목표
이 튜토리얼에서는 다음 작업을 완료하는 방법을 보여줍니다.
- 서브넷으로 커스텀 VPC 네트워크 2개를 만듭니다.
- 3개의 가상 머신(VM) 인스턴스를 만듭니다(한 VPC 네트워크의 개별 서브넷에 있는 소비자 VM 2개와 두 번째 VPC 네트워크에 있는 프로듀서 VM 1개). 모든 VM은 외부 IP 주소를 할당하지 않고 생성됩니다.
- 프로듀서 VM에 Apache 서버를 설치합니다.
- VPC 네트워크 피어링을 만듭니다.
- 프로듀서 VM이 공개 인터넷에 액세스할 수 있게 해주는 Cloud Router 및 Cloud NAT 게이트웨이를 만듭니다.
- 프로젝트 범위 주소 그룹을 만듭니다.
- 다음 규칙을 사용하여 전역 네트워크 방화벽 정책을 만듭니다.
- VM에 대해 IAP(Identity-Aware Proxy) SSH 연결을 허용합니다.
- 프로젝트 범위 주소 그룹을 사용하여 허용된 소비자 VM에서 프로듀서 VM으로의 트래픽을 허용합니다.
- 연결을 테스트합니다.
다음 다이어그램은 2개의 커스텀 VPC 네트워크 내에 있는 us-central1 리전에서 프로듀서 VM과 소비자 VM 사이의 트래픽을 보여줍니다. 전역 네트워크 방화벽 정책은 프로젝트 범위 주소 그룹 규칙을 사용하여 vm-consumer-allowed VM과 vm-producer VM 간의 인그레스 트래픽을 허용합니다.
모든 VM에는 모든 트래픽을 거부하는 암시적 인그레스 방화벽 규칙이 있으므로 vm-consumer-blocked VM과 vm-producer VM 간의 트래픽은 거부됩니다.
시작하기 전에
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
- 프로젝트에서 Compute Engine API를 사용 설정합니다.
- Compute 네트워크 관리자 역할(
roles/compute.networkAdmin)이 있는지 확인합니다. - 프로젝트에 대해 Identity-Aware Proxy API를 사용 설정합니다.
- 명령줄 작업을 더 선호할 경우에는 Google Cloud CLI를 설치합니다. 도구에 대한 개념 및 설치 정보는 gcloud CLI 개요를 참조하세요.
참고: 이전에 Google Cloud CLI를 실행한 적이 없으면
gcloud init명령어를 실행하여 gcloud CLI 디렉터리를 초기화합니다.
서브넷으로 소비자 VPC 네트워크 만들기
이 섹션에서는 subnet-consumer-allowed 및 subnet-consumer-blocked의 2개 IPv4 서브넷으로 소비자 VPC 네트워크를 만듭니다.
콘솔
Google Cloud 콘솔에서 VPC 네트워크 페이지로 이동합니다.
VPC 네트워크 만들기를 클릭합니다.
이름에
vpc-consumer를 입력합니다.서브넷 생성 모드에 커스텀을 선택합니다.
새 서브넷 섹션에서 서브넷에 다음 구성 매개변수를 지정합니다.
- 이름:
subnet-consumer-allowed - 리전:
us-central1 - IPv4 범위:
192.168.10.0/29
- 이름:
완료를 클릭합니다.
서브넷 추가를 클릭하고 다음 구성 매개변수를 지정합니다.
- 이름:
subnet-consumer-blocked - 리전:
us-central1 - IPv4 범위:
192.168.20.0/29
- 이름:
완료를 클릭합니다.
만들기를 클릭합니다.
gcloud
-
In the Google Cloud console, activate Cloud Shell.
VPC 네트워크를 만들려면 다음 명령어를 실행합니다.
gcloud compute networks create vpc-consumer \ --subnet-mode=custom
Cloud Shell 승인 대화상자에서 승인을 클릭합니다.
서브넷을 만들려면 다음 명령어를 실행합니다.
gcloud compute networks subnets create subnet-consumer-allowed \ --network=vpc-consumer \ --region=us-central1 \ --range=192.168.10.0/29
다른 서브넷을 만들려면 다음 명령어를 실행합니다.
gcloud compute networks subnets create subnet-consumer-blocked \ --network=vpc-consumer \ --region=us-central1 \ --range=192.168.20.0/29
서브넷으로 프로듀서 VPC 네트워크 만들기
이 섹션에서는 IPv4 서브넷으로 프로듀서 VPC 네트워크를 만듭니다.
