VPC 스포크
Network Connectivity Center는 VPC 스포크를 지원하여 VPC 간 네트워크 연결을 규모에 맞게 제공합니다. VPC 스포크를 사용하면 더욱 간단한 중앙 집중식 연결 관리 모델을 사용하여 VPC 네트워크 피어링에 사용되는 개별 쌍별 피어링 연결을 관리하는 데 따른 운영 복잡성을 줄일 수 있습니다. VPC 스포크는 다른 스포크 VPC의 모든 IPv4 서브넷 경로를 내보내고 가져옵니다. 이를 통해 이러한 모든 VPC 네트워크에 있는 모든 워크로드 간에 완전한 IPv4 연결이 보장됩니다. VPC 간 네트워크 트래픽은 Google Cloud 네트워크 내에 머무르며 인터넷을 통해 전송되지 않으므로 개인 정보 보호와 보안을 강화하는 데 도움이 됩니다.
VPC 스포크는 동일한 프로젝트 및 조직에 있거나 Network Connectivity Center 허브와 다른 프로젝트 및 조직에 있을 수 있습니다.
VPC 스포크는 한 번에 허브 하나에 연결될 수 있습니다.
VPC 스포크를 만드는 방법은 VPC 스포크 만들기를 참조하세요.
VPC 네트워크 피어링 비교
VPC 스포크는 서로 다른 여러 VPC 네트워크에 있는 IPv4 서브넷 범위 간에 라우팅되는 연결을 위해 중견 및 대규모 엔터프라이즈 워크로드 요구사항을 지원하도록 설계되었습니다.
VPC 네트워크는 Network Connectivity Center VPC 스포크일 수 있으며 VPC 네트워크 피어링을 통해 다른 VPC 네트워크에 연결될 수 있습니다. 한편, VPC 네트워크 피어링을 사용하여 스포크 VPC 네트워크가 가져오는 피어링 서브넷 경로는 Network Connectivity Center 허브에 연결된 다른 VPC 스포크와 공유되지 않습니다. 따라서 비공개 서비스 액세스로 구동되는 관리형 서비스는 Network Connectivity Center 허브의 다른 VPC 스포크를 사용하여 전환 연결할 수 없습니다.
| 기능 | VPC 네트워크 피어링 | VPC 스포크 |
|---|---|---|
| VPC 네트워크 |
최대 25개(다른 VPC 할당량 감소 필요) |
허브당 활성 VPC 스포크 최대 250개 |
| VM 인스턴스 |
Network Connectivity Center는 VPC 네트워크당 최댓값을 지원합니다(별도의 피어링 그룹 할당량 필요 없음). |
|
| 서브넷 범위(서브넷 경로) | ||
| 정적 경로 및 동적 경로 |
정적 및 동적 경로 교환은 지원되지 않습니다. |
|
| 필터 내보내기 |
특정 필터는 지원되지 않습니다. VPC 네트워크 피어링 문서의 경로 교환 옵션을 참조하세요. |
CIDR 범위는 VPC 스포크당 최대 16개까지 지원됩니다. |
| IP 주소 지정 |
비공개 IP 주소 및 비공개로 사용되는 공개 IPv4 주소를 포함한 내부 IP 주소입니다. 유효한 IPv4 범위를 참조하세요. |
비공개 IPv4 내부 주소만 포함되고 비공개로 사용되는 공개 IPv4 주소는 제외합니다. 유효한 IPv4 범위를 참조하세요. |
| IP 주소 계열 |
IPv4 및 IPv6/IPv4 이중 스택 주소 |
IPv4 주소만 |
| 성능 및 처리량(다른 VPC 연결 메커니즘과 비교) |
최저 지연 시간, 최고 처리량(VM-VM 등가) |
최저 지연 시간, 최고 처리량(VM-VM 등가) |
허브와 다른 프로젝트의 VPC 스포크
Network Connectivity Center를 사용하면 스포크로 표시한 VPC 네트워크를 다른 조직의 프로젝트를 포함한 다른 프로젝트의 단일 허브에 연결할 수 있습니다. 이를 통해 여러 프로젝트와 조직의 VPC 네트워크를 대규모로 함께 연결할 수 있습니다.
