Google Cloud로 마이그레이션: 기반 구축하기

이 문서는 워크로드를 위한 기본 클라우드 인프라를 만드는 데 유용합니다. 이 인프라의 애플리케이션 지원 방법 계획에도 활용될 수 있습니다. 이 계획에는 ID 관리, 조직, 프로젝트 구조, 네트워킹이 포함됩니다.

이 문서는 시리즈의 일부입니다.

다음 다이어그램은 마이그레이션 과정을 보여줍니다.

4가지 단계로 구성된 마이그레이션 경로

이 문서는 온프레미스 환경, 비공개 호스팅 환경, 다른 클라우드 제공업체에서 Google Cloud로 마이그레이션을 계획 중이거나, 마이그레이션 기회를 평가하고 그 결과를 살펴보고 싶은 경우에 유용합니다. 엔터프라이즈 온보딩 체크리스트와 이 문서는 Google Cloud에서 기반을 구축하기 위해 사용 가능한 제품, 서비스, 옵션을 이해하는 데 유용합니다.

Google Cloud로 마이그레이션을 계획할 때는 클라우드 아키텍처와 관련된 여러 주제와 개념들을 이해해야 합니다. 기초 계획이 미흡하면 업무 지연, 혼란, 다운타임이 발생할 수 있고, 클라우드 마이그레이션을 성공적으로 완료하지 못할 수 있습니다. 이 가이드는 Google Cloud 기초 개념과 결정 사항에 대한 개요를 제공합니다.

이 문서의 각 섹션에는 Google Cloud로 기초를 구축하기 전에 조직에서 확인해야 할 질문을 제시합니다. 이러한 질문은 일부일 뿐 모든 내용을 포함하지는 않습니다. 이것들은 조직에 필요한 것이 무엇인지 아키텍처 팀과 비즈니스 리더십 사이의 대화를 촉진하기 위해 제공됩니다. 인프라, 도구, 보안, 계정 관리 계획은 비즈니스마다 고유하며 신중한 고려가 필요합니다. 이 문서를 다 읽고 자신의 조직에 대한 질문에 답변할 수 있으면, Google Cloud로의 마이그레이션을 지원하는 클라우드 인프라 및 서비스에 대한 공식 계획을 시작할 준비가 완료된 것입니다.

엔터프라이즈 고려사항

조직에 대한 다음 질문들을 고려하세요.

  • Google Cloud로 이동할 때 귀하와 귀하의 인프라 제공업체 사이에서 바뀔 수 있는 IT 책임은 무엇인가요?
  • Google Cloud로 마이그레이션하는 동안 및 이후에 HIPAA 또는 GDPR과 같은 규제에 따른 규정 준수 니즈를 지원하거나 충족할 수 있는 방법은 무엇인가요?
  • 데이터 보존 요구사항에 따라 데이터 저장 및 처리 위치를 제어할 수 있는 방법은 무엇인가요?

공유 책임 모델

귀하와 Google Cloud 사이의 공유 책임이 이전과 달라질 수 있으며, 그에 따라 비즈니스에 미치는 영향을 이해할 필요가 있습니다. 리소스 프로비저닝, 구성, 소비를 위해 이전에 구현된 프로세스가 달라질 수 있습니다.

귀하의 조직과 Google 사이의 계약 관계와 퍼블릭 클라우드 제공업체를 사용할 때의 영향에 대한 개요를 보려면 서비스 약관Google 보안 모델을 검토하세요.

규정 준수, 보안, 개인정보 보호

많은 조직들이 산업 및 정부 표준, 규정 및 인증에 관한 규정 준수 요구사항을 갖고 있습니다. 많은 엔터프라이즈 워크로드에 규제 심사가 적용되며, 귀하 및 귀하의 클라우드 제공업체가 규정 준수 여부를 입증할 수 있어야 합니다. 귀하의 비즈니스에 HIPAA 또는 HITECH 규제가 적용될 경우, 귀하의 책임 사항과 규제 대상이 되는 Google Cloud 서비스가 무엇인지 파악해야 합니다. Google Cloud 인증 및 규정 준수 표준에 대한 자세한 내용은 규정 준수 리소스 센터를 참조하세요. 리전별 또는 부문별 규제에 대한 자세한 내용은 Google Cloud 및 개인정보 보호법(GDPR)을 참조하세요.

신뢰와 보안은 모든 조직에 중요합니다. Google Cloud는 Google Kubernetes Engine을 위한 공유 보안 모델PCI DSS를 위한 고객 책임 규정과 같이 여러 서비스에 대해 보안 공유 모델을 구현합니다.]

Google Cloud 신뢰 원칙을 보면 귀하의 데이터 및 귀하의 고객 데이터 기밀성을 보호하기 위한 Google의 약정을 이해하는 데 도움이 됩니다. Google의 보안 및 개인정보 보호에 대한 설계 방식에 대해 자세히 알아보려면 Google 인프라 보안 설계 개요를 참조하세요.

데이터 보존 고려사항

지역도 규정 준수를 위한 중요한 고려사항일 수 있습니다. 데이터 보존 요구사항을 이해하고 데이터가 저장 및 처리되는 위치를 제어하기 위해 워크로드를 새로운 리전으로 배포할 수 있도록 정책을 구현해야 합니다. 사전 승인된 리전에만 워크로드가 배포될 수 있도록 리소스 위치 제약조건 사용 방법을 이해해야 합니다. 워크로드 배포 대상을 선택할 때는 여러 Google Cloud 서비스의 리전을 고려해야 합니다. 규제에 따른 규정 준수 요구사항과 규정 준수에 도움이 되는 거버넌스 전략 구현 방법을 이해해야 합니다.

리소스 계층 구조

조직에 대한 다음 질문들을 고려하세요.

  • 기존 비즈니스 및 조직 구조가 Google Cloud에 어떻게 매핑되나요?
  • 리소스 계층 구조 변동이 얼마나 자주 발생할 것으로 예상되나요?
  • 프로젝트 할당량이 클라우드에서 리소스를 만드는 능력에 어떤 영향을 주나요?
  • 기존 클라우드 배포를 마이그레이션된 워크로드에 어떻게 사용할 수 있나요?
  • 여러 Google Cloud 프로젝트에서 동시에 작업하는 여러 팀을 관리하기 위한 권장사항은 무엇인가요?

Google Cloud 리소스 계층 구조를 설계할 때는 귀하의 현재 비즈니스 프로세스, 커뮤니케이션 라인, 보고 구조가 반영됩니다. 리소스 계층 구조는 클라우드 환경에 필요한 구조를 제공하고, 리소스 소비에 따른 비용 청구 방법을 결정하고, 역할 및 권한을 부여하기 위한 보안 모델을 설정합니다. 이러한 측면들이 오늘날 귀하의 비즈니스에 어떻게 구현되는지 이해하고 이러한 프로세스를 Google Cloud로 마이그레이션하는 방법을 계획해야 합니다.