콘솔
Google Cloud 콘솔에서 VPC 네트워크 페이지로 이동합니다.
VPC 네트워크 만들기를 클릭합니다.
이름에
vpc-producer를 입력합니다.서브넷 생성 모드에 커스텀을 선택합니다.
새 서브넷 섹션에서 서브넷에 다음 구성 매개변수를 지정합니다.
- 이름:
subnet-vpc-producer - 리전:
us-central1 - IPv4 범위:
172.16.10.0/29
- 이름:
완료를 클릭합니다.
만들기를 클릭합니다.
gcloud
VPC 네트워크를 만들려면 다음 명령어를 실행합니다.
gcloud compute networks create vpc-producer \ --subnet-mode=custom
서브넷을 만들려면 다음 명령어를 실행합니다.
gcloud compute networks subnets create subnet-vpc-producer \ --network=vpc-producer \ --region=us-central1 \ --range=172.16.10.0/29
Cloud Router 및 Cloud NAT 게이트웨이 만들기
vm-producer VM이 공개 인터넷에 액세스할 수 있도록 하려면 Cloud Router 및 Cloud NAT 게이트웨이를 만듭니다.
콘솔
Google Cloud 콘솔에서 Cloud NAT 페이지로 이동합니다.
시작하기 또는 Cloud NAT 게이트웨이 만들기를 클릭합니다.
게이트웨이 이름에
nat-gateway-addressgrp을 입력합니다.NAT 유형에서 Public 을 선택합니다.
Cloud Router 선택 섹션에서 다음 구성 매개변수를 지정합니다.
- 네트워크:
vpc-producer - 리전:
us-central1 (lowa) - Cloud Router: 새 라우터 만들기를 클릭합니다.
- 이름에
router-addressgrp을 입력합니다. - 만들기를 클릭합니다.
- 이름에
- 네트워크:
만들기를 클릭합니다.
gcloud
Cloud Router를 만들려면 다음 명령어를 실행합니다.
gcloud compute routers create router-addressgrp \ --network=vpc-producer \ --region=us-central1
Cloud NAT 게이트웨이를 만들려면 다음 명령어를 실행합니다.
gcloud compute routers nats create nat-gateway-addressgrp \ --router=router-addressgrp \ --region=us-central1 \ --auto-allocate-nat-external-ips \ --nat-all-subnet-ip-ranges
VM 만들기
이전 섹션에서 만든 VPC 네트워크의 각 서브넷에 외부 IP 주소 없이 VM을 만듭니다.
소비자 허용 VPC 네트워크의 VM 만들기
subnet-consumer-allowed 서브넷에 VM을 만듭니다.
콘솔
Google Cloud 콘솔에서 인스턴스 만들기 페이지로 이동합니다.
머신 구성 창에서 다음을 수행합니다.
- 이름에
vm-consumer-allowed를 입력합니다. - 리전에서
us-central1 (Iowa)을 선택합니다.
- 이름에
탐색 메뉴에서 네트워킹을 클릭합니다.
- 네트워크 인터페이스 섹션에서
default를 클릭하고 다음 구성 파라미터를 지정합니다.- 네트워크:
vpc-consumer - 서브네트워크:
subnet-consumer-allowed IPv4 (192.168.10.0/29) - 외부 IPv4 주소: 없음
- 네트워크:
- 완료를 클릭합니다.
- 네트워크 인터페이스 섹션에서
만들기를 클릭합니다.
gcloud
gcloud compute instances create vm-consumer-allowed \
--network=vpc-consumer \
--zone=us-central1-a \
--stack-type=IPV4_ONLY \
--no-address \
--subnet=subnet-consumer-allowed
소비자 차단 VPC 네트워크의 VM 만들기
이 섹션에서는 subnet-consumer-blocked 서브넷에 VM을 만듭니다.
콘솔
Google Cloud 콘솔에서 인스턴스 만들기 페이지로 이동합니다.
머신 구성 창에서 다음을 수행합니다.
- 이름에
vm-consumer-blocked를 입력합니다. - 리전에서
us-central1 (Iowa)을 선택합니다.
