이 문서는 워크로드를 위한 기본 클라우드 인프라를 만드는 데 유용합니다. 이 인프라의 애플리케이션 지원 방법 계획에도 활용될 수 있습니다. 이 계획에는 ID 관리, 조직, 프로젝트 구조, 네트워킹이 포함됩니다.
이 문서는 Google Cloud로 마이그레이션에 대해 여러 편으로 구성된 다음 시리즈 중 일부입니다.
- Google Cloud로 마이그레이션: 시작하기
- Google Cloud로 마이그레이션: 워크로드 평가 및 탐색
- Google Cloud로 마이그레이션: 기반 구축(이 문서)
- Google Cloud로 마이그레이션: 대규모 데이터 세트 전송
- Google Cloud로 마이그레이션: 워크로드 배포
- Google Cloud로 마이그레이션: 수동 배포에서 자동 컨테이너화된 배포로 마이그레이션
- Google Cloud로 마이그레이션: 환경 최적화
- Google Cloud로 마이그레이션: 마이그레이션 계획 검증을 위한 권장사항
- Google Cloud로 마이그레이션: 비용 최소화
다음 다이어그램은 마이그레이션 과정을 보여줍니다.
이 문서는 온프레미스 환경, 비공개 호스팅 환경, 다른 클라우드 제공업체에서 Google Cloud로 마이그레이션을 계획 중이거나, 마이그레이션 기회를 평가하고 그 결과를 살펴보고 싶은 경우에 유용합니다. 이 문서는 마이그레이션 사용 사례에 중점을 둔 기반을 구축하기 위해 사용 가능한 제품과 결정을 이해하는 데 도움이 됩니다.
사전 제작된 구현 가능한 옵션은 다음을 참조하세요.
기반 설계를 위한 추가 권장사항 안내는 다음을 참조하세요.
- 광범위하게 기반을 설계하기 위한 시작 영역 설계
- 시스템 설계에 관한 권장사항 가이드를 위한 아키텍처 프레임워크
Google Cloud로 마이그레이션을 계획할 때는 클라우드 아키텍처와 관련된 여러 주제와 개념들을 이해해야 합니다. 기초 계획이 미흡하면 업무 지연, 혼란, 다운타임이 발생할 수 있고, 클라우드 마이그레이션을 성공적으로 완료하지 못할 수 있습니다. 이 가이드는 Google Cloud 기초 개념과 결정 사항에 대한 개요를 제공합니다.
이 문서의 각 섹션에는 Google Cloud로 기초를 구축하기 전에 조직에서 확인해야 할 질문을 제시합니다. 이러한 질문은 일부일 뿐 모든 내용을 포함하지는 않습니다. 이것들은 조직에 필요한 것이 무엇인지 아키텍처 팀과 비즈니스 리더십 사이의 대화를 촉진하기 위해 제공됩니다. 인프라, 도구, 보안, 계정 관리 계획은 비즈니스마다 고유하며 신중한 고려가 필요합니다. 이 문서를 다 읽고 자신의 조직에 대한 질문에 답변할 수 있으면, Google Cloud로의 마이그레이션을 지원하는 클라우드 인프라 및 서비스에 대한 공식 계획을 시작할 준비가 완료된 것입니다.
엔터프라이즈 고려사항
조직에 대한 다음 질문들을 고려하세요.
- Google Cloud로 이동할 때 귀하와 귀하의 인프라 제공업체 사이에서 바뀔 수 있는 IT 책임은 무엇인가요?
- Google Cloud로 마이그레이션하는 동안 및 이후에 HIPAA 또는 GDPR과 같은 규제에 따른 규정 준수 니즈를 지원하거나 충족할 수 있는 방법은 무엇인가요?
- 데이터 보존 요구사항에 따라 데이터 저장 및 처리 위치를 제어할 수 있는 방법은 무엇인가요?
공유 책임 모델
귀하와 Google Cloud 사이의 공유 책임이 이전과 달라질 수 있으며, 그에 따라 비즈니스에 미치는 영향을 이해할 필요가 있습니다. 리소스 프로비저닝, 구성, 소비를 위해 이전에 구현된 프로세스가 달라질 수 있습니다.