Google Cloud 리소스 이해

리소스는 모든 Google Cloud 서비스를 구성하는 기초 구성요소입니다. 조직 리소스는 Google Cloud 리소스 계층 구조의 맨 위에 있습니다. 조직에 속하는 모든 리소스는 조직 노드 아래에 그룹화됩니다. 이 구조는 조직에 속하는 모든 리소스에 대한 중앙 집중식 가시성 및 제어를 제공합니다.

조직은 하나 이상의 폴더를 포함할 수 있으며, 각 폴더는 하나 이상의 프로젝트를 포함할 수 있습니다. 폴더를 사용하면 관련된 프로젝트를 그룹으로 묶을 수 있습니다.

클라우드 프로젝트에는 Compute Engine 가상 머신(VM), Pub/Sub 주제, Cloud Storage 버킷, Cloud VPN 엔드포인트와 같은 서비스 리소스와 기타 Google Cloud 서비스가 포함됩니다. Cloud Console, Cloud Shell, Cloud APIs를 사용하여 리소스를 만들 수 있습니다. 환경이 자주 변경될 것으로 예상되면 리소스 관리를 효율적으로 수행할 수 있도록 코드형 인프라(IaC) 접근 방식 채택을 고려하세요.

클라우드 프로젝트 관리

Google Cloud는 프로젝트별 기준에 따라 리소스 사용량에 할당량을 적용합니다. 이러한 할당량은 프로젝트에 사용할 수 있는 특정 Google Cloud 리소스 양에 대한 제한을 설정합니다. 할당량 관리는 모든 Google Cloud 마이그레이션에서 매우 중요하므로, 마이그레이션 전략에 자세한 할당량 계획을 포함해야 합니다.

또한 할당량은 리소스 계층 구조에서 클라우드 프로젝트가 지닌 한 가지 특징입니다. Google Cloud 기초를 계획할 때 프로젝트가 많을수록 할당량 관리 효율이 향상됩니다. 예를 들어 표준 VPC 또는 공유 VPC를 선택한 경우 할당량에 미치는 영향을 이해하기 위해서는 Virtual Private Cloud(VPC) 리소스 할당량 문서를 참조하세요.

Google Cloud 리소스 계층 구조 계획 및 기타 기본 주제에 대한 도움을 얻으려면 엔터프라이즈 조직 권장사항을 참조하세요. Google Cloud로 이미 작업을 진행 중이고 독립 프로젝트를 테스트 또는 개념 증명용으로 만든 경우, 기존 클라우드 프로젝트를 조직에 마이그레이션할 수 있습니다.

Cloud ID 및 액세스 관리

조직에 대한 다음 질문들을 고려하세요.

  • Google Cloud 리소스에 대해 액세스를 제어, 관리, 감사할 사람은 누구인가요?
  • Google Cloud로 이동할 때 기존 보안 및 액세스 정책은 어떻게 바뀌나요?
  • 사용자 및 앱이 Google Cloud 서비스와 상호작용하도록 안전하게 설정할 수 있는 방법은 무엇인가요?

Cloud Identity and Access Management(Cloud IAM)는 Google Cloud 리소스에 대해 세분화된 액세스를 제공합니다. Cloud Identity는 ID 마이그레이션 및 관리를 도와주는 개별적이지만 관련이 있는 서비스입니다. 상위 수준에서 Google Cloud 리소스에 대한 액세스 관리 방법을 이해함으로써 Cloud IAM 프로비저닝, 구성, 유지 관리 방법의 기본을 정할 수 있습니다.

ID 이해

Google Cloud는 인증 및 액세스 관리를 위해 ID를 사용합니다. 모든 Google Cloud 리소스에 액세스하기 위해서는 조직 구성원에게 Google Cloud가 이해할 수 있는 ID가 있어야 합니다. Cloud Identity는 Google Cloud 리소스에 액세스할 수 있는 사용자 및 그룹을 중앙 집중식으로 관리할 수 있게 해주는 Identity as a Service(IDaaS) 플랫폼입니다. Cloud Identity에서 사용자를 설정하면 수천 개의 타사 Software as a Service(SaaS) 애플리케이션에 싱글 사인온(SSO)을 설정할 수 있습니다. Cloud Identity 설정 방법은 현재 ID 관리 방법에 따라 달라집니다. Google Cloud에서 ID를 설정하는 세 가지 일반적인 방법은 다음과 같습니다.

  • Google Cloud에서 직접 ID를 관리합니다.
  • 기존 G Suite 계정을 사용합니다.
  • 기존 ID 공급업체(IdP)를 사용합니다.

Google Cloud에서 직접 ID를 관리하려는 경우 기존 IdP 없이 Cloud Identity를 사용할 수 있습니다. G Suite 고객의 경우 G Suite 앱에 사용하는 같은 ID를 사용하여 하이브리드 환경에서 기업 사용자를 인증할 수 있습니다. 조직 내에 이미 IdP가 있으면 Google Cloud에서 기존 IdP를 사용할 수 있습니다.

ID 마이그레이션

현재 환경에 이미 IdP가 있으면 ID 제휴를 통해 SSO를 지원하면서도 현재 IdP에서 계속 ID를 관리할 수 있습니다. 기업의 IT 부서에서는 흔히 기존 디렉터리 서비스를 사용하여 사용자 계정을 관리하고 애플리케이션 및 컴퓨팅 리소스에 대한 액세스를 제어합니다.

제휴는 현재 IdP에서 Google Cloud로 ID를 동기화하고 인증을 기존 IdP로 위임하는 방식으로 작동합니다. 이러한 유형의 구성에서는 사용자가 한 번만 로그인해도 사용자 시스템에 이미 인증된 상태이므로, ID 제휴를 통해 Google Cloud 리소스에도 액세스할 수 있습니다.

Cloud 디렉터리 동기화를 사용하면 Lightweight Directory Access Protocol(LDAP) 서버에서 Google Cloud로 ID 및 그룹을 동기화할 수 있습니다. 클라우드 디렉터리 동기화는 보안 연결을 통해 Identity Platform과 통신하며, 일반적으로 기존 컴퓨팅 환경에서 실행됩니다.

액세스 관리 이해

액세스 관리 모델은 다음 네 가지 핵심 개념으로 구성됩니다.

  • 구성원: 리소스에 액세스할 수 있는 Google 사용자, 서비스 계정(Google Cloud 제품의 경우), Google 그룹, G Suite 또는 Cloud Identity 계정일 수 있습니다. 구성원은 자신에게 허용되지 않은 어떠한 작업도 수행할 수 없습니다.
  • 역할: 권한 모음입니다.
  • 권한: 리소스에서 허용되는 작업을 결정합니다. 구성원에게 역할을 부여하면 역할에 포함된 모든 권한을 부여하게 됩니다.
  • Cloud IAM 정책: 구성원 집합을 역할에 바인딩합니다. 리소스에 액세스할 수 있는 구성원을 정의할 때, 정책을 만들고 이를 리소스에 연결합니다.

