NCC 게이트웨이 개요

NCC 게이트웨이는 Network Connectivity Center 허브에 연결할 수 있는 스포크 유형입니다. 크로스 클라우드 네트워크 트래픽 보안을 지원하는 리전 제품입니다. NCC 게이트웨이를 사용하면 서드 파티 보안 서비스 에지(SSE), 보안 액세스 서비스 에지(SASE)의 클라우드 제공 보안 구성요소와 같은 보안 기능을 사용 설정하고 상호 연결 연결을 종료할 수 있습니다.

NCC 게이트웨이는 다음 기능을 제공합니다.

  • 간소화된 SSE 통합: 투명한 스티어링을 통해 SSE를 원활하게 통합하여 사용자-애플리케이션 보호와 성능을 향상시킬 수 있습니다.
  • 리전 배포: 데이터 센터나 기타 클라우드 제공업체와의 물리적 근접성을 기반으로 다양한 리전에 NCC 게이트웨이를 배포할 수 있습니다.
  • 원격 근무 인력 보안: 지사, 데이터 센터, 원격 사무실의 인력과 같은 원격 근무 인력을 Google Cloud, 온프레미스 또는 기타 클라우드 제공업체의 비공개 애플리케이션과 Palo Alto Networks Prisma Access 및 Symantec Cloud Secure Web Gateway(Cloud SWG)와 같은 공개 애플리케이션에 안전하게 연결할 수 있습니다.
  • 보안 강화: 멀티 클라우드 트래픽에 SSE와 같은 보안 기능을 사용 설정할 수 있습니다.
  • 간소화된 관리: NCC 게이트웨이를 사용하면 VPC 네트워크 및 원격 네트워크 연결 관리와 관련된 복잡성과 운영 비용을 줄일 수 있습니다.
  • 성능 가시성: NCC 게이트웨이를 사용하면 측정항목과 원격 분석 데이터를 통해 네트워크 성능에 대한 유용한 정보를 얻을 수 있습니다.

이점

NCC 게이트웨이는 다음과 같은 이점을 제공합니다.

  • 지연 시간 감소로 최적의 애플리케이션 환경: NCC 게이트웨이를 사용하여 고대역폭 클라우드 우선 SSE 서비스 사용 및 Google의 비공개 백본을 통한 성능 향상

  • 모든 사용자 트래픽에 대한 통합 보안: 단일 통합 보안 스택으로 보안 상황 개선 및 인그레스 및 이그레스 지점을 제한하여 공격 표면 감소

  • Network Connectivity Center를 통한 간소화된 관리

핵심 용어

NCC 게이트웨이를 이해하려면 다음 용어를 숙지하세요.

하이브리드 연결: NCC 게이트웨이로 직접 연결되도록 구성하는 하이브리드 연결입니다.

보안 서비스 기능: NCC 게이트웨이에 연결된 서비스입니다. 예를 들어 사용자-애플리케이션 보호의 경우 SSE 서비스를 NCC 게이트웨이에 연결해야 합니다.

애플리케이션 또는 워크로드 VPC 네트워크: 워크로드 VPC 네트워크는 일반적으로 Compute Engine 가상 머신(VM) 또는 Google Kubernetes Engine(GKE) 컨테이너를 워크로드로 사용하는 네트워크입니다. 워크로드 VPC 네트워크는 일반 VPC 네트워크이거나 호스트 프로젝트와 여러 서비스 프로젝트가 있는 공유 VPC일 수 있습니다. 워크로드 VPC 네트워크를 허브에서 스포크로 구성해야 합니다.

스포크 그룹: Network Connectivity Center 허브 내에서 스포크를 그룹화하는 방법입니다. 스포크 그룹을 사용하면 스포크를 서로 다른 라우팅 도메인으로 분리할 수 있습니다. 스포크 그룹 하나에 스포크 여러 개가 포함될 수 있지만 스포크는 한 그룹에만 속할 수 있습니다. 다양한 토폴로지의 스포크 그룹에 대한 자세한 내용은 사전 설정된 연결 토폴로지를 참조하세요.

하이브리드 검사 토폴로지: 그룹에 NCC 게이트웨이 스포크를 추가하여 정책을 적용할 수 있습니다. 하이브리드 검사 토폴로지에 대한 자세한 내용은 하이브리드 검사 토폴로지를 참조하세요.

보안 액세스 연결: 보안 처리를 위해 서드 파티 SSE 제품을 NCC 게이트웨이에 연결하고 인터넷 이그레스를 보호할 수 있습니다. 보호 액세스 연결에 대한 자세한 내용은 보호 액세스 연결 개요를 참조하세요.