사용자가 다음 사용자 유형 중 하나일 수 있습니다.
- 한 프로젝트에서 허브를 소유하는 허브 관리자
- 다른 프로젝트의 VPC 네트워크를 허브에 대한 스포크로 추가하려는 VPC 네트워크 스포크 관리자 또는 네트워크 관리자
허브 관리자는 Identity and Access Management(IAM) 권한을 사용하여 허브와 연결된 다른 프로젝트에서 VPC 스포크를 만들 수 있는 사용자를 제어합니다. VPC 네트워크 스포크 관리자는 허브와 다른 프로젝트에 스포크를 만듭니다. 이러한 스포크는 생성 시 비활성화됩니다. 허브 관리자는 이를 검토해야 하며 스포크를 승인하거나 거부할 수 있습니다. 허브 관리자가 스포크를 수락하면 활성화됩니다.
Network Connectivity Center는 항상 허브와 동일한 프로젝트에서 생성된 스포크를 자동으로 허용합니다.
허브와 다른 프로젝트에서 VPC 스포크가 있는 허브를 관리하는 방법에 대한 자세한 내용은 허브 관리 개요를 참조하세요. 스포크 관리자에 대한 자세한 내용은 스포크 관리 개요를 참조하세요.
내보내기 필터를 사용한 VPC 연결
Network Connectivity Center를 사용하면 모든 스포크 VPC 네트워크 연결을 스포크 VPC의 서브네트워크 하위 집합으로 제한할 수 있습니다. Google Cloud CLI에서 exclude-export-ranges 플래그 또는 API에서 excludeExportRanges 필드를 사용하여 IP 주소 범위가 공지되지 않도록 할 수 있습니다. 지정된 범위와 일치하는 모든 서브네트워크를 허브로 내보낼 수 없습니다. 이 필터링은 VPC 네트워크 내에서 비공개이어야 하거나 허브 경로 테이블의 다른 서브넷과 겹칠 수 있는 서브넷이 있을 때 유용합니다.
사전 설정된 토폴로지
Network Connectivity Center를 사용하면 모든 VPC 스포크에서 원하는 연결 구성을 지정할 수 있습니다. 다음 두 가지 사전 설정된 토폴로지 중 하나를 선택할 수 있습니다.
- 메시 토폴로지
- 스타 토폴로지
gcloud network-connectivity hubs create 명령어를 사용하여 허브를 만들 때 사전 설정된 메시 또는 스타 토폴로지를 선택합니다. 토폴로지가 지정되지 않았으면 메시가 기본값입니다. 허브 생성 중에 설정한 후에는 지정된 허브의 토폴로지를 변경할 수 없습니다.
스포크의 토폴로지 설정을 변경하려면 스포크를 삭제하고 다른 토폴로지를 사용하는 새 허브로 새 스포크를 만들면 됩니다.
메시 토폴로지
메시 토폴로지는 VPC 스포크 간의 대규모 네트워크 연결을 제공합니다.
이 토폴로지를 사용하면 모든 스포크가 서로 연결하여 통신할 수 있습니다. exclude export filters를 지정하지 않으면 이러한 VPC 스포크 내의 서브넷을 완전히 연결할 수 있습니다.
기본적으로 VPC 네트워크 2개 이상이 Network Connectivity Center 허브를 스포크로 조인하도록 구성되면 Network Connectivity Center가 각 스포크 간에 전체 연결 메시를 자동으로 구성합니다.
메시 토폴로지 내 모든 스포크는 단일 기본 그룹에 속합니다. 메시 토폴로지는 VPC 및 하이브리드 스포크 유형에서 지원됩니다.
다음 다이어그램에서는 Network Connectivity Center의 메시 토폴로지 연결을 보여줍니다.