구성원, 역할, 권한에 대한 올바른 설정 및 효과적인 관리를 통해 Google Cloud에서 보안 기반의 백본이 형성됩니다. 액세스 관리는 내부 오용을 막아주고 인증되지 않은 리소스 액세스를 통한 외부 시도를 막아줍니다.

애플리케이션 액세스 이해

사용자 및 그룹 외에도 서비스 계정으로 알려진 또 다른 종류의 ID가 있습니다. 서비스 계정은 프로그램 및 서비스가 Google Cloud 리소스에 대해 인증을 수행하고 액세스 권한을 얻기 위해 사용할 수 있는 ID입니다.

서비스 계정은 사용자 관리형 또는 Google 관리형입니다. 사용자 관리 서비스 계정에는 Cloud IAM을사용해서 사용자가 명시적으로 만들고 관리하는 서비스 계정과 모든 클라우드 프로젝트에 구축되는 Compute Engine 기본 서비스 계정이 포함됩니다. Google 관리 서비스 계정은 자동으로 생성되며 사용자 대신 내부 Google 프로세스를 실행합니다.

서비스 계정을 사용할 때는 애플리케이션 기본 사용자 인증 정보를 이해하고 리소스를 불필요한 위험에 노출시키지 않도록 권장되는 서비스 계정 권장사항을 따르는 것이 중요합니다. 가장 일반적인 위험 요소에는 권한 에스컬레이션 또는 핵심 애플리케이션에 사용되는 서비스 계정이 실수로 삭제되는 경우가 있습니다.

권장사항 따르기

Cloud IAM을 올바르게 구성하면 사용자가 수행한 작업을 로깅 및 감사하는 데 도움이 될 수 있습니다. 역할 및 권한을 이해하고 최소 권한 원칙에 따라 역할을 부여해야 합니다. Cloud IAM 역할 권장사항을 주기적으로 확인하여 IAM 사용자에게 과도하게 부여된 권한이 있는지 확인합니다.

Cloud IAM 정책을 설계할 때는 일반적인 문제가 발생하지 않도록 방지해야 합니다. 하위 리소스에 설정된 정책은 상위 리소스에 부여된 액세스를 제한할 수 없습니다. 모든 리소스에 부여된 정책을 확인하고 계층적 상속이 무엇인지 이해해야 합니다. 기본 역할, 사전 정의된 역할, 커스텀 역할을 언제 사용하는지, 조직 정책 제약조건이 무엇인지, 권한 테스트는 어떻게 수행하는지 알아야 합니다. Cloud IAM 권장사항도 일반적인 구현 패턴을 이해하는 데 도움이 될 수 있습니다.

애플리케이션의 각 구성요소를 별도의 신뢰 경계로 취급합니다. 다양한 권한이 필요한 여러 가지 서비스가 있다면 서비스마다 별도의 서비스 계정을 생성한 다음 각 서비스 계정에 필요한 권한만 부여합니다. 사용자 계정에 다단계 인증을 적용하고, 휴대기기의 액세스가 안전한지 확인해야 합니다. Google은 최소 권한 원칙과 제로 트러스트 보안 개념을 BeyondCorp라고 부르는 새로운 엔터프라이즈 보안 모델에 코드화했습니다.

결제

조직에 대한 다음 질문들을 고려하세요.

  • 기존 회계 추적 방법이 Cloud Billing에 따라 어떻게 바뀌거나 조정되나요?
  • 청구서가 어디로 전송되고 결제 옵션은 무엇인가요?
  • 사용한 만큼만 지불 결제 모델이 자본 할당 및 IT 서비스 조달 방식에 어떤 영향을 주나요?
  • 애플리케이션 소유자가 기존 비용 센터와 달리 클라우드 지출을 어떻게 분석하나요?

결제 요구사항 평가

Google Cloud 리소스 소비에 따른 비용 지불 방식은 귀하의 비즈니스에 중요한 고려사항이며, Google Cloud와의 관계에 있어서도 중요한 부분을 차지합니다. 남은 클라우드 환경에서도 Cloud Billing을 사용하여 Cloud Console에서 결제를 관리할 수 있습니다.

리소스 계층 구조결제 개념은 서로 밀접하게 연결되어 있으므로, 귀하는 물론 귀하의 비즈니스 이해관계자까지 이러한 개념을 명확하게 이해할 수 있어야 합니다. 요구사항을 충족할 수 있도록 Cloud Billing 계정을 설정하기 위해서는 현재 계정 및 보고 요구사항을 철저하게 평가하고 이해해야 합니다. 조직 내에 다른 Google Cloud 계정이 있는 경우 조직에 Cloud Billing 계정을 마이그레이션할 수 있습니다.

온프레미스 결제 문제에는 실제 하드웨어 및 시설의 유지보수, 전력, 냉방 문제가 포함될 수 있습니다. Cloud Billing에는 여러 계정 사용, 예산, 라벨, 보고 옵션 등 자체적으로 고유한 문제들이 포함됩니다.

Cloud Billing 액세스 관리

Cloud Billing 계정은 정의된 리소스 집합의 비용을 누가 지불할지 정의합니다. 이러한 계정은 결제 방법이 설정된 결제 프로필에 연결됩니다. Cloud Billing 계정을 만들 때는 조직의 Cloud Billing 관리자를 결정합니다. 또한 Cloud Billing 계정에 액세스할 수 있는 사람과 이 계정으로 수행할 수 있는 작업을 정의합니다. 자세한 내용은 Cloud Billing 액세스 제어를 참조하세요.

비용 관리와 예산 한도 적용을 돕기 위해 예산을 만들고 알림을 설정하여 리소스 사용량이 특정 기준에 도달했을 때 알림을 받는 방법을 확인하세요.

비용 관리 및 분석

리소스는 Google Cloud 프로젝트에 따라 그룹화되고 리소스 및 비용 지불자를 확인하기 위해 Cloud Billing 계정이 하나 이상의 프로젝트에 연결됩니다. 개별 팀 또는 비용 센터로 사용 비용을 청구하는 등 보다 세부적인 비용 분석을 위해 라벨을 사용할 수 있습니다. 라벨은 세부 분석을 위해 결제 데이터를 BigQuery로 내보낼 때 유용합니다. 복잡한 결제 관리를 돕기 위해 Orbitera와 같은 고급 도구를 사용할 수도 있습니다.

조직 내 클라우드 지출 비용에 대한 가시성을 높이기 위해 Cloud Billing 라벨을 사용하려는 경우, 클라우드 거버넌스 전략에 라벨 사용을 포함해야 합니다. 이러한 노력을 통해 Google Cloud에서 사용되는 모든 리소스에 적절한 라벨을 연결할 수 있습니다.

연결 및 네트워킹

조직에 대한 다음 질문들을 고려하세요.

