체크포인트
Create a custom network, subnetworks and firewall rules
/ 50
네트워킹 기초 - Networking
GSP016
개요
이 실습에서는 Google Cloud(Compute Engine 인스턴스 포함)에서 기본 네트워킹 작업을 수행하는 방법과 Google Cloud와 온프레미스 설정의 차이점에 대해 알아봅니다. 하나의 네트워크와 3개의 서브네트워크를 설정하여 다음과 같은 환경을 만들어 보겠습니다.
마지막으로, 방화벽 규칙을 만들고 인스턴스 태그를 사용하여 방화벽 규칙을 적용하는 방법을 알아봅니다.
학습할 내용
- Google Cloud 네트워킹의 기본 개념 및 구성
- 기본 네트워크 및 사용자 생성 네트워크 구성 방법
- 방화벽 규칙을 만들고 인스턴스 태그를 사용하여 방화벽 규칙을 적용하는 방법
설정 및 요건
실습 시작 버튼을 클릭하기 전에
다음 안내를 확인하세요. 실습에는 시간 제한이 있으며 일시중지할 수 없습니다. 실습 시작을 클릭하면 타이머가 시작됩니다. 이 타이머에는 Google Cloud 리소스를 사용할 수 있는 시간이 얼마나 남았는지 표시됩니다.
실무형 실습을 통해 시뮬레이션이나 데모 환경이 아닌 실제 클라우드 환경에서 직접 실습 활동을 진행할 수 있습니다. 실습 시간 동안 Google Cloud에 로그인하고 액세스하는 데 사용할 수 있는 새로운 임시 사용자 인증 정보가 제공됩니다.
이 실습을 완료하려면 다음을 준비해야 합니다.
- 표준 인터넷 브라우저 액세스 권한(Chrome 브라우저 권장)
- 실습을 완료하기에 충분한 시간---실습을 시작하고 나면 일시중지할 수 없습니다.
실습을 시작하고 Google Cloud 콘솔에 로그인하는 방법
-
실습 시작 버튼을 클릭합니다. 실습 비용을 결제해야 하는 경우 결제 수단을 선택할 수 있는 팝업이 열립니다. 왼쪽에는 다음과 같은 항목이 포함된 실습 세부정보 패널이 있습니다.
- Google Cloud 콘솔 열기 버튼
- 남은 시간
- 이 실습에 사용해야 하는 임시 사용자 인증 정보
- 필요한 경우 실습 진행을 위한 기타 정보
-
Google Cloud 콘솔 열기를 클릭합니다(Chrome 브라우저를 실행 중인 경우 마우스 오른쪽 버튼으로 클릭하고 시크릿 창에서 링크 열기를 선택합니다).
실습에서 리소스가 가동되면 다른 탭이 열리고 로그인 페이지가 표시됩니다.
팁: 두 개의 탭을 각각 별도의 창으로 나란히 정렬하세요.
참고: 계정 선택 대화상자가 표시되면 다른 계정 사용을 클릭합니다. -
필요한 경우 아래의 사용자 이름을 복사하여 로그인 대화상자에 붙여넣습니다.
{{{user_0.username | "Username"}}} 실습 세부정보 패널에서도 사용자 이름을 확인할 수 있습니다.
-
다음을 클릭합니다.
-
아래의 비밀번호를 복사하여 시작하기 대화상자에 붙여넣습니다.
{{{user_0.password | "Password"}}} 실습 세부정보 패널에서도 비밀번호를 확인할 수 있습니다.
-
다음을 클릭합니다.
중요: 실습에서 제공하는 사용자 인증 정보를 사용해야 합니다. Google Cloud 계정 사용자 인증 정보를 사용하지 마세요. 참고: 이 실습에 자신의 Google Cloud 계정을 사용하면 추가 요금이 발생할 수 있습니다. -
이후에 표시되는 페이지를 클릭하여 넘깁니다.
- 이용약관에 동의합니다.
