VPC 네트워크 피어링 사용

Google Cloud VPC 네트워크 피어링은 동일한 프로젝트에 속하는지 또는 동일한 조직에 속하는지에 관계없이 두 개의 Virtual Private Cloud(VPC) 네트워크에서 내부 IP 주소를 연결할 수 있습니다. 피어링은 이중 스택 서브넷을 사용하는 네트워크 간의 연결을 지원합니다.

자세한 내용은 VPC 네트워크 피어링을 참조하세요.

피어링 구성 만들기

시작하기 전에 피어링할 VPC 네트워크의 이름이 있어야 합니다. 해당 네트워크가 다른 프로젝트에 있는 경우 해당 프로젝트의 프로젝트 ID도 있어야 합니다.

피어링 구성은 다른 VPC 네트워크에 연결할 인텐트를 설정합니다. 내 네트워크와 다른 네트워크는 각 네트워크에 상대 네트워크에 대한 피어링 구성이 만들어질 때까지 연결되지 않습니다. 내 네트워크와 피어링할 상응하는 구성이 다른 네트워크에 있으면 피어링 상태가 두 네트워크 모두에서 ACTIVE로 변경되고 두 네트워크가 연결됩니다. 다른 네트워크에 일치하는 피어링 구성이 없으면 피어링 상태가 INACTIVE로 유지됩니다. 이는 내 네트워크와 다른 네트워크가 연결되지 않는다는 것을 나타냅니다.

두 네트워크가 연결되면 항상 서브넷 경로를 교환합니다. 정적 및 동적 IPv4 커스텀 경로와 동적 IPv6 커스텀 경로를 내보내도록 구성된 경우 피어링된 네트워크에서 두 경로를 모두 가져올 수 있습니다. 자세한 내용은 커스텀 경로 가져오기 및 내보내기를 참조하세요.

gcloud compute networks peerings create PEERING_NAME \
    --network=NETWORK \
    --peer-project=PEER_PROJECT_ID \
    --peer-network=PEER_NETWORK_NAME \
    [--stack-type=STACK_TYPE] \
    [--import-custom-routes] \
    [--export-custom-routes] \
    [--import-subnet-routes-with-public-ip] \
    [--export-subnet-routes-with-public-ip]

module "peering1" {
  source        = "terraform-google-modules/network/google//modules/network-peering"
  version       = "~> 9.0"
  local_network = var.local_network # Replace with self link to VPC network "foobar" in quotes
  peer_network  = var.peer_network  # Replace with self link to VPC network "other" in quotes
}

피어링 연결 업데이트

기존 VPC 네트워크 피어링 연결을 업데이트할 때 다음을 수행할 수 있습니다.

• VPC 네트워크가 커스텀 경로나 비공개로 사용되는 공개 IPv4 서브넷 경로를 피어 VPC 네트워크에 내보내는지 또는 피어 VPC 네트워크에서 가져오는지 여부를 변경합니다.
• 기존 피어링 연결을 업데이트하여 피어링 네트워크 간에 IPv6 경로 교환을 사용 설정 또는 사용 중지합니다.

또한 피어 네트워크가 경로를 내보내는 경우에만 네트워크에서 경로를 가져오고 경로를 가져오는 경우에만 피어 네트워크에서 경로를 수신합니다.

gcloud compute networks peerings update PEERING_NAME \
    --network=NETWORK \
    [--stack-type=STACK_TYPE] \
    [--import-custom-routes] \
    [--export-custom-routes] \
    [--export-subnet-routes-with-public-ip] \
    [--import-subnet-routes-with-public-ip]

피어링 연결 목록 표시

기존 피어링 연결 목록을 표시하여 해당 상태와 커스텀 경로를 가져오는지 또는 내보내는지 여부를 확인합니다.

gcloud compute networks peerings list

피어링 연결의 경로 나열

VPC 네트워크가 피어링된 VPC 네트워크에 대해 가져오거나 내보내는 동적 경로를 나열할 수 있습니다. 내보낸 경로의 경우 피어 네트워크가 커스텀 경로를 수락하는지 또는 거부하는지 여부를 확인할 수 있습니다. 가져온 경로의 경우 네트워크가 피어 네트워크에서 커스텀 경로를 수락하는지 또는 거부하는지 여부를 확인할 수 있습니다.

