사용자 IP 사용

사용자 IP 사용(BYOIP)으로 Google Cloud 리소스에 자체 공개 IPv4 주소를 프로비저닝하고 사용할 수 있습니다. Google Cloud는 가져온 IP 주소를 Google 제공 IP 주소와 동일한 방식으로 관리하며 다음과 같은 예외가 있습니다.

  • IP 주소는 IP 주소를 가져온 고객만 사용할 수 있습니다.

  • 유휴 또는 사용 중인 IP 주소에는 요금이 부과되지 않습니다.

라이브 마이그레이션을 사용하면 Google이 프리픽스의 경로 공지를 시작하는 시기를 제어할 수 있습니다. 라이브 마이그레이션은 기본적으로 사용할 수 없습니다. 액세스를 요청하려면 Google Cloud 담당자에게 문의하세요.

개요

Google에 자체 IP를 가져오려면 공지된 공개 프리픽스(PAP)를 만듭니다. ROA 및 역방향 DNS 검증을 통해 이 공지된 공개 프리픽스에 대한 소유권 확인이 수행됩니다. 확인이 완료되면 이 프리픽스가 인터넷에 공지되도록 구성되지만 프로비저닝될 때까지는 공지되지 않습니다. 공지된 공개 프리픽스가 프로비저닝되는 데 최대 4주가 걸립니다.

공지된 공개 프리픽스가 프로비저닝될 때까지 기다리는 동안 프리픽스를 공개 위임된 프리픽스(PDP)로 분할한 후 리전 또는 전역 범위를 갖도록 구성합니다. 그런 다음 공개 위임 프리픽스를 추가로 분할하거나 이를 사용하여 할당 가능한 IP 주소를 만들 수 있습니다. 공개 위임 프리픽스가 프로비저닝되는 데 최대 4주가 걸립니다.

공개 위임 프리픽스의 프로비저닝이 완료되면 공지된 공개 프리픽스가 인터넷에 공지됩니다. 라이브 마이그레이션을 사용하는 경우 라이브 마이그레이션 사용에서 추가 단계를 참조하세요.

그림 1. 공지된 공개 프리픽스 및 공개 위임 프리픽스를 만들기 위한 워크플로입니다.

공지된 공개 프리픽스

공지된 공개 프리픽스(PAP)는 Google Cloud에 가져오는 IP 프리픽스를 나타내는 Compute Engine의 리소스입니다. 이렇게 하면 자체 프리픽스의 IP 주소를 Google Cloud 리소스에 할당할 수 있습니다. 공지된 공개 프리픽스는 경로 공지의 단일 단위입니다. Google의 전역 백본은 모든 접속 지점에서 공지된 공개 프리픽스를 공지합니다. 공지된 공개 프리픽스의 IP 주소는 항상 프리미엄 등급의 네트워크 서비스 등급을 사용합니다.

새 공지된 공개 프리픽스를 만들 때는 최소 CIDR 크기가 /24인 IPv4 IP 범위가 있어야 합니다. 더 작은 CIDR 범위(예: /25)는 새로운 공지된 공개 프리픽스로 만들 수 없습니다. 하지만 만들고 나면 /24 또는 /23과 같은 공지된 공개 프리픽스를 더 작은 공개 위임 프리픽스로 나눌 수 있습니다.

공개 위임 프리픽스

공개 위임 프리픽스(PDP)는 단일 범위(특정 리전 또는 전역) 내에서 구성된 공지된 공개 프리픽스 내의 IP 블록입니다. IP 블록을 위임하고 범위에 할당해야 IP 주소를 프로젝트 또는 조직에 할당할 수 있습니다.

공지된 공개 프리픽스를 여러 공개 위임 공개 프리픽스로 나누고 Google Cloud 프로젝트에서 원하는 범위로 각 프리픽스를 구성할 수 있습니다. 단일 공개 위임 프리픽스를 여러 개의 작은 블록으로 나눌 수 있지만 이러한 블록의 범위는 상위 블록의 범위와 같아야 합니다. 주어진 범위에서 연속되지 않은 공개 위임 프리픽스를 여러 개 구성할 수 있습니다. 이러한 작은 블록은 공개 위임 프리픽스이지만 하위 프리픽스라고도 합니다.