- 임시 계정이므로 복구 옵션이나 2단계 인증을 추가하지 않습니다.
- 무료 체험판을 신청하지 않습니다.
잠시 후 Google Cloud 콘솔이 이 탭에서 열립니다.
Cloud Shell 활성화
Cloud Shell은 다양한 개발 도구가 탑재된 가상 머신으로, 5GB의 영구 홈 디렉터리를 제공하며 Google Cloud에서 실행됩니다. Cloud Shell을 사용하면 명령줄을 통해 Google Cloud 리소스에 액세스할 수 있습니다.
- Google Cloud 콘솔 상단에서 Cloud Shell 활성화
를 클릭합니다.
연결되면 사용자 인증이 이미 처리된 것이며 프로젝트가 PROJECT_ID로 설정됩니다. 출력에 이 세션의 PROJECT_ID를 선언하는 줄이 포함됩니다.
gcloud는 Google Cloud의 명령줄 도구입니다. Cloud Shell에 사전 설치되어 있으며 명령줄 자동 완성을 지원합니다.
- (선택사항) 다음 명령어를 사용하여 활성 계정 이름 목록을 표시할 수 있습니다.
-
승인을 클릭합니다.
-
다음과 비슷한 결과가 출력됩니다.
출력:
- (선택사항) 다음 명령어를 사용하여 프로젝트 ID 목록을 표시할 수 있습니다.
출력:
출력 예시:
gcloud 전체 문서는 Google Cloud에서 gcloud CLI 개요 가이드를 참조하세요.
리전 및 영역의 이해
일부 Compute Engine 리소스는 리전이나 영역(zone)에 있습니다. 리전은 리소스를 실행할 수 있는 특정 지리적 위치입니다. 각 리전에는 하나 이상의 영역이 있습니다. 예를 들어 us-central1 리전은 us-central1-a, us-central1-b, us-central1-c 및 us-central1-f 영역이 있는 미국 중부의 리전을 나타냅니다.
| 리전 | 영역 |
|---|---|
| 미국 서부 | us-west1-a, us-west1-b |
| 미국 중부 | us-central1-a, us-central1-b, us-central1-d, us-central1-f |
| 미국 동부 | us-east1-b, us-east1-c, us-east1-d |
| 서유럽 | europe-west1-b, europe-west1-c, europe-west1-d |
| 동아시아 | asia-east1-a, asia-east1-b, asia-east1-c |
영역 내에 상주하는 리소스를 영역별 리소스라고 합니다. 가상 머신 인스턴스와 영구 디스크는 영역에 상주합니다. 영구 디스크를 가상 머신 인스턴스에 연결하려면 두 리소스가 모두 같은 영역에 있어야 합니다. 마찬가지로 인스턴스에 정적 IP 주소를 할당하려는 경우 인스턴스가 정적 IP와 같은 리전에 있어야 합니다.
Google Cloud 네트워크 개념
Google Cloud Platform에서 네트워크는 클라우드 리소스(대부분 Compute Engine 인스턴스)와의 양방향 데이터 연결을 제공합니다. 데이터를 보호하고 리소스에 대한 액세스를 제어하기 위해서는 네트워크 보안이 중요합니다.
Google Cloud Platform은 서로 연관되어 있지 않은 리소스를 유연하고 논리적으로 격리할 수 있도록 프로젝트, 네트워크 및 서브네트워크를 지원합니다.
프로젝트는 가장 바깥쪽에 있는 컨테이너로, 동일한 신뢰 경계를 공유하는 리소스를 그룹화하는 데 사용됩니다. 프로젝트마다 자체 액세스 정책(IAM) 및 구성원 목록이 있으므로 많은 개발자가 프로젝트를 팀에 매핑합니다. 프로젝트는 리소스 사용량을 반영하는 청구 및 할당량 세부정보 수집기의 역할도 합니다. 프로젝트에는 서브네트워크, 방화벽 규칙 및 경로를 포함하는 네트워크가 포함됩니다(자세한 내용은 아래 아키텍처 다이어그램 참조).
