서브넷

Virtual Private Cloud(VPC) 네트워크는 전역 리소스입니다. 각 VPC 네트워크는 서브넷이라는 하나 이상의 IP 주소 범위로 구성됩니다. 서브넷은 리전 리소스이며 서브넷과 연결된 IP 주소 범위가 있습니다.

Google Cloud에서 서브넷과 서브네트워크라는 용어는 동의어입니다. Google Cloud 콘솔, Google Cloud CLI 명령어, API 문서에서는 서로 바꿔서 사용됩니다.

네트워크 및 서브넷

네트워크를 사용하려면 네트워크에 한 개 이상의 서브넷이 있어야 합니다. 자동 모드 VPC 네트워크는 각 리전에 자동으로 서브넷을 만듭니다. 커스텀 모드 VPC 네트워크는 서브넷 없이 시작되므로 서브넷 만들기를 전적으로 제어할 수 있습니다. 한 리전에 두 개 이상의 서브넷을 만들 수 있습니다. 자동 모드와 커스텀 모드 VPC 네트워크의 차이점에 대한 자세한 내용은 VPC 네트워크 유형을 참조하세요.

Google Cloud에서 리소스를 만들 때 네트워크와 서브넷을 선택합니다. 인스턴스 템플릿 이외의 리소스를 만들 때는 영역 또는 리전도 선택합니다. 영역을 선택하면 상위 리전도 암시적으로 선택됩니다. 서브넷은 리전 객체이므로 리소스에 선택한 리전에 따라 리소스에서 사용할 수 있는 서브넷이 결정됩니다.

• 인스턴스를 만들 때 인스턴스의 영역을 선택합니다. VM에 사용할 네트워크를 선택하지 않으면 모든 리전에 서브넷이 있는 기본 VPC 네트워크가 사용됩니다. VM에 사용할 네트워크를 선택할 경우 선택한 영역의 상위 리전에 서브넷이 포함된 네트워크를 선택해야 합니다.

• 관리형 인스턴스 그룹을 만들 때 그룹 유형 및 인스턴스 템플릿에 따라 영역 또는 리전을 선택합니다. 인스턴스 템플릿은 사용할 VPC 네트워크를 정의합니다. 따라서 관리형 인스턴스 그룹을 만들 때는 적절한 구성의 인스턴스 템플릿을 선택해야 합니다. 템플릿은 선택한 영역 또는 리전에 서브넷이 있는 VPC 네트워크를 지정해야 합니다. 자동 모드 VPC 네트워크는 항상 모든 리전에서 하나의 서브넷을 가집니다.

• Kubernetes 컨테이너 클러스터를 만드는 프로세스에는 영역 또는 리전(클러스터 유형에 따름), 네트워크, 서브넷을 선택하는 과정이 포함됩니다. 선택한 영역 또는 리전에서 제공되는 서브넷을 선택해야 합니다.

서브넷 유형

VPC 네트워크는 다음과 같은 서브넷 유형을 지원합니다.

• IPv4 서브넷 범위만 있는 IPv4 전용(단일 스택) 서브넷

• IPv4 및 IPv6 서브넷 범위가 있는 IPv4 및 IPv6(이중 스택) 서브넷

단일 VPC 네트워크에는 이러한 서브넷 유형의 모든 조합이 포함될 수 있습니다.

서브넷을 만들 때 사용할 스택 유형을 지정합니다. 또한 기존 IPv4 전용 서브넷을 업데이트하여 이중 스택 서브넷으로 구성할 수도 있습니다.

이중 스택 서브넷은 커스텀 모드 VPC 네트워크에서만 지원됩니다. 이중 스택 서브넷은 자동 모드 VPC 네트워크 또는 기존 네트워크에서 지원되지 않습니다.

IPv4 서브넷 범위를 만들 때 다음 정보를 제공합니다.

IPv6 서브넷 범위를 만들 때 다음 정보를 제공합니다.

서브넷 용도

서브넷은 다른 용도로 사용할 수 있습니다.

• 일반 서브넷: 기본 서브넷 유형입니다. 일반 서브넷은 사용자에 의해 생성되거나 VM 인스턴스에 사용하도록 자동 모드 VPC 네트워크에 자동으로 생성됩니다. 일반 서브넷은 gcloud CLI 또는 API에서 PRIVATE 용도로 사용됩니다. Google Cloud 콘솔에서 용도는 없음입니다.
• Private Service Connect 서브넷: Private Service Connect를 사용하여 관리형 서비스를 게시하는 데 사용할 서브넷입니다.
• 프록시 전용 서브넷: 리전별 Envoy 기반 부하 분산기에 사용할 프록시 전용 서브넷입니다.
• Private NAT 서브넷: Private NAT의 소스 범위로 사용하도록 예약된 서브넷입니다. 이 서브넷은 --purpose=PRIVATE_NAT로 설정됩니다.

