으로 적용할 수 있습니다. 이렇게 하면 액세스 관리를 단순화할 수 있습니다.
ID 공급업체 선택
다음 중 하나를 사용하여 사용자와 그룹을 관리하고 Google Cloud에 연결할 수 있습니다.
- Google Workspace 또는 Cloud ID: Google Workspace 또는 Cloud ID에서 사용자와 그룹을 만들고 관리합니다. 나중에 외부 ID 공급업체와 동기화할 수 있습니다.
- 외부 ID 공급업체(예: Microsoft Entra ID 또는 Okta): 외부 ID 공급업체에서 사용자와 그룹을 만들고 관리합니다. 그런 다음 제공업체를 Google Cloud에 연결하여 싱글 사인온(SSO)을 사용 설정합니다.
ID 공급업체를 선택하려면 다음을 수행합니다.
이 태스크를 수행하는 사용자는 누구인가요?에서 식별한 사용자 중 한 명으로 Google Cloud 콘솔에 로그인합니다.
Google Cloud 설정: 사용자 및 그룹으로 이동합니다.
태스크 세부정보를 검토하고 ID 설정 계속하기를 클릭합니다.
ID 공급업체 선택 페이지에서 다음 중 하나를 선택하여 안내 설정을 시작합니다.
- Google을 통해 중앙에서 Google Cloud 사용자 관리: Google Workspace 또는 Cloud ID를 사용하여 확인된 도메인의 최고 관리자로 사용자와 그룹을 프로비저닝하고 관리합니다. 나중에 외부 ID 공급업체와 동기화할 수 있습니다.
- Microsoft Entra ID(Azure AD): OpenID Connect를 사용하여 Microsoft Entra ID에 대한 연결을 구성합니다.
- Okta: OpenID Connect를 사용하여 Okta에 대한 연결을 구성합니다.
- OpenID Connect: OpenID 프로토콜을 사용하여 호환되는 ID 공급업체에 연결합니다.
- SAML: SAML 프로토콜을 사용하여 호환되는 ID 공급업체에 연결합니다.
- 이번에는 외부 IdP 설정 건너뛰기: 외부 ID 공급업체가 있지만 Google Cloud에 연결할 준비가 되지 않았으면 Google Workspace 또는 Cloud ID에서 사용자와 그룹을 만들 수 있습니다.
계속을 클릭합니다.
다음 단계는 다음 중 하나를 참조하세요.
Cloud ID에서 사용자 및 그룹 만들기
기존 ID 공급업체가 없거나 ID 공급업체를 Google Cloud에 연결할 준비가 되지 않았으면 Cloud ID 또는 Google Workspace에서 사용자와 그룹을 만들고 관리할 수 있습니다. 사용자와 그룹을 만들려면 다음을 수행합니다.
- 조직, 결제, 네트워크 관리를 포함하여 권장되는 각 관리 기능에 대한 그룹을 만듭니다.
- 관리자용 관리 사용자 계정을 만듭니다.
- 해당 책임에 따라 관리 그룹에 사용자를 할당합니다.
시작하기 전에
Google 계정이 이미 있는 사용자를 찾아서 마이그레이션합니다. 자세한 내용은 비관리 계정으로 사용자 추가를 참조하세요.
최고 관리자여야 합니다.
관리 그룹 만들기
그룹은 여러 Google 계정과 서비스 계정을 모아 이름을 붙인 계정 컬렉션입니다. 각 그룹에는 gcp-billing-admins@example.com과 같은 고유한 이메일 주소가 있습니다. 그룹을 만들어서 사용자를 관리하고 규모에 맞게 IAM 역할을 적용합니다.
조직의 핵심 기능을 관리하고 Google Cloud 설정 프로세스를 수행하기 위해서는 다음 그룹이 권장됩니다.
그룹 | 설명 |
gcp-organization-admins
|
모든 조직 리소스를 관리합니다. 가장 신뢰할 수 있는 사용자에게만 이 역할을 할당합니다. |
gcp-billing-admins
|
결제 계정을 설정하고 사용량을 모니터링합니다. |
gcp-network-admins
|
Virtual Private Cloud 네트워크, 서브넷, 방화벽 규칙을 만듭니다. |
gcp-hybrid-connectivity-admins
|
Cloud VPN 인스턴스 및 Cloud Router와 같은 네트워크 기기를 만듭니다. |
gcp-logging-admins
|
모든 Cloud Logging 기능을 사용합니다. |
gcp-logging-viewers
|
로그 하위 집합에 읽기 전용 액세스를 부여합니다. |
gcp-monitoring-admins
|
모니터링 관리자는 Cloud Monitoring의 모든 기능에 액세스할 수 있습니다. |
gcp-security-admins |
액세스 관리 및 조직 제약조건 정책을 포함하여 전체 조직에 대해 보안 정책을 설정 및 관리합니다. Google Cloud 보안 인프라 계획에 대한 자세한 내용은 Google Cloud 엔터프라이즈 기반 청사진을 참조하세요. |
gcp-developers
|
애플리케이션을 설계, 코딩, 테스트합니다. |
gcp-devops
|
지속적 통합 및 배포, 모니터링, 시스템 프로비저닝을 지원하는 엔드 투 엔드 파이프라인을 만들거나 관리합니다. |
관리 그룹을 만들려면 다음을 수행합니다.
그룹 만들기 페이지에서 권장 관리 그룹 목록을 검토한 후 다음 중 하나를 수행합니다.
- 모든 권장 그룹을 만들려면 모든 그룹 만들기를 클릭합니다.
- 권장 그룹의 하위 집합을 만들려면 선택한 행에서 만들기를 클릭합니다.
계속을 클릭합니다.
관리 권한 사용자 만들기
조직, 네트워킹, 결제, 기타 설정 절차를 수행하는 사용자를 처음에 추가하는 것이 좋습니다. Google Cloud 설정 프로세스를 완료한 후 다른 사용자를 추가할 수 있습니다.
Google Cloud 설정 태스크를 수행하는 관리 권한 사용자를 추가하려면 다음을 수행합니다.
일반 계정을 Cloud ID에서 제어되는 관리 사용자 계정으로 마이그레이션합니다. 자세한 단계는 다음을 참조하세요.
최고 관리자 계정을 사용하여 Google 관리 콘솔에 로그인합니다.
다음 옵션 중 하나를 사용하여 사용자를 추가합니다.
- 사용자를 대량으로 추가하려면 CSV 파일에서 여러 사용자 추가 또는 업데이트를 참조하세요.
- 사용자를 개별적으로 추가하려면 새 사용자의 계정 추가를 참조하세요.
사용자 추가가 완료되었으면 Google Cloud 설정: 사용자 및 그룹(사용자 만들기)으로 돌아갑니다.
계속을 클릭합니다.
그룹에 관리 권한 사용자 추가
해당 책임에 따라 만든 사용자를 관리 그룹에 추가합니다.
- 관리 사용자를 만들었는지 확인합니다.
Google Cloud 설정: 사용자 및 그룹(그룹에 사용자 추가)에서 단계 세부정보를 검토합니다.
각 그룹 행에서 다음을 수행합니다.
- 회원 추가를 클릭합니다.
- 사용자의 이메일 주소를 입력합니다.
그룹 역할 드롭다운 목록에서 사용자의 그룹 권한 설정을 선택합니다. 자세한 내용은 보기, 게시, 검토 가능한 사용자 설정하기를 참조하세요.
각 구성원은 선택한 그룹 역할에 관계없이 그룹에 부여하는 모든 IAM 역할을 상속합니다.
이 그룹에 다른 사용자를 추가하려면 다른 멤버 추가를 클릭하고 단계를 반복합니다. 그룹마다 구성원을 2명 이상 추가하는 것이 좋습니다.
이 그룹에 사용자 추가가 완료되었으면 저장을 클릭합니다.
모든 그룹을 완료하면 사용자 및 그룹 확인을 클릭합니다.
ID 공급업체를 Google Cloud와 제휴하려면 다음을 참조하세요.