네트워크는 리소스를 서로 간에 직접 연결하며 외부 네트워크에도 연결합니다. 네트워크는 방화벽을 사용하여 인바운드 및 아웃바운드 연결에 대한 액세스 정책도 관리합니다. 네트워크에는 전역 네트워크(여러 리전에 걸쳐 수평 확장 가능)와 리전 네트워크(단일 리전 내 짧은 지연 시간 제공)가 있습니다.
서브네트워크를 사용하면 관련 리소스(Compute Engine 인스턴스)를 RFC1918 비공개 주소 공간으로 그룹화할 수 있습니다. 서브네트워크는 리전별로만 구성할 수 있습니다. 서브네트워크는 자동 모드 또는 커스텀 모드 네트워크에 포함될 수 있습니다.
- 자동 모드 네트워크에는 리전별로 하나의 서브넷이 있으며 각각 사전 정의된 IP 범위 및 게이트웨이를 포함합니다. 이러한 서브넷은 자동 모드 네트워크를 만들 때 자동으로 만들어지며 각 서브넷은 전체 네트워크와 동일한 이름을 갖습니다.
- 커스텀 모드 네트워크는 생성 시에 서브넷을 포함하지 않습니다. 커스텀 모드 네트워크에서 인스턴스를 만들려면 먼저 해당 리전에 서브네트워크를 만들고 해당 IP 범위를 지정해야 합니다. 커스텀 모드 네트워크에는 리전마다 서브넷이 하나도 없거나 하나 또는 여러 개가 있을 수 있습니다.
리전 및 영역 설정
특정 Compute Engine 리소스는 여러 리전과 영역에 위치합니다. 리전은 리소스를 실행할 수 있는 특정한 지리적 위치로, 각 리전에는 영역이 하나 이상 있습니다.
Cloud Shell에서 다음 gcloud 명령어를 실행하여 실습의 기본 리전과 영역을 설정합니다.
작업 1. 기본 네트워크 검토
새 프로젝트가 만들어지면 기본 네트워크 구성을 통해 각 리전에 자동 서브넷 네트워크가 제공됩니다. 한 프로젝트에 최대 4개의 추가 네트워크를 만들 수 있습니다. 추가 네트워크는 자동 서브넷 네트워크, 커스텀 서브넷 네트워크 또는 레거시 네트워크일 수 있습니다.
서브네트워크 내에 만들어진 각 인스턴스에 해당 서브네트워크 범위의 IPv4 주소가 할당됩니다.
- 네트워크를 검토합니다. 탐색 메뉴 > VPC 네트워크를 클릭합니다.
방화벽
방화벽 규칙을 사용하여 서브네트워크를 격리하는 방법에 관한 자세한 내용은 서브네트워크 및 방화벽 규칙을 참조하세요.
각 네트워크에는 인스턴스에 대한 모든 인바운드 트래픽을 차단하는 기본 방화벽이 있습니다. 인스턴스로 들어오는 트래픽을 허용하려면 방화벽에 '허용' 규칙을 만들어야 합니다. 또한 '이그레스' 방화벽 구성을 사용하여 아웃바운드 연결을 차단하도록 구성하지 않으면 기본 방화벽에서 인스턴스의 트래픽을 허용합니다. 따라서 기본적으로 인그레스를 전달할 트래픽에 대한 '허용' 규칙과 이그레스를 제한할 트래픽에 대한 '거부' 규칙을 만들 수 있습니다. 또한 이그레스에 대한 기본 거부 정책을 만들어 외부 연결을 완전히 금지할 수도 있습니다.