IP 주소

공개 위임 프리픽스에서 IP 주소를 만드는 경우 IP 주소는 할당된 프로젝트 및 범위 내에서만 사용할 수 있습니다. 프로젝트에서 적절한 IAM 권한을 가진 사용자는 누구나 IP 주소를 사용할 수 있습니다.

  • 리전 IP 주소의 경우 compute.addresses.*

  • 전역 IP 주소의 경우 compute.globalAddresses.*

공개 IP 관리자 역할

BYOIP 프리픽스 및 주소의 관리자에게 Compute 공개 IP 관리자 역할(roles/compute.publicIpAdmin)을 할당하여 지정할 수 있습니다. 이 역할을 통해 조직 내에서 공개적으로 라우팅 가능한 IP를 관리할 수 있습니다.

공개 IP 관리자는 다음 작업을 수행할 수 있습니다.

  • 소유하고 있는 프로젝트에서 공지된 공개 프리픽스를 구성합니다.
  • 공지된 공개 프리픽스를 소유하고 있는 프로젝트의 공개 위임 프리픽스로 구성합니다.
  • 공개 위임 프리픽스에서 하위 프리픽스를 조직의 특정 프로젝트에 위임합니다.
  • 공개 위임 프리픽스에서 조직의 특정 프로젝트로 이전에 위임한 하위 프리픽스를 취소합니다.
  • 공개 위임 프리픽스를 삭제합니다.

배포 계획

프로비저닝 및 삭제 프로세스를 완료하는 데 몇 주가 걸릴 수 있으므로 배포를 계획하는 것이 중요합니다. 프로비저닝 타임라인 및 허용되는 프리픽스 크기에 대한 자세한 내용은 제한사항을 참조하세요.

배포를 계획할 때 고려해야 할 몇 가지 사항은 다음과 같습니다.

  • BYOIP 주소 관리 담당자 일반적으로 관리자 또는 그룹이지만 대개 개별 프로젝트를 관리하는 사용자와 같지 않습니다. IAM 역할 및 권한을 사용하여 프로비저닝하려는 공지된 공개 프리픽스 및 공개 위임 프리픽스에 대한 권한이 있는 사용자를 구분합니다.

  • 프리픽스 관리 방식 여러 프로젝트에서 BYOIP 주소를 사용하려 할 수 있습니다. IP 주소의 최종 대상 위치와 다른 프로젝트의 프리픽스를 중앙에서 관리할 수 있습니다. 공개 IP 관리자 권한이 있는 사용자 및 그룹을 포함한 자체 프로젝트에서 프리픽스 관리를 격리하는 것이 좋습니다. 이렇게 격리하면 프리픽스 관리를 혼동하거나 프리픽스를 부주의하게 사용하거나 무단으로 사용하는 것을 방지할 수 있습니다. 자세한 내용은 프로젝트 아키텍처를 참조하세요.

  • 프리픽스 이름 지정 방식 모든 BYOIP 리소스(공지된 공개 프리픽스, 공개 위임 프리픽스, 하위 프리픽스)에는 이름이 필요하며, 이름은 각 리소스를 관리하는 데 사용됩니다. 리소스를 만드는 동안 이름을 할당할 수 있으며 이름을 변경하려면 리소스를 삭제하고 다시 만들어야 합니다. 이러한 이유로 쉽게 관리할 수 있는 이름을 만드는 것이 좋습니다. 예를 들어 pap-203-0-113-0-24, pdp-203-0-113-0-25, sub-203-0-113-0-28은 문자가 리소스 유형을 나타내고 번호는 특정 프리픽스와 프리픽스 길이를 나타냅니다.

  • IP 주소 프로비저닝 위치 프로비저닝 프로세스를 리전(또는 전역 범위)으로 IP를 '저장'하는 것으로 간주하면 좋습니다. IP 주소를 저장하는 프로비저닝 프로세스는 완료되는 데 몇 주가 걸릴 수 있으므로 필요하기 훨씬 전에 공개 위임 프리픽스를 계획하고 배포하는 것이 유용합니다.