지원되는 SSE 제품

NCC 게이트웨이는 다음 SSE 제품에 대한 연결을 지원합니다.

사용 사례

NCC 게이트웨이는 애플리케이션에 대한 하이브리드 인력 액세스를 보호하려는 조직에 적합합니다. NCC 게이트웨이는 통합된 파트너 생태계를 통해 하이브리드 인력을 위한 보안을 제공하여 원하는 SSE 제공업체에 연결할 수 있습니다. NCC 게이트웨이를 사용하면 Google Cloud, 온프레미스, 다른 클라우드 제공업체, 인터넷에서 호스팅되는 공개 애플리케이션 및 SaaS 애플리케이션에서 호스팅되는 비공개 애플리케이션에 대한 액세스를 보호할 수 있습니다. NCC 게이트웨이를 사용하면 최적의 데이터 센터 근접성을 위해 리전 배포를 만들고 Google Cloud의 비공개 백본에서 교차 리전 트래픽을 관리할 수 있습니다.

Google Cloud 사용자의 사용 사례는 다음과 같습니다.

  • 브랜치 사용자부터 인터넷까지
  • 브랜치 사용자부터 비공개 애플리케이션까지
  • 비공개 애플리케이션부터 인터넷까지

지원되는 일부 파트너는 다음 사용 사례 중 하나 이상을 제공합니다.

  • 모바일 사용자부터 인터넷까지
  • 모바일 사용자부터 비공개 애플리케이션까지
  • 브랜치 사용자부터 파트너 애플리케이션까지
  • 비공개 애플리케이션부터 파트너 애플리케이션까지

트래픽 흐름

이 섹션에서는 각 사용 사례에 따라 NCC 게이트웨이의 트래픽 흐름 경로를 설명합니다.

Google Cloud 사용자 사용 사례의 트래픽 흐름

브랜치 사용자부터 인터넷까지

다음 다이어그램에서 트래픽은 온프레미스 브랜치 사용자부터 NCC 게이트웨이와 서드 파티 SSE 스택을 통과하여 인터넷으로 흐릅니다.

브랜치 사용자로부터 인터넷까지의 트래픽 흐름
브랜치 사용자로부터 인터넷까지의 트래픽 흐름(확대하려면 클릭)

브랜치 사용자부터 비공개 애플리케이션까지

다음 다이어그램에서 트래픽은 온프레미스 브랜치 사용자부터 NCC 게이트웨이를 통과하고 서드 파티 SSE를 통과한 후 다시 NCC 게이트웨이를 통과하여 비공개 애플리케이션으로 흐릅니다.

브랜치 사용자부터 비공개 애플리케이션까지의 트래픽 흐름
브랜치 사용자부터 비공개 애플리케이션까지의 트래픽 흐름(확대하려면 클릭)

비공개 애플리케이션부터 인터넷까지

다음 다이어그램에서 트래픽은 Google Cloud부터 NCC 게이트웨이를 통과하고 서드 파티 SSE를 통과한 후 다시 NCC 게이트웨이를 통과하여 인터넷으로 흐릅니다.

비공개 애플리케이션부터 인터넷까지의 트래픽 흐름
비공개 애플리케이션부터 인터넷까지의 트래픽 흐름(확대하려면 클릭)

지원되는 파트너의 사용 사례에서 트래픽 흐름

모바일 사용자부터 인터넷까지

다음 다이어그램에서 트래픽은 모바일 사용자부터 서드 파티 SSE를 통과하여 인터넷으로 흐릅니다. 이 경우 트래픽은 NCC 게이트웨이를 통과하지 않습니다.

모바일 사용자부터 인터넷까지의 트래픽 흐름
모바일 사용자부터 인터넷까지의 트래픽 흐름(확대하려면 클릭)

모바일 사용자부터 비공개 애플리케이션까지

다음 다이어그램에서 트래픽은 모바일 사용자부터 서드 파티 SSE 서비스와 NCC 게이트웨이를 통과하여 VPC 네트워크에서 호스팅되는 비공개 애플리케이션으로 흐릅니다.

모바일 사용자부터 비공개 애플리케이션까지의 트래픽 흐름
모바일 사용자부터 비공개 애플리케이션까지의 트래픽 흐름(확대하려면 클릭)

브랜치 사용자부터 파트너 애플리케이션까지

다음 다이어그램에서 트래픽은 온프레미스 브랜치 사용자부터 NCC 게이트웨이를 통과하고 서드 파티 SSE를 통과한 후 다시 NCC 게이트웨이를 통과하여 온프레미스 브랜치로 흐릅니다.