- 참조 아키텍처: 외부 IdP 사용
- 사용자를 자동으로 프로비저닝하고 싱글 사인온(SSO)을 사용 설정하려면 다음을 참조하세요.
- Active Directory 사용자와 그룹을 Google Cloud에 동기화하려면 디렉터리 동기화 또는 Google Cloud 디렉터리 동기화를 사용합니다.
- 비교하려면 디렉터리 동기화와 GCDS 비교하기를 참조하세요.
외부 ID 공급업체를 Google Cloud에 연결
기존 ID 공급업체를 사용하여 그룹과 사용자를 만들고 관리할 수 있습니다. 외부 ID 공급업체와 직원 ID 제휴를 설정하여 Google Cloud에 대한 싱글 사인온(SSO)을 구성합니다. 이 프로세스의 주요 개념은 직원 ID 제휴를 참조하세요.
외부 ID 공급업체를 연결하려면 다음 단계가 포함된 안내 설정을 완료합니다.
- 직원 풀 만들기: 직원 ID 풀을 사용하면 ID와 리소스에 대한 액세스 권한을 관리할 수 있습니다. 다음 세부정보를 인간이 읽을 수 있는 형식으로 입력합니다.
- 직원 풀 ID: IAM에서 사용되는 전역적으로 고유한 식별자입니다.
- 제공업체 ID: 사용자가 Google Cloud에 로그인할 때 지정하는 제공업체의 이름입니다.
- 제공업체에서 Google Cloud 구성: 안내 설정에는 제공업체에 대한 구체적인 단계가 포함되어 있습니다.
- 제공업체의 직원 풀 세부정보 입력: 제공업체를 신뢰할 수 있는 기관으로 추가하여 ID를 어설션하려면 제공업체에서 세부정보를 검색하여 Google Cloud에 추가합니다.
- 초기 관리 그룹 모음 구성: 안내 설정에는 제공업체에 대한 구체적인 단계가 포함되어 있습니다. 제공업체의 그룹을 할당하고 Google Cloud에 연결합니다. 각 그룹에 대한 자세한 설명은 관리 그룹 만들기를 참조하세요.
- 각 그룹에 사용자 할당: 그룹마다 사용자를 2명 이상 할당하는 것이 좋습니다.
각 제공업체의 연결 프로세스에 대한 배경 정보는 다음을 참조하세요.
- Azure AD로 직원 ID 제휴 구성 및 사용자 로그인
- Okta로 직원 ID 제휴 구성 및 사용자 로그인
- OIDC 또는 SAML을 지원하는 다른 제공업체의 경우 직원 ID 제휴 구성을 참조하세요.
다음 단계
관리 액세스
이 태스크에서는 Identity and Access Management(IAM)를 사용하여 조직 수준에서 관리자 그룹에 권한 컬렉션을 할당합니다. 관리자는 이 프로세스를 통해 조직에 속하는 모든 클라우드 리소스를 중앙에서 확인하고 제어할 수 있습니다.
Google Cloud에서 Identity and Access Management 개요는 IAM 개요를 참조하세요.
이 태스크를 수행할 수 있는 사용자
이 태스크를 처리하려면 사용자가 다음 중 하나여야 합니다.
- 최고 관리자 사용자
- 조직 관리자 역할이 있는 사용자(
roles/resourcemanager.organizationAdmin
)
이 태스크에서 수행하는 작업
사용자 및 그룹 태스크에서 만든 각 관리자 그룹에 할당된 기본 역할 목록을 검토합니다.
그룹을 맞춤설정하려면 다음을 수행할 수 있습니다.
- 역할을 추가하거나 삭제합니다.
- 그룹을 사용하지 않으려면 이를 삭제할 수 있습니다.
이 태스크가 권장되는 이유
조직의 모든 관리 역할을 명시적으로 부여해야 합니다. 이 태스크를 통해 다음 보안 권장사항을 구현할 수 있습니다.
최소 권한의 원칙: 사용자에게 작업을 수행하는 데 필요한 최소 권한을 제공하고, 더 이상 필요하지 않은 액세스 권한을 삭제합니다.
역할 기반 액세스 제어(RBAC): 작업에 따라 사용자 그룹에 권한을 할당합니다. 개별 사용자 계정에 역할을 부여하지 마세요.
시작하기 전에
다음 태스크를 완료합니다.
관리 그룹에 액세스 부여
사용자 및 그룹 태스크에서 만든 각 관리자 그룹에 대해 적절한 액세스 권한을 부여하려면 각 그룹에 할당된 기본 역할을 검토합니다. 역할을 추가하거나 삭제하여 각 그룹의 액세스 권한을 맞춤설정할 수 있습니다.
Google Cloud 콘솔에서 최고 관리자 사용자로 로그인되어 있는지 확인합니다.
또는 조직 관리자 역할이 있는 사용자로 로그인할 수 있습니다(
roles/resourcemanager.organizationAdmin
).Google Cloud 설정: 관리 액세스로 이동합니다.
페이지 상단의 다음 조직에서 선택 드롭다운 목록에서 조직 이름을 선택합니다.
태스크 개요를 검토하고 관리 액세스 계속을 클릭합니다.
사용자 및 그룹 태스크에서 만든 그룹(주 구성원) 열에서 그룹을 검토합니다.
각 그룹에 대해 기본 IAM 역할을 검토합니다. 조직의 고유 요구를 충족시키기 위해 각 그룹에 할당된 역할을 추가하거나 삭제할 수 있습니다.
각 역할에는 사용자가 관련 태스크를 수행하도록 허용하는 여러 권한이 포함됩니다. 각 역할의 권한에 대한 자세한 내용은 IAM 기본 및 사전 정의된 역할 참조를 확인하세요.
각 그룹에 역할을 할당할 준비가 되었으면 저장 및 액세스 권한 부여를 클릭합니다.
다음 단계
결제를 설정합니다.
결제
이 태스크에서는 Google Cloud 리소스 요금을 지불할 결제 계정을 설정합니다. 이렇게 하려면 다음 중 하나를 조직에 연결합니다.
기존 Cloud Billing 계정. 계정에 액세스 권한이 없으면 결제 계정 관리자에게서 액세스 권한을 요청할 수 있습니다.
새 Cloud Billing 계정
결제에 대한 자세한 내용은 Cloud Billing 문서를 참조하세요.
이 태스크를 수행할 수 있는 사용자
사용자 및 그룹 태스크에서 만든 gcp-billing-admins@YOUR_DOMAIN
그룹의 사용자입니다.
이 태스크에서 수행하는 작업
- 기존 셀프 서비스 Cloud Billing 계정을 만들거나 사용합니다.
- 셀프 서비스 계정에서 인보이스 계정으로 전환할지 여부를 결정합니다.
- Cloud Billing 계정 및 결제 수단을 설정합니다.
이 태스크가 권장되는 이유
Cloud Billing 계정은 하나 이상의 Google Cloud 프로젝트와 연결되며 가상 머신, 네트워킹, 스토리지 등 사용한 리소스의 요금을 지불하는 데 사용됩니다.
결제 계정 유형 확인
조직에 연결하는 결제 계정은 다음 유형 중 하나입니다.
셀프 서비스(또는 온라인): 신용카드 또는 체크카드를 사용하여 온라인으로 가입합니다. 이 옵션은 중소기업 또는 개인의 경우에 권장됩니다. 결제 계정에 온라인으로 가입하면 계정이 셀프 서비스 계정으로 자동 설정됩니다.
인보이스(또는 오프라인). 셀프 서비스 결제 계정이 이미 있으면 해당 비즈니스가 자격 요건을 충족하는 경우 인보이스 결제 신청 자격이 부여될 수 있습니다.
인보이스 계정을 온라인으로 만들 수 없지만 셀프 서비스 계정을 인보이스 계정으로 변환하도록 신청할 수 있습니다.
자세한 내용은 Cloud Billing 계정 유형을 참조하세요.
시작하기 전에
다음 태스크를 완료합니다.
