네트워크 유형 이해하기

다음 섹션에서는 Cloud Next Generation Firewall이 네트워크 유형을 사용하여 트래픽을 분류하는 방법을 설명합니다. 네트워크 유형에 대한 자세한 내용은 네트워크 유형을 참고하세요.

인터넷 네트워크 유형 기준

이 섹션에서는 패킷이 인터넷 네트워크 유형에 속하는지 여부를 확인하기 위해 Cloud Next Generation Firewall에서 사용하는 기준을 설명합니다.

인그레스 패킷의 인터넷 네트워크 유형

Google Maglev에 의해 가상 머신 (VM) 네트워크 인터페이스로 라우팅된 인그레스 패킷은 인터넷 네트워크 유형에 속합니다. 패킷은 패킷 대상이 다음 중 하나와 일치하는 경우 Maglev에 의해 VM 네트워크 인터페이스로 라우팅됩니다.

  • VM 네트워크 인터페이스의 리전 외부 IPv4 주소, 외부 패스 스루 네트워크 부하 분산기의 전달 규칙 또는 외부 프로토콜 전달을 위한 전달 규칙
  • VM 네트워크 인터페이스의 리전 외부 IPv6 주소, 외부 패스 스루 네트워크 부하 분산기의 전달 규칙 또는 외부 프로토콜 전달을 위한 전달 규칙이고 패킷이 로컬 서브넷 경로 또는 VPC 네트워크 피어링 또는 네트워크 연결 센터 허브의 VPC 스포크에서 가져온 서브넷 경로를 사용하여 라우팅되지 않은 경우

외부 패스 스루 네트워크 부하 분산기 또는 외부 프로토콜 전달을 위해 Maglev에서 백엔드 VM으로 라우팅되는 패킷에 대한 자세한 내용은 외부 패스 스루 네트워크 부하 분산기 및 외부 프로토콜 전달을 위한 경로를 참고하세요.

이그레스 패킷의 인터넷 네트워크 유형

VM 네트워크 인터페이스에서 전송되고 다음 홉이 기본 인터넷 게이트웨이인 정적 경로로 라우팅되는 대부분의 이그레스 패킷은 인터넷 네트워크 유형에 속합니다. 하지만 이러한 이그레스 패킷의 대상 IP 주소가 전역 Google API 및 서비스용이면 패킷이 비인터넷 네트워크 유형에 속합니다. 전역 Google API 및 서비스 연결에 대한 자세한 내용은 비인터넷 네트워크 유형을 참고하세요.

다음 홉이 기본 인터넷 게이트웨이인 정적 경로를 사용하여 패킷이 라우팅될 경우에는 VM 네트워크 인터페이스에 의해 다음 대상으로 전송되는 모든 패킷이 인터넷 네트워크 유형에 속합니다.

  • Google 네트워크 외부에 있는 외부 IP 주소 대상
  • VM 네트워크 인터페이스의 리전 외부 IPv4 주소 대상, 리전 외부 부하 분산기의 전달 규칙, 외부 프로토콜 전달을 위한 전달 규칙
  • VM 네트워크 인터페이스의 리전 외부 IPv6 주소 대상, 리전 외부 부하 분산기의 전달 규칙, 외부 프로토콜 전달을 위한 전달 규칙
  • 전역 외부 부하 분산기의 전달 규칙에 대한 전역 외부 IPv4 및 IPv6 주소 대상

VM 네트워크 인터페이스에서 Cloud VPN 및 Cloud NAT 게이트웨이로 전송된 패킷은 인터넷 네트워크 유형에 속합니다.

  • Cloud VPN 소프트웨어를 실행하는 VM의 네트워크 인터페이스에서 Cloud VPN 게이트웨이의 리전 외부 IPv4 주소로 전송된 이그레스 패킷은 인터넷 네트워크 유형에 속합니다.
  • 하나의 Cloud VPN 게이트웨이에서 다른 Cloud VPN 게이트웨이로 전송된 이그레스 패킷은 방화벽 규칙이 Cloud VPN 게이트웨이에 적용되지 않기 때문에 네트워크 유형에 속하지 않습니다.
  • Public NAT의 경우 VM 네트워크 인터페이스에서 Cloud NAT 게이트웨이의 리전 외부 IPv4 주소로 전송된 응답 패킷은 인터넷 네트워크 유형에 속합니다.

