Virtual Private Cloud(VPC) 개요
Virtual Private Cloud(VPC)는 Compute Engine 가상 머신(VM) 인스턴스, Google Kubernetes Engine(GKE) 클러스터, 서버리스 워크로드에 네트워킹 기능을 제공합니다. VPC는 클라우드 기반 리소스 및 서비스에 대해 확장 가능하고 유연한 글로벌 네트워킹을 제공합니다.
이 페이지에서는 VPC 개념 및 기능에 대해 개략적으로 설명합니다.
VPC 네트워크
VPC 네트워크는 Google Cloud 내에서 가상화된다는 점을 제외하면 물리적 네트워크와 동일한 방식으로 생각할 수 있습니다. VPC 네트워크는 데이터 센터의 리전별 가상 서브네트워크(서브넷) 목록으로 구성된 전역 리소스로, 모든 리소스는 전역 광역 통신망을 통해 연결됩니다. VPC 네트워크는 Google Cloud에서 논리적으로 서로 격리됩니다.
VPC 네트워크는 다음을 수행합니다.
- Compute Engine 가상 머신(VM) 인스턴스에 대한 연결을 제공하며 여기에는 Google Kubernetes Engine(GKE) 클러스터, 서버리스 워크로드, Compute Engine VM에 빌드된 기타 Google Cloud 제품이 포함됩니다.
- 내부 애플리케이션 부하 분산기용 내부 패스 스루 네트워크 부하 분산기 및 프록시 시스템을 제공합니다.
- Cloud VPN 터널 및 Cloud Interconnect용 VLAN 연결을 사용하여 온프레미스 네트워크에 연결합니다.
- Google Cloud 외부 부하 분산기에서 백엔드로 트래픽을 배포합니다.
VPC 네트워크에 대해 자세히 알아보세요.
방화벽 규칙
각 VPC 네트워크는 사용자가 구성할 수 있는 분산 가상 방화벽을 구현합니다. 방화벽 규칙을 사용하면 어떤 대상으로도 이동할 수 있는 패킷을 제어할 수 있습니다. 모든 VPC 네트워크에는 들어오는 모든 연결을 차단하고 나가는 모든 연결을 허용하는 두 가지 묵시적인 방화벽 규칙이 있습니다.
default
네트워크에는 네트워크의 인스턴스 간 통신을 허용하는 default-allow-internal
규칙을 비롯한 추가 방화벽 규칙이 있습니다.
방화벽 규칙에 대해 자세히 알아보세요.
경로
경로는 VM 인스턴스 및 VPC 네트워크에 인스턴스에서 네트워크 내부 또는 Google Cloud 외부에 있는 대상으로 트래픽을 보내는 방법을 알려줍니다. 각 VPC 네트워크에는 해당 서브넷 간에 트래픽을 라우팅하고 운영 가능한 인스턴스에서 인터넷으로 트래픽을 전송하는 몇 가지 시스템 생성 경로가 있습니다.
일부 패킷을 특정 대상으로 보내도록 커스텀 정적 경로를 만들 수 있습니다.
경로에 대해 자세히 알아보세요.
전달 규칙
경로가 인스턴스를 떠나는 트래픽을 제어하는 동안 전달 규칙은 트래픽을 IP 주소, 프로토콜, 포트를 기반으로 VPC 네트워크의 Google Cloud 리소스로 보냅니다.
일부 전달 규칙은 Google Cloud 외부에서 네트워크에 있는 대상으로 트래픽을 전달합니다. 그 외에는 네트워크 내부에서 트래픽을 전달합니다. 전달 규칙의 대상은 대상 인스턴스, 부하 분산기 대상(대상 프록시, 대상 풀, 백엔드 서비스) 및 Cloud VPN 게이트웨이입니다.
전달 규칙에 대해 자세히 알아보세요.
인터페이스 및 IP 주소
IP 주소
Compute Engine VM 인스턴스, 전달 규칙, GKE 컨테이너, App Engine과 같은 Google Cloud 리소스는 IP 주소를 사용하여 통신합니다.
IP 주소에 대해 자세히 알아보세요.