결제 계정 설정
이제 결제 계정 유형이 선택되었으므로 결제 계정을 조직에 연결합니다. 이 프로세스를 완료하면 결제 계정을 사용해서 Google Cloud 리소스 비용을 지불할 수 있습니다.
Google Cloud 콘솔에
gcp-billing-admins@YOUR_DOMAIN
그룹 사용자로 로그인합니다.Google Cloud 설정: 결제로 이동합니다.
태스크 개요를 검토한 후 결제 계속을 클릭합니다.
다음 결제 계정 옵션 중 하나를 선택합니다.
새 계정 만들기
조직에 기존 계정이 없으면 새 계정을 만듭니다.
- 새 결제 계정을 만들고 싶습니다를 선택합니다.
- 계속을 클릭합니다.
만들려는 결제 계정 유형을 선택합니다. 자세한 단계는 다음을 참조하세요.
- 새 셀프 서비스 계정을 만들려면 새 셀프 서비스 Cloud Billing 계정 만들기를 참조하세요.
- 기존 셀프 서비스 계정을 인보이스 결제로 전환하려면 월별 인보이스 결제 신청을 참조하세요.
결제 계정이 생성되었는지 확인합니다.
인보이스 계정을 만들었으면 이메일 확인이 수신될 때까지 최대 5일(영업일 기준)을 기다립니다.
결제 페이지로 이동합니다.
페이지 상단의 다음 조직에서 선택 목록에서 조직을 선택합니다. 계정이 성공적으로 생성되었으면 결제 계정 목록에 표시됩니다.
기존 계정 사용
기존 결제 계정이 있으면 조직에 연결할 수 있습니다.
- 이 목록에서 설정 단계를 완료하는 데 사용할 결제 계정을 확인했습니다를 선택합니다.
- 결제 드롭다운 목록에서 조직에 연결하려는 계정을 선택합니다.
- 계속을 클릭합니다.
- 세부정보를 검토하고 결제 계정 확인을 클릭합니다.
다른 사용자의 계정 사용
다른 사용자에게 기존 결제 계정에 대한 액세스 권한이 있으면 해당 사용자에게 결제 계정을 조직에 연결하도록 요청하거나 해당 사용자에게서 액세스 권한을 부여 받아서 연결을 완료할 수 있습니다.
- 다른 Google 사용자 계정에서 관리하는 결제 계정을 사용하고 싶습니다를 선택합니다.
- 계속을 클릭합니다.
- 결제 계정 관리자의 이메일 주소를 입력합니다.
- 관리자에게 문의를 클릭합니다.
- 추가 안내와 함께 결제 계정 관리자로부터 연락을 받을 때까지 기다립니다.
다음 단계
초기 아키텍처 만들기
계층 구조 및 액세스
이 태스크에서는 액세스 권한을 만들고 다음 리소스에 할당하여 리소스 계층 구조를 설정합니다.
- 폴더
- 프로젝트 간의 그룹화 메커니즘과 격리 경계를 제공합니다. 예를 들어 폴더는 재무 또는 소매와 같은 조직의 주요 부서 또는 프로덕션 또는 비프로덕션과 같은 환경을 나타낼 수 있습니다.
- 프로젝트
- 가상 머신, 데이터베이스, 스토리지 버킷 등의 Google Cloud 리소스가 포함됩니다.
프로젝트에 리소스를 구성하기 위한 설계 고려사항 및 권장사항은 Google Cloud 랜딩 영역의 리소스 계층 구조 결정을 참조하세요.
이 태스크를 수행할 수 있는 사용자
사용자 및 그룹 태스크에서 만든 gcp-organization-admins@YOUR_DOMAIN
그룹의 사용자가 이 태스크를 수행할 수 있습니다.
이 태스크에서 수행하는 작업
- 폴더 및 프로젝트를 포함하는 초기 계층 구조를 만듭니다.
- 폴더 및 프로젝트에 대해 액세스를 제어하는 IAM 정책을 설정합니다.
이 태스크가 권장되는 이유
폴더 및 프로젝트의 구조를 만들면 조직 운영 방식에 따라 Google Cloud 리소스를 관리하고 액세스 권한을 할당하는 데 도움이 됩니다. 예를 들어 지리적 리전, 자회사 구조, 책임 프레임워크에 대한 조직 고유의 컬렉션을 기반으로 리소스에 대한 액세스를 구성하고 제공할 수 있습니다.
리소스 계층 구조 계획
리소스 계층 구조는 일반적인 태스크에 대해 조직 전반에서 경계를 만들고 리소스를 공유하는 데 도움이 됩니다. 조직 구조에 따라 다음 초기 구성 중 하나를 사용하여 계층 구조를 만듭니다.
간단한 환경 지향 구성:
Non-production
및Production
과 같이 환경을 격리합니다.- 각 환경 폴더에서 고유 정책, 규제 요구사항, 액세스 제어를 구현합니다.
- 중앙 집중식 환경을 갖춘 중소기업에 적합합니다.
간단한 팀 지향 구성:
Development
및QA
와 같이 팀을 격리합니다.- 각 팀 폴더 아래에서 하위 환경 폴더를 사용하여 리소스에 대한 액세스를 격리합니다.
- 자율적인 팀이 있는 중소기업에 적합합니다.
환경 지향 구성:
Non-production
및Production
과 같이 환경 격리의 우선순위를 부여합니다.- 각 환경 폴더에서 사업부를 격리합니다.
- 각 사업부 아래에서 팀을 격리합니다.
- 중앙 집중식 환경을 갖춘 대기업에 적합합니다.
사업부 지향 구성:
Human Resources
및Engineering
과 같이 사업부 격리의 우선순위를 부여해서 사용자가 필요한 리소스 및 데이터에만 액세스할 수 있도록 보장합니다.- 각 사업부 아래에서 팀을 격리합니다.
- 각 팀에서 환경을 격리합니다.
- 자율적인 팀이 있는 대기업에 적합합니다.
각 구성에는 공유 리소스가 포함된 프로젝트에 대한 Common
폴더가 있습니다. 여기에는 로깅 및 모니터링 프로젝트가 포함됩니다.
시작하기 전에
다음 태스크를 완료합니다.
- 조직 태스크에서 최고 관리자 사용자 및 조직을 만듭니다.
- 사용자 및 그룹 태스크에서 사용자를 추가하고 그룹을 만듭니다.
- 관리 액세스 태스크에서 그룹에 IAM 역할을 할당합니다.
- 결제 태스크에서 결제 계정을 만들거나 연결합니다.
초기 폴더 및 프로젝트 구성
조직 구조를 나타내는 리소스 계층 구조를 선택합니다.
초기 폴더 및 프로젝트를 구성하려면 다음을 수행합니다.
사용자 및 그룹 태스크에서 만든
gcp-organization-admins@YOUR_DOMAIN
그룹의 사용자로 Google Cloud 콘솔에 로그인합니다.페이지 상단의 다음 조직에서 선택 드롭다운 목록에서 조직을 선택합니다.
Google Cloud 설정: 계층 구조 및 액세스로 이동합니다.
태스크 개요를 검토한 후 리소스 계층 구조 옆에 있는 시작을 클릭합니다.
시작 구성을 선택합니다.
계속 및 구성을 클릭합니다.
조직 구조에 맞게 리소스 계층 구조를 맞춤설정합니다. 예를 들어 다음을 맞춤설정할 수 있습니다.
- 폴더 이름
각 팀의 서비스 프로젝트. 서비스 프로젝트에 액세스 권한을 부여하려면 다음을 만들 수 있습니다.
- 각 서비스 프로젝트의 그룹
- 각 그룹의 사용자
서비스 프로젝트 개요는 공유 VPC를 참조하세요.
모니터링, 로깅, 네트워킹에 필요한 프로젝트
커스텀 프로젝트
계속을 클릭합니다.
폴더 및 프로젝트에 액세스 권한 부여
관리 액세스 태스크에서는 조직 수준에서 그룹에 관리 액세스 권한을 부여했습니다. 이 태스크에서는 새로 구성된 폴더 및 프로젝트와 상호작용하는 그룹에 대해 액세스 권한을 구성합니다.
