(기존) 비공개 연결 설정

비공개 서비스 액세스는 Virtual Private Cloud(VPC) 네트워크와 VMware Engine의 네트워크 간의 비공개 연결입니다. 이 페이지에서는 Google Cloud VMware Engine에 대한 비공개 서비스 액세스를 설정하고 VPC 네트워크를 프라이빗 클라우드에 연결하는 방법을 설명합니다.

비공개 서비스 액세스를 사용하면 다음 동작이 가능합니다.

  • VPC 네트워크와 VMware VM에서 가상 머신(VM) 인스턴스의 내부 IP 주소에 의한 독점적인 통신. VM 인스턴스는 비공개 서비스 액세스를 통해 사용 가능한 서비스에 도달하기 위해 인터넷 액세스 또는 외부 IP 주소가 필요하지 않습니다.
  • 내부 IP 주소를 사용하여 비공개 서비스 액세스를 지원하는 VMware VM과 Google Cloud 지원 서비스 간의 통신
  • Cloud VPN이나 Cloud Interconnect를 사용하여 온프레미스를 VPC 네트워크에 연결한 경우 기존 온프레미스 연결을 사용하여 VMware Engine 프라이빗 클라우드에 연결합니다.

VMware Engine 프라이빗 클라우드 만들기와 별개로 비공개 서비스 액세스를 설정할 수 있습니다. 비공개 연결은 VPC 네트워크를 연결할 프라이빗 클라우드를 만들기 전후에 생성될 수 있습니다.

권한

  1. Make sure that you have the following role or roles on the project: Compute > Network Admin

    Check for the roles

    1. In the Google Cloud console, go to the IAM page.

      Go to IAM
    2. Select the project.

    3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

    4. For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.

    Grant the roles

    1. In the Google Cloud console, go to the IAM page.

      IAM으로 이동
    2. 프로젝트를 선택합니다.
    3. 액세스 권한 부여를 클릭합니다.

    4. 새 주 구성원 필드에 사용자 식별자를 입력합니다. 일반적으로 Google 계정의 이메일 주소입니다.

    5. 역할 선택 목록에서 역할을 선택합니다.
    6. 역할을 추가로 부여하려면 다른 역할 추가를 클릭하고 각 역할을 추가합니다.
    7. 저장을 클릭합니다.

    시작하기 전에

    1. 기존 VPC 네트워크가 있어야 합니다.
    2. 프로젝트에서 Service Networking API를 활성화하세요.

    3. 연결할 VPC 네트워크에 비공개 서비스 액세스를 구성합니다.

    4. 다음을 수행하여 VPC 네트워크의 피어링된 프로젝트 ID를 찾습니다.

      1. Google Cloud 콘솔에서 VPC 네트워크 피어링으로 이동합니다. servicenetworking-googleapis-com이라는 VPC 네트워크 피어링 연결이 피어링 테이블에 나열됩니다.
      2. Google Cloud 콘솔에서 비공개 연결을 설정하는 동안 사용할 수 있도록 피어링된 프로젝트 ID를 복사합니다.

    멀티 VPC 연결

    VMware Engine을 사용하면 Google Cloud에 배포된 기존 VPC 아키텍처를 변경할 필요 없이 서로 다른 VPC 네트워크에서 동일한 프라이빗 클라우드에 액세스할 수 있습니다. 예를 들어 멀티 VPC 연결은 테스트 및 개발을 위한 별도의 VPC 네트워크가 있는 경우에 유용합니다.

    이러한 상황에서는 VPC 네트워크가 동일한 프라이빗 클라우드 또는 여러 프라이빗 클라우드에 있는 별도의 vSphere 리소스 그룹 내 VMware VM 또는 다른 대상 주소와 통신해야 합니다.

    기본적으로 리전별로 VPC 네트워크 3개를 피어링할 수 있습니다. 이 피어링 한도에는 인터넷 액세스 네트워크 서비스에서 사용하는 VPC 피어링이 포함됩니다. 이 한도를 늘리려면 클라우드 고객 관리에 문의하세요.