브랜치 사용자부터 파트너 애플리케이션까지의 트래픽 흐름
브랜치 사용자부터 파트너 애플리케이션까지의 트래픽 흐름(확대하려면 클릭)

비공개 애플리케이션부터 파트너 애플리케이션까지

다음 다이어그램에서 트래픽은 비공개 애플리케이션부터 NCC 게이트웨이를 통과하고 서드 파티 SSE를 통과한 후 다시 NCC 게이트웨이를 통과하여 파트너 애플리케이션으로 흐릅니다.

비공개 애플리케이션부터 파트너 애플리케이션까지의 트래픽 흐름
비공개 애플리케이션부터 파트너 애플리케이션까지의 트래픽 흐름(확대하려면 클릭)

처리 용량

NCC 게이트웨이 스포크 처리 용량은 프로비저닝된 대역폭입니다. 일부 트래픽 흐름의 경우 패킷이 흐름 방향마다 게이트웨이 스포크를 두 번 이상 드나들 수 있다는 점을 염두에 두고 각 트래픽 흐름 방향을 고려하여 충분한 대역폭을 프로비저닝해야 합니다.

다음 예시를 참고하여 게이트웨이 스포크의 필수 처리 용량을 계산합니다.

예: 브랜치 사용자부터 인터넷까지

브랜치 사용자부터 인터넷까지 사용 사례에 표시된 대로 브랜치의 온프레미스 네트워크가 인터넷에 연결되어 있다고 가정해 보겠습니다. 패킷은 각 방향으로 NCC 게이트웨이를 한 번씩 통과하며 브랜치와 인터넷에는 1Gbps 전이중 대역폭이 필요합니다. 브랜치 온프레미스 네트워크부터 인터넷까지의 트래픽에 1Gbps, 인터넷부터 브랜치 네트워크까지의 트래픽에 1Gbps가 필요합니다. 이 경우 사용자에게는 처리 용량 2Gbps가 필요합니다. 이 예시에서는 SSE 파트너가 패킷을 삭제하지 않는다고도 가정합니다. 선택한 SSE 파트너에서 이 예시에서 계산한 대역폭보다 높은 대역폭을 추천하는 경우에는 파트너 추천을 따르세요.

예: 브랜치 사용자부터 비공개 애플리케이션까지

브랜치 사용자부터 비공개 애플리케이션까지 사용 사례에 표시된 대로 브랜치의 온프레미스 네트워크가Google Cloud 에 연결되어 있고 브랜치와 비공개 애플리케이션에 1Gbps 전이중 대역폭이 필요하다고 가정해 보겠습니다. 브랜치부터 애플리케이션까지의 트래픽에 1Gbps, 애플리케이션부터 브랜치까지의 트래픽에 1Gbps가 필요합니다. 이 예시에서는 SSE 파트너가 패킷을 삭제하지 않는다고도 가정합니다. 선택한 SSE 파트너에서 이 예시에서 계산한 대역폭보다 높은 대역폭을 추천하는 경우에는 파트너 추천을 따르세요.

브랜치의 온프레미스 네트워크를 Network Connectivity Center 허브에 연결하는 NCC 게이트웨이 스포크는 Cloud Interconnect SLA 요구사항을 충족하기 위해 1Gbps VLAN 연결 2개가 필요합니다. 이렇게 하면 VLAN 연결 하나가 오프라인 상태이더라도(예: Interconnect 연결 유지보수로 인해) VLAN 연결 하나가 브랜치와 비공개 애플리케이션 간에 전이중 대역폭 1Gbps를 제공할 수 있습니다.

게이트웨이 스포크의 필수 처리 용량은 다음과 같은 이유로 4Gbps입니다.

  • 브랜치 온프레미스 네트워크부터 Network Connectivity Center 허브까지 흐르는 트래픽에는 대역폭 1Gbps가 필요합니다. 이 트래픽은 다음 두 위치에서 게이트웨이에서 처리되므로 게이트웨이 대역폭 2Gbps가 필요합니다.

    • 브랜치에 연결된 VLAN 연결의 패킷이 게이트웨이 스포크로 들어갈 때 1Gbps
    • 패킷이 게이트웨이 스포크를 떠나 허브로 들어갈 때 1Gbps

  • Network Connectivity Center 허브부터 브랜치 온프레미스 네트워크까지 흐르는 트래픽에도 대역폭 1Gbps가 필요합니다. 이 트래픽은 다음 두 위치에서 게이트웨이에서 처리되므로 게이트웨이 대역폭 2Gbps가 추가로 필요합니다.