프로젝트, 폴더, 조직에는 각각 리소스 계층 구조를 통해 상속되는 자체 IAM 정책이 포함됩니다.
- 조직: 정책이 조직의 모든 폴더 및 프로젝트에 적용됩니다.
- 폴더: 정책이 프로젝트 및 폴더 내의 다른 폴더에 적용됩니다.
- 프로젝트: 정책이 해당 프로젝트 및 리소스에만 적용됩니다.
폴더 및 프로젝트의 IAM 정책을 업데이트합니다.
계층 구조 및 액세스의 액세스 제어 구성 섹션에서 그룹에 폴더 및 프로젝트에 대한 액세스 권한을 부여합니다.
표에서 각 리소스의 각 그룹에 부여된 권장되는 IAM 역할 목록을 검토하세요.
각 그룹에 할당된 역할을 수정하려면 원하는 행에서 수정을 클릭합니다.
각 역할에 대한 자세한 내용은 IAM 기본 및 사전 정의된 역할을 참조하세요.
계속을 클릭합니다.
변경사항을 검토하고 초안 구성 확인을 클릭합니다.
다음 단계
로깅 중앙화
이 태스크에서는 이전 태스크에서 만든 프로젝트를 포함한 전체 조직에 대한 로깅을 구성합니다.
이 태스크를 수행할 수 있는 사용자
다음 중 하나가 있어야 합니다.
- Logging 관리자 역할(
roles/logging.admin
) - 사용자 및 그룹 태스크에서 만든
gcp-logging-admins@YOUR_DOMAIN
그룹의 멤버십
이 태스크에서 수행하는 작업
보안, 감사, 규정 준수를 돕기 위해 조직 전반에서 프로젝트에 생성된 로그를 중앙에서 관리합니다.
이 태스크가 권장되는 이유
로그 스토리지 및 보관 기능으로 분석을 간소화하고 감사 추적을 보존할 수 있습니다.
시작하기 전에
다음 태스크를 완료합니다.
- 조직 태스크에서 최고 관리자 사용자 및 조직을 만듭니다.
- 사용자 및 그룹 태스크에서 사용자를 추가하고 그룹을 만듭니다.
- 관리 액세스 태스크에서 그룹에 IAM 역할을 할당합니다.
- 결제 태스크에서 결제 계정을 만들거나 연결합니다.
- 계층 구조를 설정하고 계층 구조 및 액세스 태스크에서 액세스를 할당합니다.
중앙에서 로깅 관리
Cloud Logging은 Google Cloud에서 로그 데이터 및 이벤트에 대해 저장, 검색, 분석, 모니터링, 알림을 수행할 수 있게 해줍니다. 또한 애플리케이션, 온프레미스 리소스, 기타 클라우드에서 로그를 수집하고 처리할 수 있습니다. Cloud Logging을 사용하여 로그를 단일 로그 버킷에 통합하는 것이 좋습니다.
자세한 내용은 다음을 참조하세요.
- 개요는 라우팅 및 스토리지 개요를 참조하세요.
- 온프레미스 리소스 로깅에 대한 자세한 내용은 BindPlane으로 온프레미스 리소스 로깅을 참조하세요.
- 구성을 배포한 후 로그 필터를 변경하는 단계는 포함 필터를 참조하세요.
중앙 로그 버킷에 로그 데이터를 저장하려면 다음을 수행합니다.
이 태스크를 수행하는 사용자에서 식별된 사용자로 Google Cloud 콘솔에 로그인합니다.
페이지 상단의 다음 조직에서 선택 드롭다운 목록에서 조직을 선택합니다.
Google Cloud 설정: 로깅 중앙화로 이동합니다.
태스크 개요를 검토하고 로깅 구성 시작을 클릭합니다.
태스크 세부정보를 검토합니다.
로그를 중앙 로그 버킷에 라우팅하려면 로그 버킷에 조직 수준 관리자 활동 감사 로그 저장이 선택되었는지 확인합니다.
Logging 로그 버킷으로 로그 라우팅을 펼치고 다음을 수행합니다.
로그 버킷 이름 필드에 중앙 로그 버킷의 이름을 입력합니다.
로그 버킷 리전 목록에서 로그 데이터가 저장된 리전을 선택합니다.
자세한 내용은 로그 버킷 위치를 참조하세요.
365일 동안 로그를 보관하는 것이 좋습니다. 보관 기간을 맞춤설정하려면 보관 기간 필드에 일 수를 입력합니다.
30일 넘게 보관된 로그는 보관 비용이 발생합니다. 자세한 내용은 Cloud Logging 가격 책정 요약을 참조하세요.
Google Cloud 외부로 로그 내보내기
로그를 Google Cloud 외부의 대상으로 내보내려면 Pub/Sub를 사용하여 내보내면 됩니다. 예를 들어 여러 클라우드 제공업체를 사용하는 경우 각 클라우드 제공업체의 로그 데이터를 서드 파티 도구로 내보낼 수 있습니다.
고유한 니즈 및 요구사항에 맞게 내보내는 로그를 필터링할 수 있습니다. 예를 들어 비용을 관리하거나 데이터의 노이즈를 줄이기 위해 내보내는 로그 유형을 제한할 수 있습니다.
로그 내보내기에 대한 자세한 내용은 다음을 참조하세요.
- 개요를 알아보려면 Pub/Sub란 무엇인가요?를 참조하세요.
- 가격 정보는 다음을 참조하세요.
- Splunk로 스트리밍하는 방법에 대한 자세한 내용은 Google Cloud에서 Splunk로 로그 스트리밍 배포를 참조하세요.
로그를 내보내려면 다음을 수행합니다.
로그를 다른 애플리케이션, 다른 저장소, 서드 파티로 스트리밍을 클릭합니다.
Pub/Sub 주제 ID 필드에 내보낸 로그가 포함된 주제의 식별자를 입력합니다. 주제 구독에 대한 정보는 풀(pull) 구독을 참조하세요.
다음 권장 로그 중 하나를 내보내지 않으려면 체크박스를 선택 취소합니다.
- Cloud 감사 로그: 관리자 활동: 리소스 구성 또는 메타데이터를 수정하는 API 호출 또는 작업입니다.
- Cloud 감사 로그: 시스템 이벤트: 리소스 구성을 수정하는 Google Cloud 작업입니다.
- 액세스 투명성: Google 직원이 고객 콘텐츠에 액세스할 때 수행하는 작업입니다.
다음 추가 로그를 선택하여 내보냅니다.
- Cloud 감사 로그: 데이터 액세스: 리소스 구성 또는 메타데이터를 읽는 API 호출과 사용자가 제공한 리소스 데이터를 생성, 수정 또는 읽는 사용자 주도 API 호출입니다.
- Cloud 감사 로그: 정책 거부됨: 보안 정책 위반에 따른 사용자 또는 서비스 계정에 대한 Google Cloud 서비스 액세스 거부입니다.
각 로그 유형에 대한 자세한 내용은 Cloud 감사 로그 이해를 참조하세요.
로깅 구성 완료
로깅 작업을 완료하려면 다음을 수행합니다.
계속을 클릭합니다.
로깅 구성 세부정보를 검토하고 초안 구성 확인을 클릭합니다.
이후 태스크에서 설정을 배포할 때까지 로깅 구성이 배포되지 않습니다.
다음 단계
보안
이 태스크에서는 조직 보호에 도움이 되도록 보안 설정과 제품을 구성합니다.
이 태스크를 수행할 수 있는 사용자
이 태스크를 완료하려면 다음 중 하나가 있어야 합니다.
- 조직 관리자 역할(
roles/resourcemanager.organizationAdmin
) - 사용자 및 그룹 태스크에서 만든 다음 그룹 중 하나의 멤버십:
gcp-organization-admins@<your-domain>.com
gcp-security-admins@<your-domain>.com
이 태스크에서 수행하는 작업
다음 카테고리를 기반으로 권장되는 조직 정책을 적용합니다.