    IP 주소 고유성

    VPC 네트워크를 VMware Engine 리전 네트워크에 연결할 때는 다음 안내에 따라 IP 주소 고유성을 확인합니다.

    • VPC 네트워크의 VMware Engine IP 범위와 서브넷은 동일한 IP 주소 범위를 사용할 수 없습니다.

    • VMware Engine IP 범위는 VPC 네트워크의 서브넷 IP 주소 범위에 속할 수 없습니다. VPC 네트워크의 서브넷 경로에는 가장 구체적인 IP 주소 범위가 있어야 합니다.

    • VPC 네트워크 경로의 작동 방식에 대한 자세한 내용은 VPC 네트워크 경로 개요를 자세히 검토하세요.

    • 두 개 이상의 VMware Engine 네트워크를 동일한 VPC 네트워크에 연결해야 하는 경우 각 VMware Engine 네트워크에 고유한 IP 범위를 사용하거나, 다른 VMware Engine 네트워크와 동일한 IP 범위를 사용하는 VMware Engine 네트워크 중 하나에 대해서만 NSX-T 연결을 활성화해야 합니다.

    비공개 연결 만들기

    콘솔, Google Cloud CLI 또는 REST API에서 비공개 연결을 만듭니다. 요청에서 연결 유형을 PRIVATE_SERVICE_ACCESS로 설정하고 라우팅 모드를 GLOBAL 라우팅 모드로 설정합니다.

    콘솔

    1. Google Cloud 콘솔에서 비공개 연결 페이지로 이동합니다.

      비공개 연결로 이동

    2. 만들기를 클릭합니다.

    3. 연결의 이름설명을 입력합니다.

    4. 연결할 VMware Engine 네트워크를 선택합니다.

    5. 피어링된 프로젝트 ID 필드에 기본 요건에서 복사한 피어링된 프로젝트 ID를 붙여넣습니다.

    6. 비공개 연결 유형에서 비공개 서비스 액세스를 선택합니다.

    7. 이 VPC 네트워크 피어링 연결의 라우팅 모드를 선택합니다. 대부분의 경우 전역 라우팅 모드를 선택하는 것이 좋습니다. VPC 네트워크와 피어링된 Google 서비스에서 리전 간에 통신하지 않도록 하려면 대신 Regional 라우팅 모드를 선택합니다. 이 선택은 기존 라우팅 모드를 재정의합니다.

    8. 제출을 클릭합니다.

    연결이 생성되면 비공개 연결 목록에서 특정 연결을 선택할 수 있습니다. 각 비공개 연결의 세부정보 페이지에 비공개 연결의 라우팅 모드와 VPC 피어링을 통해 학습된 모든 경로가 표시됩니다.

    내보낸 경로 테이블에는 리전에서 학습하고 VPC 피어링을 통해 내보낸 프라이빗 클라우드가 표시됩니다. 여러 VPC 네트워크가 동일한 VMware Engine 리전 네트워크에 피어링된 경우 VPC 네트워크 하나에서 수신된 경로가 다른 VPC 네트워크로 공지되지 않습니다.

    gcloud

    1. gcloud vmware private-connections create 명령어를 실행하여 비공개 연결을 만듭니다.

      gcloud vmware private-connections create PRIVATE_CONNECTION_ID \
  --location=REGION\
  --description="" \
  --vmware-engine-network=NETWORK_ID \
  --service-project=SERVICE_NETWORKING_TENANT_PROJECT\
  --type=PRIVATE_SERVICE_ACCESS \
  --routing-mode=MODE

      다음을 바꿉니다.

      • PRIVATE_CONNECTION_ID: 만들려는 비공개 연결 이름
      • REGION: 이 비공개 연결을 만들 리전. VMware Engine 네트워크 리전과 일치해야 합니다.
      • NETWORK_ID: VMware Engine 네트워크 이름
      • SERVICE_NETWORKING_TENANT_PROJECT: 이 서비스 네트워킹 테넌트 VPC의 프로젝트 이름. SNTP는 피어링 이름 servicenetworking-googleapis-comPEER_PROJECT 열에서 찾을 수 있습니다.
      • MODE: 라우팅 모드(GLOBAL 또는 REGIONAL)

    2. (선택사항) 비공개 연결을 나열하려면 gcloud vmware private-connections list 명령어를 실행합니다.

      gcloud vmware private-connections list \
    --location=REGION

      다음을 바꿉니다.

