Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

워크로드 VM에 인터넷 액세스 구성

Google Cloud VMware Engine의 VMware 워크로드용 인터넷 액세스 네트워크 서비스를 리전 단위로 구성합니다. Google Cloud의 인터넷 에지 또는 온프레미스 연결을 사용하여 워크로드 VM에서 인터넷 연결 트래픽을 전달할 수 있습니다.

VMware Engine은 워크로드 VM의 인터넷 액세스를 구성하는 다음 방법을 제공합니다.

VMware Engine 인터넷 액세스 서비스: Google Cloud의 인터넷 에지를 사용하여 워크로드 VM의 직접 인터넷 액세스를 사용 설정합니다. 인터넷 액세스 서비스 구성을 참고하세요.
온프레미스 연결: 온프레미스 연결을 통해 워크로드 VM에서 인터넷 연결 트래픽을 라우팅합니다. 워크로드 인터넷 액세스에 온프레미스 연결 사용을 참고하세요.
소비자 VPC 네트워크: 워크로드 VM에서 인터넷으로 향하는 트래픽을 소비자 VPC 네트워크를 통해 라우팅합니다. 워크로드 인터넷 액세스에 프로젝트의 VPC 사용을 참고하세요.

인터넷에 액세스할 수 있는 워크로드 VM은 비공개 Google 액세스를 사용하여 Google Cloud서비스에 액세스할 수도 있습니다. 비공개 Google 액세스를 사용한 Google Cloud 서비스 액세스는 Google Cloud 네트워크 내에 유지되며 인터넷으로 이탈하지 않습니다.

인터넷 액세스 네트워크 서비스는 다음을 지원합니다.

리전당 공개 IP 주소 최대 100개
네트워크 정책당 최대 100개의 외부 액세스 규칙
리전당 최대 2Gbps의 처리량
TCP, UDP, ICMP 프로토콜

인터넷 액세스 네트워크 서비스는 ALG(애플리케이션 수준 게이트웨이) 기능을 지원하지 않습니다.

시작하기 전에

프라이빗 클라우드의 인터넷 액세스 설정을 변경하려면 VMware Engine에 대한 관리자 액세스 권한이 있어야 합니다.

인터넷 액세스를 사용 설정하려면 에지 서비스 CIDR 주소 범위가 필요합니다. 인터넷 액세스 또는 공개 IP 네트워크 서비스를 사용 설정하면 게이트웨이가 서비스 테넌트 컨텍스트에 배포됩니다.

VMware Engine 인터넷 및 공개 IP 게이트웨이 주소 지정에 에지 서비스 CIDR 주소 범위를 사용합니다. 주소 범위는 다음 요구사항을 충족해야 합니다.

비공개 범위로 RFC 1918을 준수합니다.
관리 어플라이언스 또는 NSX 세그먼트에 사용되는 IP 주소 범위와 같이 다른 VMware Engine IP 주소 범위와 겹치지 않습니다.
Virtual Private Cloud(VPC) 네트워크 서브넷이나 온프레미스 네트워크에 사용되는 주소처럼 VMware Engine에 공지된 주소 범위와 겹치지 않아야 합니다.
26개의 서브넷 마스크 비트(/26)로 IP 주소 범위를 표시하세요.

Google Cloud CLI 및 API 요구사항

gcloud 명령줄 도구나 API를 사용하여 VMware Engine 리소스를 관리하려면 다음 설명대로 도구를 구성하는 것이 좋습니다.

gcloud

기본 프로젝트 ID를 설정합니다.
```
gcloud config set project PROJECT_ID
```

기본 리전 및 영역을 설정합니다.

gcloud config set compute/region REGION

gcloud config set compute/zone ZONE

gcloud vmware 도구에 대한 자세한 내용은 Cloud SDK 참조 문서를 검토하세요.

API

이 문서 집합의 API 예시는 cURL 명령줄 도구를 사용하여 API를 쿼리합니다. cURL 요청의 일부로 유효한 액세스 토큰이 필요합니다. 유효한 액세스 토큰을 가져오는 방법에는 여러 가지가 있습니다. 다음 단계에서는 gcloud 도구를 사용하여 액세스 토큰을 생성합니다.