    공개 위임 프리픽스의 모든 IP를 즉시 사용할 필요는 없습니다. 필요한 위치가 확실하지 않으면 사용할 위치가 확실한 공개 위임 프리픽스만 프로비저닝하세요. 공개 위임 프리픽스를 이동하려면 완전히 삭제한 다음 다시 생성해야 하므로 최대 8주가 걸릴 수 있습니다.

    공개 위임 프리픽스 프로비저닝이 완료되면 하위 프리픽스를 프로젝트에 위임하고 리소스에 사용할 주소를 만들 수 있습니다. 리전에 BYOIP 주소가 필요하다고 예상되면 공개 위임 프리픽스 프로비저닝 프로세스를 미리 완료하여 나중에 필요할 때 주소 지정 요구사항을 충족할 수 있습니다.

    예를 들어 /24라는 공지된 공개 프리픽스가 있다고 가정해 보겠습니다. us-central1에는 일부 IP 주소가 필요하고 전역 부하 분산기의 일부 IP 주소가 필요하며 나중에 사용할 수 있도록 일부 IP 주소를 예약하려고 합니다. 다음 계획을 만들면 됩니다.

    프리픽스 유형 프리픽스 범위
    공지된 공개 프리픽스 203.0.113.0/24
    공개 위임 프리픽스 203.0.113.0/28 us-central1
    공개 위임 프리픽스 203.0.113.16/28 전역
    나중에 사용하기 위해 예약된 나머지 IP 주소

라이브 마이그레이션

라이브 마이그레이션은 상세하게 계획하고 실행해야 하는 강력한 기능입니다.

프리픽스의 일부가 이미 공개적으로 공지된 경우 라이브 마이그레이션을 사용하여 BYOIP 프리픽스를 가져옵니다. 라이브 마이그레이션을 사용하지 않고 공지된 프리픽스를 가져오면 예기치 않은 라우팅 및 패킷 손실이 발생할 수 있습니다.

라이브 마이그레이션은 제한적으로만 제공됩니다. 라이브 마이그레이션이 사용 설정된 공개 위임 프리픽스를 만들기 전에 액세스할 수 있도록 Google Cloud 담당자에게 문의하세요.

공개 위임 프리픽스를 만들 때 라이브 마이그레이션을 사용 설정합니다. Google에서 공지된 공개 프리픽스를 피어에 공지하는 것을 방지하려면 다음을 확인해야 합니다.

  • 공지된 공개 프리픽스 내의 모든 공개 위임 프리픽스는 전역 범위가 아니라 리전 범위로 구성됩니다. 자세한 내용은 라이브 마이그레이션 권장사항을 참조하세요.

  • 공지된 공개 프리픽스 범위에 있는 IP 주소가 리소스에 할당되지 않습니다.

그림 2는 서로 다른 구성이 있는 동일한 프로젝트를 표시합니다. 그 중 하나는 프리픽스 공지가 허용되지 않고, 2개는 공지된 공개 프리픽스를 공지합니다.

그림 2. 라이브 마이그레이션 중 공지된 공개 프리픽스 공지(확대하려면 클릭)

그림 2는 다음 시나리오를 보여줍니다.

  • 첫 번째 프로젝트 예에서는 공지된 공개 프리픽스의 모든 공개 위임 프리픽스가 라이브 마이그레이션을 사용 설정하도록 구성됩니다. 이 프리픽스의 IP 주소로 구성된 VM은 없습니다.

    결과: 공지된 공개 프리픽스는 공지되지 않습니다.

  • 두 번째 프로젝트 예에서는 공지된 공개 프리픽스의 모든 공개 위임 프리픽스가 라이브 마이그레이션을 사용 설정하도록 구성됩니다. VM 하나가 이 프리픽스의 IP 주소로 구성됩니다.

    결과: 공지된 공개 프리픽스가 공지됩니다.

  • 세 번째 프로젝트 예시에서는 공지된 공개 프리픽스 내의 공개 위임 프리픽스 하나가 라이브 마이그레이션을 사용하도록 구성되지 않았습니다. 이 프리픽스의 IP 주소로 구성된 VM은 없습니다.

    결과: 공지된 공개 프리픽스가 공지됩니다.

공개 위임 프리픽스의 IP 주소를 Google Cloud 리소스에 할당하여 공지가 시작되는 시기를 제어합니다. 자세한 내용은 라이브 마이그레이션 사용을 참조하세요.