- 액세스 관리
- 서비스 계정 동작
- VPC 네트워크 구성
또한 취약점 및 위협 보고를 중앙화하도록 Security Command Center를 사용 설정합니다.
이 태스크가 권장되는 이유
권장 조직 정책을 적용하면 보안 상황에 맞지 않는 사용자 작업을 제한하는 데 도움이 됩니다.
Security Command Center를 사용 설정하면 취약점 및 위협을 분석할 수 있는 중앙 위치를 만드는 데 도움이 됩니다.
시작하기 전에
다음 태스크를 완료합니다.
보안 태스크 시작
이 태스크를 수행하는 사용자에서 식별된 사용자로 Google Cloud 콘솔에 로그인합니다.
페이지 상단의 다음 조직에서 선택 드롭다운에서 조직을 선택합니다.
Google Cloud 설정: 보안으로 이동합니다.
태스크 개요를 검토한 후 보안 시작을 클릭합니다.
취약점 및 위협 보고 중앙화
취약점 및 위협 보고 서비스를 중앙화하려면 Security Command Center를 사용 설정합니다. 이렇게 하면 보안 상황을 강화하고 위험을 줄이는 데 도움이 됩니다. 자세한 내용은 Security Command Center 개요를 참조하세요.
Google Cloud 설정: 보안 페이지의 Security Command Center 사용 설정: 표준 체크박스가 선택되었는지 확인합니다.
이 태스크는 무료 표준 등급을 사용 설정합니다. 나중에 프리미엄 버전으로 업그레이드할 수 있습니다. 자세한 내용은 Security Command Center 서비스 등급을 참조하세요.
Security Command Center 구성 적용을 클릭합니다.
권장 조직 정책 적용
조직 정책은 조직 수준에서 적용되며 폴더 및 프로젝트에 상속됩니다. 이 태스크에서는 권장되는 정책 목록을 검토하고 적용합니다. 언제든지 조직 정책을 수정할 수 있습니다. 자세한 내용은 조직 정책 서비스 소개를 참조하세요.
권장되는 조직 정책 목록을 검토합니다. 권장되는 정책을 적용하지 않으려면 해당 체크박스를 클릭하여 삭제합니다.
각 조직 정책에 대한 자세한 설명은 조직 정책 제약조건을 참조하세요.
조직 정책 구성 확인을 클릭합니다.
선택한 조직 정책은 이후 태스크에서 구성을 배포할 때 적용됩니다.
다음 단계
VPC 네트워크
이 태스크에서는 요구사항 변경에 따라 확장 가능한 초기 네트워킹 구성을 설정합니다.
Virtual Private Cloud 아키텍처
Virtual Private Cloud(VPC) 네트워크는 Google의 프로덕션 네트워크 내에서 구현되는 물리적 네트워크의 가상 버전입니다. VPC 네트워크는 리전 서브네트워크(서브넷)로 구성되는 전역 리소스입니다.
VPC 네트워크는 Compute Engine 가상 머신 인스턴스, GKE 컨테이너, App Engine 가변형 환경 인스턴스와 같은 Google Cloud 리소스에 네트워킹 기능을 제공합니다.
공유 VPC는 네트워크의 내부 IP 주소를 사용하여 서로 통신할 수 있도록 여러 프로젝트의 리소스를 공통 VPC 네트워크에 연결합니다. 다음 다이어그램은 서비스 프로젝트가 연결된 공유 VPC 네트워크의 기본 아키텍처를 보여줍니다.
공유 VPC를 사용하는 경우 호스트 프로젝트를 지정하고 여기에 서비스 프로젝트를 하나 이상 연결합니다. 호스트 프로젝트의 Virtual Private Cloud 네트워크를 공유 VPC 네트워크라고 합니다.
이 예시 다이어그램에는 공유 VPC 네트워크가 포함된 프로덕션 및 비프로덕션 호스트 프로젝트가 포함됩니다. 호스트 프로젝트를 사용하여 다음 항목을 중앙에서 관리할 수 있습니다.
- 경로
- 방화벽
- VPN 연결
- 서브넷
서비스 프로젝트는 호스트 프로젝트에 연결된 모든 프로젝트입니다. 보조 범위를 포함하여 호스트 및 서비스 프로젝트 간에 서브넷을 공유할 수 있습니다.
이 아키텍처에서 각 공유 VPC 네트워크에는 공개 및 비공개 서브넷이 포함됩니다.
- 공개 서브넷은 외부 연결을 위해 인터넷 연결 인스턴스에 사용될 수 있습니다.
- 비공개 서브넷은 공개 IP 주소가 할당되지 않은 인터넷 연결 인스턴스에 사용될 수 있습니다.
이 태스크에서는 예시 다이어그램을 기반으로 초기 네트워크 구성을 만듭니다.
이 태스크를 수행할 수 있는 사용자
이 태스크를 수행하려면 다음 중 하나가 필요합니다.
roles/compute.networkAdmin
역할- 사용자 및 그룹 태스크에서 만든
gcp-network-admins@YOUR_DOMAIN
그룹의 멤버십
이 태스크에서 수행하는 작업
다음을 포함하여 초기 네트워크 구성을 만듭니다.
- 개발 환경을 반영해서 여러 호스트 프로젝트를 만듭니다.
- 서로 다른 리소스가 동일한 네트워크를 공유할 수 있도록 각 호스트 프로젝트에서 공유 VPC 네트워크를 만듭니다.
- 서비스 프로젝트에 대해 네트워크 액세스 권한을 제공하도록 각 공유 VPC 네트워크에서 고유 서브넷을 만듭니다.
이 태스크가 권장되는 이유
고유 팀이 공유 VPC를 사용해서 중앙에서 관리되는 공통 VPC 네트워크에 연결할 수 있습니다.
시작하기 전에
다음 태스크를 완료합니다.
- 조직 태스크에서 최고 관리자 사용자 및 조직을 만듭니다.
- 사용자 및 그룹 태스크에서 사용자를 추가하고 그룹을 만듭니다.
- 관리 액세스 태스크에서 그룹에 IAM 역할을 할당합니다.
- 결제 태스크에서 결제 계정을 만들거나 연결합니다.
- 계층 구조를 설정하고 계층 구조 및 액세스 태스크에서 액세스를 할당합니다.
네트워크 아키텍처 구성
비프로덕션 및 프로덕션 워크로드를 구분하도록 2개의 호스트 프로젝트를 사용해서 초기 네트워크 구성을 만듭니다. 각 호스트 프로젝트에는 여러 서비스 프로젝트에 사용될 수 있는 공유 VPC 네트워크가 포함됩니다. 네트워크 세부정보를 구성한 후 이후 태스크에서 구성 파일을 배포합니다.
초기 네트워크를 구성하려면 다음을 수행합니다.
사용자 및 그룹 태스크에서 만든
gcp-organization-admins@YOUR_DOMAIN
그룹의 사용자로 Google Cloud 콘솔에 로그인합니다.페이지 상단의 조직 선택 드롭다운 목록에서 조직을 선택합니다.
Google Cloud 설정: 네트워킹으로 이동합니다.
기본 네트워크 아키텍처를 검토합니다.
네트워크 이름을 수정하려면 다음을 수행합니다.
- more_vert 작업을 클릭합니다.
- 네트워크 이름 수정을 선택합니다.
- 네트워크 이름 필드에 소문자, 숫자, 하이픈을 입력합니다. 네트워크 이름은 25자를 초과할 수 없습니다.
- 저장을 클릭합니다.
방화벽 세부정보 수정
호스트 프로젝트에 대한 기본 방화벽 규칙은 권장사항을 기반으로 합니다. 하나 이상의 기본 방화벽 규칙을 사용 중지할 수 있습니다. 방화벽 규칙에 대한 일반적인 내용은 VPC 방화벽 규칙을 참조하세요.
방화벽 설정을 수정하려면 다음을 수행합니다.
more_vert 작업을 클릭합니다.
방화벽 규칙 수정을 선택합니다.