  • 소프트웨어 정의 네트워킹으로 워크로드 간 연결 관리 방법이 어떻게 바뀌나요?
  • Google Cloud에서 네트워크 방화벽 규칙을 설정하는 방법은 무엇인가요?
  • 워크로드를 전역으로 배포하는 방법은 무엇인가요?
  • 기존 온프레미스 환경을 새로운 클라우드 환경과 연결하기 위해 사용 가능한 전략은 무엇인가요?

네트워킹 요구사항 평가

네트워크 아키텍처에 따라 Google Cloud 리소스의 분류 방법 및 리소스가 기존 온프레미스 환경, 공개 인터넷, 타사 서비스, 기타 Google 리소스와 통신하는 방법이 결정됩니다. 이 아키텍처를 위해서는 현재 네트워크 아키텍처, 규정 준수, 규제 요구사항, 확장성 및 재해 복구 고려사항, 성능 요구사항, Google Cloud 네트워킹 권장사항을 조합해서 생각해야 합니다. Google Cloud 네트워킹 개념이 현재 인프라와 연결되는 방식을 이해해야 합니다.

Google Cloud로 마이그레이션을 계획할 때는 워크로드가 마이그레이션되는 리전 및 영역을 결정해야 합니다. 이러한 결정이 비즈니스 목표 및 규제에 따른 규정 준수 요구사항과 어떻게 연결되는지 이해해야 합니다.

VPC 이해

Virtual Private Cloud(VPC)는 Google Cloud 내에서 귀하가 제어하는 비공개 네트워크 공간이며, 네트워크 아키텍처의 기본 구성요소입니다. VPC를 구성할 때는 중요한 보안 및 거버넌스 고려사항이 있습니다. 올바르게 구성된 VPC는 기초를 강화하고 마이그레이션을 가속화하는 데 도움이 될 수 있습니다.

VPC는 여러 영역 및 리전 간에 확장을 수행하고 워크로드 연결 및 배포 방식을 구성할 수 있는 유연성을 제공합니다. 이러한 멀티 리전별 기능은 조직의 재해복구 작업을 계획하고 제품 및 서비스의 전역 가용성을 계획할 때 매우 중요합니다.

전체 조직에 대해 단일 VPC를 실행하고 이를 여러 클라우드 프로젝트 간에 공유하거나, 여러 VPC를 설정할 수 있습니다. 또한 공유 VPC를 활용해서 여러 클라우드 프로젝트의 리소스를 공통 VPC 네트워크에 연결하거나 VPC 피어링을 사용하여 서로 다른 프로젝트 또는 조직에 여러 VPC를 연결할 수 있습니다.

Google Cloud에서의 방화벽 관리는 네트워킹 팀에서 기존에 수행하던 것과 다를 수 있습니다. 따라서 워크로드 보호를 돕고 클라우드 자산의 공격 노출 표면을 최소화하기 위해 기존 방화벽 구성이 VPC 방화벽 규칙으로 어떻게 전환되는지 이해할 필요가 있습니다.

리전 및 영역 이해

Google Cloud는 여러 다른 위치에서 인프라를 호스팅합니다. 따라서 귀하는 자신의 리소스를 배포할 위치를 선택할 수 있으며, Google의 전역 네트워크를 활용해서 워크로드를 확장시킬 수 있습니다.

리전은 영역들로 구성되는 독립적인 지리적 위치입니다. 영역은 리전 내에 있는 Google Cloud 리소스의 배포 위치입니다. 영역은 리전 내에 있는 단일 장애 도메인이라고 볼 수 있습니다. Google Cloud에 있는 리소스는 전역 리소스, 멀티 리전별 리소스, 리전별 리소스, 영역별 리소스로 분류될 수 있습니다. 예를 들어 VPC 및 여기에 연결된 경로 및 방화벽 규칙은 전역 리소스이므로, 특정 리전이나 영역과 연결되지 않습니다. 리소스 배포 방법을 선택할 때는 고려할 여러 요소가 있습니다. 결제, 네트워크 아키텍처, 성능, 재해 복구, 규제에 따른 규정 준수가 지역에 따라 어떻게 달라지는지 이해해야 합니다.

연결 옵션 이해

워크로드는 온프레미스 환경 및 공개 인터넷과 연결되어야 할 수 있습니다. 온프레미스 또는 멀티 클라우드 환경에서의 연결 관리를 위해 Google Cloud에서 제공되는 하이브리드 연결 옵션이 무엇인지 잘 살펴보시기 바랍니다. 각 연결 옵션마다 다른 속성이 포함되며, 귀하의 비즈니스 요구사항에 가장 적합한 제품을 찾아야 합니다. 각 접근 방식마다 보안, 성능, 규정 준수에 중요한 영향을 줄 수 있습니다.

VPC를 온프레미스 네트워크에 연결하기 위한 방법은 다음과 같습니다.

Cloud VPN을 사용하면 IPsec VPN 터널을 통해 인터넷으로 Google Cloud 네트워크에 안전하게 연결할 수 있으며, 설정을 빠르게 수행할 수 있습니다. Cloud Interconnect는 유연한 대역폭 옵션을 통해 VPC에 대해 가용성이 높고, 지연 시간이 짧으며, 엔터프라이즈 수준의 전용 연결을 만듭니다. Cloud Interconnect는 Cloud VPN 연결보다 설정 시간이 오래 걸리고 일반적으로 Partner Interconnect를 사용한 작업이 필요합니다. 다이렉트 또는 이동통신사 피어링을 사용하는 것도 Google 요구사항을 충족할 경우 대역폭 비용을 낮추고 설정 시간을 줄일 수 있는 옵션이 포함된 엔터프라이즈 수준의 전용 연결입니다.

VPN, Cloud Interconnect, 피어링은 비즈니스 니즈에 따라 혼합해서 사용될 수 있습니다. VPC 권장사항에서는 가장 일반적으로 사용되는 여러 연결 옵션들을 살펴볼 수 있습니다. 연결 옵션을 선택하고 구현한 다음에는 Cloud Router 서비스가 Border Gateway Protocol(BGP)을 사용해서 온프레미스 네트워크와 라우팅 정보를 교환할 수 있습니다.

Cloud NAT를 사용하면 공개 인터넷에 대한 안전한 액세스 제어 기능을 비공개 VM 및 Google Kubernetes Engine(GKE) 클러스터에 제공할 수 있습니다. 클라우드에서 IP 주소 지정을 계획합니다. Google Cloud 환경을 계획할 때는 사용 가능한 여러 가지 IP 주소 지정 옵션을 이해해야 합니다. VPC를 만들 때 먼저 사용할 수 있는 기본 IP 주소 지정 옵션에 어떤 것들이 있는지 살펴봅니다. 자동 모드를 사용하면 각 리전에서 미리 정의된 비공개 IP 범위의 서브넷을 자동으로 만들 수 있습니다. 또는 지정한 IP 범위 및 리전만 사용하여 만들 서브넷을 결정할 수 있게 해주는 커스텀 모드를 사용할 수 있습니다. 자동 모드로 VPC를 빌드할 경우 나중에 언제든지 커스텀 모드로 전환할 수 있지만 커스텀 모드를 자동 모드로 전환할 수 없습니다. 항상 배포 전에 프로덕션 네트워크를 계획해야 합니다. 프로덕션 환경에서는 커스텀 모드를 사용하는 것이 좋습니다.