별칭 IP 범위
단일 VM 인스턴스에서 여러 서비스를 실행하는 경우 별칭 IP 범위를 사용하여 각 서비스에 서로 다른 내부 IP 주소를 지정할 수 있습니다. VPC 네트워크는 특정 서비스가 대상인 패킷을 해당 VM에 전달합니다.
별칭 IP 범위에 대해 자세히 알아보세요.
다중 네트워크 인터페이스
VM 인스턴스에 여러 네트워크 인터페이스를 추가할 수 있습니다. 각 인터페이스는 고유한 VPC 네트워크에 있습니다. 다중 네트워크 인터페이스를 통해 네트워크 어플라이언스 VM이 다른 VPC 네트워크 간 트래픽 또는 인터넷을 오가는 트래픽을 보호하는 게이트웨이 역할을 할 수 있습니다.
다중 네트워크 인터페이스에 대해 자세히 알아보세요.
VPC 공유 및 피어링
공유 VPC
한 프로젝트(호스트 프로젝트라고 함)의 VPC 네트워크를 Google Cloud 조직의 다른 프로젝트와 공유할 수 있습니다. 특정 IAM 권한을 사용하여 전체 공유 VPC 네트워크에 대한 액세스 권한을 부여하거나 해당 서브넷을 선택할 수 있습니다. 이를 통해 조직의 유연성을 유지하면서 공통 네트워크를 중앙 집중식으로 제어할 수 있습니다. 공유 VPC는 특히 대규모 조직에서 유용합니다.
공유 VPC에 대해 자세히 알아보세요.
VPC 네트워크 피어링
VPC 네트워크 피어링을 사용하면 Google Cloud에 software as a service(SaaS) 생태계를 구축하여 같은 프로젝트, 다른 프로젝트 또는 다른 조직의 프로젝트에 있는 다양한 VPC 네트워크에서 비공개로 서비스를 제공할 수 있도록 허용합니다.
VPC 네트워크 피어링을 사용하면 모든 통신이 내부 IP 주소를 사용하여 수행됩니다. 방화벽 규칙에 따라 피어링된 각 네트워크의 VM 인스턴스는 외부 IP 주소를 사용하지 않고도 서로 통신할 수 있습니다.
피어링된 네트워크는 비공개 IP 주소 범위의 서브넷 경로를 자동으로 교환합니다. VPC 네트워크 피어링을 사용하면 다음 유형의 경로를 교환할지 여부를 구성할 수 있습니다.
- 비공개로 재사용된 공개 IP 범위의 서브넷 경로
- 커스텀 정적 및 동적 경로
피어링된 각 네트워크의 네트워크 관리는 변경되지 않습니다. IAM 정책은 VPC 네트워크 피어링으로 교환되지 않습니다. 예를 들어 한 VPC 네트워크의 네트워크 및 보안 관리는 피어링된 네트워크의 역할을 자동으로 가져오지 않습니다.
VPC 네트워크 피어링에 대해 자세히 알아보세요.
하이브리드 클라우드
Cloud VPN
Cloud VPN을 사용하면 VPC 네트워크를 안전한 가상 사설망(VPN)을 통해 물리적 온프레미스 네트워크 또는 다른 클라우드 제공업체에 연결할 수 있습니다.
클라우드 VPN에 대해 자세히 알아보세요.
Cloud Interconnect
Cloud Interconnect를 사용하면 고속의 물리적 연결을 사용하여 VPC 네트워크를 온프레미스 네트워크에 연결할 수 있습니다.
Cloud Interconnect에 대해 자세히 알아보세요.
Cloud Load Balancing
Google Cloud는 여러 백엔드 유형 간에 트래픽 및 워크로드를 분산하기 위해 여러 전역 및 리전별 부하 분산 구성을 제공합니다. 자세한 내용은 Cloud Load Balancing 개요를 참조하세요.
특수 구성
비공개 Google 액세스
VPC 네트워크의 서브넷에 있는 인스턴스는 서브넷에 비공개 Google 액세스를 사용 설정하면 외부 IP 주소 대신 비공개 IP 주소를 사용하여 Google API 및 서비스와 통신할 수 있습니다.
비공개 Google 액세스에 대해 자세히 알아보세요.