각 기본 방화벽 규칙에 대한 자세한 내용은 기본 네트워크의 자동 입력된 규칙을 참조하세요.
방화벽 규칙을 사용 중지하려면 해당 체크박스를 선택 취소합니다.
방화벽 규칙 로깅을 사용 중지하려면 사용 중지를 클릭합니다.
기본적으로 Compute Engine 인스턴스의 트래픽이 감사 목적으로 로깅됩니다. 이 프로세스는 비용이 발생합니다. 자세한 내용은 방화벽 규칙 로깅을 참조하세요.
저장을 클릭합니다.
서브넷 세부정보 수정
각 VPC 네트워크에는 연결된 IP 주소 범위가 있는 리전 리소스인 서브넷이 하나 이상 포함되어 있습니다. 이 멀티 리전 구성에서는 IP 범위가 겹치지 않는 서브넷이 2개 이상 있어야 합니다.
자세한 내용은 서브넷을 참조하세요.
각 서브넷은 권장사항을 사용해서 구성됩니다. 각 서브넷을 맞춤설정하려면 다음을 수행합니다.
- more_vert 작업을 클릭합니다.
- 서브넷 수정을 선택합니다.
- 이름 필드에 소문자, 숫자, 하이픈을 입력합니다. 서브넷 이름은 25자를 초과할 수 없습니다.
리전 드롭다운에서 서비스 지점과 가까운 리전을 선택합니다.
각 서브넷에 서로 다른 리전을 선택하는 것이 좋습니다. 구성을 배포한 후에는 리전을 변경할 수 없습니다. 리전 선택에 대한 자세한 내용은 리전 리소스를 참조하세요.
IP 주소 범위 필드에서 CIDR 표기법(예: 10.0.0.0/24)으로 범위를 입력합니다.
입력한 범위는 이 네트워크에서 다른 서브넷과 겹치지 않아야 합니다. 유효한 범위에 대한 자세한 내용은 IPv4 서브넷 범위를 참조하세요.
서브넷 2에 대해 단계를 반복합니다.
이 네트워크에서 추가 서브넷을 구성하려면 서브넷 추가를 클릭하고 단계를 반복합니다.
저장을 클릭합니다.
서브넷은 권장사항에 따라 자동으로 구성됩니다. 구성을 수정하려면 Google Cloud 설정: VPC 네트워크 페이지에서 다음을 수행합니다.
VPC 흐름 로그를 사용 중지하려면 흐름 로그 열에서 사용 중지를 선택합니다.
흐름 로그가 사용 설정되어 있으면 각 서브넷이 보안, 비용 최적화, 기타 목적으로 분석할 수 있는 네트워크 흐름을 기록합니다. 자세한 내용은 VPC 흐름 로그 사용을 참조하세요.
VPC 흐름 로그에는 비용이 발생합니다. 자세한 내용은 Virtual Private Cloud 가격 책정을 참조하세요.
비공개 Google 액세스를 사용 중지하려면 비공개 액세스 열에서 사용 중지를 선택합니다.
비공개 Google 액세스가 사용 설정되어 있으면 외부 IP 주소가 없는 VM 인스턴스가 Google API 및 서비스에 액세스할 수 있습니다. 자세한 내용은 비공개 Google 액세스를 참조하세요.
Cloud NAT를 사용 설정하려면 Cloud NAT 열에서 사용을 선택합니다.
Cloud NAT가 사용 설정되어 있으면 특정 리소스가 인터넷에 대해 아웃바운드 연결을 만들 수 있습니다. 자세한 내용은 Cloud NAT 개요를 참조하세요.
Cloud NAT는 비용이 발생합니다. 자세한 내용은 Virtual Private Cloud 가격 책정을 참조하세요.
서비스 프로젝트 연결 계속을 클릭합니다.
호스트 프로젝트에 서비스 프로젝트 연결
서비스 프로젝트는 호스트 프로젝트에 연결된 모든 프로젝트입니다. 이 연결을 사용하면 서비스 프로젝트가 공유 VPC에 참여할 수 있습니다. 여러 다른 부서 또는 팀에서 각 서비스 프로젝트를 운영 및 관리하여 책임을 구분할 수 있습니다.
공통 VPC 네트워크에 여러 프로젝트 연결에 대한 자세한 내용은 공유 VPC 개요를 참조하세요.
호스트 프로젝트에 서비스 프로젝트를 연결하고 구성을 완료하려면 다음을 수행합니다.
공유 VPC 네트워크 테이블에서 각 서브넷에 대해 연결할 서비스 프로젝트를 선택합니다. 이렇게 하려면 서비스 프로젝트 열의 프로젝트 선택 드롭다운에서 선택합니다.
여러 서브넷에 서비스 프로젝트를 연결할 수 있습니다.
검토 계속을 클릭합니다.
구성을 검토하고 항목을 변경합니다.
구성 파일을 배포할 때까지 항목을 수정할 수 있습니다.
초안 구성 확인을 클릭합니다. 네트워크 구성이 구성 파일에 추가됩니다.
이후 태스크에서 구성 파일을 배포할 때까지 네트워크가 배포되지 않습니다.
다음 단계
하이브리드 연결을 설정하면, 온프레미스 서버 또는 기타 클라우드 제공업체를 Google Cloud에 연결할 수 있습니다.
하이브리드 연결
이 작업에서는 다음 다이어그램과 같이 피어(온프레미스 또는 기타 클라우드) 네트워크와 Google Cloud 네트워크 간에 연결을 설정합니다.
이 프로세스에서는 공용 인터넷을 통해 데이터를 전송하기 위해 빠르게 만들 수 있는 고가용성(HA) 솔루션인 HA VPN을 만듭니다.
Google Cloud 설정을 배포한 후 Cloud Interconnect을 사용하여 보다 강력한 연결을 만드는 것이 좋습니다.
피어 네트워크와 Google Cloud 간의 연결에 대한 자세한 내용은 다음을 참조하세요.
이 태스크를 수행할 수 있는 사용자
조직 관리자(roles/resourcemanager.organizationAdmin
) 역할이 있어야 합니다.
이 태스크에서 수행하는 작업
VPC 네트워크와 온프레미스 또는 기타 클라우드 네트워크 간에 지연 시간이 짧고 가용성이 높은 연결을 만듭니다. 다음 구성요소를 구성합니다.
- Google Cloud HA VPN 게이트웨이: 각각 고유한 IP 주소를 가진 두 개의 인터페이스가 있는 리전 리소스입니다. 연결에서 IPv6 트래픽이 지원되는지 여부를 결정하는 IP 스택 유형을 지정합니다. 배경 정보는 HA VPN을 참고하세요.
- 피어 VPN 게이트웨이: Google Cloud HA VPN 게이트웨이가 연결되는 피어 네트워크의 게이트웨이입니다. 피어 게이트웨이가 Google Cloud에 연결할 때 사용하는 외부 IP 주소를 입력합니다. 배경 정보는 피어 VPN 게이트웨이 구성을 참조하세요.
- Cloud Router: 경계 게이트웨이 프로토콜(BGP)을 사용하여 VPC와 피어 네트워크 간에 경로를 동적으로 교환합니다. Cloud Router의 식별자로 자율 시스템 번호(ASN)를 할당하고 피어 라우터가 사용하는 ASN을 지정합니다. 배경 정보는 VPC 네트워크를 동종 앱 네트워크에 연결하는 Cloud Router 만들기를 참조하세요.
- VPN 터널: Google Cloud 게이트웨이를 피어 게이트웨이에 연결합니다. 터널 설정을 위해 사용할 인터넷 키 교환(IKE) 프로토콜을 지정합니다. 이전에 생성한 자체 IKE 키를 입력하거나 새 키를 생성하여 복사할 수 있습니다. 배경 정보는 IKE 구성을 참조하세요.
이 태스크가 권장되는 이유
HA VPN은 기존 인프라와 Google Cloud 간의 안전하고 가용성이 높은 연결을 제공합니다.
시작하기 전에
다음 태스크를 완료합니다.