- 이름에
탐색 메뉴에서 네트워킹을 클릭합니다.
- 네트워크 인터페이스 섹션에서
default를 클릭하고 다음 구성 파라미터를 지정합니다.- 네트워크:
vpc-consumer - 서브네트워크:
subnet-consumer-blocked IPv4 (192.168.20.0/29) - 외부 IPv4 주소: 없음
- 네트워크:
- 완료를 클릭합니다.
- 네트워크 인터페이스 섹션에서
만들기를 클릭합니다.
gcloud
gcloud compute instances create vm-consumer-blocked \
--network=vpc-consumer \
--zone=us-central1-a \
--stack-type=IPV4_ONLY \
--no-address \
--subnet=subnet-consumer-blocked
프로듀서 VPC 네트워크의 VM 만들기
subnet-vpc-producer 서브넷에 VM을 만들고 Apache 서버를 설치합니다.
콘솔
Google Cloud 콘솔에서 인스턴스 만들기 페이지로 이동합니다.
머신 구성 창에서 다음을 수행합니다.
- 이름에
vm-producer를 입력합니다. - 리전에서
us-central1 (Iowa)을 선택합니다.
- 이름에
탐색 메뉴에서 네트워킹을 클릭합니다.
- 네트워크 인터페이스 섹션에서
default를 클릭하고 다음 구성 파라미터를 지정합니다.- 네트워크:
vpc-producer - 서브네트워크:
subnet-vpc-producer IPv4 (172.16.10.0/29)
- 네트워크:
- 완료를 클릭합니다.
- 네트워크 인터페이스 섹션에서
탐색 메뉴에서 고급을 클릭하고 시작 스크립트 필드에 다음 스크립트를 입력합니다.
#! /bin/bash apt-get update apt-get install apache2 -y a2ensite default-ssl a2enmod ssl # Read VM network configuration: md_vm="http://169.254.169.254/computeMetadata/v1/instance/" vm_hostname="$(curl $md_vm/name -H "Metadata-Flavor:Google" )" filter="{print \$NF}" vm_network="$(curl $md_vm/network-interfaces/0/network \ -H "Metadata-Flavor:Google" | awk -F/ "${filter}")" vm_zone="$(curl $md_vm/zone \ -H "Metadata-Flavor:Google" | awk -F/ "${filter}")" # Apache configuration: echo "Page on $vm_hostname in network $vm_network zone $vm_zone" | \ tee /var/www/html/index.html systemctl restart apache2위의 스크립트는 이 VM에 Apache 웹 서버를 배포하고 시작합니다.
만들기를 클릭합니다.
gcloud
프로듀서 VM을 만들려면 다음 명령어를 실행합니다.
gcloud compute instances create vm-producer \
--network=vpc-producer \
--zone=us-central1-a \
--stack-type=IPV4_ONLY \
--no-address \
--subnet=subnet-vpc-producer \
--image-project=debian-cloud \
--image-family=debian-10 \
--metadata=startup-script='#! /bin/bash
apt-get update
apt-get install apache2 -y
a2ensite default-ssl
a2enmod ssl
# Read VM network configuration:
md_vm="http://169.254.169.254/computeMetadata/v1/instance/"
vm_hostname="$(curl $md_vm/name -H "Metadata-Flavor:Google" )"
filter="{print \$NF}"
vm_network="$(curl $md_vm/network-interfaces/0/network \
-H "Metadata-Flavor:Google" | awk -F/ "${filter}")"
vm_zone="$(curl $md_vm/zone \
-H "Metadata-Flavor:Google" | awk -F/ "${filter}")"
# Apache configuration:
echo "Page on $vm_hostname in network $vm_network zone $vm_zone" | \
tee /var/www/html/index.html
systemctl restart apache2'
VPC 네트워크 피어링 연결 만들기
동일한 프로젝트에서 vpc-consumer 및 vpc-producer VPC 네트워크를 비공개로 연결하려면 VPC 네트워크 피어링을 사용합니다. VPC 네트워크 피어링을 사용하면 VPC 네트워크가 동일한 프로젝트 또는 조직에 속하는지 여부에 관계없이 두 VPC 네트워크에서 내부 IP 주소 연결을 사용할 수 있습니다.
vpc-consumer와 vpc-producer 피어링
VPC 네트워크 피어링을 성공적으로 설정하려면 vpc-consumer 및 vpc-producer 네트워크의 피어링 연결을 별도로 구성해야 합니다.
