VPC 스포크 개요

이 페이지에서는 Network Connectivity Center에서 Virtual Private Cloud(VPC) 스포크 지원을 간략하게 설명합니다.

VPC 스포크

Network Connectivity Center는 VPC 스포크를 지원하여 VPC 간 네트워크 연결을 규모에 맞게 제공합니다. VPC 스포크는 VPC 스포크와 중앙 집중식 연결 관리 모델을 사용하여 개별 쌍별 VPC 네트워크 피어링 연결을 관리하는 데 따른 운영 복잡성을 줄일 수 있습니다. VPC 스포크는 Network Connectivity Center 허브의 다른 스포크 VPC에서 모든 IPv4 서브넷 경로를 내보내고 가져옵니다. 이를 통해 이러한 모든 VPC 네트워크에 있는 모든 워크로드 간에 완전한 IPv4 연결이 보장됩니다. VPC 간 네트워크 트래픽은 Google Cloud 네트워크 내에 머무르며 인터넷을 통해 전송되지 않으므로 개인 정보 보호와 보안을 강화하는 데 도움이 됩니다.

VPC 스포크는 동일한 프로젝트 및 조직에 있거나 Network Connectivity Center 허브와 다른 프로젝트 및 조직에 있을 수 있습니다. VPC 스포크는 한 번에 허브 하나에 연결될 수 있습니다.

VPC 스포크를 만드는 방법은 VPC 스포크 만들기를 참조하세요.

VPC 네트워크 피어링 비교

VPC 스포크는 서로 다른 여러 VPC 네트워크에 있는 IPv4 서브넷 범위 간에 라우팅되는 연결을 위해 중견 및 대규모 엔터프라이즈 워크로드 요구사항을 지원하도록 설계되었습니다.

VPC 네트워크는 Network Connectivity Center VPC 스포크일 수 있으며 VPC 네트워크 피어링을 통해 다른 VPC 네트워크에 연결될 수 있습니다. 한편, VPC 네트워크 피어링을 사용하여 스포크 VPC 네트워크가 가져오는 피어링 서브넷 경로는 Network Connectivity Center 허브에 연결된 다른 VPC 스포크와 공유되지 않습니다. 따라서 비공개 서비스 액세스로 구동되는 관리형 서비스는 Network Connectivity Center 허브의 다른 VPC 스포크를 사용하여 전환 연결할 수 없습니다. 이 경우 프로듀서 VPC 스포크 (미리보기)를 사용하여 관리형 서비스에 연결할 수 있습니다.

기능 VPC 네트워크 피어링 VPC 스포크
VPC 네트워크

최대 25개(다른 VPC 할당량 감소 필요)

허브당 활성 VPC 스포크 최대 250개

VM 인스턴스

피어링 그룹당 인스턴스

Network Connectivity Center는 VPC 네트워크당 최댓값을 지원합니다(별도의 피어링 그룹 할당량 필요 없음).

서브넷 범위(서브넷 경로)

피어링 그룹별 서브네트워크 범위

경로 테이블당 서브네트워크 경로

정적 경로 및 동적 경로

피어링 그룹별 정적 경로

피어링 그룹당 리전별 동적 경로

허브당 동적 경로 500개

정적 경로 교환은 지원되지 않습니다.

필터 내보내기

특정 필터는 지원되지 않습니다. VPC 네트워크 피어링 문서의 경로 교환 옵션을 참조하세요.

CIDR 범위는 VPC 스포크당 최대 16개까지 지원됩니다.

IP 주소 지정

비공개 IP 주소 및 비공개로 사용되는 공개 IPv4 주소를 포함한 내부 IP 주소입니다. 유효한 IPv4 범위를 참조하세요.

비공개 IP 주소를 포함하고 비공개로 사용되는 공개 IPv4 주소를 제외한 내부 IPv4 주소입니다. 유효한 IPv4 범위를 참조하세요.

