Network Connectivity Center 허브를 만들 때 다음 사전 설정된 토폴로지 중 하나를 선택할 수 있습니다. 메시 토폴로지가 기본값입니다.
- 메시 토폴로지
- 스타 토폴로지
- 하이브리드 검사 토폴로지
사전 설정된 토폴로지로 허브를 만든 후에는 토폴로지를 변경할 수 없습니다.
스포크 그룹
토폴로지에 따라 허브는 하나 이상의 스포크 그룹을 지원합니다. 각 스포크 그룹에 있을 수 있는 스포크 유형도 허브 토폴로지에 따라 달라집니다. 모든 토폴로지에는 다음 특성이 적용됩니다.
- 각 스포크 그룹은 자체 라우팅 테이블이 있는 라우팅 도메인입니다. 스포크 그룹의 경로 테이블은 스포크가 스포크 그룹에 추가되거나 스포크 그룹에서 삭제될 때 자동으로 업데이트됩니다.
- 허브에 추가된 각 스포크는 하나의 스포크 그룹에만 속할 수 있습니다.
- Network Connectivity Center는 허브와 동일한 프로젝트에서 추가된 스포크를 자동으로 수락합니다.
- Network Connectivity Center는 허브와 다른 프로젝트에 있는 VPC 스포크를 추가할 때 자동 수락 옵션과 스포크 제안 검토 옵션을 모두 제공합니다. 자세한 내용은 허브와 다른 프로젝트에 있는 VPC 스포크를 참조하세요.
토폴로지 및 스포크 그룹을 구성하는 단계는 허브 구성을 참조하세요.
메시 토폴로지
메시 토폴로지를 사용하면 허브의 모든 스포크가 단일 스포크 그룹에 속합니다.
토폴로지를 명시적으로 지정하지 않고 허브를 만들면 허브 토폴로지가 메시로 기본 설정됩니다. 두 개 이상의 워크로드 VPC 네트워크를 VPC 스포크로 허브에 추가하면 각 VPC 스포크는 구성된 내보내기 포함 필터 및 내보내기 제외 필터에 따라 서브넷 경로를 내보냅니다. VPC 스포크 간 서브넷 경로 교환에 대한 자세한 내용은 VPC 스포크 개요를 참조하세요.
메시 토폴로지는 VPC 스포크와 하이브리드 스포크 간의 대규모 네트워크 연결도 지원합니다. 스포크 관리자 또는 하이브리드 스포크가 포함된 라우팅 VPC 네트워크의 네트워크 관리자는 VPC 스포크에서 수신한 서브넷 경로의 공지를 구성해야 합니다. 자세한 내용은 하이브리드 스포크와 VPC 스포크 간의 연결 설정을 참조하세요.
다음 다이어그램은 메시 토폴로지를 사용하고 VPC 스포크가 3개 있는 허브를 보여줍니다.
지원되는 스포크 유형
메시 토폴로지는 단일 스포크 그룹에서 VPC 스포크, 프로듀서 VPC 스포크, 하이브리드 스포크를 지원합니다.
gcloud network-connectivity hubs groups list --hub 명령어는 메시 토폴로지를 사용할 때 단일 기본 스포크 그룹만 반환합니다.
스타 토폴로지
스타 토폴로지에는 각 스포크 그룹에 별도의 경로 테이블을 사용하여 네트워크 세분화를 제공하는 두 개의 스포크 그룹이 있습니다. 각 스포크 그룹에는 다음 경로 테이블 규칙이 적용됩니다.
- 센터 스포크 그룹은 경로 테이블에서 센터 그룹의 스포크에 있는 리소스가 센터 그룹 또는 에지 그룹의 스포크에 있는 리소스와 통신할 수 있는 경로를 허용합니다.
- 에지 스포크 그룹은 경로 테이블에서 에지 그룹의 스포크에 있는 리소스가 센터 그룹의 스포크에 있는 리소스와 통신할 수 있는 경로만 허용합니다. Network Connectivity Center는 에지 스포크 그룹 경로 테이블에서 에지 그룹의 서로 다른 스포크 간에 연결을 제공하는 경로를 금지합니다.
스포크 그룹 경로 테이블 규칙에 따라 스포크 관리자 또는 네트워크 관리자는 다음을 수행할 수 있습니다.