귀하의 조직과 Google 사이의 계약 관계와 퍼블릭 클라우드 제공업체를 사용할 때의 영향에 대한 개요를 보려면 서비스 약관 및 Google 보안 모델을 검토하세요.
규정 준수, 보안, 개인정보 보호
많은 조직들이 산업 및 정부 표준, 규정 및 인증에 관한 규정 준수 요구사항을 갖고 있습니다. 많은 엔터프라이즈 워크로드에 규제 심사가 적용되며, 귀하 및 귀하의 클라우드 제공업체가 규정 준수 여부를 입증할 수 있어야 합니다. 귀하의 비즈니스에 HIPAA 또는 HITECH 규제가 적용될 경우, 귀하의 책임 사항과 규제 대상이 되는 Google Cloud 서비스가 무엇인지 파악해야 합니다. Google Cloud 인증 및 규정 준수 표준에 대한 자세한 내용은 규정 준수 리소스 센터를 참조하세요. 리전별 또는 부문별 규제에 대한 자세한 내용은 Google Cloud 및 개인정보 보호법(GDPR)을 참조하세요.
신뢰와 보안은 모든 조직에 중요합니다. Google Cloud는 여러 서비스에 대해 공유 보안 모델을 구현합니다.
Google Cloud 신뢰 원칙을 보면 귀하의 데이터 및 귀하의 고객 데이터 기밀성을 보호하기 위한 Google의 약정을 이해하는 데 도움이 됩니다. Google의 보안 및 개인정보 보호에 대한 설계 방식에 대해 자세히 알아보려면 Google 인프라 보안 설계 개요를 참조하세요.
데이터 보존 고려사항
지역도 규정 준수를 위한 중요한 고려사항일 수 있습니다. 데이터 보존 요구사항을 이해하고 데이터가 저장 및 처리되는 위치를 제어하기 위해 워크로드를 새로운 리전으로 배포할 수 있도록 정책을 구현해야 합니다. 사전 승인된 리전에만 워크로드가 배포될 수 있도록 리소스 위치 제약조건 사용 방법을 이해해야 합니다. 워크로드 배포 대상을 선택할 때는 여러 Google Cloud 서비스의 리전을 고려해야 합니다. 규제에 따른 규정 준수 요구사항과 규정 준수에 도움이 되는 거버넌스 전략 구현 방법을 이해해야 합니다.
리소스 계층 구조
조직에 대한 다음 질문들을 고려하세요.
- 기존 비즈니스 및 조직 구조가 Google Cloud에 어떻게 매핑되나요?
- 리소스 계층 구조 변동이 얼마나 자주 발생할 것으로 예상되나요?
- 프로젝트 할당량이 클라우드에서 리소스를 만드는 능력에 어떤 영향을 주나요?
- 기존 클라우드 배포를 마이그레이션된 워크로드에 어떻게 사용할 수 있나요?
- 여러 Google Cloud 프로젝트에서 동시에 작업하는 여러 팀을 관리하기 위한 권장사항은 무엇인가요?
Google Cloud 리소스 계층 구조를 설계할 때는 귀하의 현재 비즈니스 프로세스, 커뮤니케이션 라인, 보고 구조가 반영됩니다. 리소스 계층 구조는 클라우드 환경에 필요한 구조를 제공하고, 리소스 소비에 따른 비용 청구 방법을 결정하고, 역할 및 권한을 부여하기 위한 보안 모델을 설정합니다. 이러한 측면들이 오늘날 귀하의 비즈니스에 어떻게 구현되는지 이해하고 이러한 프로세스를 Google Cloud로 마이그레이션하는 방법을 계획해야 합니다.
Google Cloud 리소스 이해
리소스는 모든 Google Cloud 서비스를 구성하는 기초 구성요소입니다. 조직 리소스는 Google Cloud 리소스 계층 구조의 맨 위에 있습니다. 조직에 속하는 모든 리소스는 조직 노드 아래에 그룹화됩니다. 이 구조는 조직에 속하는 모든 리소스에 대한 중앙 집중식 가시성 및 제어를 제공합니다.