각 리전에 대해 동일한 개수의 경로가 표시되지 않을 수 있습니다. 자세한 내용은 문제 해결을 참조하세요.

gcloud compute networks peerings list-routes PEERING_NAME \
    --network=NETWORK \
    --region=REGION \
    --direction=DIRECTION

VPC 네트워크 피어링 연결 삭제

피어 VPC 네트워크의 네트워크 관리자 또는 사용자는 피어링 연결을 삭제할 수 있습니다. 피어링 구성이 삭제되면, 피어링 연결이 다른 네트워크에서 INACTIVE로 전환되고 네트워크 간에 공유되는 모든 경로가 삭제됩니다.

gcloud compute networks peerings delete PEERING_NAME \
    --network=NETWORK

VPC 네트워크 피어링 설정 예시

project-a의 network-a와 project-b의 network-b 사이에 VPC 네트워크 피어링을 설정해야 하는 조직 organization-a의 경우를 생각해 보겠습니다. VPC 네트워크 피어링을 성공적으로 설정하려면 network-a와 network-b의 관리자가 개별적으로 피어링 연결을 구성해야 합니다.

1단계: network-a를 network-b와 피어링

project-a에서 적절한 IAM 권한이 있는 사용자는 network-a를 network-b와 피어링하도록 구성합니다. 예를 들어 roles/editor 또는 roles/compute.networkAdmin 역할이 있는 사용자는 피어링을 구성할 수 있습니다.

시작하기 전에 피어링할 네트워크의 프로젝트 ID와 네트워크 이름이 필요합니다.

gcloud compute networks peerings create peer-ab \
    --network=network-a \
    --peer-project=project-b \
    --peer-network=network-b \
    --import-custom-routes \
    --export-custom-routes

이 시점에서 project-b의 network-b에 일치하는 구성이 없으므로 피어링 상태는 아직 INACTIVE입니다.

피어링 상태가 ACTIVE가 되는 경우 VPC 네트워크 피어링이 서브넷 경로를 자동으로 교환합니다. 또한 Google Cloud는 피어링 연결을 통해 가져오거나 내보내서 커스텀 경로(정적 경로 및 동적 경로)를 교환합니다. 두 네트워크 모두 커스텀 경로를 교환하도록 구성한 후에 공유해야 합니다. 자세한 내용은 커스텀 경로 가져오기 및 내보내기를 참조하세요.

현재 피어링 상태를 보려면 피어링 연결을 확인하세요.

gcloud compute networks peerings list --network network-a

2단계: network-b를 network-a와 피어링

피어링이 양쪽 모두에서 ACTIVE가 되려면 project-b의 NetworkAdmin 또는 적절한 IAM 권한이 있는 사용자가 network-b에서 network-a로 일치하는 구성을 설정해야 합니다.

gcloud compute networks peerings create peer-ba \
     --network=network-b \
     --peer-project=project-a \
     --peer-network=network-a \
     --import-custom-routes \
     --export-custom-routes

3단계: VPC 네트워크 피어링 연결이 ACTIVE로 전환됨

피어링이 ACTIVE 상태로 전환되면 서브넷 경로와 커스텀 경로가 교환됩니다. 다음 트래픽 흐름이 설정됩니다.