스타 토폴로지
스타 토폴로지는 VPC 스포크에서만 지원됩니다. 연결에 스타 토폴로지를 사용하면 에지 스포크와 관련 서브넷은 지정된 센터 스포크에만 연결되고 센터 스포크는 다른 모든 스포크에 연결될 수 있습니다. 이를 통해 에지 VPC 네트워크에서 세분화와 연결을 구분할 수 있습니다.
VPC 스포크를 다른 프로젝트의 허브에 연결할 수 있으므로 VPC 스포크를 다른 관리 도메인에서 가져올 수 있습니다. 허브와 다른 프로젝트에 있는 이러한 스포크는 Network Connectivity Center 허브의 다른 모든 스포크와 통신할 필요가 없을 수 있습니다.
다음 사용 사례에 스타 토폴로지를 선택할 수 있습니다.
- 서로 연결할 필요는 없지만 중앙 공유 서비스 VPC 네트워크를 통해 온프레미스 네트워크에 액세스해야 하는 서로 다른 VPC 네트워크에서 실행되는 워크로드
다음 다이어그램에서는 Network Connectivity Center의 스타 토폴로지 연결을 보여줍니다.
center-vpc-a 및 center-vpc-b는 센터 그룹과 연결되고 edge-vpc-c 및 edge-vpc-d는 에지 그룹과 연결됩니다. 이 경우 스타 토폴로지를 사용하면 edge-vpc-c 및 edge-vpc-d가 center-vpc-a 및 center-vpc-b에 연결되고 서브넷이 센터 그룹에 전파될 수 있지만 서로 연결되지 않습니다(edge-vpc-c 및 edge-vpc-d 간에 직접 연결할 수 없음). 한편 center-vpc-a 및 center-vpc-b는 서로 연결되고 edge-vpc-c 및 edge-vpc-d 모두에 연결되므로 센터 그룹 VPC에서 에지 그룹 VPC로 완전하게 연결할 수 있습니다.
스포크 그룹
스포크 그룹은 허브에 연결된 스포크의 하위 집합입니다. 스타 토폴로지를 사용하여 Network Connectivity Center를 구성하려면 모든 VPC 스포크를 라우팅 도메인이라고도 하는 서로 다른 그룹 2개로 구분해야 합니다.
- 허브에 연결된 다른 모든 스포크와 통신하는 스포크의 센터 그룹
- 센터 그룹에 속하는 스포크와만 통신하는 스포크의 에지 그룹
VPC 스포크는 한 번에 그룹 하나에만 속할 수 있습니다. 허브를 만들면 그룹이 자동으로 생성됩니다.
허브 관리자는 gcloud network-connectivity hubs groups update 명령어를 사용하여 스포크 그룹을 업데이트할 수 있습니다. 허브 관리자는 프로젝트 ID 또는 프로젝트 번호 목록을 추가하여 스포크에 자동 수락을 사용 설정할 수 있습니다. 자동 수락이 사용 설정되면 자동 수락 프로젝트의 스포크가 개별 스포크 제안을 검토하지 않고도 자동으로 허브에 연결됩니다.
gcloud network-connectivity hubs groups list --hub 명령어를 사용하여 센터 및 에지 그룹을 특정 허브의 중첩된 리소스로 나열할 수 있습니다.
메시 토폴로지로 만든 허브의 경우 출력에서 기본 그룹을 반환합니다.
스타 토폴로지로 생성된 허브의 경우 출력에서 센터 및 에지 그룹을 반환합니다.
VPC 스포크의 메시 또는 스타 토폴로지를 구성하는 방법에 대한 자세한 내용은 허브 구성을 참조하세요.
제한사항
이 섹션에서는 일반적인 VPC 스포크의 제한사항과 다른 프로젝트의 허브에 연결될 때의 제한사항에 대해 설명합니다.
VPC 스포크 제한사항
- Network Connectivity Center는 같은 허브에서 VPC, VPN, Cloud Interconnect, 라우터 어플라이언스와 같은 혼합 스포크 유형이 있는 VPC를 지원하지 않습니다.
