VPC 네트워크 개요

https://cloud.google.com/vpc/docs/vpc?hl=ko#valid-ranges

서브넷 생성 모드

Google Cloud는 서브넷 생성 모드에 따라 결정되는 두 가지 유형의 VPC 네트워크를 제공합니다.

• *자동 모드* VPC 네트워크가 만들어질 때 네트워크 내의 각 리전에서 하나의 서브넷이 자동으로 만들어집니다. 자동으로 생성되는 이러한 서브넷은 10.128.0.0/9 CIDR 블록에 속하는 사전 정의된 IP 범위 집합을 사용합니다. 새 Google Cloud 리전을 사용할 수 있게 되면 이 블록의 IP 범위를 사용하여 리전의 새 서브넷이 자동으로 자동 모드 VPC 네트워크에 추가됩니다. 자동으로 생성되는 서브넷 외에도, 자동 모드 VPC 네트워크의 선택한 리전에 10.128.0.0/9 이외의 IP 범위를 사용하여 수동으로 서브넷을 더 추가할 수 있습니다.
• *커스텀 모드* VPC 네트워크가 만들어질 때는 서브넷이 자동으로 만들어지지 않습니다. 이 네트워크 유형에서는 개발자가 서브넷과 IP 범위를 완전히 제어할 수 있습니다. 직접 지정한 IP 범위를 사용하여 선택한 리전에 만들 서브넷을 결정합니다.

자동 모드에서 커스텀 모드로 VPC 네트워크를 전환할 수 있습니다. 이는 편도 변환입니다. 커스텀 모드 VPC 네트워크는 자동 모드 VPC 네트워크로 변경할 수 없습니다. 필요에 맞는 네트워크 유형을 결정하려면 자동 모드 VPC 네트워크에 대한 고려 사항을 참조하세요.

자동 모드 VPC 네트워크에 대한 고려사항

자동 모드 VPC 네트워크는 쉽게 설정하고 사용할 수 있으며 다음과 같은 속성을 가진 사용 사례에 적합합니다.

• 각 리전에 서브넷이 자동 생성되는 편이 유용합니다.
• 서브넷의 사전 정의된 IP 범위가 다른 용도로(예: 온프레미스 리소스를 위한 Cloud VPN 연결) 사용할 IP 범위와 겹치지 않습니다.

커스텀 모드 VPC 네트워크는 더 유연하고 프로덕션에 더 적합합니다. 다음 속성은 커스텀 모드 VPC 네트워크가 권장되거나 필요한 사용 사례를 나타냅니다.

• 각 리전에 하나의 서브넷을 자동으로 만들 필요가 없습니다.
• 새 리전을 사용할 수 있을 때 새 서브넷이 자동으로 만들어지면 수동으로 만들어진 서브넷 또는 정적 경로에 사용되는 IP 주소와 겹치거나 전체적인 네트워크 계획에 차질이 발생할 수 있습니다.
• 사용되는 리전과 IP 주소 범위를 포함하여 VPC 네트워크에 만들어지는 서브넷의 모든 부분을 직접 제어해야 합니다.
• VPC 네트워크 피어링 또는 Cloud VPN을 사용하여 VPC 네트워크에 연결할 계획입니다. 모든 자동 모드 VPC 네트워크의 서브넷은 동일한 사전 정의된 IP 주소 범위를 사용하므로 자동 모드 VPC 네트워크를 상호 연결할 수 없습니다.

서브넷 범위

서브넷을 만들 때 서브넷의 기본 IP 주소 범위를 정의해야 합니다. VM 인스턴스, 내부 부하 분산기, 내부 프로토콜 전달 등의 리소스에 대한 기본 내부 주소는 서브넷의 기본 범위에서 가져옵니다. 원하는 경우 별칭 IP 범위에서만 사용되는 보조 IP 주소 범위를 서브넷에 추가할 수 있습니다. 하지만 서브넷의 기본 또는 보조 범위에서 인스턴스의 별칭 IP 범위를 구성할 수 있습니다.

VPC 네트워크의 모든 서브넷에 대한 각 기본 또는 보조 IP 범위는 고유한 유효 CIDR 블록이어야 합니다.

