네트워킹 권장사항

이 페이지에서는 Google Cloud VMware Engine의 네트워킹 권장사항을 설명합니다.

라우팅 문제 방지

VMware Engine 내부 통신 및 나머지 인터넷과의 통신은 온프레미스에서 확장되거나 다른 VMware Engine 프라이빗 클라우드에서 확장된 네트워크를 제외하고 레이어 3에서 라우팅됩니다.

VMware Engine 환경과의 라우팅을 설정할 때 구성 및 성능 문제나 제한사항이 발생하지 않게 하려면 다음 권장사항을 따르세요.

  • VMware Engine 범위 및 Google Kubernetes Engine, Compute Engine 등의 다른 Google 컴퓨팅 서비스의 범위에 대해 요약 맞춤 광고와의 온프레미스 하이브리드 Cloud VPN 또는 Cloud Interconnect 연결과 관련된 Cloud Router를 구성합니다.
  • NSX 세그먼트 서브넷에 연속된 IP 주소 공간을 사용합니다.

  • Google의 나머지 부분에 공지되는 경로 수를 최소화하려면 계층 0에서 NSX 세그먼트 경로를 다음과 같이 요약합니다.

    • NAT가 필요한 경우 /32가 아닌 계층 0으로 NAT IP를 요약합니다.
    • 계층 0에서 IPsec 엔드포인트 IP(/32)를 요약합니다.
    • 계층 0에서 DNS 프로필 IP (/32)를 요약합니다.

  • DHCP 서비스가 VMware Engine 또는 다른 위치에 상주하는지에 따라 NSX-T DHCP 릴레이를 사용 설정합니다.

  • 계층 0 정적 경로를 BGP에 재배포할 때 0/0이 재배포되지 않도록 경로 맵을 적용합니다.

적합한 인터넷 액세스 옵션 선택

VMware Engine은 인터넷 액세스 및 공개 IP 주소를 구성하는 다음 옵션을 제공합니다. 다음 표에 나열된 각각의 장단점을 고려하여 가장 적합한 옵션을 선택하세요.

인터넷 액세스 옵션 장점 단점
VMware Engine 인터넷 및 공개 IP 서비스
  • 추가 요금이 부과되지 않습니다. VMware Engine 서비스 비용에 포함됩니다.
  • 설정이 간편합니다.
  • SLA가 지원됩니다.
  • 고정된 구성이 있습니다.
  • BYOIP를 지원하지 않습니다.
  • 할당량과 대역폭이 제한되므로 PoC 또는 소규모 배포에 더 적합합니다.
  • 인그레스/이그레스 측정항목에 대한 가시성을 제공하지 않습니다.
  • 다른 두 가지 옵션과 상호 배타적입니다.
  • 고급 트래픽 관리(예: L7 방화벽 검사 또는 복잡한 부하 분산)를 사용하려면 타사 어플라이언스가 필요합니다.
  • 애플리케이션 수준 게이트웨이(ALG)가 지원되지 않습니다.
고객의 VPC 인터넷 에지를 통한 데이터 전송
  • 구성이 확장 가능합니다.
  • BYOIP를 지원합니다.
  • 완전한 가시성 및 모니터링을 제공합니다.
  • L7 검사, 고급 부하 분산, 타사 제품과 결합할 수 있습니다.
  • 더 복잡한 구성이 필요합니다.
  • 결합된 서비스에 대한 SLA가 없습니다.
온프레미스 연결을 통한 데이터 전송
  • 기존 구성을 사용합니다.
  • 온프레미스 보안 및 부하 분산을 중앙 집중화합니다.
  • 최소한의 변경만 허용합니다.
  • 제한적인 글로벌 지원을 제공합니다.
  • 일부 워크로드에 대해 인터넷 서비스가 분할될 수 있습니다.

자세한 내용은 워크로드 VM에 인터넷 액세스 구성을 참조하세요.

