[GCP] Virtual Private Cloud(VPC) 개요 및 설정

https://cloud.google.com/vpc/docs/overview?hl=ko

가상 프라이빗 클라우드(VPC) 개요 | Google Cloud

의견 보내기 컬렉션을 사용해 정리하기 내 환경설정을 기준으로 콘텐츠를 저장하고 분류하세요. Virtual Private Cloud(VPC) 개요 Virtual Private Cloud(VPC)는 Compute Engine 가상 머신(VM) 인스턴스, Google Kubernete

cloud.google.com

Google Cloud Platform의 네트워킹 서비스 중 VPC에 대해 알아보겠습니다.

VPC란?

VPC(Virtual Private Cloud)는 Compute Engine 가상 머신(VM) 인스턴스, Google Kubernetes Engine(GKE) 클러스터, 서버리스 워크로드에 네트워킹 기능을 제공한다. VPC는 클라우드 기반 리소스 및 서비스에 대해 확장 가능하고 유연한 글로벌 네트워킹을 제공한다.

VPC 네트워크

VPC 네트워크는 Google Cloud 내에서 가상화된다는 점을 제외하면 물리적 네트워크와 동일한 방식으로 생각할 수 있다. VPC 네트워크는 데이터 센터의 리전별 가상 서브네트워크(서브넷) 목록으로 구성된 전역 리소스로, 모든 리소스는 전역 광역 통신망을 통해 연결된다. VPC 네트워크는 Google Cloud에서 논리적으로 서로 격리된다.

VPC 네트워크에서 다음을 수행한다.

Compute Engine 가상 머신(VM) 인스턴스에 대한 연결을 제공하며 여기에는 Google Kubernetes Engine(GKE) 클러스터, 서버리스 워크로드, Compute Engine VM에 빌드된 기타 Google Cloud 제품이 포함된다.
내부 애플리케이션 부하 분산기용 내부 패스 스루 네트워크 부하 분산기 및 프록시 시스템을 제공ㅎ나다.
Cloud VPN 터널 및 Cloud Interconnect용 VLAN 연결을 사용하여 온프레미스 네트워크에 연결한다.
Google Cloud 외부 부하 분산기에서 백엔드로 트래픽을 배포한다.

방화벽 규칙

각 VPC 네트워크는 사용자가 구성할 수 있는 분산 가상 방화벽을 구현한다. 방화벽 규칙을 사용하면 어떤 패킷이 어떤 대상으로 이동하도록 허용되는지 제어할 수 있다. 모든 VPC 네트워크에는 들어오는 모든 연결을 차단하고 나가는 모든 연결을 허용하는 두 가지 묵시적인 방화벽 규칙이 있다.

default 네트워크에는 네트워크의 인스턴스 간 통신을 허용하는 default-allow-internal 규칙을 비롯한 추가 방화벽 규칙이 있다.

경로

경로는 VM 인스턴스 및 VPC 네트워크에 인스턴스에서 네트워크 내부 또는 Google Cloud 외부에 있는 대상으로 트래픽을 보내는 방법을 알려준다. 각 VPC 네트워크에는 해당 서브넷 간에 트래픽을 라우팅하고 운영 가능한 인스턴스에서 인터넷으로 트래픽을 전송하는 몇 가지 시스템 생성 경로가 있다.

일부 패킷을 특정 대상으로 보내도록 커스텀 정적 경로를 만들 수 있다.

전달 규칙

경로가 인스턴스를 떠나는 트래픽을 제어하는 동안 전달 규칙은 트래픽을 IP 주소, 프로토콜, 포트를 기반으로 VPC 네트워크의 Google Cloud 리소스로 보낸다.

일부 전달 규칙은 Google Cloud 외부에서 네트워크에 있는 대상으로 트래픽을 전달한다. 그 외에는 네트워크 내부에서 트래픽을 전달한다. 전달 규칙의 대상은 대상 인스턴스, 부하 분산기 대상(백엔드 서비스, 대상 프록시, 대상 풀) 및 기존 VPN 게이트웨이이다.

인터페이스 및 IP 주소

VPC 네트워크는 IP 주소 및 VM 네트워크 인터페이스에 대해 다음 구성을 제공한다.