조직은 하나 이상의 폴더를 포함할 수 있으며, 각 폴더는 하나 이상의 프로젝트를 포함할 수 있습니다. 폴더를 사용하면 관련된 프로젝트를 그룹으로 묶을 수 있습니다.
Google Cloud 프로젝트에는 Compute Engine 가상 머신(VM), Pub/Sub 주제, Cloud Storage 버킷, Cloud VPN 엔드포인트와 같은 서비스 리소스와 기타 Google Cloud 서비스가 포함됩니다. Google Cloud Console, Cloud Shell, Cloud API를 사용하여 리소스를 만들 수 있습니다. 환경이 자주 변경될 것으로 예상되면 리소스 관리를 효율적으로 수행할 수 있도록 코드형 인프라(IaC) 접근 방식 채택을 고려하세요.
Google Cloud 프로젝트 관리
Google Cloud 리소스 계층 구조의 계획 및 관리에 대한 자세한 내용은 Google Cloud 시작 영역의 리소스 계층 구조 결정을 참조하세요. Google Cloud로 이미 작업을 진행 중이고 독립 프로젝트를 테스트 또는 개념 증명용으로 만든 경우, 기존 Google Cloud 프로젝트를 조직에 마이그레이션할 수 있습니다.
Identity and Access Management
조직에 대한 다음 질문들을 고려하세요.
- Google Cloud 리소스에 대해 액세스를 제어, 관리, 감사할 사람은 누구인가요?
- Google Cloud로 이동할 때 기존 보안 및 액세스 정책은 어떻게 바뀌나요?
- 사용자 및 앱이 Google Cloud 서비스와 상호작용하도록 안전하게 설정할 수 있는 방법은 무엇인가요?
Identity and Access Management(IAM)를 사용하여 Google Cloud 리소스에 세분화된 액세스 권한을 부여할 수 있습니다. Cloud Identity는 ID 마이그레이션 및 관리를 도와주는 개별적이지만 관련이 있는 서비스입니다. 대략적으로 Google Cloud 리소스에 대한 액세스 관리 방법을 이해하는 것으로, IAM을 프로비저닝, 구성, 유지 관리하는 방법의 기초를 형성합니다.
ID 이해
Google Cloud는 인증 및 액세스 관리를 위해 ID를 사용합니다. 모든 Google Cloud 리소스에 액세스하기 위해서는 조직 구성원에게 Google Cloud가 이해할 수 있는 ID가 있어야 합니다. Cloud Identity는 Google Cloud 리소스에 액세스할 수 있는 사용자 및 그룹을 중앙 집중식으로 관리할 수 있게 해주는 Identity as a Service(IDaaS) 플랫폼입니다. Cloud Identity에서 사용자를 설정하면 수천 개의 서드파티 Software as a Service(SaaS) 애플리케이션에 싱글 사인온(SSO)을 설정할 수 있습니다. Cloud Identity 설정 방법은 현재 ID 관리 방법에 따라 달라집니다.
Google Cloud의 ID 프로비저닝 옵션에 대한 자세한 내용은 Google Cloud에 대한 ID 온보딩 방법 결정을 참조하세요.
액세스 관리 이해
액세스 관리 모델은 다음 네 가지 핵심 개념으로 구성됩니다.
- 주 구성원: 리소스에 액세스할 수 있는 Google 계정(최종 사용자의 경우), 서비스 계정(Google Cloud 제품의 경우), Google 그룹 또는 Google Workspace 또는 Cloud ID 계정일 수 있습니다. 주 구성원은 자신에게 허용되지 않은 어떠한 작업도 수행할 수 없습니다.
- 역할: 권한 모음입니다.
- 권한: 리소스에서 허용되는 작업을 결정합니다. 주 구성원에게 역할을 부여하면 역할에 포함된 모든 권한을 부여하게 됩니다.
- IAM 허용 정책: 주 구성원 집합을 역할에 바인딩합니다. 리소스에 액세스할 수 있는 주 구성원을 정의할 때, 정책을 만들고 이를 리소스에 연결합니다.