VM은 하나의 기본 내부 IP 주소, 하나 이상의 보조 IP 주소, 하나의 외부 IP 주소를 포함할 수 있습니다. 동일한 VPC 네트워크에서 인스턴스 간 통신을 위해서는 인스턴스에 내부 IP 주소를 사용할 수 있습니다. 공개 인터넷으로 통신하기 위해서는 프록시 또는 Cloud NAT를 구성하지 않은 한 인스턴스의 외부 IP 주소를 사용해야 합니다. 마찬가지로 VPC 피어링 또는 Cloud VPN을 통해 네트워크가 연결되지 않은 한 동일한 VPC 네트워크 외부의 인스턴스에 연결하려면 인스턴스의 외부 IP 주소를 사용해야 합니다. 외부 및 내부 IP 주소는 모두 임시 또는 고정 주소일 수 있습니다.

다른 여러 Google Cloud 서비스에는 Google Cloud 기초의 설계 방식에 영향을 줄 수 있는 IP 주소 규칙이 포함되어 있습니다. 예를 들어 경로 기반 또는 VPC 기반 규칙을 사용하여 GKE 클러스터를 만들 수 있습니다. GKE에는 Pod 설계 시 IP 주소 할당 최적화에 대한 지침이 있습니다. Google Cloud 내에서 사용할 각 서비스에 대해 IP 설계 세부정보를 살펴보세요.

DNS 옵션 이해

Cloud DNS는 공개 DNS(도메인 이름 시스템) 서버로 사용될 수 있습니다. 내부 DNS라고 부르는 비슷하지만 별개의 서비스가 VPC에 포함되어 있습니다. 고유 DNS 서버를 수동으로 마이그레이션하고 구성하는 대신 비공개 네트워크에 내부 DNS 서비스를 사용할 수 있습니다. 자세한 내용은 내부 DNS와 Cloud DNS의 차이점을 참조하세요. IP 주소 블록이 있고 이러한 주소를 Google Cloud에서 사용하고 싶으면 커스텀 경로를 만들고 테스트하는 방법을 참조하세요. Cloud DNS 구현 방법에 대해 자세히 살펴보려면 Cloud DNS 권장사항을 참조하세요.

데이터 전송 이해

온프레미스 네트워킹은 관리 및 가격 책정 방식이 근본적으로 클라우드 네트워킹과 다릅니다. 자체 데이터 센터 또는 코로케이션 시설을 관리하고, 라우터, 스위치, 케이블을 설치하기 위해서는 초기 고정 자본 지출이 필요합니다. 클라우드에서는 하드웨어 설치에 따른 고정 비용과 이후 지속되는 상시 유지보수 비용 대신 데이터 전송에 대한 비용이 청구됩니다. 데이터 전송 비용이 무엇인지 확인하여 클라우드에서 데이터 전송 비용을 정확하게 계획하고 관리하세요.

트래픽 관리를 계획할 때 비용이 청구되는 방식은 세 가지입니다.

  • 인그레스 트래픽: 외부 위치로부터 귀하의 Google Cloud 환경에 들어오는 네트워크 트래픽입니다. 이러한 위치에는 공개 인터넷, 온프레미스 위치, 기타 클라우드 환경이 포함될 수 있습니다. Google Cloud 서버 대부분에서는 인그레스가 무료입니다. Cloud Load Balancing, Cloud CDN, Google Cloud Armor와 같이 인터넷에 연결된 트래픽 관리를 지원하는 일부 서비스는 처리된 인그레스 트래픽 양을 기준으로 비용을 청구합니다.
  • 이그레스 트래픽: 어떤 방식으로든 귀하의 Google Cloud 환경 외부로 나가는 네트워크 트래픽입니다. 이그레스 비용은 Compute Engine, Cloud Storage, Cloud SQL, Cloud Interconnect와 같은 여러 Google Cloud 서비스에 적용됩니다.
  • 리전별 및 영역별 트래픽: Google Cloud에서 리전 또는 영역 경계를 넘어서 이동하는 네트워크 트래픽도 대역폭 비용 청구 대상이 될 수 있습니다. 이러한 청구 비용에 따라 재해 복구 및 고가용성을 위한 앱 설계 방식이 달라질 수 있습니다. 이그레스 비용 청구와 비슷하게 리전간 및 영역 간 트래픽 비용 청구도 여러 Google Cloud 서비스에 적용되며, 고가용성 및 재해 복구를 계획할 때 중요하게 고려되어야 합니다. 예를 들어 다른 영역에 있는 데이터베이스 복제본으로 전송되는 트래픽에는 영역간 트래픽 비용 청구가 적용됩니다.

네트워크 설정 자동화 및 제어

Google Cloud에서 물리적 네트워크 레이어는 가상화되어 있습니다. 네트워크는 소프트웨어 정의 네트워킹(SDN)을 사용하여 배포되고 구성됩니다. SDN은 IaC의 네트워킹 하위 집합과 비슷합니다. 네트워크가 일관적이고 반복 가능한 방식으로 구성되었는지 확인하기 위해서는 환경을 자동으로 배포하고 분할하는 방법을 알아야 합니다. 이를 위해서는 Deployment Manager와 같은 IaC 도구를 사용할 수 있습니다. Google Cloud에서는 또한 Terraform과 같은 오픈소스 IaC 도구가 지원됩니다.

보안

조직에 대한 다음 질문들을 고려하세요.

  • 기존 보안 도구 및 프로세스가 새로운 Google Cloud 환경에 어떻게 매핑되나요?
  • 클라우드 기반 보안 서비스를 활용하고 현대적인 클라우드 보안 모델로 바뀌기 위해 필요한 관리 및 프로세스 변경사항은 무엇인가요?
  • Google Cloud에서 비공개 데이터의 보안 및 개인정보 보호를 위해 Google에서 사용되는 유지관리 방법은 무엇인가요?
  • 데이터 무단 반출 및 기타 관련된 보안 위협으로부터 클라우드 환경을 보호하기 위한 방법은 무엇인가요?

Google Cloud 보안 모델 이해

Google Cloud에서 시스템 보안을 관리 및 유지 관리하는 방법과 이를 위해 사용되는 도구는 온프레미스 인프라를 관리할 때와 다릅니다. 이를 위한 접근 방식은 새로운 위협, 새로운 제품, 향상된 보안 모델 등에 맞게 시간이 지날수록 바뀌고 발전할 것입니다. 제로 트러스트 보안은 Google에서 시작된 엔터프라이즈 보안을 위한 새로운 접근 방식이며, 귀하가 귀하의 온프레미스 워크로드에 적용하고 있는 보안 모델과 다를 수 있습니다.