- VPC 네트워크는 Network Connectivity Center 허브 또는 VPC 네트워크 피어링을 통해 배타적인 방식으로 서로 연결할 수 있습니다. 동일한 Network Connectivity Center 허브에 연결된 2개의 VPC 스포크 사이에는 VPC 네트워크 피어링을 사용할 수 없습니다. 하지만 Network Connectivity Center의 일부가 아닌 별도의 VPC를 사용하여 VPC 네트워크 피어링을 통해 피어링된 Network Connectivity Center 연결 VPC 스포크를 사용할 수 있습니다.
- 어떠한 조합에서도 Network Connectivity Center 및 VPC 네트워크 피어링을 사용하여 함께 연결된 VPC는 전환되지 않습니다.
- VPC 스포크 간에 IPv4 정적 및 동적 경로를 교환할 수 없습니다.
- 다른 VPC 스포크의 내부 패스 스루 네트워크 부하 분산기 가상 IP 주소를 가리키는 경로는 지원되지 않습니다.
- 겹치는 서브넷을 내보내기 필터로 마스킹해야 합니다.
- 스포크당 최대 16개의
exclude export ranges필터를 지정할 수 있습니다. - VPC 스포크 생성 후에는
exclude export ranges를 업데이트할 수 없습니다. - 허브와 다른 프로젝트에 있는 스포크의 경우 새 VPC 서비스 제어 경계가 추가되면 경계를 위반하는 새 스포크를 추가할 수 없지만 기존 스포크는 계속 작동합니다.
- 스타 토폴로지 연결은 VPC 스포크만 지원합니다.
VPC 스포크 삭제 후 대기 기간 요구사항
이 섹션에서는 VPC 스포크를 삭제하고 같은 VPC의 새 스포크를 만드는 사이에 필요한 대기 기간을 설명합니다. 적절한 대기 기간이 허용되지 않으면 새 구성이 적용되지 않을 수 있습니다.
- 스포크를 삭제한 후 최소 10분 동안의 대기 기간이 지나야 동일한 허브에 연결된 동일한 VPC 네트워크에 대한 스포크를 만들 수 있습니다.
- 다른 허브에 연결된 동일한 VPC 네트워크의 새 스포크의 경우 최소 24시간의 대기 기간이 지나야 합니다.
- 같은 VPC 네트워크의 스포크 생성에 필터가 올바르게 적용되지 않았을 수 있습니다. 해결 방법은 스포크를 삭제하고 더 오랫동안 기다린 후 스포크를 다시 만드는 것입니다.
할당량 및 한도
Network Connectivity Center에 적용되는 자세한 할당량과 한도는 할당량 및 한도를 참조하세요.
청구
스포크 시간
스포크 시간에 대한 요금은 스포크 리소스가 있는 프로젝트에 청구되며 표준 스포크 시간 가격 책정을 따릅니다. 스포크 시간에 대한 요금은 스포크가 ACTIVE 상태인 경우에만 청구됩니다.
아웃바운드 트래픽
아웃바운드 트래픽은 트래픽이 발생하는 스포크 리소스의 프로젝트에 청구됩니다. 트래픽이 프로젝트 경계를 넘는지 여부에 관계없이 가격은 동일합니다.
서비스수준계약
Network Connectivity Center 서비스수준계약에 대한 자세한 내용은 Network Connectivity Center 서비스수준계약(SLA)을 참조하세요.
가격 책정
가격 책정에 대한 자세한 내용은 Network Connectivity Center 가격 책정을 참조하세요.
다음 단계
- 허브 및 스포크를 만들려면 허브 및 스포크 작업 참조하기
- 솔루션이 Network Connectivity Center와 통합된 파트너 목록을 보려면 Network Connectivity Center 파트너를 참조하세요.
- 일반적인 문제의 해결 방법은 문제 해결을 참조하세요.
- API 및
gcloud명령어에 대한 자세한 내용은 API 및 참조를 확인하세요.