Hybrid Subnets를 사용하여 Google Cloud 로 이전하는 방법

이 페이지에서는 하이브리드 서브넷 라우팅을 사용하여 워크로드를 Google Cloud로 마이그레이션하는 방법을 설명합니다.

하이브리드 서브넷 라우팅을 사용하면 VPC 네트워크가 연결된 온프레미스 네트워크와 CIDR 블록을 공유할 수 있습니다. 패킷이 하이브리드 서브넷 경로와 일치하지만 대상 IP 주소가 해당 서브넷의 리소스와 연결되지 않은 경우Google Cloud 는 동적 또는 정적 경로를 사용하여 패킷을 온프레미스 네트워크로 라우팅할 수 있습니다.

이 구성을 사용하면 IP 주소를 변경하지 않고도 워크로드를 Google Cloud 점진적으로 마이그레이션할 수 있습니다. 마이그레이션 중에 VPC 네트워크로 마이그레이션된 워크로드는 내부 IP 주소를 사용하여 온프레미스 네트워크에 남아 있는 워크로드와 통신할 수 있습니다. 모든 워크로드가 마이그레이션된 후에는 하이브리드 서브넷 라우팅을 사용 중지하여 정상적인 라우팅 동작을 복원할 수 있습니다.

Hybrid Subnets를 사용하여 Google Cloud 로 마이그레이션하려면 함께 작동하는 세 가지 개별 구성요소가 필요합니다.

  • 연결: 온프레미스 네트워크와 VPC 네트워크는 Cloud VPN 또는 Cloud Interconnect와 같은 네트워크 연결 제품으로 연결되어야 합니다. Hybrid Subnets는 자체적으로 이 연결을 제공하지 않습니다.
  • 하이브리드 서브넷 라우팅: 서브넷 리소스에 allow-cidr-routes-overlap 플래그를 적용하여 하이브리드 서브넷 라우팅을 사용 설정해야 합니다.
  • 마이그레이션 도구: 워크로드를 Google Cloud로 마이그레이션하려면 Migrate to Virtual Machines와 같은 마이그레이션 도구가 필요합니다.
3단계 다이어그램은 하이브리드 서브넷을 사용하여 온프레미스에서 Google Cloud 로 워크로드를 마이그레이션하는 방법을 보여줍니다.
그림 1. 마이그레이션 중에 하이브리드 서브넷 라우팅을 사용하면 두 네트워크의 서브넷이 동일한 CIDR 블록을 사용하더라도 온프레미스 네트워크의 워크로드가 연결된 VPC 네트워크의 워크로드와 내부 IP 주소를 사용하여 통신할 수 있습니다 (확대하려면 클릭).

사양

온프레미스 네트워크에서Google Cloud 로 워크로드를 마이그레이션할 수 있도록 Hybrid Subnets를 구성하려면 환경이 다음 요구사항을 충족해야 합니다.

  • 연결 요구사항:
    • 온프레미스 네트워크와 VPC 네트워크는 Cloud VPN 또는 Cloud Interconnect와 같은 네트워크 연결 제품으로 연결되어야 합니다.
    • HA VPN 터널 또는 VLAN 연결, Cloud Router, 하이브리드 서브넷 라우팅이 사용 설정된 서브넷은 모두 동일한 리전에 있어야 합니다.
  • VPC 네트워크 구성:
    • 하이브리드 서브넷 라우팅이 사용 설정된 서브넷의 IPv4 주소 범위는 마이그레이션하려는 워크로드를 호스팅하는 온프레미스 네트워크의 CIDR 블록과 일치해야 합니다. 대부분의 사용 사례에서 서브넷의 기본 IPv4 주소 범위는 온프레미스 네트워크의 CIDR 블록과 일치합니다.
    • 하이브리드 서브넷 라우팅을 사용 설정해야 합니다. 하이브리드 서브넷 라우팅이 사용 설정된 경우 서브넷 경로와 정적 경로 간의 상호작용 규칙과 서브넷 경로와 동적 경로 간의 상호작용 규칙이 적용되지 않습니다. 목적지가 서브넷의 기본 IPv4 주소 범위 또는 보조 IPv4 주소 범위와 일치하거나 이 범위 내에 있어도 로컬 및 피어링 정적 또는 동적 경로가 존재할 수 있습니다.
    • VM을 VPC 네트워크로 마이그레이션할 때 VM의 IP 주소를 선택적으로 공지하려면 Cloud Router 커스텀 공지 경로를 구성해야 합니다. 프록시 ARP 및 가장 긴 프리픽스 일치를 지원하려면 이러한 맞춤 공지 경로가 서브넷 라우팅이 사용 설정된 서브넷의 IPv4 주소 범위보다 더 구체적(서브넷 마스크가 더 김)이어야 합니다. 마이그레이션된 VM의 IP 주소마다 하나의 /32 커스텀 공지 경로를 사용할 수 있습니다.
  • 온프레미스 네트워크 구성:
    • 온프레미스 라우터에 프록시 ARP를 구성해야 합니다.
    • 공유 CIDR 블록의 IP 주소 범위를 공지하도록 온프레미스 라우터를 구성해야 합니다.
Cloud Router와 온프레미스 라우터는 온프레미스와 VPC 네트워크 간에 공유되는 CIDR 블록 전반의 라우팅을 처리합니다.
그림 2. 이 다이어그램은 공유 CIDR 블록에서 내부 연결을 유지하도록 VPC 네트워크와 온프레미스 네트워크를 구성하는 방법을 요약합니다 (확대하려면 클릭).