대부분의 회사들은 경계 보안을 강화하기 위해 방화벽을 사용합니다. 하지만 이 보안 모델은 경계가 파손되었을 때 공격자가 비교적 쉽게 회사의 고유 인트라넷에 액세스할 수 있으므로 문제가 될 수 있습니다.

마이그레이션을 위해서는 엔터프라이즈 보안에 대해 새로운 도구, 기술, 관행, 특성을 채택해야 하며, 이를 통해 보안 기반을 향상시키고, 미션 크리티컬 워크로드를 공격으로부터 보호하고 데이터가 조작되고 유출되지 않도록 보호할 수 있습니다. 제로 트러스트 보안 환경에 맞게 현재 업무 관행 및 도구 사용을 전환하는 방법을 살펴보는 것이 중요합니다. 자세한 내용은 BeyondCorp 백서를 참조하세요.

귀하가 Google과 함께 공유하는 책임은 귀하의 현재 제공업체의 책임과 다를 수 있으며, 워크로드에 대한 지속적인 보안 및 규정 준수를 보장하기 위해서는 이러한 차이를 이해해야 합니다. 강력하고, 확인 가능한 보안 및 규제에 따른 규정 준수는 종종 복잡하게 얽혀 있는 경우가 많습니다. 이를 위해서는 먼저 강력한 관리 및 감독 관행, Google Cloud 권장사항에 대한 일관성 있는 구현, 적극적인 위협 감지 및 모니터링으로 시작해야 합니다.

데이터 보안

Google 보안 전략의 핵심은 저장 중인 데이터와 전송 중인 데이터 모두에 대한 인증, 무결성, 암호화에 있습니다. 저장 데이터 암호화는 저장 중인 데이터를 암호화함으로써 시스템 손상 또는 데이터 무단 반출로부터 데이터를 보호하는 데 도움이 됩니다. 전송 중인 데이터 암호화는 온프레미스 환경과 Google Cloud 간에 또는 2개의 Google Cloud 서비스 간에 데이터가 이동될 때 누군가 통신을 가로챈 경우에 데이터를 보호하는 데 도움이 됩니다. 전반적인 보안 및 규제 상태를 유지하기 위해서는 암호화 키를 안전하게 관리하는 것이 매우 중요합니다.

중앙 위치에서 암호화 키를 관리할 수 있게 해주는 Cloud Key Management Service(Cloud KMS)를 사용하여 암호화 키를 관리할 수 있습니다. 예를 들어 올바른 보안 관행을 수행하는 것 뿐만 아니라 PCI 데이터 보안 표준 규정 준수를 지원하기 위해서도 Cloud KMS에서 키 순환을 구성하는 방법을 알아야 할 필요가 있습니다. 키 보호를 위해서는 하드웨어 보안 모듈이 필요한 경우와 Cloud KMS에서 보안 비밀을 관리하는 방법, Cloud IAM에서 키 및 키 링에 액세스하는 방법을 알고 있어야 합니다.

민감한 고객 데이터 또는 내부 비즈니스 정보를 보관하거나 처리하는 워크로드의 경우에는 이러한 워크로드의 보안을 돕기 위해 Cloud Data Loss Prevention을 사용하는 방법을 알아야 합니다.

VPC를 사용하면 Google Cloud 서비스 리소스 주위에 보안 경계를 구성하고 경계를 넘는 데이터 이동을 제어할 수 있습니다. VPC는 Cloud IAM 범위 밖에서 작동하므로, Cloud IAM 사용자 인증 정보가 손상된 경우에도 데이터를 보호할 수 있습니다.

앱 보호

클라우드에서 애플리케이션을 안전하게 실행하기 위해서는 먼저 각 애플리케이션의 보안 요구를 평가해야 합니다. 이러한 평가를 통해 VPC 구성 및 관리, 네트워크 라우팅 정책, 방화벽 규칙, Cloud IAM을 적절하게 설정할 수 있습니다. 네트워크 수준의 정책을 이해하는 것 외에도 애플리케이션의 중앙 승인 레이어로 IAP(Identity-Aware Proxy)를 사용해야 하는 경우 및 이를 구성하는 방법을 알아야 합니다. 다른 워크로드에는 추가 보안을 위해 또는 규제에 따른 규정 준수 요구사항을 충족하기 위해 보안 VM으로부터의 OS 수준 보호가 필요할 수 있습니다. 공개용 애플리케이션에는 Google Cloud Armor 정책 구성을 통해 활성 DDos 보호가 필요할 수 있습니다.

위험 관리

귀하 및 귀하의 보안 관리자는 전체 조직 내에서 잠재적인 보안 위험을 추적하고 모니터링할 수 있도록 Security Command Center(SCC)가 무엇인지 확인해야 합니다. Security Command Center는 공격자가 보안 위험 요소를 악용하기 전에 미리 이러한 위험 요소를 완화하는 데 도움이 됩니다. Google의 핵심 인프라에 알려진 위험 요소가 있는 경우 Google은 투명성 원칙에 따라 이러한 이슈의 보고, 알림, 처리를 수행합니다. 이슈 관리를 위한 이러한 정책 및 프로세스는 Google 내부에서 사용되는 것과 동일하며, 효과적인 자산 보호를 위해 귀하의 조직에서도 이러한 프로세스 채택을 고려해볼 수 있습니다. Google의 이슈 대응 방법에 관한 자세한 내용은 사이트 안정성 엔지니어링 교재의 9장을 참조하세요.

모니터링 및 경고

조직에 대한 다음 질문들을 고려하세요.

  • 현재 모니터링 솔루션을 Google Cloud와 상호 운용하기 위한 방법은 무엇입니까?
  • 귀하의 서비스 및 Google Cloud 제공 서비스를 모니터링하기 위해 사용 가능한 옵션은 무엇입니까?
  • 규제 기관 및 감사관의 규정을 준수하기 위해 서비스에 대해 안전하고 투명한 액세스를 지원할 수 있는 방법은 무엇입니까?

현재 모니터링 및 경고 솔루션 평가

귀하의 현재 엔터프라이즈 IT 환경에는 이미 하나 이상의 로깅 및 모니터링 솔루션이 사용될 수 있습니다. Google Cloud에서는 현재 인프라에 대한 모든 로깅, 측정 항목, 이벤트를 작업공간으로 합칠 수 있습니다. 인프라 및 워크로드로부터 생성되는 로깅 데이터 관리를 위한 옵션이 무엇인지 확인해야 합니다.

중앙 집중식으로 로깅 데이터를 관리하기 위해서는 Cloud Logging에서 기존 솔루션으로 로그를 내보내거나 현재 도구로부터 로그를 가져올 수 있습니다. Cloud Logging은 Google Cloud 고객들에게 제공되는 운영, 보안, 규정 준수 기능을 확장할 수 있도록 점점 더 증가하고 있는 다양한 통합형 기술 생태계를 지원하고 있습니다.