    • 패킷이 허브를 떠나 게이트웨이 스포크로 들어갈 때 1Gbps
    • 패킷이 게이트웨이 스포크를 떠나 브랜치에 연결된 VLAN 연결로 전송될 때 1Gbps

게이트웨이 처리 용량과 VLAN 연결 대역폭을 구성할 때는 다음 전략을 사용하는 것이 좋습니다.

  • 게이트웨이 처리 용량은 모든 게이트웨이 NIC 간에 각 방향으로 필요한 대역폭의 합계입니다.
  • 게이트웨이 처리 용량과 달리 VLAN 연결 대역폭은 전이중입니다. 공통 Interconnect 연결을 사용하는 VLAN 연결이 다운되더라도 필요한 대역폭이 지원될 수 있도록 항상 VLAN 연결을 충분한 수로 프로비저닝합니다.

고려사항

NCC 게이트웨이를 사용할 때는 다음 사항을 고려하세요.

  • NCC 게이트웨이는 SSE 서비스 삽입만 지원합니다.
  • VLAN 연결을 NCC 게이트웨이 스포크에만 연결할 수 있습니다. Cloud VPN 및 라우터 어플라이언스는 지원되지 않습니다.
  • 모든 NCC 게이트웨이 스포크는 같은 게이트웨이 스포크 그룹에 있어야 합니다. NCC 게이트웨이를 구성하려면 Network Connectivity Center 허브에서 사전 설정된 하이브리드 검사 토폴로지를 사용해야 합니다.
  • 한 번에 NCC 게이트웨이 하나에 서비스 하나만 연결할 수 있습니다.
  • Cloud Router는 같은 리전의 NCC 게이트웨이에 연결되어야 합니다.
  • NCC 게이트웨이에 연결된 Cloud Router로 생성된 VLAN 연결만 게이트웨이에 연결됩니다.
  • NCC 게이트웨이 스포크는 허브별로 리전당 하나만 있을 수 있습니다.
  • NCC 게이트웨이 스포크와 허브는 같은 프로젝트에 있어야 합니다.
  • 게이트웨이 스포크를 만들 때 처리 용량을 지정해야 합니다. 필요한 경우 나중에 처리 용량을 변경할 수 있습니다.
  • 할당된 IP 주소 범위를 변경할 수 없습니다. 일부 IP 주소 범위는 SSE 파트너용으로 예약되어 있습니다.
  • NCC 게이트웨이에서 트래픽 일부를 우회하는 트래픽 스티어링 정책이 없습니다.
  • 게이트웨이 공지 경로가 VPC 경로 테이블에 표시되지 않습니다. VPC 네트워크가 있는 스포크 그룹의 허브 경로 테이블에서 볼 수 있습니다.
  • 게이트웨이 공지 경로는 표준 최적 경로 선택 모드를 통해 프로그래밍됩니다.
    • 허브 경로 테이블의 게이트웨이 공지 경로 우선순위는 65536 또는 65537과 같은 유효한 Andromeda 경로 우선순위를 반영합니다. 게이트웨이 공지 경로가 생성된 우선순위는 유효한 Andromeda 경로 우선순위를 계산할 때 고려됩니다.
    • 정적 경로에는 항상 0-65535 사이의 우선순위가 있으므로 같은 대상 프리픽스의 게이트웨이 공지 경로보다 우선시 됩니다. 따라서 0/0 대상이 있는 게이트웨이 공지 경로를 사용하여 인터넷 트래픽을 게이트웨이로 전달하려면 시스템 생성 기본 경로를 삭제해야 할 수 있습니다.

게이트웨이 및 허브 경로 테이블의 유효한 경로 보기

게이트웨이 통과 여부와 관계없이 경로를 선택할 때 리전 간 비용을 고려하는 리전 관점에서 허브 경로 테이블을 쿼리할 수 있습니다. 이 쿼리를 사용하면 특정 리전에서 패킷을 전송할 경우 트래픽을 수신하는 특정 게이트웨이 인스턴스를 확인할 수 있습니다.

사용자 여정 예시

기존 연결 설정이 없으면 NCC 게이트웨이 설정 개요를 참조하세요.

가격 책정

가격 책정에 대한 자세한 내용은 Network Connectivity Center 가격 책정을 참조하세요.

다음 단계