일반적으로 전달하려는 트래픽 종류를 지원하는 최소 허용 방화벽 규칙을 구성하는 것이 좋습니다. 예를 들어 일부 인스턴스에 연결되는 트래픽을 허용하고 다른 인스턴스에 연결되는 트래픽을 제한해야 하는 경우 원하는 인스턴스에 대한 트래픽만 허용하는 규칙을 만듭니다. 보다 제한적인 이 구성은 모든 인스턴스에 대한 트래픽을 허용하는 광범위한 방화벽 규칙보다 예측 가능합니다. '거부' 규칙으로 특정 '허용' 규칙을 재정의하려는 경우 각 규칙에 대한 우선순위 등급을 설정할 수 있으며 우선순위가 제일 낮은 규칙이 제일 먼저 평가됩니다. 크고 복잡한 재정의 규칙 집합을 만들면 의도하지 않은 트래픽을 허용하거나 차단하게 될 수 있습니다.
기본 네트워크에는 다음과 같이 자동으로 만들어진 방화벽 규칙이 있습니다. 수동으로 만들어진 모든 유형의 네트워크에는 자동으로 만들어진 방화벽 규칙이 없습니다. 기본 네트워크를 제외한 모든 네트워크에는 필요한 방화벽 규칙을 만들어야 합니다.
기본 네트워크에 자동으로 만들어진 인그레스 방화벽 규칙은 다음과 같습니다.
|
|
네트워크상의 인스턴스 간에 모든 프로토콜 및 포트의 네트워크 연결을 허용합니다. |
|
|
모든 소스에서 TCP 포트 22를 사용하여 네트워크의 모든 인스턴스에 SSH로 연결할 수 있도록 허용합니다. |
|
|
모든 소스에서 TCP 포트 3389를 사용하여 네트워크의 모든 인스턴스에 RDP로 연결할 수 있도록 허용합니다. |
|
|
모든 소스에서 네트워크의 모든 인스턴스에 이르는 ICMP 트래픽을 허용합니다. |
- 기본 방화벽 규칙을 검토하려면 Cloud 콘솔에서 탐색 메뉴 > VPC 네트워크 > 방화벽을 클릭합니다.
네트워크 경로
모든 네트워크에는 인터넷(기본 경로)과 네트워크의 IP 범위로 연결되는 자동 생성 경로가 있습니다. 경로 이름은 자동으로 생성되며 프로젝트별로 다릅니다.
- 기본 경로를 검토하려면 탐색 메뉴 > VPC 네트워크 > 경로를 클릭하고 > 네트워크 및 리전을 선택하여 경로를 확인합니다.
작업 2. 커스텀 네트워크 만들기
서브네트워크 범위를 수동으로 할당할 경우 먼저 커스텀 네트워크를 만든 다음 리전 내에 원하는 서브네트워크를 만듭니다. 모든 리전에 즉시 서브넷을 지정하지 않거나 전혀 지정하지 않아도 되지만, 서브네트워크가 정의되지 않은 리전에 인스턴스를 만들 수는 없습니다.
새 서브네트워크를 만드는 경우 이름은 프로젝트의 해당 리전은 물론 전체 네트워크에서도 고유해야 합니다. 각 이름이 다른 리전에 있을 경우에는 프로젝트에 동일한 이름이 두 번 나타날 수 있습니다. 이 네트워크는 서브네트워크이므로 네트워크 수준 IPv4 범위 또는 게이트웨이 IP가 없습니다. 따라서 아무것도 표시되지 않습니다.
콘솔 또는 Cloud Shell을 사용하여 커스텀 네트워크를 만들 수 있습니다. 두 가지 안내가 모두 제공되지만 실습에서 어떤 방법을 사용할지 결정해야 합니다. 예를 들어 콘솔 안내를 사용하여 섹션을 진행한 후 gcloud 명령줄을 사용하여 동일한 섹션을 진행할 수는 없습니다.
커스텀 네트워크를 만들려면 다음 단계를 따르세요.
-
탐색 메뉴 > VPC 네트워크를 클릭합니다.
-
VPC 네트워크 만들기를 클릭하고 이름을
taw-custom-network로 지정합니다. -
커스텀 탭에서 다음을 만듭니다.