주 구성원, 역할, 권한에 대한 올바른 설정 및 효과적인 관리를 통해 Google Cloud에서 보안 기반의 백본이 형성됩니다. 액세스 관리는 내부 오용을 막아주고 인증되지 않은 리소스 액세스를 통한 외부 시도를 막아줍니다.
애플리케이션 액세스 이해
사용자 및 그룹 외에도 서비스 계정으로 알려진 또 다른 종류의 ID가 있습니다. 서비스 계정은 프로그램 및 서비스가 Google Cloud 리소스에 대해 인증을 수행하고 액세스 권한을 얻기 위해 사용할 수 있는 ID입니다.
사용자 관리 서비스 계정에는 IAM을 사용하여 명시적으로 만들고 관리하는 서비스 계정과 모든 Google Cloud 프로젝트에 기본 제공되는 Compute Engine 기본 서비스 계정이 포함됩니다. 서비스 에이전트는 자동으로 생성되며 사용자 대신 내부 Google 프로세스를 실행합니다.
서비스 계정을 사용할 때는 애플리케이션 기본 사용자 인증 정보를 이해하고 리소스를 불필요한 위험에 노출시키지 않도록 권장되는 서비스 계정 권장사항을 따르는 것이 중요합니다. 가장 일반적인 위험 요소에는 권한 에스컬레이션 또는 핵심 애플리케이션에 사용되는 서비스 계정이 실수로 삭제되는 경우가 있습니다.
권장사항 따르기
ID 및 액세스를 효과적으로 관리하기 위한 권장사항에 대한 자세한 내용은 ID 및 액세스 관리를 참조하세요.
청구
Google Cloud 리소스 소비에 따른 비용 지불 방식은 귀하의 비즈니스에 중요한 고려사항이며, Google Cloud와의 관계에 있어서도 중요한 부분을 차지합니다. 남은 클라우드 환경에서도 Cloud Billing을 사용하여 Google Cloud Console에서 결제를 관리할 수 있습니다.
리소스 계층 구조와 결제 개념은 서로 밀접하게 연결되어 있으므로, 귀하는 물론 귀하의 비즈니스 이해관계자까지 이러한 개념을 명확하게 이해할 수 있어야 합니다.
비용을 추적하고 제어하는 데 도움이 되는 권장사항, 도구, 기술에 대한 자세한 내용은 비용 모니터링 및 관리를 참조하세요.
연결 및 네트워킹
Google Cloud에서 네트워크 설계에 대한 자세한 내용은 다음을 참조하세요.
원본 환경이 다른 클라우드 서비스 제공업체에 있는 경우 Google Cloud 환경과 연결해야 할 수 있습니다. 자세한 내용은 다른 클라우드 서비스 제공업체를 Google Cloud와 연결하기 위한 패턴을 참조하세요.
프로덕션 데이터와 워크로드를 Google Cloud로 마이그레이션할 때는 연결 솔루션의 가용성이 마이그레이션 성공에 미치는 영향을 고려하는 것이 좋습니다. 예를 들어 Cloud Interconnect는 특정 토폴로지에 따라 프로비저닝하는 경우 프로덕션 수준의 SLA를 지원합니다.
원본 환경에서 Google Cloud 환경으로 데이터를 마이그레이션할 때 프로토콜 오버헤드를 고려하도록 최대 전송 단위(MTU)를 조정해야 합니다. 이렇게 하면 데이터를 효율적이고 정확하게 전송할 수 있습니다. 이러한 조정은 데이터 단편화 및 네트워크 성능 문제로 인한 지연을 방지하는 데도 도움이 됩니다. 예를 들어 Cloud VPN을 사용해서 원본 환경을 Google Cloud 환경에 연결하는 경우 각 전송 단위의 VPN 프로토콜 오버헤드를 수용하도록 MTU를 더 낮은 값으로 구성해야 할 수 있습니다.
Google Cloud로 마이그레이션하는 동안 연결 문제를 방지하려면 다음 사항을 따르는 것이 좋습니다.
- DNS 레코드가 원본 환경과 Google Cloud 환경에서 해결되는지 확인합니다.