• 피어링된 네트워크의 VM 인스턴스 간: 풀 메시 연결
• 한 네트워크의 VM 인스턴스에서 피어링된 네트워크의 내부 패스 스루 네트워크 부하 분산기 엔드포인트로

gcloud compute networks peerings list --network network-a

이제 피어링된 네트워크 CIDR 프리픽스로 가는 경로를 VPC 네트워크 피어 전반에서 볼 수 있습니다. 이러한 경로는 활성 피어링 연결을 위해 생성되는 묵시적 경로입니다. 이 경로에는 해당되는 경로 리소스가 없습니다. 다음 절차는 project-a의 모든 VPC 네트워크의 경로를 보여줍니다.

gcloud compute routes list --project project-a

다중 피어링 연결 만들기

network-a의 VM 인스턴스가 두 개의 다른 외부 조직인 SaaS1과 SaaS2의 서비스에 액세스해야 하는 시나리오를 생각해 보겠습니다. 내부 IP 주소만 사용하여 액세스하려면 두 개의 피어링 연결이 모두 필요합니다.

• SaaS1에서 network-a를 network-b와 피어링
• SaaS2에서 network-a를 network-c와 피어링

VPC 네트워크 피어링이 있으면 network-b와 network-c가 다른 프로젝트 및 다른 조직에 있어도 문제가 되지 않습니다.

이 설정을 만들려면 두 개의 다른 피어링 세션을 만들면 됩니다.

제한사항

피어링된 VPC 네트워크 간 서브넷 IP 범위가 겹치면 안 됨

피어링된 VPC 네트워크에서 서브넷 IP 범위가 다른 서브넷 IP 범위와 겹치면 안 됩니다. 피어링 시 Google Cloud는 IP 범위가 겹치는 서브넷이 있는지 확인합니다. 있는 경우 피어링이 실패합니다. 피어링된 네트워크의 경우 VPC 서브넷을 만들거나 서브넷 IP 범위를 확장하려고 하면 Google Cloud에서 새 서브넷 범위가 기존 서브넷 범위와 겹치지 않는지 확인합니다.

중복 검사에 대한 자세한 내용은 다음을 참조하세요.

• 피어링 시 서브넷 겹침
• 서브넷을 만들거나 확장할 때 서브넷 겹침

이전 네트워크는 VPC 네트워크 피어링에서 지원되지 않음

이전 네트워크는 서브넷이 없는 네트워크입니다. 이전 네트워크는 다른 네트워크와 피어링할 수 없으며 VPC 네트워크 피어링에서 지원되지 않습니다.

프로젝트 간 Compute Engine DNS 없음

피어링된 네트워크에서는 네트워크에 만들어진 Compute Engine 내부 DNS 이름에 액세스할 수 없습니다. 피어링된 네트워크의 VM 인스턴스에 연결하려면 VM의 IP 주소를 사용해야 합니다.

태그와 서비스 계정은 피어링된 네트워크 간에 사용할 수 없음

방화벽 규칙에 있는 피어링된 네트워크의 VM과 관련된 태그 또는 서비스 계정을 다른 피어링된 네트워크에서 사용할 수 없습니다. 예를 들어 피어링된 네트워크의 인그레스 규칙이 태그를 기준으로 소스를 필터링하는 경우 피어링된 네트워크의 VN에 해당 태그가 있더라도 이 규칙은 피어가 아닌 네트워크 내에서 오는 VM 트래픽에만 적용됩니다. 이는 서비스 계정에서도 마찬가지입니다.

GKE와 VPC 네트워크 피어링

GKE를 사용한 VPC 네트워크 피어링은IP 별칭 또는 커스텀 경로와 함께 사용할 경우에 지원됩니다. 내부 패스 스루 네트워크 부하 분산기를 사용하여 노출된 경우의 Kubernetes 서비스 및 포드 IP는 VPC 네트워크에서 액세스 가능합니다.

VPC 네트워크 피어링을 사용하는 Cloud Load Balancing

Cloud Load Balancing은 VPC 네트워크 피어링과 피어링된 경우에도 부하 분산기의 프런트엔드 및 백엔드가 서로 다른 VPC 네트워크에 있도록 지원하지 않습니다.

내부 패스스루 네트워크 부하 분산기 및 내부 애플리케이션 부하 분산기는 피어링된 VPC 네트워크에서의 클라이언트 액세스에만 VPC 네트워크 피어링을 지원합니다.