내보내기 포함 필터 및 내보내기 제외 필터를 사용하여 VPC 스포크가 해당 VPC 스포크가 속한 스포크 그룹의 경로 테이블로 내보내는 서브넷 범위를 제어합니다.
VPC 스포크가 하이브리드 스포크에 있는 Cloud Router의 BGP 세션에서 내보내는 서브넷 범위를 제어합니다. 자세한 내용은 하이브리드 스포크와 VPC 스포크 간의 연결 설정을 참조하세요.
다음 다이어그램은 4개의 VPC 스포크 간의 스타 토폴로지 연결을 보여줍니다. center-vpc-a 및 center-vpc-b VPC 스포크는 센터 스포크 그룹의 구성원이고 edge-vpc-c 및 edge-vpc-d VPC 스포크는 에지 스포크 그룹의 구성원입니다.
지원되는 스포크 유형
스타 토폴로지는 VPC 스포크, 프로듀서 VPC 스포크, 하이브리드 스포크를 지원합니다. 다음 표에는 스포크 유형에 따라 지원되는 스포크 그룹이 나와 있습니다.
| 스포크 | 센터 스포크 그룹에 있을 수 있음 | 에지 스포크 그룹에 있을 수 있음 |
|---|---|---|
| VPC 스포크 | ||
| 프로듀서 VPC 스포크 | ||
| 사이트 간 데이터 전송이 사용 중지된 하이브리드 스포크 | ||
| 사이트 간 데이터 전송이 사용 설정된 하이브리드 스포크 |
gcloud network-connectivity hubs groups list --hub 명령어는 스타 토폴로지를 사용할 때 센터 및 에지 그룹을 반환합니다.
스타 토폴로지와 하이브리드 스포크의 호환성
스타 토폴로지를 사용하도록 구성된 허브는 하이브리드 스포크에 다음과 같은 제한사항을 적용합니다.
- 사이트 간 데이터 전송이 사용 설정된 하이브리드 스포크는 센터 스포크 그룹에 있어야 합니다.
- 사이트 간 데이터 전송이 사용 설정되지 않은 하이브리드 스포크는 중앙 스포크 그룹 또는 에지 스포크 그룹에 있을 수 있습니다.
VPC 스포크의 메시 또는 스타 토폴로지를 구성하는 방법에 대한 자세한 내용은 허브 구성을 참조하세요.
하이브리드 검사 토폴로지
하이브리드 검사 토폴로지에는 네트워크 세분화 및 패킷 검사 기능을 제공하는 다음 네 가지 스포크 그룹이 있습니다.
- 프로덕션 스포크 그룹은 프로덕션 워크로드용으로 설계되었습니다.
- 비프로덕션 스포크 그룹은 비프로덕션 워크로드용으로 설계되었습니다.
- 서비스 스포크 그룹은 프로덕션 워크로드와 비프로덕션 워크로드 모두에 필수적인 서비스용으로 설계되었습니다.
- 게이트웨이 스포크 그룹은 보안 체크포인트로 사용되는 NCC Gateway 스포크를 지원합니다.
각 스포크 그룹의 경로 테이블에는 다음 규칙이 적용됩니다.
프로덕션 스포크 그룹은 경로 테이블에서 프로덕션 그룹의 스포크에 있는 리소스가 프로덕션 그룹, 서비스 그룹 또는 게이트웨이 그룹의 스포크에 있는 리소스와 통신할 수 있는 경로를 허용합니다. Network Connectivity Center는 프로덕션 스포크 그룹 경로 테이블에서 비프로덕션 그룹의 스포크에 연결을 제공하는 경로를 금지합니다.
비프로덕션 스포크 그룹은 경로 테이블에서 비프로덕션 그룹의 스포크에 있는 리소스가 비프로덕션 그룹, 서비스 그룹 또는 게이트웨이 그룹의 스포크에 있는 리소스와 통신할 수 있는 경로를 허용합니다. Network Connectivity Center는 비프로덕션 스포크 그룹 경로 테이블에서 프로덕션 그룹의 스포크에 연결을 제공하는 경로를 금지합니다.
서비스 스포크 그룹은 경로 테이블에서 서비스 그룹의 스포크에 있는 리소스가 모든 스포크 그룹의 스포크에 있는 리소스와 통신할 수 있는 경로를 허용합니다.