IP 주소

Compute Engine VM 인스턴스, 전달 규칙, GKE 컨테이너와 같은 Google Cloud 리소스는 IP 주소를 사용하여 통신한다.

별칭 IP 범위

단일 VM 인스턴스에서 여러 서비스를 실행하는 경우 별칭 IP 범위를 사용하여 각 서비스에 서로 다른 내부 IP 주소를 지정할 수 있다. VPC 네트워크는 특정 서비스가 대상인 패킷을 해당 VM에 전달한다.

다중 네트워크 인터페이스

VM 인스턴스에 여러 네트워크 인터페이스를 추가할 수 있다. 각 인터페이스는 고유한 네트워크에 있다. 다중 네트워크 인터페이스를 통해 네트워크 어플라이언스 VM이 다른 VPC 네트워크 간 트래픽 또는 인터넷을 오가는 트래픽을 보호하는 게이트웨이 역할을 할 수 있다.

VPC 공유 및 피어링

Google Cloud는 프로젝트 간에 VPC 네트워크를 공유하고 VPC 네트워크를 서로 연결하기 위해 다음과 같은 구성을 제공한다.

공유 VPC

호스트 프로젝트의 VPC 네트워크를 Google Cloud 조직의 다른 프로젝트와 공유할 수 있다. 특정 IAM 권한을 사용하여 전체 공유 VPC 네트워크에 대한 액세스 권한을 부여하거나 해당 서브넷을 선택할 수 있다. 이를 통해 조직의 유연성을 유지하면서 공통 네트워크를 중앙 집중식으로 제어할 수 있다. 공유 VPC는 특히 대규모 조직에서 유용하다.

VPC 네트워크 피어링

VPC 네트워크 피어링을 사용하면 Google Cloud에 SaaS 생태계를 구축하여 같은 프로젝트로, 다른 프로젝트 또는 다른 조직의 프로젝트에 있는 다양한 VPC 네트워크에서 비공개로 서비스를 제공할 수 있도록 허용한다.

VPC 네트워크 피어링을 사용하면 모든 통신이 내부 IP 주소를 사용하여 수행된다. 방화벽 규칙에 따라 피어링된 각 네트워크의 VM 인스턴스는 외부 IP 주소를 사용하지 않고도 서로 통신할 수 있다.

피어링된 네트워크는 비공개 IP 주소 범위의 서브넷 경로를 자동으로 교환한다. VPC 네트워크 피어링을 사용하면 다음 유형의 경로를 교환할지 여부를 구성할 수 있다.

비공개로 재사용된 공개 IP 범위의 서브넷 경로
커스텀 정적 및 동적 경로

피어링된 각 네트워크의 네트워크 관리는 변경되지 않는다. IAM 정책은 VPC 네트워크 피어링으로 교환되지 않는다. 예를 들어 한 VPC 네트워크의 네트워크 및 보안 관리는 피어링된 네트워크의 역할을 자동으로 가져오지 않는다.

하이브리드 클라우드

Google Cloud는 VPC 네트워크를 온프레미스 네트워크 및 다른 클라우드 제공업체의 네트워크에 연결할 수 있는 다음과 같은 구성을 제공한다.

Cloud VPN

Cloud VPN을 사용하면 VPC 네트워크를 안전한 가상 사설망(VPN)을 통해 물리적 온프레미스 네트워크 또는 다른 클라우드 제공업체에 연결할 수 있다.

Cloud Load Balancing

Google Cloud는 여러 백엔드 유형 간에 트래픽 및 워크로드를 분산하기 위해 여러 부하 분산 구성을 제공한다.

서비스에 대한 비공개 액세스

Private Service Connect, 비공개 Google 액세스, 비공개 서비스 액세스를 사용하여 외부 IP 주소가 없는 VM이 지원되는 서비스와 통신하도록 할 수 있다.

VPC 네트워크 만들기

https://cloud.google.com/vpc/docs/create-modify-vpc-networks?hl=ko&authuser=1#add-subnets

빠른 시작: VPC 네트워크 만들기 및 사용 | Google Cloud

Google Cloud에서 Virtual Private Cloud(VPC) 네트워크 및 서브네트워크를 생성, 수정 및 삭제합니다.

cloud.google.com

VPC 네트워크는 콘솔, gcloud, Terraform, API로 생성할 수 있다. 그 중 콘솔과 Terraform으로 VPC를 생성하겠다.

