Google에 연결

다양한 방법으로 온프레미스 데이터 센터에서 실행되는 Google Distributed Cloud 클러스터를 Google Cloud네트워크에 연결할 수 있습니다. 방법은 다음과 같습니다.

일반 인터넷 연결

특정 시나리오에서는 인터넷을 Google과 온프레미스 데이터 센터 간의 연결로 사용할 수 있습니다. 예를 들면 다음과 같습니다.

Google Distributed Cloud 배포는 프레미스 자체에 포함되어 있으며 온프레미스 구성요소는 Google Cloud네트워크와 거의 통신하지 않습니다. 이 연결은 주로 클러스터 관리에 사용됩니다. 연결 속도, 안정성, 보안은 중요하지 않습니다.
온프레미스 클러스터는 Cloud SQL과 같은 Google 서비스에 대한 액세스를 제외하고 자체 완비되어 있습니다. 온프레미스 클러스터와 Google 서비스 간의 트래픽은 공개 IP 주소를 사용합니다. 방화벽 규칙을 구성하여 보안을 강화합니다.

HA VPN

HA VPN 및 Cloud Router를 사용하면 Google과 온프레미스 데이터 센터 간의 트래픽이 공개 인터넷을 통과하지만 암호화됩니다. 온프레미스 구성요소는 비공개 IP 주소를 사용하여 클라우드 구성요소와 통신할 수 있습니다. Cloud Router는 Google Cloud 네트워크와 온프레미스 네트워크 사이에서 동적으로 경로를 교환합니다. 동적 라우팅을 사용하면 올바른 라우팅 상태가 온프레미스 데이터 센터로 전파되므로 특히 네트워크가 확장되고 변경될 때 이 라우팅이 유용합니다.

Partner Interconnect

Partner Interconnect는 지원되는 서비스 제공업체를 통해 온프레미스 네트워크와Google Cloud 네트워크 간의 연결을 제공합니다. Google과 온프레미스 데이터 센터 간의 트래픽은 공개 인터넷을 거치지 않습니다. 온프레미스 구성요소는 비공개 IP 주소를 사용하여 클라우드 구성요소와 통신할 수 있습니다. Google에 빠르고 안전하고 안정적으로 연결됩니다.

Dedicated Interconnect

Dedicated Interconnect는 온프레미스 네트워크와Google Cloud 네트워크 간에 물리적인 직접 연결을 제공합니다. 높은 대역폭이 필요한 경우에 이 유형의 연결이 경제적일 수 있습니다. Google과 온프레미스 데이터 센터 간의 트래픽은 공개 인터넷을 거치지 않습니다. 온프레미스 구성요소는 비공개 IP 주소를 사용하여 클라우드 구성요소와 통신할 수 있습니다. Google에 대한 연결은 안전하고 안정적이며 Partner Interconnect를 사용하는 연결보다 훨씬 빠릅니다.

일시적 연결 끊기의 영향

연결이 끊어지면 발생하는 문제에 대한 자세한 내용은 Google Cloud와의 임시 연결 해제 영향을 참조하세요.

연결 유형 선택

연결 유형 선택에 대한 추가 안내가 필요하면 다음을 참조하세요.

네트워크 모니터링

Google에 대한 기본 연결을 설정하는 방법과 관계없이 네트워크 로깅 및 모니터링을 통해 제공되는 유용한 정보를 활용할 수 있습니다. 자세한 내용은 Google Distributed Cloud의 로깅 및 모니터링을 참조하세요.

기본 연결 개선

기본 연결이 설정되면 액세스, 보안, 가시성을 높이는 기능을 추가할 수 있습니다. 예를 들어 비공개 Google 액세스 또는 연결을 사용 설정할 수 있습니다.

이 주제의 나머지 부분에서는 Google에 대한 기본 연결에 다음 옵션 중 하나를 사용한다고 가정합니다.

비공개 Google 액세스

비공개 Google 액세스를 사용하면 비공개 IP 주소만 있는 VM이 Google API 및 서비스의 IP 주소에 도달할 수 있습니다. 이 시나리오에는 Google Distributed Cloud 클러스터 노드에 비공개 IP 주소만 있는 경우가 포함됩니다. 서브넷 수준에서 비공개 Google 액세스를 사용 설정할 수 있습니다.

비공개 Google 액세스를 사용하면 온프레미스 데이터 센터에서 Google 서비스로 보내는 요청이 공개 인터넷을 순회하는 대신 Cloud Interconnect 또는 Cloud VPN 연결을 통과합니다.

다음과 같은 경우에는 비공개 Google 액세스를 사용합니다.

공개 IP 주소가 없는 온프레미스 VM은 BigQuery, Pub/Sub 또는 Container Registry와 같은 Google 서비스에 연결되어야 합니다.
공개 인터넷을 통과하지 않고 Google 서비스에 연결하려고 합니다.

온프레미스 VM에서 Google 비공개 액세스를 지원하는 서비스 목록은 지원되는 서비스를 참조하세요. 온프레미스 VM의 비공개 Google 액세스 사용에 대한 자세한 내용은 온프레미스 호스트의 비공개 Google 액세스 구성을 참조하세요.

Google 비공개 액세스를 필요로 하지 않는 서비스

비공개 IP 주소만 있는 VM에서 서비스에 연결하는 데 비공개 Google 액세스가 필요하지 않은 경우도 있습니다. 예를 들면 다음과 같습니다.

공개 IP 주소와 비공개 IP 주소가 모두 있는 Cloud SQL 인스턴스를 만듭니다. 그러면 온프레미스 구성 요소가 비공개 IP 주소를 사용하여 Cloud SQL 인스턴스에 액세스할 수 있습니다. 이 경우 Google 서비스의 공개 IP 주소에 액세스할 필요가 없으므로 비공개 Google 액세스가 필요하지 않습니다. 이 방법은 Cloud Router에서 Cloud SQL 인스턴스의 비공개 IP 주소를 온프레미스 네트워크에 공지하는 경우에만 작동합니다.
Google Cloud에 Google Distributed Cloud 클러스터가 있고 클러스터 노드에 비공개 IP 주소가 있습니다. 온프레미스 구성요소에서 클라우드 Google Distributed Cloud 클러스터의 NodePort 서비스나 내부 부하 분산기 서비스에 액세스할 수 있습니다.

VPC 서비스 제어

유출에 대해 추가로 보호하려면 VPC 서비스 제어를 사용할 수 있습니다. VPC 서비스 제어를 사용하면 Google 관리형 서비스의 리소스 주위에 보안 경계를 구성하고 경계를 넘는 데이터 이동을 제어할 수 있습니다.

VPC 서비스 제어를 사용하는 경우 일부 gkectl 명령어를 실행할 때 "Validation Category: GCP - [UNKNOWN] GCP service: [Stackdriver] could not get GCP services" 같은 오류가 표시될 수 있습니다. 이러한 오류를 방지하려면 명령어에 --skip-validation-gcp 매개변수를 추가하세요.

Connect

Connect를 통해 Google Cloud 콘솔에서 온프레미스 사용자 클러스터를 보고 관리할 수 있습니다.