< Connecting Networks >
Communication services must be set up so the right computers can talk to each other
올바른 컴퓨터가 서로 통신할 수 있도록 통신 서비스를 설정해야 함
- 네트워크의 요점은 리소스가 서로 연결할 수 있도록 하는 것
- 시스템이 안전한지 확인하고 비용을 최소화하기 위해 최종 사용자는 공용 인터넷을 사용해 앱을 호스팅하는 웹 서버에 연결
- 해당 웹 서버는 vpc를 통해 동일한 프로젝트의 연결만 허용해야 하는 데이터베이스와 통신해야 함
데이터베이스는 일반 대중이 서버를 통해 연결할 수 있기를 원하지 않으므로 VPN 또는 관리자와 상호 연결을 통해서만 통신
Cloud VPN securely connects your on-premises network
to your Google Cloud VPC network
Cloud VPN은 온프레미스 네트워크를 Google Cloud VPC 네트워크에 안전하게 연결
- 공개 IP 클라우드 VPN은 온프레미스 네트워크를 Google 클라우드 VPC 네트워크에 연결하는 방법
- 이는 초당 최대 약 3기가 비트의 연결을 지원하므로 가용성이 높음
- 클래식 구성(단일 VPN)과 고가용성 구성으로 두 가지 방법이 있음
- 클라우드 라우터를 사용해 정적 및 동적 라우팅 모두에 대해 구성 가능
VPN Gateway
VPN 게이트웨이
- 온프레미스를 사용해 로컬 네트워크를 VPC 네트워크로 연결하는 서비스로 VPN 게이트웨이를 제공
- 온프레미스 네트워크에서 VPN 게이트웨이를 설정하고 클라우드에서 VPN Google 클라우드 VPC와 연결하면
두 네트워크 간의 보안 통신을 위해 암호화된 연결을 제공
Cloud Router enables dynamic routes using Border Gateway Protocol (BGP)
Cloud Router는 BGP(Border Gateway Protocol)를 사용하여 동적 경로를 지원
- 물리적 라우터가 아니라 클라우드 VPN 또는 클라우드 상호 연결을 통해 작동하여 경계를 사용해 동적 라우팅을 제공하는 서비스
- 게이트웨이 프로토콜 동적 라우팅은 양쪽의 네트워크가 연결을 변경하는 경우를 의미하며
둘 사이의 섹션은 자동으로 업데이트됨
Dedicated Interconnect provides direct physical connections
Dedicated Interconnect는 직접적인 물리적 연결을 제공
- 전용 상호 연결은 사내 네트워크와 Google 네트워크 사이에 직접적인 물리적 연결을 제공
- 이를 통해 두 네트워크 간에 대용량 데이터를 전송할 수 있으며,
이는 공용 인터넷을 통해 추가 대역폭을 구입하는 것보다 비용 효율적 - 전용 상호 연결을 사용하려면 이 다이어그램과 같이 네트워크 간 경로를 교환하기 위해
공통 코로케이션 시설에서 Google 네트워크와 자체 라우터 간의 교차 연결을 프로비저닝해야 함 - 온프레미스 라우터를 통해 온프레미스 네트워크 사용자 트래픽이 VPC 네트워크의 Google 클라우드 리소스에 도달할 수 있으며
그 반대의 경우도 가능 - 전용 상호 연결은 99.9% 또는 99.9% 가동 시간을 제공하도록 구성할 수 있음
Create a Dedicated Interconnect connection
Dedicated Interconnect 연결 만들기
- 전용 상호 연결을 주문
- 공급 업체에 LOA-CFA를 보냄
- 상호 연결을 테스트
- VLAN 연결을 만들고 BGP 세션을 설정
Colocation facility locations
코로케이션 시설 위치
- 현재 전용 연결을 생성할 수 있는 위치
Partner Interconnect provides connectivity through a supported service provider
Partner Interconnect는 지원되는 서비스 제공업체를 통해 연결을 제공
- 파트너 상호 연결을 고려하고 싶을 때는 지원되는 서비스 제공업체를 통해 온프레미스 네트워크와 VPC 네트워크 간의 연결 제공
- 데이터 센터가 전용 상호 연결 전체에 도달할 수 없는 물리적 위치에 있거나 데이터 요구 사항이 보증하지 않는 경우에 유용
- 파트너 상호 연결을 사용하기 위해 서비스 제공업체와 협력하여 VPC 및 온프레미스 네트워크를 연결
- 서비스 제공업체는 고객이 사용할 수 있도록 Google 네트워크에 대한 기존의 물리적 연결을 가지고 있음