1️⃣ 콘솔로 VPC 네트워크 만들기

VPC 네트워크 만들기를 클릭하면 위와 같은 화면이 나온다. 네트워크 이름을 입력하고 MTU를 설정한다.

MTU는 1460이 기본값이다. VPC 네트워크의 MTU를 1300 Byte에서 8896 Byte 사이의 값으로 설정할 수 있는데, 일반적인 커스텀 MTU 크기는 1500 Byte 또는 8896 Byte이다.

나는 우선 기본값으로 설정하겠다.

아래에 네트워크 프로필 구성이 있는데 이를 설정하면 VPC 네트워크가 특정 영역으로 제한된다.

그리고 서브넷을 커스텀이나 자동으로 생성할 수 있는데 나는 자동으로 생성할 것이다.

자동으로 설정하면 아래 사진과 같이 IP 주소 범위가 VPC 네트워크의 각 리전에 할당된다는 것을 보여줌을 알 수 있다.

서브넷을 설정하고 나면 방화벽 규칙 섹션에 사전에 정의된 방화벽 규칙이 보인다. 이 중 0개 이상 선택하면 된다. 이 규칙은 인스턴스에 연결하는 일반적인 사용 사례를 다룬다. 사전 정의된 규칙의 선택 여부에 관계없이 네트워크를 만든 후 자체 방화벽 규칙을 만들 수 있다. 여기서 방화벽 규칙의 AWS의 보안 그룹과 같다고 보면 될 것 같다.

그리고 동적 라우팅 모드를 설정하면 된다. 동적 라우팅 모드는 추후에 변경 가능하다.

2️⃣Terraform으로 VPC 생성하기

Terraform으로 생성할 때는 다음과 같이 적어주면 된다.

auto_create_subnetworks를 false로 설정하면 IPv4 서브넷만 있는 커스텀 모드 VPC 네트워크를 만드는 것이다. 서브넷을 생성하는 코드는 아래와 같이 작성하면 된다.

module "test-vpc-module" {
  source       = "terraform-google-modules/network/google"
  version      = "~> 9.0"
  project_id   = var.project_id # Replace this with your project ID in quotes
  network_name = "my-custom-mode-network"
  mtu          = 1460

  subnets = [
    {
      subnet_name   = "subnet-01"
      subnet_ip     = "10.10.10.0/24"
      subnet_region = "us-west1"
    },
    {
      subnet_name           = "subnet-02"
      subnet_ip             = "10.10.20.0/24"
      subnet_region         = "us-west1"
      subnet_private_access = "true"
      subnet_flow_logs      = "true"
    },
    {
      subnet_name               = "subnet-03"
      subnet_ip                 = "10.10.30.0/24"
      subnet_region             = "us-west1"
      subnet_flow_logs          = "true"
      subnet_flow_logs_interval = "INTERVAL_10_MIN"
      subnet_flow_logs_sampling = 0.7
      subnet_flow_logs_metadata = "INCLUDE_ALL_METADATA"
      subnet_flow_logs_filter   = "false"
    }
  ]
}

위와 같이 하면 VPC를 생성할 수 있다.

다음에는 Compute Engine에 대해 정리하겠다.

저작자표시 비영리 변경금지 (새창열림)

'Cloud > GCP' 카테고리의 다른 글

[GCP] Service Account 생성 (0)	2025.02.18
[GCP] Compute Engine 개요 및 생성 (0)	2025.01.29

VPC란?

VPC 네트워크

방화벽 규칙

경로

전달 규칙

인터페이스 및 IP 주소

IP 주소

별칭 IP 범위

다중 네트워크 인터페이스

VPC 공유 및 피어링

공유 VPC

VPC 네트워크 피어링

하이브리드 클라우드

Cloud VPN

Cloud Load Balancing

서비스에 대한 비공개 액세스

VPC 네트워크 만들기

1️⃣ 콘솔로 VPC 네트워크 만들기

2️⃣Terraform으로 VPC 생성하기

'Cloud > GCP' 카테고리의 다른 글

티스토리툴바