- 서브넷 이름: subnet-
- 리전:
- IP 주소 범위:
10.0.0.0/16
- 서브넷 이름: subnet-
-
완료를 클릭합니다.
-
이제 서브넷 추가를 클릭하고 각 리전에 2개의 서브넷을 추가합니다.
- subnet-
, , 10.1.0.0/16 - subnet-
, , 10.2.0.0/16
- subnet-
-
만들기를 클릭하여 완료합니다.
현재 네트워크에는 인터넷 및 만들 수 있는 모든 인스턴스로의 경로가 있습니다. 그러나 인스턴스에 대한 액세스는 물론 다른 인스턴스에서의 액세스를 허용하는 방화벽 규칙은 없습니다. 액세스를 허용하려면 방화벽 규칙을 만들어야 합니다.
계속해서 방화벽 규칙 추가 섹션을 진행합니다.
작업 3. 방화벽 규칙 추가
VM 인스턴스에 대한 액세스를 허용하려면 방화벽 규칙을 적용해야 합니다. 이 실습에서는 인스턴스 태그를 사용하여 VM 인스턴스에 방화벽 규칙을 적용합니다. 방화벽 규칙은 동일한 인스턴스 태그를 사용하는 모든 VM에 적용됩니다.
- 방화벽을 열고 HTTP 인터넷 요청을 허용하면 더 많은 방화벽 규칙이 추가됩니다.
콘솔을 통해 방화벽 규칙 추가
- Cloud 콘솔에서 VPC 네트워크로 이동하여 taw-custom-network를 클릭합니다.
- 방화벽 탭을 클릭한 다음 방화벽 규칙 추가를 클릭합니다.
- 다음 정보를 입력합니다.
|
필드 |
값 |
설명 |
|
이름 |
nw101-allow-http |
새 규칙 이름 |
|
대상 |
지정된 대상 태그 |
방화벽 규칙이 적용되는 인스턴스 |
|
대상 태그 |
http |
생성한 태그 |
|
소스 필터 |
IPv4 범위 |
인터넷의 모든 IP 주소에 대한 방화벽을 엶 |
|
소스 IPv4 범위 |
0.0.0.0/0 |
인터넷의 모든 IP 주소에 대한 방화벽을 엶 |
|
프로토콜 및 포트 |
지정된 프로토콜 및 포트를 선택한 다음 tcp 상자를 선택하고 80을 입력 |
HTTP 전용 |
화면이 다음과 같이 표시됩니다.
- 만들기를 클릭하고 명령어가 성공할 때까지 기다립니다. 다음으로 필요한 추가 방화벽 규칙을 만듭니다.
추가 방화벽 규칙 만들기
이러한 추가 방화벽 규칙은 ICMP, 내부 통신, SSH, RDP를 허용합니다. 콘솔을 사용하여 만들 수 있습니다.