서브넷의 예약된 IP 주소

경로 및 방화벽 규칙

경로

경로란 인스턴스에서 나가는 패킷(이그레스 트래픽)의 경로를 나타냅니다. Google Cloud의 경로는 시스템 생성 경로와 커스텀 경로라는 두 가지 카테고리로 나뉩니다.

모든 새로운 네트워크는 두 가지 유형의 시스템 생성 경로로 시작합니다.

• 기본 경로는 트래픽이 VPC 네트워크에서 나가는 경로를 정의합니다. 이 경로는 인터넷 액세스 요구사항을 충족하는 VM에 일반적인 인터넷 액세스 기능을 제공합니다. 또한 비공개 Google 액세스의 일반적인 경로도 제공합니다.
• 서브넷과 연결된 각 IP 범위에 대해 서브넷 경로가 하나씩 생성됩니다. 모든 서브넷에는 기본 IP 범위에 대한 서브넷 경로가 하나 이상 있으며, 서브넷에 보조 IP 범위를 추가하면 서브넷에 대한 추가 서브넷 경로가 생성됩니다. 서브넷 경로는 트래픽이 서브넷을 사용하는 VM에 도달하는 경로를 정의합니다. 서브넷 경로는 수동으로 삭제할 수 없습니다.

커스텀 경로는 직접 만든 정적 경로 또는 하나 이상의 Cloud Router에서 자동으로 관리하는 동적 경로입니다.

동적 라우팅 모드

각 VPC 네트워크에는 연결된 동적 라우팅 모드가 있으며, 이 모드는 모든 Cloud Router의 동작을 제어합니다. Cloud Router는 VPC 네트워크로 가는 경로를 공유하고, 사용자가 Cloud VPN 터널(동적 라우팅 사용), Dedicated Interconnect 또는 Partner Interconnect를 사용하여 VPC 네트워크를 다른 네트워크에 연결할 때 연결된 네트워크에서 커스텀 동적 경로를 학습합니다.

• 리전별 동적 라우팅은 기본값입니다. 이 모드에서 VPC 네트워크의 지정된 Cloud Router에 의해 학습된 온프레미스 리소스 경로는 Cloud Router와 동일한 리전의 서브넷에만 적용됩니다. 커스텀 공지로 수정하지 않는 한, 각 Cloud Router는 리전의 서브넷 경로를 온프레미스 대응 라우터와만 공유합니다.
• 전역 동적 라우팅은 네트워크의 모든 Cloud Router의 동작을 변경하여 온프레미스 리소스로 연결되는 학습된 경로를 리전에 관계없이 VPC 네트워크의 모든 서브넷에서 사용할 수 있도록 합니다. 커스텀 공지로 수정하지 않는 한, 각 Cloud Router는 VPC 네트워크의 모든 서브넷 경로를 온프레미스 대응 라우터와 공유합니다.

방화벽 규칙

방화벽 규칙은 네트워크에서 나가는(이그레스) 트래픽과 들어오는(인그레스) 트래픽 모두에 적용됩니다. 방화벽 규칙은 VM 인스턴스 간의 통신을 포함하여 전적으로 네트워크 내에서 이루어지는 트래픽도 제어합니다.

모든 VPC 네트워크에는 두 가지 묵시적인 방화벽 규칙이 있습니다. 하나는 모든 이그레스 트래픽을 허용하는 묵시적 규칙이고, 다른 하나는 모든 인그레스 트래픽을 거부하는 묵시적 규칙입니다. 묵시적 규칙은 삭제할 수는 없지만 직접 재정의할 수는 있습니다. Google Cloud는 방화벽 규칙에 관계없이 항상 일부 트래픽을 차단합니다.

커뮤니케이션 및 액세스

네트워크 내 통신

시스템 생성 서브넷 경로는 내부 IP 주소를 사용하여 네트워크 내의 인스턴스 간에 트래픽을 전송하기 위한 경로를 정의합니다. 모든 네트워크에는 인그레스 트래픽에 적용되는 묵시적 거부 방화벽 규칙이 있으므로 인스턴스 간 통신을 위해서는 적절한 방화벽 규칙도 구성해야 합니다.