Google Cloud에 로그인:
```
gcloud auth login
```
액세스 토큰을 생성하여 TOKEN으로 내보냅니다.
```
export TOKEN=`gcloud auth print-access-token`
```
TOKEN이 제대로 설정되었는지 확인합니다.
```
echo $TOKEN
```

이제 API에 대한 요청에 승인 토큰을 사용합니다. 예를 들면 다음과 같습니다.

curl -X GET -H "Authorization: Bearer \"$TOKEN\"" -H "Content-Type: application/json; charset=utf-8" https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations

Python

이 문서의 Python 코드 샘플은 VMware Engine 라이브러리를 사용하여 API와 통신합니다. 이 접근 방식을 사용하려면 라이브러리를 설치해야 하며 애플리케이션 기본 사용자 인증 정보를 구성해야 합니다.

Python 라이브러리를 다운로드하고 설치합니다.
```
pip install google-cloud-vmwareengine
```
셸에서 명령어를 실행하여 ADC 정보를 구성합니다.
```
gcloud auth application-default login
```
또는 서비스 계정 키 파일을 사용합니다.
```
export GOOGLE_APPLICATION_CREDENTIALS="FILE_PATH"
```

라이브러리에 대한 자세한 내용은 참조 페이지를 확인하거나 GitHub의 코드 샘플을 확인하세요.

인터넷 액세스 서비스 구성

워크로드 VM에 인터넷 액세스 권한을 부여하려면 네트워크 정책을 만들거나 업데이트하세요.

인터넷 액세스 네트워크 서비스는 기본적으로 사용 중지되어 있습니다.

리전에서 인터넷 액세스 서비스 사용 설정

콘솔

리전에서 인터넷 액세스 서비스를 사용 설정하려면 다음 단계를 따르세요.

Google Cloud 콘솔에서 네트워크 정책 페이지로 이동합니다.

네트워크 정책으로 이동
프로젝트 선택을 클릭한 다음 인터넷 액세스 서비스를 사용 설정할 VMware Engine 네트워크가 포함된 조직, 폴더 또는 프로젝트를 선택합니다.
만들기를 클릭하여 새 정책을 만듭니다. 기존 네트워크 정책을 수정하려면 행 끝에 있는 더보기 아이콘을 클릭하고 수정을 선택합니다.
정책이 적용되는 네트워크 및 리전을 선택하는 등 네트워크 정책의 세부정보를 작성합니다.
인터넷 액세스를 사용 설정됨으로 전환하고 필요한 경우 외부 IP 주소 서비스를 사용 설정합니다.

참고: 인터넷 액세스를 사용 설정하고 공개 IP 서비스를 사용 중지할 수 있습니다. 이 경우 지점 및 사이트 간 VPN 및 공개 IP 할당을 사용할 수 없습니다.
에지 서비스 CIDR 필드에 VMware Engine 인터넷 게이트웨이 주소를 지정할 때 사용할 주소 범위(/26 주소 범위)를 입력합니다.
만들기를 클릭합니다.

작업이 완료되면 일반적으로 몇 분 후 서비스 상태가 사용 설정됨으로 변경됩니다.

gcloud

gcloud 도구로 다음 명령어를 실행하여 네트워크 정책을 만듭니다.

gcloud vmware network-policies create NETWORK_POLICY_NAME \
    --vmware-engine-network projects/PROJECT_ID/locations/LOCATIONS/vmwareEngineNetworks/NETWORK_ID \
    --edge-services-cidr=IP_RANGE \
    --location=LOCATION \
    --internet-access

다음을 바꿉니다.

NETWORK_POLICY_NAME: 이 네트워크 정책의 이름.
NETWORK_ID: 이 네트워크 정책이 적용되는 네트워크입니다.
IP_RANGE: 인터넷 액세스 및 외부 IP 액세스 게이트웨이에 사용할 CIDR 범위(CIDR 표기법 사용). '/26' 프리픽스가 있는 RFC 1918 CIDR 블록이 필요합니다.
LOCATION: 기존 네트워크 또는 표준 네트워크의 리전인 경우 global입니다.

API

curl -X POST -H "Authorization: Bearer TOKEN"  -H "Content-Type: application/json; charset=utf-8" https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/networkPolicies?networkPolicyId=NETWORK_POLICY_NAME

'{
  "vmwareEngineNetwork":"projects/PROJECT_ID/locations/LOCATION/vmwareEngineNetworks/NETWORK_ID",
  "edgeServiceCidr":"IP_RANGE",
  "internetAccess": {
    "enabled": true
   },
   "externalIp": {
     "enabled": true
   }
}'

다음을 바꿉니다.