- 원본 환경과 Google Cloud 환경 간의 네트워크 경로가 환경 전체에 올바르게 전파되는지 확인합니다.
VPC에 자체 공개 IPv4 주소를 프로비저닝하고 사용해야 하는 경우 자체 IP 주소 사용을 참조하세요.
DNS 옵션 이해
Cloud DNS는 공개 DNS(도메인 이름 시스템) 서버로 사용될 수 있습니다. Cloud DNS 구현 방법에 대한 자세한 내용은 Cloud DNS 권장사항을 참조하세요.
Cloud DNS가 소스 또는 대상에 따라 쿼리에 응답하는 방법을 맞춤설정해야 하는 경우 DNS 정책 개요를 참조하세요. 예를 들어 기존 DNS 서버로 쿼리를 전달하도록 Cloud DNS를 구성하거나 쿼리 이름을 기반으로 비공개 DNS 응답을 재정의할 수 있습니다.
내부 DNS라고 부르는 비슷하지만 별개의 서비스가 VPC에 포함되어 있습니다. 고유 DNS 서버를 수동으로 마이그레이션하고 구성하는 대신 비공개 네트워크에 내부 DNS 서비스를 사용할 수 있습니다. 자세한 내용은 내부 DNS 개요를 참조하세요.
데이터 전송 이해
온프레미스 네트워킹은 관리 및 가격 책정 방식이 근본적으로 클라우드 네트워킹과 다릅니다. 자체 데이터 센터 또는 코로케이션 시설을 관리하고, 라우터, 스위치, 케이블을 설치하기 위해서는 초기 고정 자본 지출이 필요합니다. 클라우드에서는 하드웨어 설치에 따른 고정 비용과 이후 지속되는 상시 유지보수 비용 대신 데이터 전송에 대한 비용이 청구됩니다. 데이터 전송 비용이 무엇인지 확인하여 클라우드에서 데이터 전송 비용을 정확하게 계획하고 관리하세요.
트래픽 관리를 계획할 때 비용이 청구되는 방식은 세 가지입니다.
- 인그레스 트래픽: 외부 위치로부터 귀하의 Google Cloud 환경에 들어오는 네트워크 트래픽입니다. 이러한 위치에는 공개 인터넷, 온프레미스 위치, 기타 클라우드 환경이 포함될 수 있습니다. Google Cloud 서버 대부분에서는 인그레스가 무료입니다. Cloud Load Balancing, Cloud CDN, Google Cloud Armor와 같이 인터넷에 연결된 트래픽 관리를 지원하는 일부 서비스는 처리된 인그레스 트래픽 양을 기준으로 비용을 청구합니다.
- 이그레스 트래픽: 어떤 방식으로든 귀하의 Google Cloud 환경 외부로 나가는 네트워크 트래픽입니다. 이그레스 비용은 Compute Engine, Cloud Storage, Cloud SQL, Cloud Interconnect와 같은 여러 Google Cloud 서비스에 적용됩니다.
- 리전별 및 영역별 트래픽: Google Cloud에서 리전 또는 영역 경계를 넘어서 이동하는 네트워크 트래픽도 대역폭 비용 청구 대상이 될 수 있습니다. 이러한 청구 비용에 따라 재해 복구 및 고가용성을 위한 앱 설계 방식이 달라질 수 있습니다. 이그레스 비용 청구와 비슷하게 리전간 및 영역 간 트래픽 비용 청구도 여러 Google Cloud 서비스에 적용되며, 고가용성 및 재해 복구를 계획할 때 중요하게 고려되어야 합니다. 예를 들어 다른 영역에 있는 데이터베이스 복제본으로 전송되는 트래픽에는 영역간 트래픽 비용 청구가 적용됩니다.
네트워크 설정 자동화 및 제어
Google Cloud에서 물리적 네트워크 계층은 가상화되어 있습니다. 네트워크는 소프트웨어 정의 네트워킹(SDN)을 사용하여 배포되고 구성됩니다. 네트워크가 일관적이고 반복 가능한 방식으로 구성되었는지 확인하기 위해서는 환경을 자동으로 배포하고 분할하는 방법을 알아야 합니다. Terraform과 같은 IaC 도구를 사용할 수 있습니다.