콘솔
vpc-consumer 및 vpc-producer 네트워크 사이에 VPC 네트워크 피어링을 만들려면 다음 단계를 수행합니다.
Google Cloud 콘솔에서 VPC 네트워크 피어링 페이지로 이동합니다.
연결 만들기를 클릭합니다.
계속을 클릭합니다.
이름 필드에
peering-cp를 입력합니다.내 VPC 네트워크에서
vpc-consumer를 선택합니다.VPC 네트워크 이름에서
vpc-producer를 선택합니다.만들기를 클릭합니다.
gcloud
vpc-consumer와 vpc-producer 사이에 VPC 네트워크 피어링을 만들려면 다음 명령어를 실행합니다.
gcloud compute networks peerings create peering-cp \
--network=vpc-consumer \
--peer-network=vpc-producer \
--stack-type=IPV4_ONLY
vpc-producer 네트워크와 vpc-consumer 네트워크 피어링
콘솔
vpc-producer와 vpc-consumer 사이에 VPC 네트워크 피어링을 만들려면 다음 단계를 수행합니다.
Google Cloud 콘솔에서 VPC 네트워크 피어링 페이지로 이동합니다.
연결 만들기를 클릭합니다.
계속을 클릭합니다.
이름 필드에
peering-pc를 입력합니다.내 VPC 네트워크에서
vpc-producer를 선택합니다.VPC 네트워크 이름에서
vpc-consumer를 선택합니다.만들기를 클릭합니다.
gcloud
vpc-producer와 vpc-consumer 사이에 VPC 네트워크 피어링을 만들려면 다음 명령어를 실행합니다.
gcloud compute networks peerings create peering-pc \
--network=vpc-producer \
--peer-network=vpc-consumer \
--stack-type=IPV4_ONLY
IAP를 사용 설정하도록 전역 네트워크 방화벽 정책 만들기
IAP를 사용 설정하려면 전역 네트워크 방화벽 정책을 만들고 방화벽 규칙을 추가합니다. IAP를 사용하면 VM 인스턴스에 대한 관리 액세스를 허용할 수 있습니다.
방화벽 규칙에는 다음과 같은 특성이 포함됩니다.
- IP 범위
35.235.240.0/20에서 들어오는 인그레스 트래픽 이 범위에는 IAP가 TCP 전달에 사용하는 모든 IP 주소가 포함됩니다. IAP TCP 전달을 사용하여 액세스할 수 있는 모든 포트에 대한 연결(예: SSH의 경우
22포트)
콘솔
vpc-consumer 및 vpc-producer 네트워크의 모든 VM 인스턴스에 IAP 액세스를 허용하려면 다음 단계를 따릅니다.
Google Cloud 콘솔에서 방화벽 정책 페이지로 이동합니다.
방화벽 정책 만들기를 클릭합니다.
정책 구성 섹션의 정책 이름에
fw-policy-addressgrp를 입력합니다.배포 범위에서 전역을 선택하고 계속을 클릭합니다.
정책에 대한 규칙을 만들려면 규칙 추가 섹션에서 규칙 추가를 클릭합니다.
- 우선순위에
100을 입력합니다. - 트래픽 방향으로 수신을 선택합니다.
- 일치 시 작업으로 허용을 선택합니다.
- 대상 섹션의 대상 유형에서 네트워크의 모든 인스턴스를 선택합니다.
- 소스 섹션의 IP 범위에
35.235.240.0/20을 입력합니다. - 프로토콜 및 포트 섹션에서 지정된 프로토콜 및 포트를 선택합니다.
- TCP 체크박스를 선택하고 포트에
22를 입력합니다. - 만들기를 클릭합니다.
- 우선순위에
계속을 클릭합니다.
VPC 네트워크를 정책과 연결하려면 VPC 네트워크와 정책 연결 섹션에서 연결을 클릭합니다.
vpc-producer및vpc-consumer체크박스를 선택한 다음 연결을 클릭합니다.계속을 클릭합니다.
만들기를 클릭합니다.
gcloud
vpc-producer 네트워크의 VM 인스턴스에 IAP 액세스를 허용하려면 다음 명령어를 실행합니다.