NETWORK_POLICY_NAME: 이 네트워크 정책의 이름. 이 값은 REGION-default 형식이어야 합니다.
PROJECT_ID: 이 요청의 프로젝트 ID입니다.
LOCATION: 기존 네트워크 또는 표준 네트워크의 리전인 경우 global입니다.
IP_RANGE: 인터넷 액세스 및 외부 IP 액세스 게이트웨이에 사용할 CIDR 범위(CIDR 표기법 사용). '/26' 프리픽스가 있는 RFC 1918 CIDR 블록이 필요합니다.
NETWORK_ID: 이 네트워크 정책의 네트워크입니다.

Python

from google.api_core import operation
from google.cloud import vmwareengine_v1


def create_network_policy(
    project_id: str,
    region: str,
    ip_range: str,
    internet_access: bool,
    external_ip: bool,
) -> operation.Operation:
    """
    Creates a new network policy in a given network.

    Args:
        project_id: name of the project you want to use.
        region: name of the region you want to use. I.e. "us-central1"
        ip_range: the CIDR range to use for internet access and external IP access gateways,
            in CIDR notation. An RFC 1918 CIDR block with a "/26" suffix is required.
        internet_access: should internet access be allowed.
        external_ip: should external IP addresses be assigned.

    Returns:
        An operation object representing the started operation. You can call its .result() method to wait for
        it to finish.

    Raises:
        ValueError if the provided ip_range doesn't end with /26.
    """
    if not ip_range.endswith("/26"):
        raise ValueError(
            "The ip_range needs to be an RFC 1918 CIDR block with a '/26' suffix"
        )

    network_policy = vmwareengine_v1.NetworkPolicy()
    network_policy.vmware_engine_network = f"projects/{project_id}/locations/{region}/vmwareEngineNetworks/{region}-default"
    network_policy.edge_services_cidr = ip_range
    network_policy.internet_access.enabled = internet_access
    network_policy.external_ip.enabled = external_ip

    request = vmwareengine_v1.CreateNetworkPolicyRequest()
    request.network_policy = network_policy
    request.parent = f"projects/{project_id}/locations/{region}"
    request.network_policy_id = f"{region}-default"

    client = vmwareengine_v1.VmwareEngineClient()
    return client.create_network_policy(request)

HCX 이동성 최적화 네트워킹 (MON) 가이드라인

이동성 최적화 네트워킹 (MON)을 사용하여 HCX로 VM을 마이그레이션하는 경우 인터넷 연결을 보장하기 위해 특정 라우팅 구성이 필요합니다.

Layer 2 Extension (L2E) 세그먼트에 MON을 사용 설정한 경우 VMware Engine은 마이그레이션된 VM의 경로를 인터넷 서비스에 자동으로 알리지 않습니다. 이러한 VM이 인터넷에 액세스할 수 있도록 계층 1 라우터에서 BGP로의 정적 경로 재배포를 사용 설정해야 합니다.

이 단계는 MON 지원 세그먼트의 경로를 공지하는 데 필요하며, 이를 통해 VMware Engine 환경을 통해 인터넷 트래픽을 라우팅할 수 있습니다. 이 구성이 없으면 이러한 세그먼트의 VM이 공개 인터넷에 액세스할 수 없습니다.

리전에서 인터넷 액세스 서비스 사용 중지

리전에서 인터넷 액세스 서비스를 사용 중지하려면 다음 단계를 따르세요.

콘솔

Google Cloud 콘솔에서 네트워크 정책 페이지로 이동합니다.

네트워크 정책으로 이동
프로젝트 선택을 클릭한 다음 인터넷 액세스 서비스를 사용 중지할 VMware Engine 네트워크가 포함된 조직, 폴더 또는 프로젝트를 선택합니다.
관련 네트워크 정책에 해당하는 행에서 더보기 아이콘을 클릭합니다.
인터넷 액세스를 사용 중지됨으로 전환합니다.
- 인터넷 액세스를 사용 중지하려면 먼저 공개 IP 서비스를 사용 중지해야 합니다.
- 공개 IP 서비스를 사용 중지하려면 먼저 할당된 공개 IP 주소와 지점 및 사이트 간 VPN 게이트웨이를 삭제해야 합니다.
저장을 클릭합니다.

작업이 완료되면 일반적으로 몇 분 후에 서비스 상태가 사용 중지됨으로 변경됩니다.

gcloud

gcloud 도구로 다음 명령어를 실행하여 네트워크 정책을 업데이트합니다.

gcloud vmware network-policies update NETWORK_POLICY_NAME \
  --no-internet-access \
  --location LOCATION

다음을 바꿉니다.