Logging 이해

Cloud Logging은 분석, 사용자 활동 감사, 워크로드 모니터링, 문제 대응을 수행할 수 있도록 여러 Google Cloud 서비스의 로깅 데이터를 수집합니다. 이슈 대응팀은 Cloud Logging을 앱 버그 및 보안 이슈 감지, 대응, 처리의 커멘드 센터로 사용할 수 있습니다. Cloud Logging에서 캡처되는 정보는 Cloud IAM 감사 로그, VPC 흐름 로그, 에이전트 로그 등 다양한 소스로부터 수집된 데이터를 사용하여 Google Cloud 환경에 대한 가시성을 높여줍니다. 이러한 로그는 원시 형태로 Cloud Logging에 전달되며 측정항목, 알림, 필터 구현을 통해 강화됩니다. 팀은 모니터링 대상과 방법, 수집되는 데이터 분석 방법, 관련성이 있고 실행 가능한 알림을 만드는 방법을 이해하고 있어야 합니다.

실시간 모니터링 외에도 Cloud Logging 데이터를 BigQuery로 내보내 대규모 로깅 데이터세트에 커스텀 분석을 수행할 수 있습니다. 예를 들어 Google Cloud의 내부 사용자 작업과 애플리케이션 성능 사이의 관계를 파악하기 위해 로그를 쿼리할 수 있습니다.

Cloud Logging은 워크로드 및 인프라에 대해 중요하고 종종 기밀인 데이터를 수집합니다. 다른 모든 Google Cloud 서비스와 마찬가지로 Cloud IAM을 통한 Cloud Logging에 대한 액세스 제어 방법을 이해하는 것이 중요합니다. 승인된 사용자가 수행한 작업을 검토하려면 Cloud 감사 로그를 사용하면 됩니다. 문제 진단을 위해 Google Cloud 지원을 받을 때, 본사 지원팀 직원은 귀하의 환경에 대한 액세스를 요구할 수 있습니다. 지원팀에서 수행되는 작업에 대한 감사는 액세스 투명성을 사용 설정하여 수행할 수 있습니다.

작업공간은 여러 클라우드 프로젝트에 로깅, 모니터링, 알림을 구성할 수 있는 유리창과 같습니다. 하이브리드 및 멀티 클라우드 환경에서는 Cloud Logging을 사용하여 온프레미스 인프라Amazon Web Services(AWS) 환경을 모니터링할 수 있습니다. 작업공간이 여러 소스로부터 측정항목을 수집하므로 개별 Cloud 프로젝트에서 작업공간과 관련 도구(예: BigQuery)를 설정하는 것이 좋습니다. 그런 후 이 정보에 대한 액세스를 효과적으로 조정하고 프로젝트 할당량에 대한 영향을 방지할 수 있습니다.

측정항목 및 알림 이해

인프라 워크로드 상태를 파악하기 위한 기본 도구는 Cloud Monitoring의 측정항목입니다. 측정항목은 앱 및 시스템 서비스의 성능 파악을 위해 Cloud Monitoring에서 수집되는 관찰 정보입니다. Google Cloud는 Google Cloud, AWS, 기타 플랫폼 모니터링을 돕기 위해 1,000개 이상의 측정항목 유형을 제공합니다. 사용 사례 및 비즈니스 요구사항에 따라 워크로드 및 인프라의 다른 특성을 모니터링하기 위한 커스텀 측정항목을 만들 수도 있습니다. 유용한 알림을 만들기 위해서는 측정항목을 완전히 이해해야 합니다. 알림은 알림 정책을 구성하여 트리거될 수 있습니다.

측정항목은 Cloud Monitoring의 대시보드 및 차트에 표시되는 데이터에도 적용됩니다. 문제 진단을 돕기 위해 모니터링에 투명한 서비스 수준 지표를 사용하는 방법을 알아보세요. 하나 이상의 Google Cloud 서비스에서 비즈니스 워크로드 중 하나 또는 성능 저하로 인해 문제가 발생할 수 있는 경우를 확인할 수 있습니다. 또한 Google Cloud 상태 대시보드를 사용해서 Google Cloud 인프라의 현재 작동 상태를 빠르게 확인할 수 있습니다.

Google Cloud와 상호작용

조직에 대한 다음 질문들을 고려하세요.

  • 사용자 및 앱이 Google Cloud 서비스와 상호작용하는 방법은 무엇인가요?
  • 새 리소스 프로비저닝을 자동화하는 방법은 무엇이고 이러한 방법이 기존 비즈니스 프로세스에 미치는 영향은 무엇인가요?

방법 비교

Google Cloud 서비스와 상호작용하는 방법은 여러 가지가 있습니다.

  • Cloud APIs는 앱 코드로부터 Google Cloud와 상호작용하기 위한 프로그래매틱 방식의 인터페이스를 제공합니다. Cloud APIs는 Google Cloud와의 모든 상호작용의 기초를 형성합니다.
  • Cloud Console은 브라우저에서 Google Cloud와 상호작용할 수 있게 해주는 그래픽 사용자 인터페이스입니다.
  • Cloud SDK는 애플리케이션이 Cloud APIs와 상호작용할 수 있게 해주는 개발자에게 친숙한 소프트웨어 라이브러리입니다.
  • gcloud 명령줄 도구는 명령줄로부터 Cloud APIs를 호출할 수 있게 해주고 반복 가능한 작업을 스크립트로 작성하는 데 유용한 도구입니다.
  • 코드형 인프라(IaC)를 사용하면 소스 코드에서 인프라 배포를 관리하고 Cloud APIs를 사용하여 리소스 프로비저닝을 표준화할 수 있습니다.

각 작업자와 시스템이 Google Cloud와 상호작용하는 방식은 해당 역할 및 기능에 따라 달라집니다. 예를 들어 재무팀의 구성원은 Cloud Console을 사용하여 BigQuery에서 Cloud Billing 로그와 상호작용할 수 있습니다. 자동화된 배포 프로세스는 Cloud APIs를 직접 호출하여 리소스를 프로비저닝할 수 있습니다. 클라우드 환경의 적절한 거버넌스 및 보안을 위해서는 각 방법의 적절한 용도를 파악하는 것이 중요합니다.

제품별 상호작용

Cloud Storage 및 GKE와 같은 일부 서비스는 해당 서비스와의 상호작용을 세부적으로 제어할 수 있도록 자체 도구를 제공합니다. 예를 들어 Cloud Storage는 gsutil이라는 도구를 제공합니다. 데이터 마이그레이션을 최적화하고 Cloud Storage 버킷 보안을 올바르게 관리하기 위해서는 이 도구를 제대로 이해해야 합니다. GKE에서는 Cloud Console 또는 gcloud 명령줄 도구를 사용하여 클러스터를 배포할 수 있지만 클러스터 관리는 kubectl 명령줄 도구를 사용하여 수행됩니다.

