온프레미스 호스트의 비공개 Google 액세스

온프레미스 호스트는 온프레미스 네트워크부터 Google Cloud까지 이어지는 Cloud VPN 또는 Cloud Interconnect 연결을 통해 Google API 및 서비스에 도달할 수 있습니다. 온프레미스 호스트는 다음 유형의 소스 IP 주소에서 트래픽을 전송합니다.

  • 비공개 IP 주소(예: RFC 1918 주소)
  • Google 소유 공개 IP 주소를 제외한 비공개로 사용된 공개 IP 주소. 온프레미스 호스트의 비공개 Google 액세스에는 온프레미스 네트워크의 소스로 Google 비공개 IP 주소를 재사용할 수 없습니다.

온프레미스 호스트에 비공개 Google 액세스를 사용 설정하려면 온프레미스 및 VPC 네트워크에 DNS, 방화벽 규칙, 경로를 구성해야 합니다. Google Cloud VM 인스턴스에 비공개 Google 액세스를 사용 설정하는 것과 마찬가지로 VPC 네트워크의 서브넷에 비공개 Google 액세스를 사용 설정할 필요는 없습니다.

온프레미스 호스트는 restricted.googleapis.com 또는 private.googleapis.com 도메인의 가상 IP 주소(VIP)를 사용하여 Google API 및 서비스에 연결되어야 합니다. 자세한 내용은 비공개 Google 액세스별 도메인 및 VIP를 참조하세요.

Google은 도메인이 VIP 범위로 확인되는 DNS A 레코드를 공개적으로 게시합니다. 범위에 외부 IP 주소가 포함되더라도 Google은 이에 대한 경로를 게시하지 않습니다. 따라서 Cloud Router에서 커스텀 공지 경로를 추가하고 VIP 목적지의 VPC 네트워크에 적절한 커스텀 정적 경로가 있어야 합니다.

경로에는 VIP 범위 중 하나와 일치하는 대상이 있어야 하고 다음 홉은 기본 인터넷 게이트웨이여야 합니다. Google이 VIP 범위에 대한 경로를 외부에 공개하지 않기 때문에 이 VIP 범위로 전송된 트래픽은 공개 인터넷을 거치지 않고 Google 네트워크를 벗어나지 않습니다.

구성 정보는 온프레미스 호스트의 비공개 Google 액세스 구성을 참조하세요.

지원되는 서비스

온프레미스 호스트에서 사용할 수 있는 서비스는 액세스에 사용되는 도메인 이름 및 VIP에서 지원되는 서비스로 제한됩니다. 자세한 내용은 도메인 옵션을 참조하세요.

아래의 예시에서 온프레미스 네트워크는 Cloud VPN 터널을 통해 VPC 네트워크에 연결됩니다. 온프레미스 호스트에서 Google API로 전달되는 트래픽은 터널을 통해 VPC 네트워크로 이동합니다. VPC 네트워크에 도착한 트래픽은 기본 인터넷 게이트웨이를 다음 홉으로 사용하는 경로를 통해 전송됩니다. 다음 홉은 트래픽이 VPC 네트워크를 떠나 restricted.googleapis.com(199.36.153.4/30)로 전달되도록 합니다.

하이브리드 클라우드 사용 사례를 위한 비공개 Google 액세스
하이브리드 클라우드 사용 사례를 위한 비공개 Google 액세스(확대하려면 클릭)
  • 온프레미스 DNS 구성은 *.googleapis.com 요청을 199.36.153.4/30으로 확인되는 restricted.googleapis.com에 매핑합니다.
  • Cloud Router는 커스텀 공지 경로를 사용하여 Cloud VPN 터널을 통해 199.36.153.4/30 IP 주소 범위를 공지하도록 구성되었습니다. Google API로 이동하는 트래픽은 터널을 통해 VPC 네트워크로 라우팅됩니다.
  • 대상이 199.36.153.4/30인 트래픽을 기본 인터넷 게이트웨이(다음 홉)로 전달하는 VPC 네트워크에 커스텀 정적 경로가 추가되었습니다. 그러면 Google은 적절한 API 또는 서비스로 트래픽을 라우팅합니다.
  • 199.36.153.4/30에 매핑되는 *.googleapis.com에 대해 Cloud DNS 관리형 비공개 영역을 만들고 VPC 네트워크에서 사용하도록 해당 영역을 승인했으면 googleapis.com 도메인의 모든 영역에 대한 요청은 restricted.googleapis.com에서 사용되는 IP 주소로 전송됩니다. 지원되는 API만 이 구성으로 액세스할 수 있어 다른 서비스는 도달하지 못할 수도 있습니다. Cloud DNS는 부분 재정의를 지원하지 않습니다. 부분 재정의가 필요하다면 BIND를 사용하세요.

다음 단계