NETWORK_POLICY_NAME: 이 네트워크 정책의 이름입니다.
LOCATION: 기존 네트워크 또는 표준 네트워크의 리전인 경우 global입니다.

API

curl -X PATCH -H "Authorization: Bearer TOKEN"  -H "Content-Type: application/json; charset=utf-8" https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/networkPolicies/NETWORK_POLICY_NAME?updateMask=internetAccess.enabled,externalIp.enabled -d "{
  "internetAccess": {
    "enabled": false
 },
  "externalIp": {
    "enabled": false
   }
}"

다음을 바꿉니다.

PROJECT_ID: 이 요청의 프로젝트 ID입니다.
LOCATION: 기존 네트워크 또는 표준 네트워크의 리전인 경우 global입니다.
NETWORK_POLICY_NAME: 이 네트워크 정책의 이름입니다.

Python

from google.api_core import operation
from google.cloud import vmwareengine_v1


def update_network_policy(
    project_id: str, region: str, internet_access: bool, external_ip: bool
) -> operation.Operation:
    """
    Updates a network policy in a given network.

    Args:
        project_id: name of the project you want to use.
        region: name of the region you want to use. I.e. "us-central1".
        internet_access: should internet access be allowed.
        external_ip: should external IP addresses be assigned.

    Returns:
        An operation object representing the started operation. You can call its .result() method to wait for
        it to finish.
    """

    client = vmwareengine_v1.VmwareEngineClient()
    request = vmwareengine_v1.UpdateNetworkPolicyRequest()
    request.update_mask = "internetAccess.enabled,externalIp.enabled"
    network_policy = vmwareengine_v1.NetworkPolicy()
    network_policy.name = (
        f"projects/{project_id}/locations/{region}/networkPolicies/{region}-default"
    )
    network_policy.vmware_engine_network = f"projects/{project_id}/locations/{region}/vmwareEngineNetworks/{region}-default"
    network_policy.internet_access.enabled = internet_access
    network_policy.external_ip.enabled = external_ip

    request.network_policy = network_policy

    return client.update_network_policy(request)

워크로드 인터넷 액세스에 프로젝트의 VPC 사용

원하는 경우 프로젝트의 VPC를 통해 VMware Engine의 워크로드 VM에서 인터넷 연결 트래픽을 전달할 수 있습니다. 이 옵션은 VPC 네트워크와 피어링된 표준 VMware Engine 네트워크에서만 사용할 수 있습니다.

프로젝트의 VPC를 통해 워크로드 VM에서 인터넷에 액세스하려면 다음 단계를 완료해야 합니다.

VPC에서 인터넷 액세스를 구성합니다.
- Cloud NAT를 사용하는 경우: Cloud NAT가 VPC 네트워크의 리소스에 인터넷 액세스를 제공하도록 구성되어 있는지 확인합니다. Cloud NAT가 인터넷 연결을 직접 제공하므로 0.0.0.0/0에 대한 특정 경로가 필요하지 않습니다.
- Cloud NAT를 사용하지 않는 경우: 인스턴스 기반 방화벽이나 프록시와 같이 인터넷 액세스를 제공하는 다음 홉으로 트래픽을 전달하는 대상 0.0.0.0/0의 경로가 VPC에 있는지 확인합니다. 또한 커스텀 경로를 교환하도록 VPC 네트워크 피어링을 구성해야 합니다. 피어링 연결을 업데이트하여 VPC에서 커스텀 경로를 내보내고 VPC로 커스텀 경로를 가져옵니다.
리전에서 인터넷 액세스 서비스 사용 중지의 단계에 따라 VMware Engine 네트워크의 인터넷 액세스 및 공개 IP 서비스를 사용 중지합니다.

이 단계를 완료하면 워크로드 VM에서 인터넷으로 향하는 트래픽이 VPC 네트워크로의 피어링 연결을 통해 라우팅되고 여기에 구성된 인터넷 액세스 솔루션을 사용합니다.

자세한 내용은 VPC를 사용하여 워크로드 VM의 인터넷 액세스 구성을 참고하세요.

워크로드 인터넷 액세스에 온프레미스 연결 사용

원하는 경우 온프레미스 연결을 통해 VMware Engine의 워크로드 VM에서 인터넷 연결 트래픽을 전달할 수 있습니다. VMware Engine에서 트래픽을 전달하는 방식은 다음 상태에 따라 달라집니다.

