비공개 서비스 액세스 설정

비공개 서비스 액세스는 Virtual Private Cloud(VPC) 네트워크와 VMware Engine의 네트워크 간의 비공개 연결입니다. 이 페이지에서는 Google Cloud VMware Engine에 대한 비공개 서비스 액세스를 설정하고 VPC 네트워크를 프라이빗 클라우드에 연결하는 방법을 설명합니다.

비공개 서비스 액세스를 사용하면 다음 동작이 가능합니다.

  • VPC 네트워크와 VMware VM에서 가상 머신(VM) 인스턴스의 내부 IP 주소에 의한 독점적인 통신. VM 인스턴스는 비공개 서비스 액세스를 통해 사용 가능한 서비스에 도달하기 위해 인터넷 액세스 또는 외부 IP 주소가 필요하지 않습니다.
  • 내부 IP 주소를 사용하여 비공개 서비스 액세스를 지원하는 VMware VM과 Google Cloud 지원 서비스 간의 통신
  • Cloud VPN이나 Cloud Interconnect를 사용하여 온프레미스를 VPC 네트워크에 연결한 경우 기존 온프레미스 연결을 사용하여 VMware Engine 프라이빗 클라우드에 연결합니다.

VMware Engine 프라이빗 클라우드 만들기와 별개로 비공개 서비스 액세스를 설정할 수 있습니다. 비공개 연결은 VPC 네트워크를 연결할 프라이빗 클라우드를 만들기 전후에 생성될 수 있습니다.

특정 리전에서는 비공개 서비스 액세스를 사용하여 VMware Engine에서 VPC 네트워크로의 고유 경로를 최대 100개까지 설정할 수 있습니다. 예를 들어 프라이빗 클라우드 관리 주소, NSX-T 워크로드 세그먼트, HCX 네트워크 주소가 포함됩니다.

시작하기 전에

  1. VMware Engine에 연결할 때 사용할 기존 VPC 네트워크가 있어야 합니다.
  2. Cloud VPN을 기반으로 온프레미스를 연결한 경우 Cloud VPN 세션에 연결된 VPC 네트워크를 선택합니다. Cloud Interconnect를 기반으로 온프레미스를 연결한 경우 Cloud Interconnect VLAN 연결이 종료되는 VPC 네트워크를 선택합니다.
  3. 프로젝트에서 Service Networking API를 활성화합니다.
  4. 프로젝트 소유자와 Compute 네트워크 관리자 역할이 있는 IAM 구성원(roles/compute.networkAdmin)은 할당된 IP 범위를 만들고 비공개 연결을 관리할 수 있습니다.
  5. 비공개 서비스 연결, 프라이빗 클라우드 관리, 워크로드 네트워크 세그먼트에 주소 범위를 할당해야 합니다. 이렇게 하면 VPC 네트워크 서브넷과 VMware Engine에서 사용하는 IP 주소 간에 IP 주소 충돌이 발생하지 않습니다.

멀티 VPC 연결

VMware Engine을 사용하면 Google Cloud에 배포된 기존 VPC 아키텍처를 변경할 필요 없이 서로 다른 VPC 네트워크에서 동일한 프라이빗 클라우드에 액세스할 수 있습니다. 예를 들어 멀티 VPC 연결은 테스트 및 개발을 위한 별도의 VPC 네트워크가 있는 경우에 유용합니다. 이러한 상황에서는 VPC 네트워크가 동일한 프라이빗 클라우드 또는 여러 프라이빗 클라우드에 있는 별도의 vSphere 리소스 그룹 내 VMware VM 또는 다른 대상 주소와 통신해야 합니다.

기본적으로 리전별로 VPC 네트워크 3개를 피어링할 수 있습니다. 이 피어링 한도에는 인터넷 액세스 및 공개 IP 서비스에서 사용하는 VPC 피어링이 포함됩니다. 이 한도를 늘리려면 클라우드 고객 관리에 문의하세요.

공유 VPC

공유 VPC를 사용하는 경우 호스트 프로젝트에서 할당된 IP 범위와 비공개 연결을 만듭니다. 이러한 작업은 일반적으로 호스트 프로젝트의 네트워크 관리자가 수행해야 합니다. 서비스 프로젝트의 VM 인스턴스는 호스트 프로젝트가 설정된 후 비공개 연결을 사용할 수 있습니다.