IP 주소 계열

IPv4 및 IPv6/IPv4 이중 스택 주소

IPv4 주소만

성능 및 처리량(다른 VPC 연결 메커니즘과 비교)

최저 지연 시간, 최고 처리량(VM-VM 등가)

최저 지연 시간, 최고 처리량(VM-VM 등가)

허브와 다른 프로젝트의 VPC 스포크

Network Connectivity Center를 사용하면 VPC 스포크로 표시한 VPC 네트워크를 다른 조직의 프로젝트를 포함한 다른 프로젝트의 단일 허브에 연결할 수 있습니다. 이를 통해 여러 프로젝트와 조직의 VPC 네트워크를 대규모로 함께 연결할 수 있습니다.

사용자가 다음 사용자 유형 중 하나일 수 있습니다.

  • 한 프로젝트에서 허브를 소유하는 허브 관리자
  • 다른 프로젝트의 VPC 네트워크를 허브에 대한 스포크로 추가하려는 VPC 네트워크 스포크 관리자 또는 네트워크 관리자

허브 관리자는 Identity and Access Management(IAM) 권한을 사용하여 허브와 연결된 다른 프로젝트에서 VPC 스포크를 만들 수 있는 사용자를 제어합니다. VPC 네트워크 스포크 관리자는 허브와 다른 프로젝트에 스포크를 만듭니다. 이러한 스포크는 생성 시 비활성화됩니다. 허브 관리자는 이를 검토해야 하며 스포크를 승인하거나 거부할 수 있습니다. 허브 관리자가 스포크를 수락하면 활성화됩니다.

Network Connectivity Center는 항상 허브와 동일한 프로젝트에서 생성된 스포크를 자동으로 허용합니다.

허브와 다른 프로젝트에서 VPC 스포크가 있는 허브를 관리하는 방법에 대한 자세한 내용은 허브 관리 개요를 참조하세요. 스포크 관리자에 대한 자세한 내용은 스포크 관리 개요를 참조하세요.

내보내기 필터를 사용한 VPC 연결

Network Connectivity Center를 사용하면 모든 스포크 VPC 네트워크 연결을 스포크 VPC의 서브네트워크 하위 집합으로 제한할 수 있습니다. IP 주소 범위를 공지에서 지정하고 VPC 네트워크에서 공지할 수 있는 CIDR 범위 목록을 설정하여 연결을 제한할 수 있습니다. 또한 허용되는 CIDR 범위 목록을 지정하여 허용된 범위를 제외한 모든 범위를 차단하여 연결성을 제한할 수도 있습니다.

내보내기 범위 제외

Google Cloud CLI에서 --exclude-export-ranges 플래그 또는 API에서 excludeExportRanges 필드를 사용하여 IP 주소 범위가 공지되지 않도록 할 수 있습니다. 지정된 범위와 일치하는 모든 서브네트워크를 허브로 내보낼 수 없습니다. 이 필터링은 VPC 네트워크 내에서 비공개이어야 하거나 허브 경로 테이블의 다른 서브넷과 겹칠 수 있는 서브넷이 있을 때 유용합니다.

내보내기 범위 포함

API에서 include-export-ranges 플래그 또는 includeExportRanges 필드를 사용하여 VPC 스포크에서 공지할 수 있는 CIDR 범위 목록을 설정할 수 있습니다. 이를 IP 주소 내보내기 범위 제외 필터와 함께 사용하면 보다 정확한 연결이 설정됩니다. 이 필터링은 VPC 네트워크에서 특정 서브넷 범위를 공지할 수 있는지 여부를 결정합니다.

고려사항

내보내기 범위 제외 및 포함 필터를 사용할 때는 다음 사항을 고려하세요.

  • 포함 범위는 서로 배타적이어야 하며 이는 포함 범위가 겹치지 않아야 함을 의미합니다. 예를 들어 세 개의 IP 주소 범위가 있다고 가정해 보겠습니다.

    Range 1: 10.100.64.0/18

    Range 2: 10.100.250.0/21

    Range 3: 10.100.100.0/22

    Range 1range 2는 겹치지 않으므로 유효한 포함 범위입니다. 그러나 range 3range 1 아래에 있어 겹칠 수 있으므로 range 3은 유효하지 않습니다.