한도

VPC 네트워크 피어링 한도를 참조하세요.

문제 해결

Q: 피어링 연결을 설정했지만 피어 VM 또는 내부 부하 분산기에 도달할 수 없습니다.

피어링 연결이 활성화되면 피어링된 네트워크 간의 모든 트래픽 흐름이 설정될 때까지 최대 1분이 걸릴 수 있습니다. 이 시간은 피어링하는 네트워크의 크기에 따라 달라집니다. 최근에 피어링 연결을 설정했으면 최대 1분 동안 기다린 후 다시 시도하세요. 또한 피어 VPC 네트워크 서브넷 CIDR의 액세스를 차단하는 방화벽 규칙이 없는지 확인하세요.

Q: 피어링 연결을 설정하려고 시도할 때 다른 피어링 작업이 진행 중이라는 오류가 표시됩니다.

라우팅 업데이트 등과의 경합을 피하기 위해 Google Cloud는 피어링된 네트워크 전역에서 한 번에 피어링 관련 활동 하나만 허용합니다. 예를 들어 한 네트워크와 피어링을 설정한 후에 즉시 다른 피어링을 설정하려는 경우 첫 번째 피어링의 모든 태스크가 완료되지 않을 수 있습니다. 모든 작업이 완료될 때까지 최대 1분이 소요될 수 있습니다. 또는 기존 네트워크 피어가 내부 부하 분산기나 VM을 추가하면서 네트워크 간에 연결 가능한 항목에 영향을 미치는 경우도 있습니다. 대부분의 경우 1~2분 정도 기다린 후 피어링 작업을 다시 시도해야 합니다.

Q: ACTIVE 피어링이 있는 VPC 네트워크를 삭제하려고 시도하면 오류가 표시됩니다.

VPC 네트워크를 삭제하기 전에 먼저 네트워크에서 모든 피어링 구성을 삭제해야 합니다. VPC 네트워크 피어링 연결 삭제를 참조하세요.

Q: 기본 또는 보조 IP 범위가 겹치는 서브넷이 있는 VPC 네트워크를 피어링할 수 있나요?

아니요. 기본 및 보조 서브넷 IP 범위가 고유한 서브넷이 있는 VPC 네트워크만 피어링할 수 있습니다.

Q: VPC 네트워크에서 만든 새 서브넷에 피어 네트워크의 서브넷 또는 경로와 충돌하는 서브넷 IP 범위가 없는지 확인하려면 어떻게 해야 하나요?

새 서브넷을 만들기 전에 피어링 연결의 경로 목록을 표시할 수 있습니다. VPC 네트워크에서 새 서브넷을 만들 때 대상 위치를 기본 또는 보조 IP 범위로 사용하지 않아야 합니다.

Q: 다른 VPC 네트워크와 피어링된 VPC 네트워크가 있습니다. 네트워크에 서브넷을 만들려고 합니다. 피어의 피어 서브넷과 겹치지 않도록 서브넷을 만들려면 어떻게 해야 하나요?

현재는 이를 찾는 데 도움이 되는 명령어가 존재하지 않습니다. 피어링된 네트워크의 관리자에게 문의하여 이미 네트워크에 있는 서브넷 경로를 확인합니다.

Q: VPC 네트워크 피어링에 보안 또는 개인정보 보호와 관련된 우려 사항이 있나요?

피어링 설정 후 각 VPC 네트워크는 다른 네트워크의 서브넷 범위를 압니다. 또한 각 피어 VPC 네트워크는 방화벽 규칙에서 금지하지 않는 한 다른 네트워크의 모든 VM과 트래픽을 주고받을 수 있습니다. 그 외의 다른 부분은 피어링된 네트워크에서 서로 확인되지 않습니다.

Q: 피어링된 VPC 네트워크 간에 트래픽이 전달되고 있는지 확인하려면 어떻게 해야 하나요?