상호작용 자동화

Google Cloud는 또한 코드 빌드 및 배포를 지원하는 관리형 서비스인 Cloud Build를 제공합니다. IaC를 활용할 수 있는 서비스의 경우, Deployment Manager를 사용하면 Google Cloud 서비스 및 제품의 수명 주기를 관리할 수 있습니다.

Cloud APIs를 사용하여 특정 리소스와의 상호작용을 자동화할 수 있습니다. Google Clouds 내에서 Cloud APIs는 프로젝트별로 사용 설정되며, 거버넌스 전략에 따라 Cloud APIs를 사용 설정할 수 있는 사람과 여기에 적용되는 조건을 결정해야 합니다. 이러한 API를 사용하면 Google Cloud 서비스의 리소스가 소비될 수 있으며, 따라서 사용 설정된 Cloud APIs가 결제에 미치는 영향을 확인해야 합니다.

거버넌스

조직에 대한 다음 질문들을 고려하세요.

  • 사용자가 해당 규정 준수 요구를 지원 및 충족하고 비즈니스 정책에 따라 조정하는지 확인하는 방법은 무엇인가요?
  • Google Cloud 사용자 및 리소스 유지 관리와 구성을 위해 사용 가능한 전략은 무엇인가요?

Google Cloud에서 애셋의 안정성, 보안, 유지 관리 특성을 보장하기 위해서는 효율적인 거버넌스가 반드시 필요합니다. 어떤 시스템에서든 엔트로피는 시간에 따라 자연스럽게 증가하고, 확인되지 않은 상태로 남기 때문에, 클라우드가 확산되고 기타 유지 관리 과제가 발생할 수 있습니다. 효과적인 거버넌스가 없다면 이러한 과제가 누적되어 비즈니스 목표를 달성하고 위험을 줄일 수 있는 능력을 저해할 수 있습니다. 클라우드 마이그레이션 전략에서는 이름 지정 규칙, 라벨 사용 전략, 액세스 제어, 비용 제어, 서비스 수준 관리를 적절하게 계획하고 표준을 적용하는 것이 중요합니다. 일반적으로 말해서 거버넌스 전략 개발은 이해관계자와 비즈니스 리더십 사이의 이해를 조정하는 과정입니다.

지속적인 규정 준수 지원

Google Cloud 리소스에 대한 조직 전반의 규정 준수를 돕기 위해서는 리소스에 대해 일관적인 이름 지정 및 그룹화 전략을 설정하는 것이 좋습니다. Google Cloud는 리소스에 대한 정책 설명 및 강화를 위한 여러 방법들을 제공합니다.

  • 보안 표시를 사용하면 리소스를 분류하여 Security Command Center로부터의 보안 정보를 제공하고 리소스 그룹에 따라 정책을 적용할 수 있습니다.
  • 라벨을 사용하면 Cloud Billing에서 리소스 소비를 추적하고 Cloud Logging에서 유용한 정보를 추가로 제공할 수 있습니다.
  • 네트워크 태그는 방화벽 및 네트워크 규칙에 적용되는 VM을 식별하여 VM에 대한 네트워크 트래픽을 제어합니다.

예를 들어 Cloud Functions를 사용하여 Compliance-as-Code 솔루션을 지원할 수 있습니다. Cloud 함수에서는 프로비저닝된 리소스에 대해 이름 확인을 위한 Cloud APIs와 라벨을 사용하고, 표준이 충족되는지 확인할 수 있습니다. 일부 환경에서는 설정된 표준을 위반하는 리소스를 자동으로 프로비저닝 해제할 수 있습니다. 마이그레이션 계획 프로세스 중에 이러한 표준 및 규칙을 설정하고 이를 강제 적용할 방법을 결정하는 것이 중요합니다. 또한 중요 리소스가 실수로 삭제되지 않도록 방지할 수 있으며, Cloud Functions를 사용하여 특별 라벨이 있는 리소스에 이러한 보호 기능이 자동으로 적용되도록 할 수 있습니다. Cloud IAM 조건을 사용하여 리소스의 특정 특성을 기반으로 액세스를 변경하는 방법을 확인해야 합니다.

마이그레이션 인력 지원

조직에 대한 다음 질문들을 고려하세요.

  • 클라우드로의 마이그레이션을 계획하고 실행하기 위한 지식, 경험, 인력이 있나요?
  • 클라우드 마이그레이션 과정 중에 전략적 안내와 기술적 도움을 얻을 수 있는 방법은 무엇인가요?
  • 클라우드를 설정하고 실행한 후에는 어디에서 도움을 얻을 수 있나요?

자체 능력 평가

Google Cloud로의 마이그레이션은 비즈니스에 중요한 전략적 변화입니다. 조직은 클라우드 마이그레이션 작업을 세분화하기 위해 많은 옵션들 중에서 선택하여 사용할 수 있습니다. 일부 기업은 내부 리소스만 사용하도록 선택할 수 있고, 다른 기업은 작업을 완전히 아웃소싱할 수 도 있지만 대부분은 중간 정도의 방법을 선택할 것입니다. 이러한 접근 방식 중 올바른 균형을 얻기 위해서는 현재 조직이 갖고 있는 지식과 전문성을 포함하여 자체 능력에 대한 파악이 필요합니다.

직원 교육은 모든 조직에서 우선순위가 높습니다. Google Cloud 인증은 귀하의 기존 업무 팀이 완전한 Google Cloud 기술 활용을 위해 필요한 기술 능력을 검증하고 입증하기 위한 수단으로 사용될 수 있습니다. Google은 또한 심층 과정, 실무형 실습, 직접 교육 참여 등 다양한 교육 옵션을 제공합니다.

클라우드 전문가 협업

Google은 Google Cloud로의 각 마이그레이션 단계를 돕기 위한 전문 컨설팅 서비스를 제공합니다.

컨설턴트를 선택하면 Google Cloud 인프라 빌드를 도와주는 전문가와 협업할 수 있습니다. 지원 전문가를 통해 업무 권장사항과 구현 성공 원칙에 관한 팀 교육을 받을 수 있습니다.

프로젝트 요구에 따라 Google Cloud 파트너와의 협업도 고려해볼 수 있습니다. 파트너는 하나 이상의 전문 분야에 따라 Google에서 선택된 업체이며, Google Cloud 공인 전문가를 지원합니다. 올바른 파트너 선택을 통해 클라우드 마이그레이션을 가속화하는 데 도움이 되는 전문 기술과 실무형 안내를 얻을 수 있습니다.

지원 옵션 이해

비즈니스가 Google Cloud에서 실행된 후에는 Google Cloud 지원을 통해 처음부터 문제가 발생하지 않도록 방지할 수 있습니다. 문제가 발견되면 지원팀의 도움에 따라 문제의 근본 원인을 빠르게 찾아내고 문제가 재발되지 않도록 방지하는 오래 지속되는 솔루션을 제공할 수 있습니다. 이용 가능한 여러 지원 옵션들을 확인하고 귀하의 비즈니스에 적합한 옵션을 선택하세요.

다음 단계