타사 가상 네트워크 어플라이언스를 사용하여 서비스 체인 구현

VMware Engine은 레이어 3 라우팅 토폴로지를 사용하여 네트워크 서비스 체인을 지원합니다. 이 모드에서는 VMware Engine에 타사 네트워크 가상 어플라이언스를 배포하고 연결하여 VMware VM에 부하 분산, 차세대 방화벽(NGFW), 침입 감지 및 방지 등의 인라인 네트워크 서비스를 제공합니다. 애플리케이션의 세분화 및 연결 요구사항에 따라 이러한 어플라이언스를 여러 가지 방법으로 배포할 수 있습니다.

더 풍부한 구성 및 서비스 체인의 링크를 사용하여 몇 가지 배포 토폴로지를 구사할 수 있습니다(예: 방화벽 앞에 부하 분산기 배치). 공급업체가 지원하는 경우 데이터 영역 기반 하트비트와 중복화를 사용하여 이러한 어플라이언스를 활성-활성 토폴로지로 배포할 수도 있습니다.

다음 섹션에서는 VM 기반 방화벽 기기를 사용하는 샘플 배포 토폴로지를 보여줍니다.

계층 1 게이트웨이 뒤

이 배포 토폴로지에서 타사 어플라이언스는 환경의 여러 네트워크에 대한 기본 게이트웨이 역할을 합니다. 어플라이언스를 사용하여 이들 간의 트래픽뿐 아니라 VMware Engine 환경을 출입하는 트래픽을 검사할 수 있습니다.

다음 다이어그램은 VMware Engine에서 계층 1 게이트웨이가 작동하는 방식을 보여줍니다.

타사 어플라이언스는 환경의 여러 네트워크에 대한 기본 게이트웨이 역할을 합니다.

이 토폴로지를 구현하려면 다음 단계를 따르세요.

  1. 어플라이언스 VM을 가리키고 뒤에 있는 네트워크에 도달하도록 계층 1에 정적 경로를 구성합니다.
  2. 계층 0에서 계층 1 정적 경로를 BGP로 재배포합니다.
  3. 게스트 VLAN 간 라우팅 지원과 관련하여 VMware 게스트 워크로드는 가상 NIC 10개로 제한됩니다. 일부 사용 사례에서는 필요한 방화벽 세분화를 구현하려면 10개가 넘는 VLAN에 연결해야 합니다. 이 경우 ISV에 VLAN 태깅을 사용할 수 있습니다. 필요에 따라 여러 ISV 어플라이언스 집합 간에 트래픽을 지원하고 분산할 수 있도록 독립 소프트웨어 공급업체(ISV)의 게스트 VM 크기를 조정해야 합니다.

계층 0 게이트웨이 뒤

이 배포 토폴로지에서 계층 0 게이트웨이는 어플라이언스 뒤에 하나 이상의 계층 1 게이트웨이가 있는 타사 어플라이언스의 기본 게이트웨이 역할을 합니다. 계층 0 게이트웨이를 사용하면 여러 보안 영역이나 Google Cloud의 나머지 부분 전반에서 동일한 보안 영역에 대한 라우팅 연결을 제공하고 검사를 지원할 수 있습니다. 이 토폴로지에서는 레이어 7 검사 없이 세그먼트 간 대규모 통신이 가능합니다.

다음 다이어그램은 VMware Engine에서 계층 0 게이트웨이가 작동하는 방식을 보여줍니다.

타사 어플라이언스 뒤에 하나 이상의 계층 1 게이트웨이가 있습니다.

이 토폴로지를 구현하려면 다음 단계를 따르세요.

  1. NGFW를 가리키는 계층 1 게이트웨이 각각에 기본 정적 경로를 구성합니다.
  2. NGFW를 다음 홉으로 사용하여 계층 0의 워크로드 세그먼트에 도달하도록 정적 경로를 구성합니다.
  3. 0/0이 재배포되지 않도록 경로 맵을 사용하여 이러한 정적 경로를 BGP에 재배포합니다.

다음 단계