  • Network Connectivity Center에는 네트워크 구성 정책에서 사용할 수 있는 내보내기 제외 필터가 이미 있으므로 내보내기 포함 및 제외 필터가 모두 유효한 네트워크 구성 CIDR 범위에 영향을 미칩니다. 내보내기 포함 및 제외 필터를 모두 사용할 경우 포함 IP 주소 범위는 제외 IP 주소 범위의 상위 집합이어야 합니다.

  • 기본적으로 모든 VPC 연결 정책의 포함 CIDR 범위는 0.0.0.0/0으로, VPC 스포크를 만들 때 포함 필터를 지정하지 않으면 Network Connectivity Center에서 기본 포함 범위를 유효한 IPv4 범위에 정의된 대로 모든 유효한 비공개 IPv4 주소로 설정합니다.

  • 포함 범위를 미세 조정하려면 여러 개의 제외 범위를 추가하면 됩니다. 예를 들어 10.1.0.0/16을 포함 범위로 지정하고 10.1.100.0/2410.1.200.0/24를 제외 범위로 설정하면 포함 및 제외 필터를 모두 조합하여 세분화된 연결이 이루어집니다. 여기에는 10.1.0.0/24부터 10.1.99.0/24까지, 10.1.101.0/24부터 10.1.199.0/24까지, 10.1.201.0/24부터 10.1.255.0/24까지의 모든 범위가 포함됩니다.

  • 기존 서브넷 범위는 계속 정상적으로 작동합니다. 새 서브넷 범위를 만들 때 포함 및 제외 범위와 겹치면 오류가 발생합니다.

잘못된 새 서브넷 범위의 예시

다음 예시에서는 잘못된 서브넷 범위를 보여줍니다.

  • 제외 범위와 겹침: 다음과 같은 IP 주소 범위가 있다고 가정합니다.

    포함 범위: 10.0.0.0/8

    Exclude range 4: 10.1.1.0/24

    Subnet range 4: 10.1.0.0/16

    이 경우 포함 범위에 subnet range 4가 포함됩니다. 그러나 exclude range 4의 상위 집합입니다. 따라서 subnet range 4가 잘못되었습니다.

  • 포함 범위와 겹침: 다음과 같은 IP 주소 범위가 있다고 가정합니다.

    범위 포함: 10.1.1.0/24

    Subnet range 5: 10.1.0.0/16

    Subnet range 5는 포함 범위와 겹치므로 유효하지 않습니다.

서브넷 생성 프로세스 중에 잘못된 서브넷 범위를 입력하면 다음과 비슷한 Invalid IPCiderRange 오류가 발생합니다.

Invalid IPCidrRange: CIDR_RANGE conflicts with existing subnetwork SUBNET_RANGE in region REGION

사전 설정된 토폴로지

Network Connectivity Center를 사용하면 모든 VPC 스포크에서 원하는 연결 구성을 지정할 수 있습니다. 다음 두 가지 사전 설정된 토폴로지 중 하나를 선택할 수 있습니다.

  • 메시 토폴로지
  • 스타 토폴로지

gcloud network-connectivity hubs create 명령어를 사용하여 허브를 만들 때 사전 설정된 메시 또는 스타 토폴로지를 선택합니다. 토폴로지가 지정되지 않았으면 메시가 기본값입니다. 허브 생성 중에 설정한 후에는 지정된 허브의 토폴로지를 변경할 수 없습니다.

스포크의 토폴로지 설정을 변경하려면 스포크를 삭제하고 다른 토폴로지를 사용하는 새 허브로 새 스포크를 만들면 됩니다.

메시 토폴로지

메시 토폴로지는 VPC 스포크 간의 대규모 네트워크 연결을 제공합니다. 이 토폴로지를 사용하면 모든 스포크가 서로 연결하여 통신할 수 있습니다. exclude export filters를 지정하지 않으면 이러한 VPC 스포크 내의 서브넷을 완전히 연결할 수 있습니다. 기본적으로 워크로드 VPC 네트워크 2개 이상이 Network Connectivity Center 허브를 스포크로 조인하도록 구성되면 Network Connectivity Center가 각 스포크 간에 전체 연결 메시를 자동으로 구성합니다.