게이트웨이 스포크 그룹은 경로 테이블에서 각 NCC Gateway 스포크가 프로덕션 그룹, 비프로덕션 그룹 또는 서비스 그룹의 스포크에 있는 리소스와 통신할 수 있는 경로를 허용합니다. Network Connectivity Center에서는 NCC Gateway 스포크가 서로 통신할 수 없습니다.
스포크 그룹 경로 테이블 규칙에 따라 스포크 관리자 또는 네트워크 관리자는 다음을 수행할 수 있습니다.
내보내기 포함 필터 및 내보내기 제외 필터를 사용하여 VPC 스포크가 해당 VPC 스포크가 속한 스포크 그룹의 경로 테이블로 내보내는 서브넷 범위를 제어합니다.
NCC Gateway 스포크에서 하이브리드 연결을 관리하는 Cloud Router의 BGP 세션에 커스텀 경로 공지를 만듭니다. 이러한 커스텀 경로 공지에는 VPC 스포크 서브넷 범위가 포함될 수 있습니다. 자세한 내용은 NCC Gateway에 하이브리드 연결 추가를 참조하세요.
VPC 스포크가 하이브리드 스포크에 있는 Cloud Router의 BGP 세션에서 내보내는 서브넷 범위를 제어합니다. 자세한 내용은 하이브리드 스포크와 VPC 스포크 간의 연결 설정을 참조하세요.
보안 서비스 에지 가용성
보안 서비스 에지(SSE) 패킷 검사는 게이트웨이 스포크 그룹의 NCC Gateway 스포크와 프로덕션 그룹, 비프로덕션 그룹, 서비스 그룹의 스포크 간에 라우팅되는 트래픽에만 사용할 수 있습니다.
다음 표에는 서로 다른 스포크 그룹의 스포크 간에 라우팅되는 트래픽에 대해 라우팅이 허용되는지, SSE 패킷 검사를 사용할 수 있는지 요약되어 있습니다.
| 대상 리소스 스포크 | ||||
|---|---|---|---|---|
| 소스 리소스 스포크 | 프로덕션 그룹 | 비프로덕션 그룹 | 서비스 그룹 | 게이트웨이 그룹 |
| 프로덕션 그룹 | 라우팅 SSE 검사 |
라우팅 SSE 검사 |
라우팅 SSE 검사 |
라우팅 SSE 검사 |
| 비프로덕션 그룹 | 라우팅 SSE 검사 |
라우팅 SSE 검사 |
라우팅 SSE 검사 |
라우팅 SSE 검사 |
| 서비스 그룹 | 라우팅 SSE 검사 |
라우팅 SSE 검사 |
라우팅 SSE 검사 |
라우팅 SSE 검사 |
| 게이트웨이 그룹 | 라우팅 SSE 검사 |
라우팅 SSE 검사 |
라우팅 SSE 검사 |
라우팅 SSE 검사 |
지원되는 스포크 유형
하이브리드 검사 토폴로지는 VPC 스포크, 프로듀서 VPC 스포크, 하이브리드 스포크, NCC Gateway 스포크를 지원합니다. 다음 표에는 스포크 유형에 따라 지원되는 스포크 그룹이 나와 있습니다.
| 스포크 | 프로덕션 스포크 그룹에 있을 수 있음 | 비프로덕션 스포크 그룹에 있을 수 있음 | 서비스 스포크 그룹에 있을 수 있음 | 게이트웨이 스포크 그룹에 속할 수 있음 |
|---|---|---|---|---|
| VPC 스포크 | ||||
| 프로듀서 VPC 스포크 | ||||
| 사이트 간 데이터 전송이 사용 중지된 하이브리드 스포크 | ||||
| 사이트 간 데이터 전송이 사용 설정된 하이브리드 스포크 | ||||
| NCC Gateway 스포크 |
gcloud network-connectivity hubs groups list --hub 명령어는 하이브리드 검사 토폴로지를 사용할 때 프로덕션, 비프로덕션, 서비스, 게이트웨이 그룹을 반환합니다.
다음 단계
- Network Connectivity Center에 대한 자세한 내용은 Network Connectivity Center 개요 참조하기
- 일반적인 문제의 해결 방법은 Network Connectivity Center 문제 해결 참조하기
- API 및
gcloud명령어에 대한 자세한 내용은 API 및 참조 확인하기 - 허브 및 스포크를 만들려면 허브 및 스포크 작업 참조하기