대부분의 경우 서브넷을 만든 후에는 서브넷의 용도를 변경할 수 없습니다. 자세한 내용은 gcloud compute networks subnets update 명령어 참조를 참조하세요.

서브넷 이름 지정 제한사항

서브넷 이름에는 다음과 같은 제한사항이 있습니다.

• Google Cloud 프로젝트 내에서 서브넷은 VPC 네트워크의 구성원이 아닌 한 VPC 네트워크와 같은 이름을 가질 수 없습니다. 프로젝트 내에서 동일한 리전의 서브넷은 고유한 이름을 가져야 합니다. 예를 들어 이름이 production인 네트워크에는 각 서브넷이 각각 고유한 리전에 있으면 이름이 동일하게 production인 서브넷이 여러 개 있을 수 있습니다.

• 서브넷을 만든 후에는 서브넷의 이름 또는 리전을 변경할 수 없습니다. 하지만 리소스에서 서브넷을 사용하지 않으면 서브넷을 삭제하고 대체할 수 있습니다.

IPv4 서브넷 범위

서브넷마다 기본 IPv4 주소 범위가 있습니다. VM 인스턴스, 내부 부하 분산기, 내부 프로토콜 전달 등의 서브넷 기본 범위에서 다음 리소스의 기본 내부 주소를 가져옵니다. 원하는 경우 별칭 IP 범위에서만 사용되는 보조 IP 주소 범위를 서브넷에 추가할 수 있습니다. 하지만 서브넷의 기본 또는 보조 범위에서 인스턴스의 별칭 IP 범위를 구성할 수 있습니다.

IPv4 서브넷에 사전 정의된 연속 CIDR 블록을 구성할 필요는 없지만 원하는 경우 구성할 수 있습니다. 예를 들어 자동 모드 VPC 네트워크는 사전 정의된 자동 모드 IP 범위에 속하는 서브넷을 만듭니다. 예를 들어 서브넷의 기본 범위는 10.0.0.0/24이지만 같은 네트워크에서 다른 서브넷의 기본 범위는 192.168.0.0/16일 수 있습니다.

IPv4 서브넷 범위 제한사항

IPv4 서브넷 범위에는 다음과 같은 제한사항이 있습니다.

• VPC 네트워크의 모든 서브넷에 대한 각 기본 또는 보조 IPv4 범위는 고유한 유효 CIDR 블록이어야 합니다.

• 정의할 수 있는 보조 IP 주소 범위 수는 네트워크별 한도에 설명되어 있습니다.

• 서브넷을 만든 후 서브넷의 기본 IPv4 범위를 확장할 수 있지만 바꾸거나 축소할 수는 없습니다.

• 서브넷의 보조 IPv4 주소 범위를 사용하는 VM 인스턴스가 없는 경우에만 해당 범위를 삭제하고 교체할 수 있습니다.

• 기본 또는 보조 범위의 최소 크기는 8개의 IPv4 주소입니다. 즉, 사용할 수 있는 가장 긴 서브넷 마스크는 /29입니다.

• 사용할 수 있는 가장 짧은 서브넷 마스크는 /4입니다. 그러나 대부분의 /4 IP 주소 범위의 경우 추가 검증을 통해 이 큰 서브넷을 만들 수 없습니다. 예를 들어 서브넷 범위는 비공개 IPv4 범위 또는 다른 예약된 범위와 겹칠 수 없습니다. 잘못된 서브넷 범위를 선택할 가능성을 최소화하려면 최대 서브넷 크기를 /8로 제한하는 것이 좋습니다.

• 서브넷의 기본 및 보조 범위를 할당된 범위, 같은 네트워크에 있는 다른 서브넷의 모든 기본 범위나 보조 범위 또는 피어링된 네트워크에 있는 서브넷의 IPv4 범위와 겹치게 만들 수 없습니다. Google Cloud는 이러한 시나리오에서 서브넷 범위가 겹치게 생성되지 않도록 합니다.