VPC 흐름 로그를 사용하여 VM 인스턴스에서 전송되거나 수신되는 네트워크 흐름을 볼 수 있습니다. 또한 방화벽 규칙 로깅을 사용하여 트래픽이 네트워크 간에 전달되고 있는지 확인할 수 있습니다. 피어링된 네트워크 간에 트래픽을 허용하거나 거부하는 VPC 방화벽 규칙을 만들고 해당 규칙에 방화벽 규칙 로깅을 사용 설정합니다. 그런 다음 Cloud Logging을 사용하여 적중 항목이 있는 방화벽 규칙을 볼 수 있습니다.

Q: 다른 VPC 네트워크에서 VPC 네트워크 피어링을 사용하여 VPC 네트워크에 연결하라는 요청이 있는지 확인하려면 어떻게 해야 하나요?

VPC 네트워크에 대한 피어링 요청을 나열할 수 없습니다. 직접 만든 피어링 구성만 볼 수 있습니다.

VPC 네트워크 피어링을 사용하려면 연결이 설정되기 전에 네트워크와 다른 네트워크 모두에서 서로에 대한 피어링 구성을 만들어야 합니다. 다른 VPC 네트워크의 네트워크 관리자가 네트워크에 대한 피어링 구성을 만들어도 해당 네트워크에 대한 피어링 구성을 만들지 않으면 피어링 연결이 생성되지 않습니다.

Q: Cloud VPN 또는 Cloud Interconnect를 사용하여 VPC 네트워크에 연결된 온프레미스 네트워크에 피어 네트워크의 경로를 사용하려면 어떻게 하나요?

VPC 네트워크 피어링은 전환 라우팅을 지원하지 않습니다. 즉, 다른 네트워크에서 가져온 경로는 VPC 네트워크의 Cloud Router에서 자동으로 전파되지 않습니다. 그러나 VPC 네트워크에서 Cloud Router의 커스텀 IP 범위 공지를 사용하여 경로를 피어 네트워크의 대상과 공유할 수 있습니다.

정적 라우팅을 사용하는 기본 VPN 터널의 경우 온프레미스 네트워크에서 피어 네트워크의 대상 범위에 대한 정적 경로를 구성해야 합니다. 기본 VPN 터널의 특정 사용 사례는 지원 중단되었습니다.

Q: 커스텀 경로가 피어링된 네트워크 간에 교환되지 않는 이유가 무엇인가요?

먼저 피어링 연결의 경로 목록을 표시합니다. 예상하는 대상 위치에 대한 경로가 표시되지 않는 경우 다음을 확인하세요.

• 피어링 연결 목록을 표시합니다. 원하는 대상 범위가 있는 네트워크를 찾고 해당 피어링 상태가 ACTIVE인지 확인합니다. 피어링 연결이 INACTIVE인 경우 네트워크에 대한 피어링 구성이 다른 네트워크에 존재하지 않습니다. 다른 네트워크를 관리하지 않는 경우 네트워크 관리자와 조율해야 합니다.

• 네트워크에서 피어링 연결을 업데이트하여 다른 네트워크에서 커스텀 경로를 가져오도록 구성합니다. 다른 네트워크가 커스텀 경로를 내보내도록 구성되었는지 확인합니다.

Q: 피어 네트워크를 대상으로 전송되는 트래픽이 삭제되는 이유는 무엇인가요?

먼저 피어링 연결 목록을 표시하여 네트워크가 다른 네트워크에 계속 연결되어 있는지 확인합니다. 피어링 상태가 INACTIVE인 경우 네트워크에 대한 피어링 구성이 다른 네트워크에 존재하지 않습니다. 다른 네트워크를 관리하지 않는 경우 네트워크 관리자에게 연락해야 합니다.

그런 다음, 피어 연결의 경로 목록을 표시합니다. VPC 네트워크 피어링 한도에서 허용하는 경로만 가져올 수 있습니다.

Q: 트래픽이 예상치 못한 다음 홉으로 전송되는 이유는 무엇인가요?