VPC 네트워크가 VPC 네트워크 피어링을 사용하여 연결되었거나 VPC 네트워크가 동일한 Network Connectivity Center 허브에서 VPC 스포크로 참여하는 경우에는 IPv6 서브넷 경로가 VM 네트워크 인터페이스의 리전 외부 IPv6 주소 대상에 대한 연결, 리전 외부 부하 분산기 전달 규칙, 외부 프로토콜 전달 규칙을 제공합니다. 이러한 리전 외부 IPv6 주소 대상에 대한 연결이 서브넷 경로를 사용하여 제공된 경우 대상은 대신 비인터넷 네트워크 유형에 있습니다.

인터넷 외 네트워크 유형 기준

이 섹션에서는 패킷이 비인터넷 네트워크 유형에 속하는지 여부를 확인하기 위해 Cloud NGFW에 사용되는 기준을 설명합니다.

인그레스 패킷의 비인터넷 네트워크 유형

패킷이 다음 중 한 가지 방법으로 VM 인스턴스의 네트워크 인터페이스 또는 내부 부하 분산기 전달 규칙으로 라우팅되는 경우 인그레스 패킷은 비인터넷 네트워크 유형에 속합니다.

  • 패킷은 서브넷 경로를 사용하여 라우팅되며 패킷 대상은 다음 중 하나와 일치합니다.
    • VM 네트워크 인터페이스의 리전 내부 IPv4 또는 IPv6 주소 대상, 내부 부하 분산기의 전달 규칙 또는 내부 프로토콜 전달을 위한 전달 규칙
    • VM 네트워크 인터페이스의 리전 외부 IPv6 주소 대상, 리전 외부 부하 분산기의 전달 규칙, 외부 프로토콜 전달을 위한 전달 규칙
  • 패킷은 정적 경로를 사용하여 다음 홉 VM 인스턴스 또는 다음 홉 내부 패스 스루 네트워크 부하 분산기로 라우팅됩니다.
  • 패킷은 정책 기반 경로를 사용하여 다음 홉 내부 패스 스루 네트워크 부하 분산기로 라우팅됩니다.
  • 패킷은 다음 특수 라우팅 경로 중 하나를 사용하여 라우팅됩니다.

전역 Google API 및 서비스의 인그레스 응답 패킷도 비인터넷 네트워크 유형에 속합니다. 전역 Google API 및 서비스의 응답 패킷에는 다음 소스가 있을 수 있습니다.

이그레스 패킷의 비인터넷 네트워크 유형

VM 네트워크 인터페이스에서 전송된 이그레스 패킷은 다음 방법 중 하나로 라우팅되는 경우 비인터넷 네트워크 유형에 속합니다.

VPC 네트워크 유형 기준

이 섹션에서는 패킷이 VPC 네트워크 유형에 속하는지 여부를 확인하기 위해 Cloud NGFW에 사용되는 기준을 설명합니다.

다음 모든 조건을 만족하는 경우 패킷은 소스 조합에서 VPC 네트워크 유형을 사용하는 인그레스 규칙과 일치합니다.

  • 패킷이 하나 이상의 기타 소스 파라미터와 일치합니다.

  • 패킷이 소스 VPC 네트워크 중 하나에 있는 리소스에서 전송됩니다.

  • 소스 VPC 네트워크 그리고 인그레스 규칙을 포함하는 방화벽 정책이 적용되는 VPC 네트워크는 동일한 VPC 네트워크이거나 VPC 네트워크 피어링을 사용하여 또는 Network Connectivity Center 허브에서 VPC 스포크로 연결되어 있습니다.

다음 리소스는 VPC 네트워크에 있습니다.

  • VM 네트워크 인터페이스
  • Cloud VPN 터널
  • Cloud Interconnect VLAN 연결
  • 라우터 어플라이언스
  • 프록시 전용 서브넷의 Envoy 프록시
  • Private Service Connect 엔드포인트
  • 서버리스 VPC 액세스 연결

VPC 내 네트워크 유형 기준

이 섹션에서는 패킷이 VPC 내 네트워크 유형에 속하는지 여부를 확인하기 위해 Cloud NGFW에 사용되는 기준을 설명합니다.

다음 모든 조건을 만족하는 경우 패킷은 소스 조합에 VPC 내 유형이 포함된 인그레스 규칙과 일치합니다.

  • 패킷이 하나 이상의 기타 소스 파라미터와 일치합니다.

  • 패킷이 인그레스 규칙이 포함된 방화벽 정책이 적용되는 VPC 네트워크에 잇는 리소스에서 전송됩니다.

다음 리소스는 VPC 네트워크에 있습니다.

  • VM 네트워크 인터페이스
  • Cloud VPN 터널
  • Cloud Interconnect VLAN 연결
  • 라우터 어플라이언스
  • 프록시 전용 서브넷의 Envoy 프록시
  • Private Service Connect 엔드포인트
  • 서버리스 VPC 액세스 연결