- ICMP
|
필드 |
값 |
설명 |
|
이름 |
nw101-allow-icmp |
새 규칙 이름 |
|
대상 |
지정된 대상 태그 |
대상 드롭다운에서 선택 |
|
대상 태그 |
rules |
태그 |
|
소스 필터 |
IPv4 범위 |
이 목록의 모든 IP 주소에 대한 방화벽을 엶 |
|
소스 IPv4 범위 |
0.0.0.0/0 |
인터넷의 모든 IP 주소에 대한 방화벽을 엶 |
|
프로토콜 및 포트 |
지정된 프로토콜 및 포트, 기타 프로토콜을 선택한 다음 icmp를 입력 |
방화벽이 적용될 프로토콜 및 포트 |
- 내부 통신
|
필드 |
값 |
설명 |
|
이름 |
nw101-allow-internal |
새 규칙 이름 |
|
대상 |
네트워크의 모든 인스턴스 |
대상 드롭다운에서 선택 |
|
소스 필터 |
IPv4 범위 |
특정 트래픽 소스에 규칙을 적용하는 데 사용되는 필터 |
|
소스 IPv4 범위 |
10.0.0.0/16, 10.1.0.0/16, 10.2.0.0/16 |
인터넷의 모든 IP 주소에 대한 방화벽을 엶 |
|
프로토콜 및 포트 |
지정된 프로토콜 및 포트를 선택한 다음 tcp를 선택하여 0-65535를 입력하고, udp를 선택하여 0-65535를 입력하고,기타 프로토콜을 선택하여 icmp를 입력 |
Tcp:0-65535, udp:0-65535, icmp 허용 |
- SSH
|
필드 |
값 |
설명 |
|
이름 |
nw101-allow-ssh |
새 규칙 이름 |
|
대상 |
지정된 대상 태그 |
ssh |
|
대상 태그 |
ssh |
방화벽 규칙을 적용할 인스턴스 |
|
소스 필터 |
IPv4 범위 |
특정 트래픽 소스에 규칙을 적용하는 데 사용되는 필터 |
|
소스 IPv4 범위 |
0.0.0.0/0 |
인터넷의 모든 IP 주소에 대한 방화벽을 엶 |
|
프로토콜 및 포트 |
지정된 프로토콜 및 포트를 선택하고 tcp 상자를 선택한 다음 22를 입력 |
tcp:22 허용 |
- RDP
|
필드 |
값 |
설명 |
|
이름 |
nw101-allow-rdp |
새 규칙 이름 |
|
대상 |
네트워크의 모든 인스턴스 |
대상 드롭다운에서 선택 |
|
소스 필터 |
IPv4 범위 |
필터 IP 주소 |
|
소스 IPv4 범위 |
0.0.0.0/0 |
인터넷의 모든 IP 주소에 대한 방화벽을 엶 |
|
프로토콜 및 포트 |
지정된 프로토콜 및 포트를 선택하고 tcp를 선택한 다음 3389를 입력 |
tcp:3389 허용 |
- 콘솔을 사용하여 네트워크의 방화벽 규칙을 검토합니다. 예를 들면 다음과 같습니다.
내 진행 상황 확인하기를 클릭하여 목표를 확인합니다.
실습 종료하기
실습을 완료하면 실습 종료를 클릭합니다. 사용한 계정과 리소스가 실습 플랫폼에서 삭제됩니다.
실습 경험을 평가할 수 있습니다. 해당하는 별표 수를 선택하고 의견을 입력한 후 제출을 클릭합니다.
별점의 의미는 다음과 같습니다.
- 별표 1개 = 매우 불만족
- 별표 2개 = 불만족
- 별표 3개 = 중간
- 별표 4개 = 만족
- 별표 5개 = 매우 만족
의견을 제공하고 싶지 않다면 대화상자를 닫으면 됩니다.
의견이나 제안 또는 수정할 사항이 있다면 지원 탭을 사용하세요.
수고하셨습니다
기본 네트워크 및 사용자 생성 네트워크를 구성하는 방법, 서브넷을 추가하는 방법, 방화벽 규칙을 적용하여 액세스를 제어하는 방법을 알아봤습니다.
Google Cloud 교육 및 자격증
Google Cloud 기술을 최대한 활용하는 데 도움이 됩니다. Google 강의에는 빠른 습득과 지속적인 학습을 지원하는 기술적인 지식과 권장사항이 포함되어 있습니다. 기초에서 고급까지 수준별 학습을 제공하며 바쁜 일정에 알맞은 주문형, 실시간, 가상 옵션이 포함되어 있습니다. 인증은 Google Cloud 기술에 대한 역량과 전문성을 검증하고 입증하는 데 도움이 됩니다.
설명서 최종 업데이트: 2024년 10월 22일
실습 최종 테스트: 2024년 10월 22일
Copyright 2024 Google LLC All rights reserved. Google 및 Google 로고는 Google LLC의 상표입니다. 기타 모든 회사명 및 제품명은 해당 업체의 상표일 수 있습니다.