• Google Cloud는 기본 및 보조 IP 범위 둘 다에 해당하는 서브넷 경로를 만듭니다. 서브넷 경로 및 서브넷 IP 범위에는 정의에 따라 가장 구체적인 IP 범위가 있어야 합니다.

  • Cloud VPN, Dedicated Interconnect Partner Interconnect를 사용하여 VPC 네트워크를 다른 네트워크에 연결한 경우 기본 및 보조 범위가 온프레미스 IP 범위와 충돌하지 않는지 확인합니다. 자세한 내용은 겹치는 서브넷 범위 확인을 참조하세요.

  • 서브넷 IPv4 범위는 정적 경로의 대상과 충돌할 수 없습니다.

  • 서브넷의 기본 또는 보조 IPv4 범위에 10.128.0.0/9 블록의 IPv4 주소를 사용하지 마세요. 자동 모드 VPC 네트워크에서 자동으로 생성된 서브넷이 해당 블록의 IPv4 주소를 사용합니다. 10.128.0.0/9 블록의 IP 주소를 사용하면 VPC 네트워크 피어링 또는 Cloud VPN 터널을 사용하여 네트워크를 자동 모드 VPC 네트워크에 연결할 수 없습니다.

• 서브넷 범위는 제한된 범위와 일치하거나, 이보다 좁거나 넓을 수 없습니다. 예를 들어 169.0.0.0/8은 제한된 범위인 링크-로컬 범위 169.254.0.0/16(RFC 3927)와 겹치기 때문에 유효한 서브넷 범위가 아닙니다.

• 서브넷 범위는 RFC 범위(이전 표 설명 참조) 및 비공개적으로 사용되는 공개 IP 주소 범위를 포함할 수 없습니다. 예를 들어 172.0.0.0/10은 172.16.0.0/12 비공개 IP 주소 범위와 공개 IP 주소를 모두 포함하므로 유효한 서브넷 범위가 아닙니다.

• 서브넷 범위는 여러 RFC 범위를 포함할 수 없습니다. 예를 들어 192.0.0.0/8은 192.168.0.0/16(RFC 1918) 및 192.0.0.0/24(RFC 6890)를 모두 포함하기 때문에 유효한 서브넷 범위가 아닙니다. 하지만 192.168.0.0/16 및 192.0.0.0/24가 각각 포함된 서로 다른 기본 범위를 포함하는 서브넷 2개를 만들 수 있습니다. 또는 둘 중 하나를 보조 범위로 만들 경우 동일 서브넷에서 두 범위를 모두 사용할 수 있습니다.

유효한 IPv4 범위

서브넷의 기본 및 보조 IPv4 주소 범위는 리전별 내부 IPv4 주소입니다. 다음 표에서는 유효한 범위를 설명합니다.

제한된 IPv4 서브넷 범위

다음 표의 설명대로 제한된 서브넷 범위에는 Google 공개 IP 주소와 일반적으로 예약되는 RFC 범위가 포함됩니다. 이러한 범위는 서브넷 범위로 사용될 수 없습니다.

IPv4 서브넷 범위의 사용할 수 없는 주소

Google Cloud는 각 서브넷 기본 IPv4 주소 범위의 처음 IPv4 주소 2개와 마지막 IPv4 주소 2개를 사용하여 서브넷을 호스팅합니다. Google Cloud를 사용하면 보조 IPv4 범위의 모든 주소를 사용할 수 있습니다.

자동 모드 IPv4 범위

이 표에서는 자동 모드 VPC 네트워크에서 자동으로 만들어진 서브넷의 IPv4 범위를 확인할 수 있습니다. 이러한 서브넷의 IP 범위는 10.128.0.0/9 CIDR 블록 내에 포함됩니다. 자동 모드 VPC 네트워크는 만들어지는 시점에 리전당 하나의 서브넷으로 구축되며 새 리전에서 자동으로 새 서브넷을 받습니다. 따라서 10.128.0.0/9의 미사용 부분은 이후 Google Cloud에서 사용할 수 있도록 예약됩니다.

추가 고려사항

모든 서브넷 기본 및 보조 IPv4 주소 범위가 VM 내에서 실행 중인 소프트웨어에서 사용해야 하는 IPv4 주소 범위와 충돌하지 않아야 합니다. 일부 Google 및 서드 파티 제품은 게스트 운영체제 내에서 라우팅하는 데 172.17.0.0/16을 사용합니다. 예를 들어 기본 Docker 브리지 네트워크가 이 범위를 사용합니다. 172.17.0.0/16을 사용하는 제품을 이용하는 경우 이를 서브넷 기본 및 보조 IPv4 주소 범위로 사용하지 마세요.