온프레미스의 기본 경로(0.0.0.0/0) 공지
VMware Engine 공개 IP 서비스
VMware Engine 인터넷 액세스 서비스
VPC 네트워크와 VMware Engine 간의 VPC 피어링 연결에 대한 VPC 서비스 제어 (기존 VMware Engine 네트워크만 해당)

온프레미스 연결을 통한 인터넷 트래픽 라우팅 사용 설정

온프레미스 연결을 통해 워크로드 VM에서 인터넷에 액세스하려면 다음 두 단계를 완료해야 합니다.

온프레미스 연결(Cloud VPN 또는 Cloud Interconnect)을 통해 온프레미스의 기본 경로(0.0.0.0/0)를 공지합니다. VPN에 대한 온프레미스 연결이 종료되는 Cloud VPN 게이트웨이 또는 Cloud Router를 확인합니다.
VMware Engine 네트워크의 인터넷 액세스 및 공개 IP 서비스를 중지합니다.

콘솔

Google Cloud 콘솔에서 네트워크 정책 페이지로 이동합니다.

네트워크 정책으로 이동
프로젝트 선택을 클릭한 다음 인터넷 액세스 서비스를 사용 설정할 VMware Engine 네트워크가 포함된 조직, 폴더 또는 프로젝트를 선택합니다.
관련 네트워크 정책에 해당하는 행에서 더보기 아이콘을 클릭합니다.
공개 IP를 사용 중지됨으로 전환합니다.

참고: 공개 IP 서비스를 사용 중지하려면 먼저 할당된 외부 IP 주소와 지점 및 사이트 간 VPN 게이트웨이를 삭제해야 합니다.
인터넷 액세스를 사용 중지됨으로 전환합니다.
저장을 클릭합니다.
기존 VMware Engine 네트워크를 사용하는 경우: gcloud services vpc-peerings enable-vpc-service-controls 명령어를 사용하여 VPC 네트워크와 VMware Engine간의 VPC 피어링 연결에 대한 VPC 서비스 제어를 사용 설정합니다.
```
gcloud services vpc-peerings enable-vpc-service-controls \
   --network=VPC_NETWORK \
   --service=servicenetworking.googleapis.com
```

gcloud

gcloud 도구로 다음 명령어를 실행하여 네트워크 정책을 업데이트합니다.

gcloud vmware network-policies update NETWORK_POLICY_NAME \
  --no-internet-access \
  --no-external-ip-address \
  --location LOCATION

다음을 바꿉니다.

NETWORK_POLICY_NAME: 이 네트워크 정책의 이름입니다.
LOCATION: 기존 네트워크 또는 표준 네트워크의 리전인 경우 global입니다.

기존 VMware Engine 네트워크를 사용하는 경우: gcloud services vpc-peerings enable-vpc-service-controls 명령어를 사용하여 VPC 네트워크와 VMware Engine간의 VPC 피어링 연결에 대한 VPC 서비스 제어를 사용 설정합니다.

gcloud services vpc-peerings enable-vpc-service-controls \
   --network=VPC_NETWORK \
   --service=servicenetworking.googleapis.com

API

curl -X PATCH -H "Authorization: Bearer TOKEN"  -H "Content-Type: application/json; charset=utf-8" https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/networkPolicies/NETWORK_POLICY_NAME?updateMask=internetAccess.enabled,externalIp.enabled

"{
  "internetAccess: {
    "enabled": false
   },
  "externalIp: {
    "enabled": false
   }
}"

gcloud services vpc-peerings enable-vpc-service-controls \
   --network=VPC_NETWORK_NAME \
   --service=servicenetworking.googleapis.com

Python

internet_access 및 external_ip를 False로 설정합니다.

from google.api_core import operation
from google.cloud import vmwareengine_v1


def update_network_policy(
    project_id: str, region: str, internet_access: bool, external_ip: bool
) -> operation.Operation:
    """
    Updates a network policy in a given network.

    Args:
        project_id: name of the project you want to use.
        region: name of the region you want to use. I.e. "us-central1".
        internet_access: should internet access be allowed.
        external_ip: should external IP addresses be assigned.