      • REGION: 나열할 네트워크의 리전

    API

    VMware Engine API를 사용하여 Compute Engine VPC와 비공개 서비스 액세스 연결을 만들려면 다음 안내를 따르세요.

    1. POST 요청을 수행하여 비공개 연결을 만듭니다.

      POST "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections?private_connection_id=PRIVATE_CONNECTION_ID"

'{
  "description": "My first private connection",
  "vmware_engine_network":
"projects/PROJECT_ID/locations/REGION/vmwareEngineNetworks/NETWORK_ID
  "type": "PRIVATE_SERVICE_ACCESS",
  "routing_mode": "MODE",
  "service_network":
"projects/SERVICE_NETWORKING_TENANT_PROJECT/global/networks/SERVICE_NETWORK"
}'

      다음을 바꿉니다.

      • PRIVATE_CONNECTION_ID: 요청의 비공개 연결 이름
      • REGION: 이 비공개 연결을 만들 리전
      • NETWORK_ID: 이 요청의 VMware Engine 네트워크
      • SERVICE_NETWORKING_TENANT_PROJECT: 이 서비스 네트워킹 테넌트 VPC의 프로젝트 이름. SNTP는 피어링 이름 servicenetworking-googleapis-comPEER_PROJECT 열에서 찾을 수 있습니다.
      • SERVICE_NETWORK: 테넌트 프로젝트의 네트워크

    2. (선택사항) 비공개 연결을 나열하려면 GET 요청을 수행합니다.

      GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections"

      다음을 바꿉니다.

      • PROJECT_ID: 이 요청의 프로젝트 이름
      • REGION: 비공개 연결을 나열할 리전

    비공개 연결 수정

    비공개 연결을 만든 후 수정할 수 있습니다. 만든 후에 GLOBALREGIONAL 중 하나로 라우팅 모드를 변경할 수 있습니다. Google Cloud CLI 또는 API에서 비공개 연결에 대한 설명을 업데이트할 수도 있습니다.

    콘솔

    1. Google Cloud 콘솔에서 비공개 연결 페이지로 이동합니다.

      비공개 연결로 이동

    2. 수정할 비공개 연결의 이름을 클릭합니다.

    3. 세부정보 페이지에서 수정을 클릭합니다.

    4. 연결의 설명 또는 라우팅 모드를 업데이트합니다.

    5. 변경사항을 저장합니다.

    gcloud

    gcloud vmware private-connections update 명령어를 실행하여 비공개 연결을 수정합니다.

    gcloud vmware private-connections update PRIVATE_CONNECTION_ID \
   --location=REGION \
   --description=DESCRIPTION \
   --routing-mode=MODE

    다음을 바꿉니다.

    • PROJECT_ID: 이 요청의 프로젝트 이름
    • REGION: 이 비공개 연결을 업데이트할 리전
    • DESCRIPTION: 사용할 새 설명
    • PRIVATE_CONNECTION_ID: 이 요청의 비공개 연결 ID
    • MODE: 라우팅 모드(GLOBAL 또는 REGIONAL)

    API

    VMware Engine API를 사용하여 비공개 연결을 수정하려면 PATCH 요청을 수행합니다.

    PATCH "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections/PRIVATE_CONNECTION_ID?update_mask=description, routing_mode"

'{
  "description": "Updated description for the private connection",
  "routing_mode": "MODE"
}'

    다음을 바꿉니다.