메시 토폴로지 내 모든 스포크는 단일 기본 그룹에 속합니다. 메시 토폴로지는 VPC 및 하이브리드 스포크 유형에서 지원됩니다.

다음 다이어그램에서는 Network Connectivity Center의 메시 토폴로지 연결을 보여줍니다.

Network Connectivity Center 메시 토폴로지 연결
Network Connectivity Center 메시 토폴로지 연결(확대하려면 클릭)

스타 토폴로지

스타 토폴로지는 VPC 스포크에서만 지원됩니다. 연결에 스타 토폴로지를 사용하면 에지 스포크와 관련 서브넷은 지정된 센터 스포크에만 연결되고 센터 스포크는 다른 모든 스포크에 연결될 수 있습니다. 이를 통해 에지 VPC 네트워크에서 세분화와 연결을 구분할 수 있습니다.

VPC 스포크를 다른 프로젝트의 허브에 연결할 수 있으므로 VPC 스포크를 다른 관리 도메인에서 가져올 수 있습니다. 허브와 다른 프로젝트에 있는 이러한 스포크는 Network Connectivity Center 허브의 다른 모든 스포크와 통신할 필요가 없을 수 있습니다.

다음 사용 사례에 스타 토폴로지를 선택할 수 있습니다.

  • 서로 다른 VPC 네트워크에서 실행되는 워크로드는 서로 연결할 필요는 없지만 중앙 공유 서비스 VPC 네트워크를 통해서만 액세스해야 합니다.

  • 트래픽이 일련의 중앙 집중식 네트워크 가상 어플라이언스(NVA)를 통과해야 하는 여러 VPC 네트워크 간의 통신에 대한 보안 제어입니다.

다음 다이어그램에서는 Network Connectivity Center의 스타 토폴로지 연결을 보여줍니다. center-vpc-acenter-vpc-b는 센터 그룹과 연결되고 edge-vpc-cedge-vpc-d는 에지 그룹과 연결됩니다. 이 경우 스타 토폴로지를 사용하면 edge-vpc-cedge-vpc-dcenter-vpc-acenter-vpc-b에 연결되고 서브넷이 센터 그룹에 전파될 수 있지만 서로 연결되지 않습니다(edge-vpc-cedge-vpc-d 간에 직접 연결할 수 없음). 한편 center-vpc-acenter-vpc-b는 서로 연결되고 edge-vpc-cedge-vpc-d 모두에 연결되므로 센터 그룹 VPC에서 에지 그룹 VPC로 완전하게 연결할 수 있습니다.

Network Connectivity Center 스타 토폴로지 연결
Network Connectivity Center 스타 토폴로지 연결(확대하려면 클릭)

스포크 그룹

스포크 그룹은 허브에 연결된 스포크의 하위 집합입니다. 스타 토폴로지를 사용하여 Network Connectivity Center를 구성하려면 모든 VPC 스포크를 라우팅 도메인이라고도 하는 서로 다른 그룹 2개로 구분해야 합니다.

  1. 허브에 연결된 다른 모든 스포크와 통신하는 스포크의 센터 그룹
  2. 센터 그룹에 속하는 스포크와만 통신하는 스포크의 에지 그룹

VPC 스포크는 한 번에 그룹 하나에만 속할 수 있습니다. 허브를 만들면 그룹이 자동으로 생성됩니다.

허브 관리자는 gcloud network-connectivity hubs groups update 명령어를 사용하여 스포크 그룹을 업데이트할 수 있습니다. 허브 관리자는 프로젝트 ID 또는 프로젝트 번호 목록을 추가하여 스포크에 자동 수락을 사용 설정할 수 있습니다. 자동 수락이 사용 설정되면 자동 수락 프로젝트의 스포크가 개별 스포크 제안을 검토하지 않고도 자동으로 허브에 연결됩니다.

gcloud network-connectivity hubs groups list --hub 명령어를 사용하여 센터에지 그룹을 특정 허브의 중첩된 리소스로 나열할 수 있습니다. 메시 토폴로지로 만든 허브의 경우 출력에서 기본 그룹을 반환합니다. 스타 토폴로지로 생성된 허브의 경우 출력에서 센터에지 그룹을 반환합니다.