다음 명령어를 실행하여 방화벽 정책을 만듭니다.
gcloud compute network-firewall-policies create fw-policy-addressgrp \ --global모든 대상으로 가는 트래픽을 허용하고 로그를 사용 설정하는 방화벽 규칙을 만들려면 다음 명령어를 실행합니다.
gcloud compute network-firewall-policies rules create 100 \ --firewall-policy=fw-policy-addressgrp \ --direction=INGRESS \ --action=ALLOW \ --layer4-configs=tcp:22 \ --src-ip-ranges=35.235.240.0/20 \ --global-firewall-policy방화벽 정책을 프로듀서 VPC 네트워크와 연결하려면 다음 명령어를 실행합니다.
gcloud compute network-firewall-policies associations create \ --firewall-policy=fw-policy-addressgrp \ --network=vpc-producer \ --name=pol-association-vpc-producer \ --global-firewall-policy방화벽 정책을 소비자 VPC 네트워크와 연결하려면 다음 명령어를 실행합니다.
gcloud compute network-firewall-policies associations create \ --firewall-policy=fw-policy-addressgrp \ --network=vpc-consumer \ --name=pol-association-vpc-consumer \ --global-firewall-policy
프로젝트 범위 주소 그룹 만들기
vpc-consumer VPC 네트워크의 subnet-consumer-allowed 서브넷에 할당된 IP 주소를 사용하는 프로젝트 범위 주소 그룹을 만듭니다.
프로젝트 범위 주소 그룹에 대한 자세한 내용은 방화벽 정책에 주소 그룹 사용을 참조하세요.
콘솔
Google Cloud 콘솔에서 주소 그룹 페이지로 이동합니다.
주소 그룹 만들기를 클릭합니다.
이름 필드에
address-group-pc를 입력합니다.범위에 전역을 선택합니다.
유형에 IPv4를 선택합니다.
용량 필드에
1000을 입력합니다.IP 주소 필드에
192.168.10.0/29를 입력합니다.만들기를 클릭합니다.
gcloud
Cloud Shell 터미널을 처음 사용하는 경우 Google Cloud 콘솔에서
Cloud Shell활성화를 클릭합니다.주소 그룹을 만들려면 다음 명령어를 실행합니다.
gcloud network-security address-groups create address-group-pc \ --type IPv4 \ --capacity 1000 \ --location globalCloud Shell 승인 대화상자에서 승인을 클릭합니다.
주소 그룹에 항목을 추가하려면 다음 명령어를 실행합니다.
gcloud network-security address-groups add-items address-group-pc \ --items 192.168.10.0/29 \ --location globalIP 범위
192.168.10.0/29는vpc-consumerVPC 네트워크의subnet-consumer-allowed서브넷에 할당되어 있습니다.
주소 그룹에 트래픽을 허용하는 방화벽 규칙 추가
vm-consumer-allowed VM의 인그레스 연결을 허용하려면 프로젝트 범위 주소 그룹 address-group-pc를 소스 IP 주소로 추가하는 방화벽 규칙을 만듭니다.
콘솔
Google Cloud 콘솔에서 방화벽 정책 페이지로 이동합니다.
네트워크 방화벽 정책 섹션에서
fw-policy-addressgrp를 클릭합니다.규칙 만들기를 클릭합니다.
우선순위에
150을 입력합니다.트래픽 방향으로 수신을 선택합니다.
일치 시 작업으로 허용을 선택합니다.
로그에서 사용을 선택합니다.
대상 섹션의 대상 유형에서 네트워크의 모든 인스턴스를 선택합니다.