    • PROJECT_ID: 이 요청의 프로젝트 이름
    • REGION: 이 비공개 연결을 업데이트할 리전
    • PRIVATE_CONNECTION_ID: 요청의 비공개 연결 이름
    • MODE: 라우팅 모드(GLOBAL 또는 REGIONAL)

    비공개 연결 설명

    Google Cloud CLI 또는 VMware Engine API를 사용하여 비공개 연결에 대한 설명을 가져올 수 있습니다.

    gcloud

    gcloud vmware private-connections describe 명령어를 실행하여 비공개 연결에 대한 설명을 가져옵니다.

    gcloud vmware private-connections describe PRIVATE_CONNECTION_ID \
    --location=REGION

    다음을 바꿉니다.

    • PRIVATE_CONNECTION_ID: 요청의 비공개 연결 이름
    • REGION: 비공개 연결의 리전

    API

    VMware Engine API를 사용하여 비공개 연결에 대한 설명을 가져오려면 GET 요청을 수행합니다.

    GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections/PRIVATE_CONNECTION_ID"

    다음을 바꿉니다.

    • PROJECT_ID: 이 요청의 프로젝트 이름
    • PRIVATE_CONNECTION_ID: 이 요청의 비공개 연결 이름
    • REGION: 비공개 연결의 리전

    삭제한 비공개 연결이 비공개 연결 목록에 더 이상 표시되지 않으면 Google Cloud 콘솔에서 비공개 연결을 삭제할 수 있습니다. 이 단계를 순서대로 실행하지 않으면 두 Google Cloud 프로젝트 모두에서 비활성 DNS 항목이 발생할 수 있습니다.

    비공개 연결에 대한 피어링 경로 나열

    비공개 연결로 교환되는 피어링 경로를 나열하려면 다음을 수행합니다.

    콘솔

    1. Google Cloud 콘솔에서 비공개 연결 페이지로 이동합니다.

      비공개 연결로 이동

    2. 보려는 비공개 연결의 이름을 클릭합니다.

    세부정보 페이지에서는 가져오기 및 내보낸 경로를 설명합니다.

    gcloud

    gcloud vmware private-connections routes list 명령어를 실행하여 비공개 연결로 교환되는 피어링 경로를 나열합니다.

    gcloud vmware private-connections routes list \
    --private-connection=PRIVATE_CONNECTION_ID \
    --location=REGION

    다음을 바꿉니다.

    • PRIVATE_CONNECTION_ID: 이 요청의 비공개 연결 이름
    • REGION: 비공개 연결의 리전

    API

    VMware Engine API를 사용하여 비공개 연결로 교환되는 피어링 경로를 나열하려면 GET 요청을 수행합니다.

    GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections/PRIVATE_CONNECTION_ID/peeringRoutes"

    다음을 바꿉니다.

    • PROJECT_ID: 이 요청의 프로젝트 이름
    • REGION: 비공개 연결의 리전
    • PRIVATE_CONNECTION_ID: 이 요청의 비공개 연결 이름

    라우팅 한도

    프라이빗 클라우드가 수신할 수 있는 최대 경로 수는 200입니다. 예를 들어 이러한 경로는 온프레미스 네트워크, 피어링된 VPC 네트워크, 동일한 VPC 네트워크의 다른 프라이빗 클라우드에서 제공될 수 있습니다. 이 경로 한도는 BGP 세션 한도당 Cloud Router의 커스텀 경로 공지 최대 개수에 해당합니다.

    특정 리전에서는 비공개 서비스 액세스를 사용하여 VMware Engine에서 VPC 네트워크로의 고유 경로를 최대 100개까지 공지할 수 있습니다. 예를 들어 고유 경로에는 프라이빗 클라우드 관리 IP 주소 범위, NSX-T 워크로드 네트워크 세그먼트, HCX 내부 IP 주소 범위가 포함됩니다. 이 경로 한도는 리전의 모든 프라이빗 클라우드를 포함하며 Cloud Router의 학습된 경로 한도에 해당합니다.

    라우팅 한도에 대한 자세한 내용은 Cloud Router 할당량 및 한도를 참조하세요.

    문제 해결

    다음 동영상은 Google Cloud VPC와 Google Cloud VMware Engine 사이의 피어링 연결 이슈를 확인하고 해결하는 방법을 보여줍니다.

    다음 단계