VPC 스포크의 메시 또는 스타 토폴로지를 구성하는 방법에 대한 자세한 내용은 허브 구성을 참조하세요.

제한사항

이 섹션에서는 일반적인 VPC 스포크의 제한사항과 다른 프로젝트의 허브에 연결될 때의 제한사항에 대해 설명합니다. 이 제한사항은 프로듀서 VPC 스포크(미리보기)에도 적용됩니다.

VPC 스포크 제한사항

  • VPC 네트워크는 Network Connectivity Center 허브 또는 VPC 네트워크 피어링을 통해 배타적인 방식으로 서로 연결할 수 있습니다.
  • 동일한 Network Connectivity Center 허브에 연결된 2개의 VPC 스포크 사이에는 VPC 네트워크 피어링을 사용할 수 없습니다. 단, 다음 사항을 고려하세요.
    • 프로듀서 VPC 스포크에는 동일한 허브의 VPC 스포크에 대한 피어링 연결이 필요합니다. 프로듀서 VPC 스포크와 피어링된 VPC 스포크 간에 Network Connectivity Center를 통한 연결이 설정되지 않습니다.
    • Network Connectivity Center의 일부가 아닌 별도의 VPC를 사용하여 VPC 네트워크 피어링을 통해 피어링된 Network Connectivity Center 연결 VPC 스포크를 사용할 수 있습니다.
  • 어떠한 조합에서도 Network Connectivity Center 및 VPC 네트워크 피어링을 사용하여 함께 연결된 VPC는 전환되지 않습니다.
  • VPC 스포크 간에 IPv4 정적 경로 교환은 지원되지 않습니다.
  • 다른 VPC 스포크의 내부 패스 스루 네트워크 부하 분산기 가상 IP 주소를 가리키는 경로는 지원되지 않습니다.
  • 겹치는 서브넷을 제외 내보내기 필터로 마스킹해야 합니다.
  • VPC 스포크 생성 후에는 export range filters를 업데이트할 수 없습니다.
  • 허브와 다른 프로젝트에 있는 스포크의 경우 새 VPC 서비스 제어 경계가 추가되면 경계를 위반하는 새 스포크를 추가할 수 없지만 기존 스포크는 계속 작동합니다.
  • 스타 토폴로지 연결은 하이브리드 스포크 또는 동적 경로 교환을 지원하지 않습니다.

VPC 스포크 삭제 후 대기 기간 요구사항

다른 허브에 연결된 동일한 VPC 네트워크의 새 스포크의 경우 최소 10분의 대기 기간이 지나야 합니다. 적절한 대기 기간이 허용되지 않으면 새 구성이 적용되지 않을 수 있습니다. VPC 네트워크가 동일한 허브에 스포크로 추가되는 경우에는 이 대기 기간이 필요하지 않습니다.

할당량 및 한도

자세한 할당량 정보는 할당량 및 한도를 참조하세요.

결제

스포크 시간

스포크 시간에 대한 요금은 스포크 리소스가 있는 프로젝트에 청구되며 표준 스포크 시간 가격 책정을 따릅니다. 스포크 시간에 대한 요금은 스포크가 ACTIVE 상태인 경우에만 청구됩니다.

아웃바운드 트래픽

아웃바운드 트래픽은 트래픽이 발생하는 스포크 리소스의 프로젝트에 청구됩니다. 트래픽이 프로젝트 경계를 넘는지 여부에 관계없이 가격은 동일합니다.

서비스수준계약

Network Connectivity Center 서비스수준계약에 대한 자세한 내용은 Network Connectivity Center 서비스수준계약(SLA)을 참조하세요.

가격 책정

가격 책정에 대한 자세한 내용은 Network Connectivity Center 가격 책정을 참조하세요.

다음 단계