소스 섹션의 주소 그룹에서
address-group-pc (PROJECT_ID)를 선택하고 확인을 클릭합니다.address-group-pcIP 주소 그룹에는 소비자 VPC 네트워크의 서브넷subnet-consumer-allowed에 할당된 IP 범위192.168.10.0/29가 포함됩니다.만들기를 클릭합니다.
gcloud
방화벽 정책을 업데이트하려면 다음 명령어를 실행합니다.
gcloud compute network-firewall-policies rules create 150 \
--firewall-policy=fw-policy-addressgrp \
--direction=INGRESS \
--action=ALLOW \
--src-address-groups=projects/PROJECT_ID/locations/global/addressGroups/address-group-pc \
--layer4-configs=all \
--global-firewall-policy \
--enable-logging
연결 테스트
vm-consumer-allowed VM에서 vm-producer VM으로, vm-consumer-blocked VM에서 vm-producer VM으로의 연결을 테스트합니다.
vm-consumer-allowed VM에서 vm-producer VM으로의 트래픽 테스트
콘솔
Google Cloud 콘솔에서 VM 인스턴스 페이지로 이동합니다.
vm-producerVM의 내부 IP 열에서 VM의 내부 IP 주소를 복사합니다.vm-consumer-allowedVM의 연결 열에서 SSH를 클릭합니다.브라우저에서 SSH를 통해 연결 대화상자에서 승인을 클릭하고 연결이 설정될 때까지 기다립니다.
연결을 확인하려면 다음 명령어를 실행합니다.
curl INTERNAL_IP -m 2
INTERNAL_IP를vm-producerVM의 IP 주소로 바꿉니다.출력은 다음과 비슷합니다.
<!doctype html><html><body><h1>Hello World!</h1></body></html>브라우저에서 SSH를 통해 연결 대화상자를 닫습니다.
gcloud
vm-producerVM의 내부 IP 주소를 보려면 다음 명령어를 실행합니다.gcloud compute instances describe vm-producer \ --zone=us-central1-a \ --format='get(networkInterfaces[0].networkIP)'
메시지가 표시되면 n을 눌러 확인한 다음 Enter를 누릅니다.
vm-producerVM의 내부 IP 주소를 기록해 둡니다.SSH를 사용하여
vm-consumer-allowedVM에 연결하려면 다음 명령어를 실행합니다.gcloud compute ssh vm-consumer-allowed \ --zone=us-central1-a \ --tunnel-through-iap
연결을 확인하려면 다음 명령어를 실행합니다.
curl INTERNAL_IP -m 2
INTERNAL_IP를vm-producerVM의 내부 IP 주소로 바꿉니다.예상되는 응답 메시지는 다음과 같습니다.
<!doctype html><html><body><h1>Hello World!</h1></body></html>SSH 연결을 종료하려면
exit를 입력합니다.
vm-consumer-blocked VM에서 vm-producer VM으로의 트래픽 테스트
콘솔
Google Cloud 콘솔에서 VM 인스턴스 페이지로 이동합니다.
vm-producerVM의 내부 IP 열에서 VM의 내부 IP 주소를 복사합니다.vm-consumer-blockedVM의 연결 열에서 SSH를 클릭합니다.브라우저에서 SSH를 통해 연결 대화상자에서 승인을 클릭하고 연결이 설정될 때까지 기다립니다.
연결을 확인하려면 다음 명령어를 실행합니다.
curl INTERNAL_IP -m 2
INTERNAL_IP를vm-producerVM의 IP 주소로 바꿉니다.모든 VM이 모든 트래픽을 거부하는 암시적 인그레스 방화벽 규칙을 만들기 때문에
Connection timed out메시지가 예상됩니다. 트래픽을 허용하려면 방화벽 정책에 인그레스 규칙을 추가합니다.브라우저에서 SSH를 통해 연결 대화상자를 닫습니다.
gcloud
vm-producerVM의 내부 IP 주소를 보려면 다음 명령어를 실행합니다.gcloud compute instances describe vm-producer \ --zone=us-central1-a \ --format='get(networkInterfaces[0].networkIP)'
메시지가 표시되면 n을 눌러 확인한 다음 Enter를 누릅니다.
vm-producerVM의 내부 IP 주소를 기록해 둡니다.SSH를 사용하여
vm-consumer-blockedVM에 연결하려면 다음 명령어를 실행합니다.gcloud compute ssh vm-consumer-blocked \ --zone=us-central1-a \ --tunnel-through-iap
연결을 확인하려면 다음 명령어를 실행합니다.
curl INTERNAL_IP -m 2
INTERNAL_IP를vm-producerVM의 내부 IP 주소로 바꿉니다.모든 VM이 모든 트래픽을 거부하는 암시적 인그레스 방화벽 규칙을 만들기 때문에
Connection timed out메시지가 예상됩니다. 트래픽을 허용하려면 방화벽 정책에 인그레스 규칙을 추가합니다.SSH 연결을 종료하려면
exit를 입력합니다.