    Returns:
        An operation object representing the started operation. You can call its .result() method to wait for
        it to finish.
    """

    client = vmwareengine_v1.VmwareEngineClient()
    request = vmwareengine_v1.UpdateNetworkPolicyRequest()
    request.update_mask = "internetAccess.enabled,externalIp.enabled"
    network_policy = vmwareengine_v1.NetworkPolicy()
    network_policy.name = (
        f"projects/{project_id}/locations/{region}/networkPolicies/{region}-default"
    )
    network_policy.vmware_engine_network = f"projects/{project_id}/locations/{region}/vmwareEngineNetworks/{region}-default"
    network_policy.internet_access.enabled = internet_access
    network_policy.external_ip.enabled = external_ip

    request.network_policy = network_policy

    return client.update_network_policy(request)

gcloud services vpc-peerings enable-vpc-service-controls \
   --network=VPC_NETWORK \
   --service=servicenetworking.googleapis.com

기존 Google Cloud VMware Engine 네트워크를 사용하는 경우 프로젝트에서 온프레미스 연결이나 VPC를 통해 기존 VEN 인터넷 액세스를 라우팅하려면 VPC 서비스 제어를 사용 설정해야 합니다. 이 요구사항은 표준 VEN이 아닌 기존 Google Cloud VMware Engine 네트워크에만 적용됩니다.

VPC 서비스 제어를 사용 설정하면 Google Cloud 서비스 프로듀서 VPC 네트워크 (이 경우 VMware Engine과 피어링된 서비스 테넌트 프로젝트)에서 다음과 같이 라우팅이 변경됩니다.

IPv4 기본 경로(대상 0.0.0.0/0, 다음 홉 기본 인터넷 게이트웨이)를 삭제합니다.
VPC 피어링 기본 경로를 사용하여 인터넷 트래픽 전달을 시작합니다.

예를 들면 다음과 같습니다.

현재 프로젝트에서 'my-network'라는 네트워크를 피어링하는 연결에 VPC 서비스 제어를 사용 설정하려면 gcloud services vpc-peerings enable-vpc-service-controls 명령어를 사용합니다.

gcloud services vpc-peerings enable-vpc-service-controls \
    --network=my-network \
    --service=servicenetworking.googleapis.com

참고: 온프레미스 연결을 통해 인터넷 트래픽을 라우팅할 때는 다음 사항을 고려하세요.

VMware Engine 프라이빗 클라우드 리소스에 액세스하기 위해 피어링된 네트워크 및 피어링 연결(servicenetworking.googleapis.com)을 소유하는 프로젝트에서 gcloud services vpc-peerings enable-vpc-service-controls 명령어를 실행해야 합니다. 공유 VPC를 사용하는 경우 VMware Engine 비공개 클라우드가 생성된 서비스 프로젝트가 아닌 공유 VPC를 소유한 호스트 프로젝트에서 명령어를 실행해야 합니다.
기본 경로 (0.0.0.0/0)가 온프레미스에서 공지되면 인터넷 액세스 사용 여부와 관계없이 VMware Engine이 온프레미스 연결을 통해 인터넷 트래픽을 전달합니다. VMware Engine 인터넷 액세스 서비스를 통해 트래픽을 전달하려면 온프레미스 연결 (Cloud VPN 또는 Cloud Interconnect)을 통해 온프레미스의 기본 경로를 공지하지 마세요.
VMware Engine과 동일한 VPC 네트워크에서 VPC 피어링을 사용하여 Apigee를 사용하는 경우 이 섹션의 안내에 따라 온프레미스 연결을 통해 인터넷 트래픽을 라우팅하면 Apigee 아웃바운드 통신도 온프레미스 연결을 통해 라우팅됩니다. 따라서 Apigee는 더 이상 외부 API 백엔드 서비스와의 아웃바운드 통신에 구성된 외부 IP 주소를 사용하지 않으며 Apigee의 외부 IP 주소를 사용하는 방화벽 구성을 업데이트해야 합니다.

온프레미스 연결을 통한 인터넷 트래픽 라우팅 중지

온프레미스 연결을 통해 워크로드 VM에서 인터넷 트래픽 라우팅을 중지하려면 기본 경로(0.0.0.0/0) 공지를 중지하고 VPC 피어링 연결에서 VPC 서비스 제어를 중지합니다.

기존 VMware Engine 네트워크를 사용하는 경우: gcloud services vpc-peerings disable-vpc-service-controls 명령어를 사용하여 VPC 네트워크와 VMware Engine간의 VPC 피어링 연결에 대한 VPC 서비스 제어를 중지합니다.

gcloud services vpc-peerings disable-vpc-service-controls \
    --network=VPC_NETWORK_NAME \
    --service=servicenetworking.googleapis.com

다음 단계

프라이빗 클라우드에서 VM의 공개 IP 주소를 할당하는 방법 알아보기
외부 액세스 규칙이 프라이빗 클라우드 리소스와 주고받는 네트워크 트래픽을 필터링하는 방법 알아보기