기본 네트워크를 제외하고 인스턴스 간 통신을 허용하려면 우선순위가 더 높은 인그레스 방화벽 규칙을 명시적으로 만들어야 합니다. 기본 네트워크에는 네트워크 내에서 인스턴스 간 통신을 허용하는 default-allow-internal 규칙을 포함하여 묵시적 규칙 외에도 여러 가지 방화벽 규칙이 포함되어 있습니다. 기본 네트워크에는 RDP 및 SSH와 같은 프로토콜을 허용하는 인그레스 규칙도 있습니다.

인터넷 액세스 요구사항

인스턴스에서 발신 인터넷 액세스 권한을 가지려면 다음 기준을 충족해야 합니다.

• 네트워크에 대상 IP 범위가 최대한 포괄적인(0.0.0.0/0) 유효한 커스텀 경로나 기본 인터넷 게이트웨이 경로가 있어야 합니다. 이 경로는 인터넷 경로를 정의합니다. 자세한 내용은 경로를 참조하세요.
• 방화벽 규칙이 인스턴스의 이그레스 트래픽을 허용해야 합니다. 우선순위가 더 높은 규칙에 의해 재정의되지 않는 한 이그레스 트래픽에 적용되는 묵시적 허용 규칙은 모든 인스턴스에서 발신되는 트래픽을 허용합니다.
• 다음 중 하나에 해당해야 합니다.
  • 인스턴스에 외부 IP 주소가 있어야 합니다. 인스턴스를 만들 때 또는 인스턴스를 만든 후 인스턴스에 외부 IP 주소를 할당할 수 있습니다.
  • 인스턴스는 정적 0.0.0.0/0 경로의 대상인 Cloud NAT 또는 인스턴스 기반 프록시를 사용할 수 있어야 합니다.

• Subnet1은 us-west1 리전에서 10.240.0.0/24 로 정의됩니다.
  • us-west1-a 영역의 두 개 VM 인스턴스가 이 서브넷에 있습니다. 두 개의 IP 주소는 모두 subnet1의 가용 주소 범위에 속합니다.
• Subnet2는 us-east1 리전에서 192.168.1.0/24로 정의됩니다.
  • us-east1-a 영역의 두 개 VM 인스턴스가 이 서브넷에 있습니다. 두 개의 IP 주소는 모두 subnet2의 가용 주소 범위에 속합니다.
• Subnet3도 us-east1 리전에서 10.2.0.0/16으로 정의됩니다.
  • us-east1-a 영역의 VM 인스턴스 하나와 us-east1-b 영역의 두 번째 인스턴스는 각각 subnet3에 있으며 사용 가능한 범위에서 IP 주소를 수신합니다. 서브넷은 리전 리소스이므로 인스턴스는 네트워크 인터페이스가 각자의 영역이 포함된 동일한 리전의 서브넷과 연결되도록 할 수 있습니다.

경로 개요

https://cloud.google.com/vpc/docs/routes?hl=ko

Google Cloud Routes는 네트워크 트래픽이 가상 머신(VM) 인스턴스에서 다른 대상 위치로 이동하는 경로를 정의합니다. 이러한 대상 위치는 Google Cloud Virtual Private Cloud(VPC) 네트워크 내부(예: 다른 VM) 또는 외부에 있을 수 있습니다.

VPC 네트워크에서 경로는 CIDR 형식의 단일 대상 위치 프리픽스와 단일 다음 홉으로 구성됩니다. VPC 네트워크의 인스턴스가 패킷을 전송하면 패킷의 대상 위치 주소가 경로의 대상 범위 내에 있는 경우 Google Cloud가 패킷을 경로의 다음 홉으로 전달합니다.

Google Cloud의 라우팅

모든 VPC 네트워크는 확장 가능한 분산형 가상 라우팅 메커니즘을 사용합니다. 네트워크에 할당된 물리적 기기가 없습니다. 일부 경로를 선택적으로 적용할 수도 있지만, VPC 네트워크의 라우팅 테이블이 VPC 네트워크 수준에서 정의됩니다.

경로 유형

시스템 생성 기본 경로

VPC 네트워크를 생성하면 시스템 생성 기본 경로가 포함됩니다. 이 기본 경로의 용도는 두 가지입니다.