- 조직 태스크에서 최고 관리자 사용자 및 조직을 만듭니다.
- 사용자 및 그룹 태스크에서 사용자를 추가하고 그룹을 만듭니다.
- 관리 액세스 태스크에서 그룹에 IAM 역할을 할당합니다.
- 결제 태스크에서 결제 계정을 만들거나 연결합니다.
- 계층 구조를 설정하고 계층 구조 및 액세스 태스크에서 액세스를 할당합니다.
- VPC 네트워크 태스크에서 네트워크를 구성합니다.
피어 네트워크 관리자로부터 다음 정보를 수집합니다.
- 피어 VPN 게이트웨이 이름: Cloud VPN이 연결되는 게이트웨이입니다.
- 피어 인터페이스 IP 주소 0: 피어 네트워크의 외부 IP 주소입니다.
- 피어 인터페이스 IP 주소 1: 두 번째 외부 주소 또는 피어 네트워크에 외부 IP 주소가 하나만 있는 경우 IP 주소 0을 재사용할 수 있습니다.
- 피어 자율 시스템 번호(ASN): 피어 네트워크 라우터에 할당된 고유 식별자입니다.
- Cloud Router ASN: Cloud Router에 할당할 고유 식별자입니다.
- 인터넷 키 교환(IKE) 키: 피어 VPN 게이트웨이와 두 개의 VPN 터널을 설정하는 데 사용하는 키입니다. 기존 키가 없는 경우 이 설정 중에 키를 생성한 다음 피어 게이트웨이에 적용할 수 있습니다.
연결 구성
VPC 네트워크를 피어 네트워크에 연결하려면 다음 단계를 따르세요.
조직 관리자 역할이 있는 사용자로 로그인합니다.
페이지 상단의 다음 조직에서 선택 드롭다운 목록에서 조직을 선택합니다.
Google Cloud 설정: 하이브리드 연결로 이동합니다.
다음을 수행하여 태스크 세부정보를 검토합니다.
태스크 개요를 검토하고 하이브리드 연결 시작을 클릭합니다.
각 탭을 클릭하여 하이브리드 연결에 대해 알아보고 계속을 클릭합니다.
각 태스크 단계에서 예상되는 결과를 확인하고 계속을 클릭합니다.
수집해야 하는 피어 게이트웨이 구성 정보를 검토하고 계속을 클릭합니다.
하이브리드 연결 영역에서 비즈니스 요구사항에 따라 연결하려는 VPC 네트워크를 식별합니다.
선택한 첫 번째 네트워크의 행에서 구성을 클릭합니다.
구성 개요 영역에서 설명을 읽고 다음을 클릭합니다.
Google Cloud HA VPN 게이트웨이 영역에서 다음을 수행합니다.
Cloud VPN 게이트웨이 이름 필드에 소문자, 숫자, 하이픈을 사용하여 최대 60자를 입력합니다.
VPN 터널 내부 IP 스택 유형 영역에서 다음 스택 유형 중 하나를 선택합니다.
- IPv4 및 IPv6(권장): IPv4 및 IPv6 트래픽을 모두 지원할 수 있습니다. 터널에서 IPv6 트래픽을 허용하려는 경우 이 설정을 사용하는 것이 좋습니다.
- IPv4: IPv4 트래픽만 지원할 수 있습니다.
스택 유형에 따라 VPC 네트워크와 피어 네트워크 간의 터널에서 허용되는 트래픽 유형이 결정됩니다. 게이트웨이를 만든 후에는 스택 유형을 수정할 수 없습니다. 배경 정보는 다음을 참조하세요:
다음을 클릭합니다.
피어 VPN 게이트웨이 영역에서 다음을 수행합니다.
피어 VPN 게이트웨이 이름 필드에 피어 네트워크 관리자가 제공한 이름을 입력합니다. 소문자, 숫자, 하이픈을 사용하여 최대 60자를 입력할 수 있습니다.
피어 인터페이스 IP 주소 0 필드에 피어 네트워크 관리자가 제공한 피어 게이트웨이 인터페이스 외부 IP 주소를 입력합니다.
피어 인터페이스 IP 주소 1 필드에서 다음 중 하나를 수행합니다.
- 피어 게이트웨이에 두 번째 인터페이스가 있는 경우 IP 주소를 입력합니다.
- 피어 게이트웨이에 인터페이스가 하나만 있는 경우 피어 인터페이스 IP 주소 0에 입력한 것과 동일한 주소를 입력합니다.
배경 정보는 피어 VPN 게이트웨이 구성을 참조하세요.
다음을 클릭합니다.
Cloud Router 영역에서 다음을 수행합니다.
Cloud Router ASN 필드에 피어 네트워크 관리자가 제공한 대로 Cloud Router에 할당할 자율 시스템 번호를 입력합니다. 배경 정보는 Cloud Router 만들기를 참조하세요.
피어 라우터 ASN 필드에 피어 네트워크 관리자가 제공한 피어 네트워크 라우터의 자율 시스템 번호를 입력합니다.
VPN 터널 0 영역에서 다음을 수행합니다.
터널 0 이름 필드에 소문자, 숫자, 하이픈을 사용하여 최대 60자를 입력합니다.
IKE 버전 영역에서 다음 중 하나를 선택합니다.
- IKEv2 - 권장: IPv6 트래픽을 지원합니다.
- IKEv1: 터널에서 IPv6 트래픽을 허용하지 않으려는 경우 이 설정을 사용합니다.
배경 정보는 VPN 터널 구성을 참조하세요.
피어 네트워크 관리자가 제공한 대로 피어 게이트웨이 구성에 사용하는 키를 IKE 사전 공유 키 필드에 입력합니다. 기존 키가 없는 경우 생성 및 복사를 클릭한 후 피어 네트워크 관리자에게 키를 제공할 수 있습니다.
VPN 터널 1 영역에서 이전 단계를 반복하여 두 번째 터널에 대한 설정을 적용합니다. 중복성 및 추가 처리량을 위해 이 터널을 구성합니다.
저장을 클릭합니다.
피어 네트워크에 연결하려는 다른 VPC 네트워크에 대해서도 이 단계를 반복합니다.
배포 후
Google Cloud 설정 구성을 배포한 후 다음 단계를 완료하여 네트워크 연결이 완료되었는지 확인합니다.
피어 네트워크 관리자와 협력하여 피어 네트워크를 하이브리드 연결 설정에 맞게 조정합니다. 배포 후에는 다음을 포함한 피어 네트워크에 대한 구체적인 안내가 제공됩니다.
- 터널 설정
- 방화벽 설정
- IKE 설정
생성한 네트워크 연결을 확인합니다. 예를 들어 Network Intelligence Center를 사용하여 네트워크 간의 연결을 확인할 수 있습니다. 자세한 내용은 연결 테스트 개요를 참조하세요.
비즈니스 요구에 따라 더 강력한 연결이 필요한 경우 Cloud Interconnect를 사용합니다. 자세한 내용은 네트워크 연결 제품 선택을 참조하세요.
다음 단계
계층 구조 및 액세스, 로깅, 네트워크 및 하이브리드 연결에 대한 설정이 포함된 구성을 배포합니다.
설정 배포
배포 또는 다운로드
Google Cloud 설정 프로세스를 완료하면 다음 태스크의 설정이 Terraform 구성 파일에 컴파일됩니다.
설정을 적용하려면 선택항목을 검토하고 배포 방법을 선택합니다.
이 태스크를 수행할 수 있는 사용자
사용자 및 그룹 태스크에서 만든 gcp-organization-admins@YOUR_DOMAIN
그룹의 사용자입니다.
이 태스크에서 수행하는 작업
설정을 적용할 구성 파일을 배포합니다.
이 태스크가 권장되는 이유
선택한 설정을 적용할 구성 파일을 배포해야 합니다.
시작하기 전에
다음 태스크를 완료해야 합니다.
- 조직 태스크에서 최고 관리자 사용자 및 조직을 만듭니다.