라이브 마이그레이션이 완료되면 프리픽스에 대한 라이브 마이그레이션을 중지할 수 있도록 Google Cloud 담당자에게 문의하세요. 기본적으로 공지된 공개 프리픽스의 공지를 시작하면 30일 후에 라이브 마이그레이션이 사용 중지됩니다. 라이브 마이그레이션 옵션을 30일 넘게 사용해야 하는 경우 Google Cloud 담당자에게 문의하세요.

라이브 마이그레이션 제한사항

라이브 마이그레이션을 계획할 때는 다음과 같은 요구사항과 제한사항을 이해해야 합니다.

  • 범위가 전역으로 설정된 경우 라이브 마이그레이션이 사용 설정된 공개 위임 프리픽스 만들기는 지원되지 않습니다. 전역 리소스의 라이브 마이그레이션 관리에 대한 자세한 내용은 라이브 마이그레이션 권장사항을 참조하세요.

  • /24는 인터넷에서 라우팅 가능한 최대 프리픽스 길이이므로 마이그레이션할 수 있는 가장 긴 프리픽스는 /24입니다.

  • 모든 Google 피어가 두 사이트 사이의 가장 긴 프리픽스를 사용한다고 가정하지 마세요. 일부 피어에는 전체 라우팅 테이블이 없을 수 있습니다. 따라서 Google이 이러한 피어에 공지하는 짧은 프리픽스는 피어가 보는 유일한(따라서 가장 긴) 프리픽스입니다. 따라서 온프레미스 위치에서 보다 구체적인 경로를 공지하더라도 Google의 프리픽스가 우선적으로 적용됩니다.

    예를 들면 다음과 같습니다.

    고객에게는 온프레미스 위치에서 자주 라우팅되는 /23이 있습니다. 고객은 /23을 두 개의 /24 프리픽스로 분할하고 온프레미스 위치에서 더 구체적인 경로를 공지합니다. 분할한 후에는 BYOIP의 /23 공지된 공개 프리픽스를 구성할 계획입니다. 또한 온프레미스 위치의 더 구체적인 경로가 더 짧은 BYOIP 프리픽스보다 우선하며 해당 트래픽은 더 구체적인 온프레미스 프리픽스로 계속 라우팅된다고 가정합니다.

    하지만 이 계획은 부분적으로만 작동합니다.

    • 전체 라우팅 테이블이 있는 Google 피어는 좀 더 구체적인 /24 온프레미스 프리픽스를 선호합니다.

    • 전체 라우팅 테이블이 없는 Google 피어는 라우팅 테이블에 더 구체적인 프리픽스가 포함되지 않으므로 Google의 공지된 공개 프리픽스를 선호합니다.

  • Google이 서비스를 프로비저닝하지 않은 유효한 공지된 공개 프리픽스의 트래픽을 수신하는 경우 해당 프리픽스에 대해 활성 온프레미스 공지가 있더라도 트래픽이 전달되지 않습니다.

    예를 들면 다음과 같습니다.

    고객은 2개의 /24 프리픽스로 구성된 온프레미스 네트워크를 보유하고 있습니다. 공지된 공개 프리픽스는 집계 /23입니다.

    고객은 단일 /24를 Google로 마이그레이션하고 온프레미스 프리픽스를 취소하지만 다른 /24는 온프레미스 위치에 활성 상태로 유지합니다.

    이 구성을 사용하면 온프레미스 위치에서 공지된 더 구체적인 /24 프리픽스가 여전히 있어도 전체 /23 프리픽스에 대한 일부 트래픽이 Google로 라우팅됩니다. 다양한 자율 시스템에서 온프레미스 위치로 트래픽을 전송하지만 일부는 Google에 전송되어 트래픽이 삭제되므로 이 시나리오는 진단하기 어렵습니다.

라이브 마이그레이션 권장사항

라이브 마이그레이션을 사용할 때 다음 권장사항을 따르는 것이 좋습니다.

  • 모든 라이브 마이그레이션 프리픽스를 마이그레이션 중에 이러한 프리픽스를 공지할 방법을 반영하는 가장 긴 프리픽스로 분할합니다. 앞의 예시에서 /23을 두 개의 /24 프리픽스로 분할하고 온프레미스 위치에서 공지한 후 공지된 공개 프리픽스를 만들어야 합니다.