• 인터넷으로 가는 경로를 포함하여 VPC 네트워크에서 나가는 경로를 정의합니다. 인터넷에 액세스해야 하는 인스턴스는 이 경로를 사용할 뿐만 아니라 추가 요구사항도 충족해야 합니다.
• 비공개 Google 액세스의 표준 경로를 제공합니다.

시스템 생성 기본 경로의 우선순위는 1000입니다. 이 경로의 대상 위치는 가능한 가장 광범위한 값(0.0.0.0/0)이기 때문에 Google Cloud는 오직 보다 구체적인 경로를 가진 대상 위치가 패킷에 적용되지 않는 경우에만 이 대상 위치를 사용합니다.

네트워크를 인터넷에서 완전히 분리하거나 기본 경로를 커스텀 경로로 대체해야 하는 경우 기본 경로를 삭제할 수 있습니다.

• 인터넷 트래픽을 다른 다음 홉으로 라우팅하려면 기본 경로를 커스텀 정적 경로 또는 동적 경로로 바꿉니다. 예를 들어 다음 홉이 프록시 VM인 커스텀 정적 경로로 바꿀 수 있습니다.
• 기본 경로를 삭제하고 대체하지 않으면 다른 경로로 처리되지 않는 IP 범위로 향하는 패킷이 삭제됩니다.

서브넷 경로

서브넷 경로는 VPC 네트워크의 VM 및 내부 부하 분산기와 같은 리소스의 경로를 정의합니다.

각 서브넷에는 대상 위치가 서브넷의 기본 IP 범위와 일치하는 서브넷 경로가 하나 이상 있습니다. 서브넷에 보조 IP 범위가 있는 경우 각 보조 IP 주소 범위에 해당하는 서브넷 경로가 있습니다.

서브넷 경로가 생성되고 삭제되는 방식은 다음과 같습니다.

• 서브넷을 추가하면 Google Cloud가 서브넷의 기본 IP 주소 범위에 해당하는 서브넷 경로를 만듭니다.
  • 서브넷의 기본 IP 주소 범위를 확장하면 Google Cloud에서 해당 서브넷 경로의 대상을 업데이트합니다.
  • 서브넷의 보조 IP 주소 범위를 추가 또는 삭제하면 Google Cloud에서 보조 범위에 해당하는 서브넷 경로를 만들거나 폐기합니다.
• 자동 모드 VPC 네트워크에서는 자동으로 생성된 각 서브넷의 기본 IP 범위에 해당하는 서브넷 경로가 생성됩니다. 이러한 서브넷을 삭제하려면 자동 모드 VPC 네트워크를 커스텀 모드로 전환해야 합니다.
• 서브넷을 수정하거나 삭제하지 않으면 서브넷 경로를 삭제할 수 없습니다.
  • 서브넷에서 보조 범위를 삭제하면 해당 보조 범위의 서브넷 경로가 자동으로 삭제됩니다.
  • 서브넷을 삭제하면 기본 범위와 보조 범위의 모든 서브넷 경로가 자동으로 삭제됩니다. 다른 방법으로는 서브넷의 기본 범위에 대한 서브넷 경로를 삭제할 수 없습니다.

정적 경로

정적 경로는 정적 경로 매개변수를 사용하여 정의되며 정적 경로 다음 홉을 지원합니다.

• Google Cloud Console을 사용하여 정책 기반 라우팅을 사용하는 기본 VPN 터널 또는 경로 기반 VPN인 터널을 만든 경우, 원격 트래픽 선택기의 정적 경로가 자동으로 생성됩니다. 자세한 내용은 Cloud VPN 네트워크 및 터널 라우팅을 참조하세요.

정적 경로 매개변수

각 정적 경로는 다음 구성요소로 이루어집니다.