- 사용자 및 그룹 태스크에서 사용자를 추가하고 그룹을 만듭니다.
- 관리 액세스 태스크에서 그룹에 IAM 역할을 할당합니다.
- 결제 태스크에서 결제 계정을 만들거나 연결합니다.
- 계층 구조를 설정하고 계층 구조 및 액세스 태스크에서 액세스를 할당합니다.
다음 태스크가 권장됩니다.
- 로깅 중앙화 태스크로 단일 위치에서 로그 데이터를 통합합니다.
- 보안 태스크에서 무료 서비스를 설정하여 보안 상황을 강화합니다.
- VPC 네트워크 태스크에서 초기 네트워크를 구성합니다.
- 하이브리드 연결 태스크에서 피어 네트워크를 Google Cloud에 연결합니다.
구성 세부정보 검토
다음을 수행하여 구성 설정이 완료되었는지 확인합니다.
사용자 및 그룹 태스크에서 만든
gcp-organization-admins@YOUR_DOMAIN
그룹의 사용자로 Google Cloud 콘솔에 로그인합니다.페이지 상단의 다음 조직에서 선택 드롭다운 목록에서 조직을 선택합니다.
Google Cloud 설정: 배포 또는 다운로드로 이동합니다.
선택한 구성 설정을 검토합니다. 각 다음 탭을 클릭하고 설정을 검토합니다.
- 리소스 계층 구조 및 액세스
- 로깅
- 보안
- VPC 네트워크
- 하이브리드 연결
구성 배포
이제 구성 세부정보를 검토했으면 다음 옵션 중 하나를 사용합니다.
콘솔에서 직접 배포: 기존 Terraform 배포 워크플로가 없고 간단한 배포 방법을 원하는 경우 이 옵션을 사용합니다. 이 방법은 한 번만 사용하여 배포할 수 있습니다.
Terraform 파일 다운로드 및 배포: Terraform 배포 워크플로를 사용해서 리소스 관리를 자동화하려면 이 옵션을 사용합니다. 이 방법을 여러 번 사용해서 다운로드 및 배포를 수행할 수 있습니다.
다음 옵션 중 하나를 사용하여 배포합니다.
직접 배포
기존 Terraform 워크플로가 없고 간단한 일회성 배포를 원하는 경우 콘솔에서 직접 배포할 수 있습니다.
직접 배포를 클릭합니다.
배포가 완료될 때까지 몇 분 정도 기다립니다.
배포가 실패하면 다음을 수행합니다.
- 배포를 다시 시도하려면 프로세스 재시도를 클릭합니다.
- 여러 번 시도 후에도 배포가 실패하면 관리자에게 연락하여 도움을 요청할 수 있습니다. 이렇게 하려면 조직 관리자에게 문의를 클릭합니다.
다운로드 및 배포
Terraform 배포 워크플로를 사용하여 배포를 반복하려면 구성 파일을 다운로드하고 배포합니다.
구성 파일을 다운로드하려면 Terraform으로 다운로드를 클릭합니다.
다운로드하는 패키지에는 다음 태스크에서 선택한 설정을 기반으로 Terraform 구성 파일이 포함됩니다.
- 계층 구조 및 액세스
- 로깅 중앙화
- 보안
- VPC 네트워크
- 하이브리드 연결
사용자 책임과 관련된 구성 파일만 배포하려면 관련이 없는 파일을 다운로드지 않도록 방지할 수 있습니다. 이렇게 하려면 필요하지 않은 구성 파일의 체크박스를 선택 취소합니다.
다운로드를 클릭합니다. 선택한 파일이 포함된
terraform.tar.gz
패키지가 로컬 파일 시스템에 다운로드됩니다.자세한 배포 단계는 콘솔에서 다운로드한 Terraform을 사용하여 기반 배포를 참조하세요.
다음 단계
모니터링 및 지원 설정 적용
모니터링
Cloud Monitoring은 Google Cloud 프로젝트에 맞게 자동으로 구성됩니다. 이 태스크에서는 선택적인 모니터링 권장사항에 대해 자세히 알아봅니다.
시작하기 전에
다음 태스크를 완료합니다.
이 태스크를 수행할 수 있는 사용자
사용자 및 그룹 태스크에서 만든 gcp-monitoring-admins@YOUR_DOMAIN
그룹의 사용자입니다.
이 태스크에서 수행하는 작업
선택적인 모니터링 권장사항을 검토하고 구현합니다.
이 태스크가 권장되는 이유
모니터링 권장사항을 구현하여 다음을 수행할 수 있습니다.
- 조직을 모니터링하는 사용자 간의 공동작업을 지원합니다.
- 한 곳에서 Google Cloud 인프라를 모니터링합니다.
- 중요한 애플리케이션 측정항목 및 로그를 수집합니다.
모니터링 권장사항 검토 및 구현
Cloud Monitoring은 Google Cloud 서비스, 합성 모니터, 애플리케이션 계측, 기타 일반적인 애플리케이션 구성요소로부터 측정항목, 이벤트, 메타데이터를 수집합니다. Cloud Monitoring은 Google Cloud 프로젝트에 맞게 자동으로 구성됩니다.
이 태스크에서는 기본 Cloud Monitoring 구성으로 빌드하기 위한 다음 권장사항을 구현할 수 있습니다.
공동작업을 돕기 위해 모든 프로젝트에 대해 조직에서 모든 주 구성원에게 모니터링 뷰어 역할을 부여하는 조직 정책을 만듭니다.
한 곳에서 Google Cloud 인프라를 모니터링하려면 측정항목 범위를 사용해서 여러 Google Cloud 프로젝트에서 측정항목을 읽도록 프로젝트를 구성합니다.
가상 머신에 대해 애플리케이션 측정항목 및 로그를 수집하려면 다음을 수행합니다.
- Compute Engine의 경우 운영 에이전트를 설치합니다.
- Google Kubernetes Engine(GKE)의 경우 Google Cloud Managed Service for Prometheus를 설정합니다.
다음 단계
지원
이 태스크에서는 비즈니스 요구에 맞는 지원 요금제를 선택합니다.
이 태스크를 수행할 수 있는 사용자
사용자 및 그룹 태스크에서 만든 gcp-organization-admins@YOUR_DOMAIN
그룹의 사용자입니다.
이 태스크에서 수행하는 작업
회사의 니즈에 따라 지원 요금제를 선택합니다.
이 태스크가 권장되는 이유
프리미엄 지원 요금제는 비즈니스와 관련해 중요도가 높은 지원을 제공하여 Google Cloud 전문가의 도움을 통해 신속하게 문제를 해결할 수 있도록 합니다.
지원 옵션 선택
다음 리소스에 대한 액세스 권한이 포함된 무료 베이직 지원이 자동으로 제공됩니다.
엔터프라이즈 고객은 Google 지원 엔지니어의 1:1 기술 지원을 제공하는 프리미엄 지원에 가입하는 것이 좋습니다. 지원 요금제를 비교하려면 Google Cloud Customer Care를 참조하세요.
시작하기 전에
다음 태스크를 완료합니다.
지원 사용 설정
지원 옵션을 식별하고 선택합니다.
지원 요금제를 검토하고 선택합니다. 자세한 내용은 Google Cloud Customer Care를 참조하세요.
사용자 및 그룹 태스크에서 만든
gcp-organization-admins@<your-domain>.com
그룹의 사용자로 Google Cloud 콘솔에 로그인합니다.Google Cloud 설정: 지원으로 이동합니다.
태스크 세부정보를 검토하고 고객지원 서비스 보기를 클릭하여 지원 옵션을 선택합니다.
지원 옵션을 설정한 후 Google Cloud 설정: 지원 페이지로 돌아가고 태스크를 완료로 표시를 클릭합니다.
다음 단계
이제 Google Cloud 설정을 마쳤으므로 초기 설정을 확장하고, 사전 빌드된 솔루션을 배포하고, 기존 워크플로를 마이그레이션할 수 있습니다. 자세한 내용은 초기 설정 확장 및 빌드 시작을 참조하세요.