하이브리드 서브넷 라우팅

하이브리드 서브넷 사양에 설명된 구성을 완료하면 두 네트워크의 VM이 내부 IP 주소를 사용하여 통신할 수 있습니다.

다음 섹션에서는 이 구성이 적용된 후 하이브리드 서브넷 라우팅이 사용 설정된 서브넷이 포함된 VPC 네트워크와 온프레미스 네트워크의 라우팅 동작을 설명합니다.

VPC 네트워크의 라우팅

VPC 라우팅 모델의 서브넷 경로 일치 단계에서 패킷의 목적지가 로컬 또는 피어링 서브넷 경로와 일치하는 경우 Google Cloud 는 일치하는 서브넷 경로를 사용하여 패킷을 전송하려고 시도합니다. 일반 서브넷에서 목적지가 실행 중인 VM 또는 내부 전달 규칙과 연결되어 있지 않으면 패킷이 삭제되고 다른 모든 경로가 무시됩니다.

하지만 서브넷에 하이브리드 서브넷 라우팅이 사용 설정된 경우 서브넷 경로는 하이브리드 서브넷 경로가 되고 라우팅 동작은 다음과 같이 달라집니다.

  • 일치하는 리소스: 패킷의 대상이 실행 중인 VM 인스턴스의 네트워크 인터페이스 또는 서브넷의 내부 전달 규칙과 일치하면 Google Cloud 가 인터페이스 또는 전달 규칙으로 패킷을 전달합니다. 이 동작은 일반 서브넷과 동일합니다.
  • 일치하지 않는 리소스: 패킷의 목적지가 서브넷의 리소스와 일치하지 않으면 Google Cloud 는 하이브리드 서브넷의 일치하지 않는 리소스 프로세스를 따릅니다. 이 프로세스는 하이브리드 서브넷과 동일한 리전에 다음 홉이 있는 한 패킷을 로컬 또는 피어링 정적 또는 동적 경로의 다음 홉으로 라우팅합니다. 로컬 또는 피어링 정적 또는 동적 경로는 온프레미스 네트워크로 패킷을 전달하는 경로를 제공합니다.
하이브리드 서브넷 라우팅이 사용 설정된 서브넷에서 패킷 A는 로컬로 라우팅되고 패킷 B는 온프레미스 대상으로 라우팅됩니다.
그림 3. 하이브리드 서브넷 라우팅을 사용하는 서브넷에서 패킷의 대상이 서브넷의 리소스와 일치하면 Google Cloud 는 해당 리소스로 트래픽을 라우팅합니다. 일치하지 않는 리소스의 경우 Google Cloud 는 하이브리드 서브넷의 일치하지 않는 리소스 프로세스를 사용합니다 (클릭하여 확대).