• 이름과 설명. 이 필드는 경로를 식별합니다. 이름은 필수사항이지만 설명은 선택사항입니다. 프로젝트의 모든 경로에는 고유한 이름이 있어야 합니다.
• 네트워크. 각 경로는 정확히 하나의 VPC 네트워크와 연결되어야 합니다.
• 대상 범위. 대상 범위는 수신 패킷을 받는 시스템의 IP 주소를 포함하는 단일 IPv4 CIDR 블록입니다. 대상 위치는 CIDR 표기법으로 표현되어야 합니다. 대상 위치는 서브넷 IP 주소 범위와 정확히 일치할 수 없으며 서브넷 IP 주소 범위보다 작은 범위에 속할 수도 없습니다(더 긴 서브넷 마스크를 가질 수 없음). 정적 경로의 대상 위치는 서브넷 IP 주소 범위를 포함할 수 있습니다(서브넷 마스크가 더 짧음). 이 경우 패킷이 서브넷 경로의 대상 위치보다 작은 범위에 속하지 않는 경우에만 정적 경로의 다음 홉으로 패킷이 전송됩니다. 가능한 가장 광범위한 대상 위치는 0.0.0.0/0입니다.
• 우선순위. 여러 경로의 대상 위치가 동일한 경우 우선순위를 사용하여 어느 경로를 사용할지 결정합니다. 숫자가 낮을수록 우선순위가 높습니다. 예를 들어 우선순위 값이 100인 경로는 우선순위 값이 200인 경로보다 우선순위가 높습니다. 가장 높은 경로 우선순위는 음수가 아닌 가장 작은 정수를 의미합니다. 0은 음수가 아닌 가장 작은 정수이므로 우선순위가 가장 높습니다.
• 다음 홉. 정적 경로에는 기본 인터넷 게이트웨이, Google Cloud 인스턴스 또는 Cloud VPN 터널을 가리키는 다음 홉이 있을 수 있습니다. 자세한 내용은 정적 경로 다음 홉을 참조하세요.
• 태그. 경로가 나열된 태그 중 하나 이상이 있는 인스턴스에만 적용되도록 네트워크 태그의 목록을 지정할 수 있습니다. 태그를 지정하지 않으면 Google Cloud는 네트워크의 모든 인스턴스에 경로를 적용합니다. 다음 홉 내부 TCP/UDP 부하 분산기는 네트워크 태그를 지원하지 않습니다.

정적 경로의 다음 홉

정적 경로에 유효한 다음 홉은 다음과 같습니다. 각 유형에 대한 자세한 내용은 gcloud 참조 문서를 확인하세요.

• 다음 홉 게이트웨이(next-hop-gateway). 기본 인터넷 게이트웨이를 지정하여 외부 IP 주소의 경로를 정의할 수 있습니다.
• 다음 홉 인스턴스(next-hop-instance). 이름과 영역을 지정하여 Google Cloud의 기존 인스턴스로 트래픽을 전달할 수 있습니다. 트래픽은 경로를 정의하는 VPC 네트워크의 VM 네트워크 인터페이스의 기본 내부 IP 주소로 전달됩니다.
  • VPC 네트워크에서 VM 인스턴스의 네트워크 인터페이스에 대한 기본 내부 IP 주소가 변경되면 Google Cloud는 VPC 네트워크의 라우팅 테이블을 자동으로 업데이트하여 트래픽이 새 IP 주소에서 VM으로 계속 전달되도록 합니다.
  • VM이 동일한 영역에서 동일한 이름의 새 VM으로 교체되면 Google Cloud는 VPC 네트워크의 라우팅 테이블을 자동으로 업데이트하여 트래픽이 대체 VM으로 전달되도록 합니다.
  • Google Cloud는 경로를 만들 때 다음 홉 VM이 존재하는지만 검증합니다. VM이 패킷을 처리하거나 전달할 수 있는지는 확인하지 않습니다. VM이 나중에 삭제되었지만 대체되지 않은 경우 그 경로가 여전히 적용되어 패킷이 삭제될 수 있습니다.
• 다음 홉 내부 TCP/UDP 부하 분산기(next-hop-ilb). 내부 TCP/UDP 부하 분산의 경우 부하 분산기의 IP 주소를 정상적인 백엔드 인스턴스 간에 트래픽을 분산하는 다음 홉으로 사용할 수 있습니다. 예를 들어 다음 홉이 내부 TCP/UDP 부하 분산기인 커스텀 정적 경로를 사용하여 트래픽을 백엔드 VM 간에 분산할 수 있습니다. 이 다음 홉을 사용하는 커스텀 정적 경로는 네트워크 태그를 사용하여 범위를 특정 인스턴스로 지정할 수 없습니다.
• 다음 홉 IP(next-hop-address). Google Cloud VM 인터페이스에 할당된 기본 내부 IP 주소를 다음 홉으로 제공할 수 있습니다.
  • next-hop-address를 사용하면 Google Cloud가 그 IP 주소에 할당된 VM 인스턴스로 트래픽을 전달합니다. VM 인스턴스를 동일한 기본 내부 IP 주소를 사용하는 다른 VM 인스턴스로 바꾸면 인스턴스의 이름이 달라도 트래픽이 대체 인스턴스로 이동합니다. VM 이름으로 다음 홉을 정의하려면 다음 홉 인스턴스를 대신 사용하세요.
  • 경로를 만들 때 Google Cloud는 IP 주소가 서브넷의 기본 또는 보조 IP 범위의 유효한 구성원인지만 확인합니다. 인스턴스가 다음 홉 IP 주소에 있는지는 확인하지 않습니다. 다음 홉 IP 주소가 인스턴스에 할당되지 않은 경우 경로가 계속 적용되고 따라서 패킷이 삭제될 수 있습니다. 자세한 내용은 인스턴스 및 부하 분산기의 다음 홉에 대한 고려사항을 참조하세요.
  • 임의 IP 주소를 다음 홉으로 지정할 수 없습니다. VPC 네트워크에서 서브넷의 IP 주소 범위를 벗어나는 주소는 허용되지 않습니다.
• 다음 홉 VPN 터널(next-hop-vpn-tunnel). 정책 기반 라우팅 및 경로 기반 VPN을 사용하는 Cloud VPN 터널의 경우 다음 홉이 이름과 리전으로 터널을 참조하는 경로를 만들어 VPN 터널로 트래픽을 보낼 수 있습니다. Google Cloud는 다음 홉이 다운된 Cloud VPN 터널인 경로를 무시합니다. 경로와 Cloud VPN 터널이 상호 작용하는 방식의 더 많은 예시는 Cloud VPN 라우팅 예시를 참조하세요.