  • 정확한 프리픽스 길이 ROA 요청을 작성하고 적용할 최대 길이 매개변수를 사용하지 마세요.

  • 온프레미스 시작점 ASN과 Google의 시작점 ASN 모두에 RPKI ROA 요청이 있는지 확인합니다. 온프레미스 프리픽스에 ROA가 없는 경우 Google 시작점 ROA를 만들면 타사 ISP가 자동 RPKI 필터링을 사용할 경우 온프레미스 프리픽스를 필터링할 수 있습니다.

  • 라이브 마이그레이션을 사용해야 하는 경우 전역 리소스와 리전별 리소스에 공지된 공개 프리픽스를 별도로 만듭니다. 공개 위임 프리픽스에 라이브 마이그레이션을 사용 설정할 때 범위의 리전을 지정해야 합니다. 라이브 마이그레이션이 사용 설정된 공개 위임 프리픽스에 전역 범위를 지정하는 것은 지원되지 않습니다. 전역 범위와 라이브 마이그레이션이 사용 설정된 공개 위임 프리픽스를 만드는 경우 프리픽스가 즉시 공지됩니다.

    하나의 공지된 공개 프리픽스에 리전 프리픽스가 있고 다른 공지된 공개 프리픽스에 전역 프리픽스가 있으면 별도로 관리할 수 있습니다. 리전별 리소스의 라이브 마이그레이션을 관리하고 Google Cloud 담당자에게 문의하여 전역 리소스의 라이브 마이그레이션을 관리할 수 있습니다.

프로젝트 아키텍처

조직 수준에서 IAM 권한과 공유 VPC 같은 기능을 활용하려면 조직을 사용하는 것이 좋습니다. 조직 사용에 대한 자세한 내용은 조직 만들기 및 관리를 참조하세요.

조직의 BYOIP 주소 관리

조직에 속한 프로젝트의 이 예시에서는 BYOIP 주소를 관리하는 데 사용되는 전용 프로젝트 Public IP Project가 있습니다. 조직의 공개 IP 관리자는 Public IP Project에 공지된 공개 프리픽스 및 공개 위임 프리픽스를 만들었습니다.

VPC Project에 공개 IP 주소가 필요하면 조직의 공개 IP 관리자가 VPC Project에 IP 주소를 만듭니다.

조직에는 여러 프로젝트가 포함될 수 있으며 공개 IP 관리자는 Public IP Project에서 IP 주소를 모든 프로젝트에 위임할 수 있습니다.

그림 3. 조직 및 프로젝트를 사용하여 BYOIP 주소를 관리할 수 있습니다.

공유 VPC를 사용하여 BYOIP 주소 관리

공유 VPC가 포함된 조직의 이 예시에서는 BYOIP 주소를 관리하는 데 사용되는 전용 프로젝트 Public IP Project가 있습니다. 조직의 공개 IP 관리자가 Public IP Project에 공지된 공개 프리픽스 및 공개 위임 프리픽스를 만들었습니다.

Shared VPC Host Project 또는 관련 서비스 프로젝트에 공개 IP 주소가 필요하면 조직의 공개 IP 관리자가 Shared VPC Host Project에 IP 주소를 만듭니다. 호스트 프로젝트와 서비스 프로젝트는 호스트 프로젝트의 BYOIP 주소에 액세스할 수 있습니다.

공유 VPC 서비스 프로젝트에서 IP 주소 만들기는 지원되지 않습니다.

그림 4. BYOIP 주소를 공유 VPC 호스트 프로젝트에 위임할 수 있지만 공유 VPC 서비스 프로젝트에는 위임할 수 없습니다. 그러나 서비스 프로젝트는 호스트 프로젝트에 위임된 BYOIP 주소를 사용할 수 있습니다.

조직 없이 BYOIP 주소 관리

조직에 속하지 않은 프로젝트를 사용하는 경우 BYOIP 주소 관리를 위한 별도의 프로젝트를 만들 수 없습니다. BYOIP 주소가 필요한 동일한 프로젝트에서 공지된 공개 프리픽스 및 공개 위임 프리픽스를 만듭니다.

다음 단계