로그 보기
주소 그룹 방화벽 규칙이 인그레스 트래픽에 적용되었는지 확인하려면 로그에 액세스합니다. 로그 세부정보를 보려면 다음 단계를 수행합니다.
Google Cloud 콘솔에서 방화벽 정책 페이지로 이동합니다.
네트워크 방화벽 정책 섹션에서
fw-policy-addressgrp이름을 클릭합니다.적중 횟수 열에서 주소 그룹으로 트래픽을 허용하는 방화벽 규칙 추가할 때 만든 규칙의 번호를 선택합니다. 로그 탐색기 페이지가 열립니다.
인그레스 트래픽에 적용된 방화벽 규칙을 보려면 개별 로그를 펼칩니다. 규칙 세부정보, 처리, 인스턴스 세부정보를 볼 수 있습니다.
삭제
이 튜토리얼에서 사용된 리소스 비용이 Google Cloud 계정에 청구되지 않도록 하려면 리소스가 포함된 프로젝트를 삭제하거나 프로젝트는 유지하되 개별 리소스를 삭제하세요.
이 튜토리얼에서 만든 리소스를 삭제하려면 다음을 완료하세요.
주소 그룹 삭제
콘솔
Google Cloud 콘솔에서 방화벽 정책 페이지로 이동합니다.
네트워크 방화벽 정책 섹션에서
fw-policy-addressgrp를 클릭합니다.방화벽 규칙 섹션에서 방화벽 규칙
150의 체크박스를 선택합니다.삭제를 클릭합니다.
Google Cloud 콘솔에서 주소 그룹 페이지로 이동합니다.
주소 그룹 섹션에서
address-group-pc옆의 체크박스를 선택합니다.삭제를 클릭한 후 다시 삭제를 클릭하여 확인합니다.
gcloud
address-group-pcIP 주소 그룹과 연결된 방화벽 규칙을 삭제하려면 다음 명령어를 실행합니다.gcloud compute network-firewall-policies rules delete 150 \ --firewall-policy fw-policy-addressgrp \ --global-firewall-policy주소 그룹에서 기존 항목을 삭제하려면 다음 명령어를 실행합니다.
gcloud network-security address-groups remove-items address-group-pc \ --items 192.168.10.0/29 \ --location globalIP 주소 그룹을 삭제하려면 다음 명령어를 실행합니다.
gcloud network-security address-groups delete address-group-pc \ --location global메시지가 표시되면 Y를 눌러 확인한 다음 Enter를 누릅니다.
방화벽 정책 삭제
콘솔
Google Cloud 콘솔에서 방화벽 정책 페이지로 이동합니다.
네트워크 방화벽 정책 섹션에서
fw-policy-addressgrp이름을 클릭합니다.연결 탭을 클릭합니다.
vpc-producerVM 및vpc-consumerVM의 체크박스를 선택한 다음 연결 삭제를 클릭합니다.방화벽 정책 연결 삭제 대화상자에서 삭제를 클릭합니다.
fw-policy-addressgrp제목 옆에 있는 삭제를 클릭합니다.방화벽 정책 삭제 대화상자에서 삭제를 클릭합니다.
gcloud
방화벽 정책과 VPC 프로듀서 네트워크 사이의 연결을 삭제합니다.
gcloud compute network-firewall-policies associations delete \ --name=pol-association-vpc-producer \ --firewall-policy=fw-policy-addressgrp \ --global-firewall-policy
방화벽 정책과 VPC 소비자 네트워크 사이의 연결을 삭제합니다.
gcloud compute network-firewall-policies associations delete \ --name=pol-association-vpc-consumer \ --firewall-policy=fw-policy-addressgrp \ --global-firewall-policy
방화벽 정책을 삭제합니다.
gcloud compute network-firewall-policies delete fw-policy-addressgrp \ --global
VPC 네트워크 피어링 삭제
콘솔
Google Cloud 콘솔에서 VPC 네트워크 피어링 페이지로 이동합니다.
peering-cp및peering-pc체크박스를 선택합니다.삭제를 클릭합니다.