피어링 서브넷 경로

피어링 서브넷 경로는 VPC 네트워크 피어링을 사용하여 연결된 다른 VPC 네트워크의 서브넷을 사용하는 리소스 경로를 정의합니다. 다른 네트워크를 피어 VPC 네트워크라고 합니다.

피어 네트워크는 다음과 같은 방법으로 서브넷 경로를 공유합니다.

• 피어 네트워크는 모든 기본 및 보조 IP 주소 범위의 서브넷 경로를 항상 내보냅니다.
• 경로의 대상 위치(서브넷 IP 주소 범위)가 비공개로 재사용되는 공개 IP 주소가 아니라면 피어 네트워크가 서브넷 경로를 자동으로 가져옵니다.
• 피어링을 사용 중지하지 않으면 가져온 피어링 서브넷 경로를 삭제할 수 없습니다. 피어링을 사용 중지하면 가져온 모든 피어링 서브넷 경로가 자동으로 삭제됩니다.
• Google Cloud는 피어링된 네트워크 간에 서브넷 IP 주소 범위 충돌을 방지합니다.

VPC 네트워크의 모든 서브넷 경로 수와 모든 피어 네트워크에서 가져온 피어링 서브넷 경로 수를 합한 숫자는 서브넷 IP 범위(기본 및 보조)의 최대 개수에 의해 제한됩니다.

피어링 커스텀 경로

커스텀 경로를 내보내거나 가져오도록 피어 네트워크를 구성할 수 있습니다. 이 경우 커스텀 경로는 VPC 네트워크의 정적 경로와 동적 경로를 모두 의미합니다.

VPC 네트워크가 커스텀 경로를 내보내도록 구성된 경우에도 이러한 유형의 경로는 생략됩니다.

• next-hop-gateway를 사용하는 정적 경로(기본 인터넷 게이트웨이 다음 홉)
• 네트워크 태그를 사용하여 인스턴스로 범위가 지정된 정적 경로

VPC 네트워크의 정적 및 동적 경로 수와 모든 피어 네트워크에서 가져온 피어링 커스텀 경로 수를 합한 숫자는 제한됩니다.

• 피어링 그룹 내 정적 경로의 최대 개수
• 피어링 그룹 내 동적 경로의 최대 개수