IPv6 서브넷 범위

VPC 네트워크의 서브넷에서 IPv6를 사용 설정할 때 서브넷의 IPv6 액세스 유형을 선택합니다. IPv6 액세스 유형은 서브넷이 내부 IPv6 주소로 구성되는지 아니면 외부 IPv6 주소로 구성되는지를 결정합니다.

• 내부 IPv6 주소는 VPC 네트워크 내의 VM 간 통신에 사용됩니다. VPC 네트워크 범위 내에서만 라우팅할 수 있으며 인터넷으로 라우팅할 수 없습니다.

• 외부 IPv6 주소는 VPC 네트워크 내의 VM 간 통신에 사용할 수 있으며 인터넷에서도 라우팅할 수 있습니다.

IPv6 서브넷 범위를 갖는 서브넷에 VM 인터페이스를 연결한 경우 VM에서 IPv6 주소를 구성할 수 있습니다. 서브넷의 IPv6 액세스 유형은 VM에 내부 IPv6 주소가 할당되는지 아니면 외부 IPv6 주소가 할당되는지를 결정합니다.

IPv6 사양

• IPv6 서브넷 범위는 리전별 리소스입니다.

• 내부 및 외부 IPv6 서브넷 범위는 모든 리전에서 사용할 수 있습니다.

• IPv6 서브넷 범위에는 /64 범위가 자동으로 할당됩니다.

• 서브넷의 IPv6 액세스 유형(내부 또는 외부)을 변경할 수 없습니다.

• IPv6 액세스 유형이 내부인 경우 이중 스택 서브넷을 단일 스택으로 변경할 수 없습니다.

내부 IPv6 사양

• 내부 IPv6 범위는 고유한 로컬 주소(ULA)를 사용합니다.

• IPv6의 ULA는 IPv4의 RFC 1918 주소와 유사합니다. ULA는 인터넷에서 연결될 수 없으며 공개적으로 라우팅될 수 없습니다.

• 내부 IPv6 범위로 서브넷을 만들려면 먼저 VPC 네트워크에 내부 IPv6 범위를 할당합니다. /48 IPv6 범위가 할당됩니다. 내부 IPv6 범위로 서브넷을 만들 경우 서브넷의 /64 범위는 VPC 네트워크의 범위에서 할당됩니다.

  • VPC 네트워크의 내부 IPv6 범위는 Google Cloud 내에서 고유합니다.

  • Google이 VPC 네트워크 내부 IPv6 범위를 할당하도록 허용하거나 특정 범위를 선택할 수 있습니다. VPC 네트워크가 Google Cloud 외부의 네트워크에 연결되는 경우 해당 환경에서 사용되는 범위와 겹치지 않는 범위를 선택할 수 있습니다.

• VPC 네트워크의 /48 내부 IPv6 범위 할당은 영구적입니다. 사용 중지하거나 나중에 변경할 수 없습니다.

• 고정 리전 내부 IPv6 주소를 예약할 수 있습니다.

다른 VPC 네트워크에서 같은 범위를 사용할 수 없으므로 VPC 네트워크 피어링을 사용할 때 IPv6 서브넷 범위가 겹칠 가능성이 없습니다.

외부 IPv6 사양

• 외부 IPv6 주소 범위는 전역 유니캐스트 주소(GUA)를 사용합니다.

• 외부 IPv6 주소는 VPC 네트워크 내의 VM 간 통신에 사용할 수 있으며 인터넷에서도 라우팅할 수 있습니다. 인터넷의 이그레스 및 인그레스를 제어하려면 방화벽 규칙 또는 계층식 방화벽 정책을 구성합니다. 인터넷에 대한 IPv6 라우팅을 완전히 사용 중지하려면 VPC 네트워크에서 IPv6 기본 경로를 삭제합니다.

• 프리미엄 등급에서만 외부 IPv6 주소를 사용할 수 있습니다.

• 고정 리전 외부 IPv6 주소를 예약할 수 있습니다.

IPv6 범위 할당

IPv6 범위는 네트워크, 서브넷 및 가상 머신 인스턴스(VM)에 할당할 수 있습니다.

다음 단계

• VPC 네트워크 만들기

• IPv4 전용 서브넷 만들기

• VPC 네트워크의 내부 IPv6 범위 할당

• 이중 스택 서브넷 만들기