피어링 2개를 삭제하시겠어요? 대화상자에서 삭제를 클릭합니다.
gcloud
소비자 VPC와 프로듀서 VPC 사이의 피어링을 삭제하려면 다음 명령어를 실행합니다.
gcloud compute networks peerings delete peering-cp \ --network=vpc-consumer프로듀서 VPC와 소비자 VPC 사이의 피어링을 삭제하려면 다음 명령어를 실행합니다.
gcloud compute networks peerings delete peering-pc \ --network=vpc-producer
Cloud NAT 게이트웨이 및 Cloud Router 삭제
콘솔
Google Cloud 콘솔에서 Cloud Router 페이지로 이동합니다.
router-addressgrp체크박스를 선택합니다.삭제를 클릭합니다.
router-addressgrp 삭제 대화상자에서 삭제를 클릭합니다.
Cloud Router를 삭제하면 연결된 Cloud NAT 게이트웨이도 삭제됩니다.
gcloud
router-addressgrp Cloud Router를 삭제하려면 다음 명령어를 실행합니다.
gcloud compute routers delete router-addressgrp \
--region=us-central1
메시지가 표시되면 Y를 눌러 확인한 다음 Enter를 누릅니다.
Cloud Router를 삭제하면 연결된 Cloud NAT 게이트웨이도 삭제됩니다.
VM 삭제
콘솔
Google Cloud 콘솔에서 VM 인스턴스 페이지로 이동합니다.
vm-consumer-allowed,vm-consumer-blocked및vm-producerVM의 체크박스를 모두 선택합니다.삭제를 클릭합니다.
인스턴스 3개를 삭제하시겠어요? 대화상자에서 삭제를 클릭합니다.
gcloud
모든 VM을 삭제하려면 다음 명령어를 실행합니다.
gcloud compute instances delete vm-consumer-allowed vm-consumer-blocked vm-producer \ --zone=us-central1-a메시지가 표시되면 Y를 눌러 확인한 다음 Enter를 누릅니다.
소비자 VPC 네트워크 및 해당 서브넷 삭제
콘솔
Google Cloud 콘솔에서 VPC 네트워크 페이지로 이동합니다.
이름 열에서
vpc-consumer를 클릭합니다.VPC 네트워크 삭제를 클릭합니다.
네트워크 삭제 대화상자에서 삭제를 클릭합니다.
VPC를 삭제하면 해당 서브넷도 삭제됩니다.
gcloud
vpc-consumerVPC 네트워크의 서브넷을 삭제하려면 다음 명령어를 실행합니다.gcloud compute networks subnets delete subnet-consumer-allowed subnet-consumer-blocked \ --region=us-central1
메시지가 표시되면 Y를 눌러 확인한 다음 Enter를 누릅니다.
vpc-consumerVPC 네트워크를 삭제하려면 다음 명령어를 실행합니다.gcloud compute networks delete vpc-consumer
메시지가 표시되면 Y를 눌러 확인한 다음 Enter를 누릅니다.
프로듀서 VPC 네트워크 및 해당 서브넷 삭제
콘솔
Google Cloud 콘솔에서 VPC 네트워크 페이지로 이동합니다.
이름 열에서
vpc-producer를 클릭합니다.VPC 네트워크 삭제를 클릭합니다.
네트워크 삭제 대화상자에서 삭제를 클릭합니다.
VPC를 삭제하면 해당 서브넷도 삭제됩니다.
gcloud
vpc-producerVPC 네트워크의 서브넷을 삭제하려면 다음 명령어를 실행합니다.gcloud compute networks subnets delete subnet-vpc-producer \ --region=us-central1
메시지가 표시되면 Y를 눌러 확인하고 Enter를 누릅니다.
vpc-producerVPC 네트워크를 삭제하려면 다음 명령어를 실행합니다.gcloud compute networks delete vpc-producer
메시지가 표시되면 Y를 눌러 확인한 다음 Enter를 누릅니다.
다음 단계
- 방화벽 정책에 대한 개념 정보는 방화벽 정책을 참조하세요.
- 방화벽 정책 규칙에 대한 개념 정보는 방화벽 정책 규칙을 참조하세요.
- VPC 방화벽 규칙을 생성, 업데이트, 모니터링, 삭제하려면 VPC 방화벽 규칙 사용을 참조하세요.
- 비용을 확인하려면 Cloud NGFW 가격 책정을 참조하세요.