보안
Google Cloud에서 시스템 보안을 관리 및 유지 관리하는 방법과 이를 위해 사용되는 도구는 온프레미스 인프라를 관리할 때와 다릅니다. 이를 위한 접근 방식은 새로운 위협, 새로운 제품, 향상된 보안 모델 등에 맞게 시간이 지날수록 바뀌고 발전할 것입니다.
귀하가 Google과 함께 공유하는 책임은 귀하의 현재 제공업체의 책임과 다를 수 있으며, 워크로드에 대한 지속적인 보안 및 규정 준수를 보장하기 위해서는 이러한 차이를 이해해야 합니다. 강력하고, 확인 가능한 보안 및 규제에 따른 규정 준수는 종종 복잡하게 얽혀 있는 경우가 많습니다. 이를 위해서는 먼저 강력한 관리 및 감독 관행, Google Cloud 권장사항에 대한 일관성 있는 구현, 적극적인 위협 감지 및 모니터링으로 시작해야 합니다.
Google Cloud에서 안전한 환경을 설계하는 방법에 대한 자세한 내용은 Google Cloud 시작 영역의 보안 결정을 참조하세요.
모니터링, 알림, 로깅
모니터링, 알림, 로깅 설정에 대한 자세한 내용은 다음을 참조하세요.
거버넌스
조직에 대한 다음 질문들을 고려하세요.
- 사용자가 해당 규정 준수 요구를 지원 및 충족하고 비즈니스 정책에 따라 조정하는지 확인하는 방법은 무엇인가요?
- Google Cloud 사용자 및 리소스 유지 관리와 구성을 위해 사용 가능한 전략은 무엇인가요?
Google Cloud에서 애셋의 안정성, 보안, 유지 관리 특성을 보장하기 위해서는 효율적인 거버넌스가 반드시 필요합니다. 어떤 시스템에서든 엔트로피는 시간에 따라 자연스럽게 증가하고, 확인되지 않은 상태로 남기 때문에, 클라우드가 확산되고 기타 유지 관리 과제가 발생할 수 있습니다. 효과적인 거버넌스가 없다면 이러한 과제가 누적되어 비즈니스 목표를 달성하고 위험을 줄일 수 있는 능력을 저해할 수 있습니다. 클라우드 마이그레이션 전략에서는 이름 지정 규칙, 라벨 사용 전략, 액세스 제어, 비용 제어, 서비스 수준 관리를 적절하게 계획하고 표준을 적용하는 것이 중요합니다. 일반적으로 말해서 거버넌스 전략 개발은 이해관계자와 비즈니스 리더십 사이의 이해를 조정하는 과정입니다.
지속적인 규정 준수 지원
Google Cloud 리소스에 대한 조직 전반의 규정 준수를 돕기 위해서는 리소스에 대해 일관적인 이름 지정 및 그룹화 전략을 설정하는 것이 좋습니다. Google Cloud는 리소스에 대한 정책 설명 및 강화를 위한 여러 방법들을 제공합니다.
- 보안 표시를 사용하면 리소스를 분류하여 Security Command Center로부터의 보안 정보를 제공하고 리소스 그룹에 따라 정책을 적용할 수 있습니다.
- 라벨을 사용하면 Cloud Billing에서 리소스 소비를 추적하고 Cloud Logging에서 유용한 정보를 추가로 제공할 수 있습니다.
- 방화벽 태그를 사용하면 전역 네트워크 방화벽 정책 및 리전 네트워크 방화벽 정책에서 소스와 대상을 정의할 수 있습니다.
자세한 내용은 코드형 위험 및 규정 준수를 참조하세요.
다음 단계
- Google Cloud에서 안전한 기반을 구현하는 방법 알아보기
- 클라우드 마이그레이션을 계속하고 데이터를 Google Cloud로 전송
- 마이그레이션에 대한 도움을 찾는 방법 알아보기
- Google Cloud에 대한 참조 아키텍처, 다이어그램, 권장사항 살펴보기 Cloud 아키텍처 센터를 살펴보세요.