- 서비스 제공자와 연결 설정 서비스 제공자에게 파트너 상호 연결을 요청하면
클라우드 라우터와 온프레미스 라우터 간에 BGP 세션을 설정하여 서비스 제공자의 네트워크 파트너 상호 연결을 통해
네트워크 간에 트래픽 전달을 시작할 수 있음 - Google과 서비스 제공 업체 간에 99.9% 또는 99.99% 가동 시간 SLA를 제공하도록 구성
Comparison of Interconnect options
상호 연결 옵션 비교
- Cloud VPN이 제공하는 IPsec VPN tunnel
- 전용 상호 연결
- 파트너 상호 연결
- 용량과 서비스 사용 요구 사항에 따라 선택
- Google 클라우드에 대한 엔터프라이즈급 연결이 필요할 때는 IPsec VPN tunnel 사용이 적합하며
그 후 공동의 근접성에 따라 전용 상호 연결 또는 파트너 상호 연결로 전환 가능
VPC peering is used to connect two Google Cloud VPCs
VPC 피어링은 두 개의 GCP VPC를 연결하는 데 사용
- VPC 네트워크 피어링은 동일한 프로젝트 또는 동일한 조직을 원하는지 여부에 관계없이
두 개의 VPC 네트워크에서 개인 연결을 허용 - 각 VPC 네트워크에는 허용되는 트래픽을 정의하는 방화벽 규칙이 있음
- 위의 경우 소비자와 생산자를 나타내는 두 개의 조직이 존재하며 각 조직에는 자체 조직 노드가 존재하며
VPC 네트워크 네트워크 관리자와 VM 인스턴스 관리자를 가짐 - vpc 네트워크 피어링이 성공적으로 설정되려면 생산자 네트워크 관리자가 생산자 네트워크를 소비자 네트워크와 피어링해야 함
- 생산자 네트워크 관리자는 두 피어링 연결이 모두 생성될 때 소비자 네트워크를 생산자 네트워크와 피어링해야 함
- VPC 네트워크 피어링 세션이 활성화되고 경로가 교환되므로 VM 인스턴스가 내부 ID를 사용해 개인적으로 통신 가능
- VPC 네트워크 피어싱은 다중 프로젝트 네트워킹에 대한 분산 또는 분산 접근 방식으로
각 VPC 네트워크는 별도의 관리자 그룹의 제어 하에 남아있고 고유한 전역 방화벽 및 라우팅 테이블을 유지 관리함
이러한 프로젝트는 외부 IP 주소 또는 VPN을 고려하여 비공개를 용이하게 하며
VPC 네트워크 통신 간의 대기 시간, 보안 및 비용 단점이 발생하지 않음
Remember when using VPC peering
VPC 피어링을 사용할 때 기억해라
- VPC 네트워크 피어링은 컴퓨팅 엔진과 쿠버네티스 앱 엔진과 함께 작동하는 유연한 환경
- 피어 네트워크는 동일한 프로젝트 또는 다른 프로젝트에 있을 수 있음
- 피어 네트워크는 다른 조직에서 소유할 수 있음
- 피어 VPC 네트워크는 독립적으로 설정되며 양측의 구성이 일치하는 경우에만 경화가 활성화
- 어느 쪽이든 언제든지 피어링 연결을 삭제할 수 있음
- 서브넷 IP 주소 범위와 VPC 네트워크는는 겹칠 수 없음
- 기본 서브넷만 있는 두 개의 자동 모드 VPC 네트워크는 나타날 수 없고 순수한 네트워크만 직접 통신할 수 있음
즉, vpc 네트워크 N1이 N2 및 N3과 쌍을 이루고 있지만
N2 및 N3이 직접 연결되지 않은 경우 전이적 피어링이 지원되지 않음을 의미하며
VPC 네트워크 N2는 VPC 네트워크와 통신할 수 없고 N3은 N1이 N2 및 N3에 서비스를 제공하는 SAS 조직인 경우 중요
A peering request has to be made from both networks
피어링 요청은 두 네트워크 모두에서 이루어져야 함
- 피어링 연결은 별도로 설정해야 하므로 공용 네트워크와 사설 네트워크가 서로 어떻게 상호 연결되는지에 유의
- 하나만 수행하면 다른 하나를 자동으로 허용하지 않을 것이므로 항상 확인
Internal IP address ranges in peered networks cannot overlap
피어링된 네트워크의 내부 IP 주소 범위는 겹칠 수 없음
- 항상 중복되는 IP 주소가 없는지 확인
User Terraform to automate the creation of peered networks
피어링된 네트워크 생성을 자동화하는 사용자 Terraform
- 피어링 요청을 생성하면 트래픽이 피어 네트워크 간에 흐르도록 하는데 필요한 경로가 자동으로 생성되며
Terraform 템플릿을 사용하면 이 작업을 더 쉽게 자동화 가능 - 서로 반대인 두 개의 피어링인 public-private과 private-public을 요청