비공개 연결 만들기

  1. 비공개 서비스 액세스 구성에 설명된 대로 Google Cloud 서비스 제작자 간에 공유되는 VPC 네트워크의 주소 범위를 할당합니다.
  2. 비공개 연결 만들기에 설명된 단계를 따릅니다.
  3. 비공개 연결이 성공적으로 생성되면 servicenetworking-googleapis-com이라는 연결이 VPC 네트워크의 비공개 서비스 연결 테이블에 나열됩니다.
  4. servicenetworking-googleapis-com 비공개 연결에서 커스텀 경로 가져오기/내보내기를 사용 설정합니다. 자세한 내용은 피어링 연결 업데이트를 참조하세요.

VMware Engine 포털에서 비공개 연결 만들기 완료

  1. Google Cloud Console에서 VPC 네트워크 > VPC 네트워크 피어링으로 이동합니다. 이름이 servicenetworking-googleapis-com인 VPC 네트워크 피어링 연결이 피어링 테이블에 나열됩니다.
  2. VMware Engine 포털에서 비공개 연결을 설정할 때 사용할 수 있도록 피어링된 프로젝트 ID를 복사합니다.
  3. VMware Engine 포털에 액세스합니다.
  4. 네트워크 > 비공개 연결로 이동합니다.
  5. 비공개 연결 추가를 클릭합니다.
  6. 피어 프로젝트 ID피어 프로젝트 번호 필드에 피어링할 VPC 네트워크가 포함된 Google Cloud 프로젝트의 프로젝트 ID와 번호를 입력합니다. 이러한 값을 가져오는 방법에 대한 자세한 내용은 프로젝트 식별을 참조하세요.
  7. 피어 VPC ID 필드에 피어링할 VPC 네트워크 이름을 입력합니다. VPC 네트워크 ID를 가져오는 방법에 대한 자세한 내용은 네트워크 보기를 참조하세요.
  8. 테넌트 프로젝트 ID 필드에 2단계에서 복사한 피어링된 프로젝트 ID를 붙여넣습니다.
  9. 연결할 VMware Engine 리전을 선택합니다.
  10. 이 VPC 네트워크 피어링 연결의 라우팅 모드를 선택합니다. 대부분의 경우 전역 라우팅 모드를 선택하는 것이 좋습니다. VPC 네트워크와 피어링된 Google 서비스에서 리전 간에 통신하지 않도록 하려면 대신 리전 라우팅 모드를 선택합니다. 이 선택은 기존 라우팅 모드를 재정의합니다.
  11. 제출을 클릭합니다.

리전 상태연결됨인 경우 해당 리전의 비공개 연결을 선택할 수 있습니다. 비공개 연결 세부정보 페이지에 비공개 연결의 라우팅 모드와 VPC 피어링을 통해 학습된 모든 경로가 표시됩니다.

내보낸 경로에는 리전에서 학습하고 VPC 피어링을 통해 내보낸 프라이빗 클라우드를 표시됩니다. 여러 VPC 네트워크가 동일한 VMware Engine 리전 네트워크에 피어링된 경우 VPC 네트워크 하나에서 수신된 경로가 다른 VPC 네트워크로 공지되지 않습니다.

비공개 서비스 액세스 삭제

비공개 연결을 삭제하려면 먼저 VMware Engine 포털에서 비공개 연결을 삭제합니다.

  1. Google Cloud Console에서 VPC 네트워크 > VPC 네트워크 피어링으로 이동합니다. servicenetworking-googleapis-com이라는 VPC 네트워크 피어링 연결이 피어링 테이블에 나열됩니다.
  2. 피어링된 프로젝트 ID를 기록합니다.
  3. VMware Engine 포털에서 네트워크 > 비공개 연결로 이동합니다.
  4. 2단계에서 기록한 피어링된 프로젝트 ID와 일치하는 테넌트 프로젝트가 있는 비공개 연결을 찾아 삭제합니다.

삭제한 비공개 연결이 비공개 연결 목록에 더 이상 표시되지 않으면 Google Cloud Console에서 비공개 연결을 삭제할 수 있습니다. 이 단계를 순서대로 실행하지 않으면 두 Cloud 프로젝트 모두에서 비활성 DNS 항목이 발생할 수 있습니다.