라우팅 순서를 검토하여 다른 경로가 대신 선택되었는지 확인합니다.

Q: VPC 네트워크를 특정 VPC 네트워크와 피어링할 수 없는 이유는 무엇인가요?

특정 VPC 네트워크에서 피어링 구성을 만들 수 없는 경우 조직 정책이 네트워크에서 피어링할 수 있는 VPC 네트워크를 제한할 수 있습니다. 조직 정책에서 허용되는 피어 목록에 네트워크를 추가하거나 조직 관리자에게 문의하세요. 자세한 내용은 constraints/compute.restrictVpcPeering 제약조건을 참조하세요.

Q: 다른 VPC 네트워크와 피어링된 VPC 네트워크가 있습니다. 내 피어링의 stack_type 값을 IPV4_IPV6로 변경했습니다. 하지만 피어링을 통해 IPv6 서브넷 경로가 교환되지 않습니다.

일치하는 피어링 연결의 stack_type 값도 IPV4_IPV6로 설정되었는지 확인합니다. IPv6 경로와 트래픽을 교환하려면 피어링 연결의 양측에서 stack_type을 IPV4_IPV6로 설정해야 합니다.

Q: 다른 VPC 네트워크와 피어링된 VPC 네트워크가 있습니다. 내 피어링의 stack_type 값을 IPV4_IPV6로 변경했습니다. 하지만 동적 IPv6 경로를 내보내지 않습니다.

동적 및 고정 IPv6 경로를 내보내려면 일치하는 피어링 연결에서 –export-custom-route 및 –import-custom-route 플래그를 사용 설정해야 합니다.

Q: 커스텀 경로의 가져오기 및 내보내기를 사용 설정했습니다. 그러나 IPv6 정적 및 동적 경로가 교환되지 않습니다.

두 피어링 모두에서 stack_type이 IPV4_IPV6로 설정되었는지 확인합니다.

Q: stack_type을 IPV4_IPV6로 전환할 피어링 업데이트 작업이 할당량 한도로 인해 실패합니다.

피어링에서 IPv6를 사용 설정한 경우 네트워크 중 하나에서 가져온 경로 수로 인해 해당 네트워크의 피어링 그룹당 할당량을 초과할 수 있습니다. 요청을 제출하여 피어링 그룹당 할당량을 늘리거나 할당량을 초과하지 않도록 네트워크 중 하나에서 일부 경로를 삭제합니다. 제한 사항에 대한 자세한 내용은 VPC 네트워크 피어링 제한을 참조하세요.

Q: 일부 동적 경로를 가져왔지만 모두 표시되지 않습니다.

한 가지 예를 살펴보겠습니다.

• 각 리전에 대해 동일한 개수의 경로가 표시되지 않을 수 있습니다. 동일한 IP 주소 범위의 여러 경로가 리전 간에 교환되는 경우 우선순위가 가장 높은 경로만 가져옵니다. 이러한 경로가 동일한 리전 간에 교환되는 경우에는 모든 경로를 가져옵니다.

• 네트워크가 동적 경로의 피어링 그룹별 제한에 도달하면 더 이상 경로를 가져오지 않습니다. 하지만 생략할 경로를 결정할 수는 없습니다.

Q: –import-subnet-routes-with-public-ip 및 –export-subnet-routes-with-public-ip 플래그가 IPv6 서브넷 경로의 교환에 영향을 주나요?

아니요. 이 플래그는 IPv4 서브넷 경로 교환에만 영향을 미칩니다.

다음 단계

• VPC 라우팅에 대한 자세한 내용은 경로를 참조하기
• VPC 네트워크 피어링과 관련된 한도는 VPC 네트워크 피어링 한도 참조하기
• 내부 패스스루 네트워크 부하 분산기를 커스텀 정적 경로의 다음 홉으로 사용하는 방법은 내부 패스 스루 네트워크 부하 분산기를 다음 홉으로 사용 참조하기