예를 들어 그림 3에서 패킷 A는 로컬 하이브리드 서브넷 경로를 사용하여 로컬 서브넷의 VM으로 라우팅됩니다. 패킷 B의 대상이 하이브리드 서브넷 라우팅을 사용하는 서브넷의 실행 중인 VM 또는 내부 전달 규칙과 연결되어 있지 않으므로 Google Cloud 는 하이브리드 서브넷 경로의 대상 범위에 맞는 동적 또는 정적 경로를 확인합니다. 일치하는 항목이 발견되고 Google Cloud 는 동적 경로를 사용하여 패킷 B를 온프레미스 네트워크로 전달합니다.

온프레미스 네트워크의 라우팅

이 섹션에서는 온프레미스 네트워크의 라우팅 동작을 설명합니다. 이 예시에서 온프레미스 네트워크는 Cloud VPN 터널을 사용하여 VPC 네트워크에 연결됩니다.

온프레미스 네트워크의 클라이언트 VM이 두 네트워크에서 공유하는 CIDR 블록 내에 있는 서버 VM으로 패킷을 전송하면 온프레미스 네트워크의 라우터 또는 첫 번째 홉 기기가 라우팅 테이블 조회를 실행합니다.

  • 서버 VM이 온프레미스 네트워크의 IP 주소와 연결된 경우 온프레미스 라우터는 프록시 ARP를 방해하지 않습니다. 서버 VM은 클라이언트 VM의 ARP who-has 패킷에 서버의 MAC 주소가 포함된 응답으로 응답합니다. 클라이언트 VM이 서버 VM에 이더넷 프레임을 전송합니다.

  • 서버 VM이 온프레미스 네트워크의 IP 주소와 연결되어 있지 않고 온프레미스 라우터가 VPC 네트워크의 Cloud VPN 터널의 Cloud Router BGP 세션에서 특정 맞춤 경로 공지를 수신한 경우 온프레미스 라우터가 프록시 ARP를 사용하여 개입합니다. 온프레미스 라우터는 라우터의 MAC 주소가 포함된 응답으로 클라이언트 VM의 ARP who-has 패킷에 응답합니다. 클라이언트 VM이 온프레미스 라우터로 이더넷 프레임을 전송하고 온프레미스 라우터가 IP 패킷을 추출하여 Cloud VPN 터널 중 하나로 전달합니다. 이렇게 하면 하이브리드 서브넷 라우팅이 사용 설정된 서브넷의 VM으로 패킷이 전달됩니다.

온프레미스 라우터는 프록시 ARP를 사용하여 온프레미스 네트워크의 워크로드에서 Google Cloud으로 마이그레이션된 VM으로 패킷을 라우팅합니다 .
그림 4. 온프레미스 라우터는 프록시 ARP를 사용하여 온프레미스 네트워크의 워크로드에서 Google Cloud 로 마이그레이션된 VM으로 패킷을 라우팅합니다(확대하려면 클릭).

제한사항

Hybrid Subnets에는 다음과 같은 제한사항이 있습니다.

  • IP 주소 관리 및 지원되는 트래픽:

    • IPv6: Hybrid Subnets는 IPv6 트래픽을 지원하지 않습니다.

    • 브로드캐스트 및 멀티캐스트: Hybrid Subnets는 브로드캐스트 및 멀티캐스트 트래픽을 지원하지 않습니다.

    • IP 주소 충돌: Hybrid Subnets는 온프레미스 네트워크의 리소스와 하이브리드 서브넷 라우팅이 사용 설정된 서브넷이 포함된 VPC 네트워크 간의 IP 주소 충돌을 감지하지 않습니다. 기본 게이트웨이를 제외한 각 IP 주소가 한 번만 사용되어야 합니다.

    • 사용할 수 없는 주소: 서브넷의 기본 IPv4 주소 범위에 있는 처음 두 개의 IPv4 주소와 마지막 두 개의 IPv4 주소는 Google Cloud 어떤 리소스에서도 사용할 수 없습니다. 하이브리드 서브넷 라우팅을 사용 설정해도 이 규칙은 계속 적용됩니다. 자세한 내용은 IPv4 서브넷 범위의 사용할 수 없는 주소를 참고하세요.

  • 리전 불일치: 일치하는 하이브리드 서브넷 경로의 대상 범위 내에서 일치하는 정적 또는 동적 경로의 다음 홉이 서브넷의 리전과 다른 리전에 있는 경우 패킷이 삭제됩니다. 자세한 내용은 지역 제한을 참고하세요.

  • 네트워크 태그가 있는 정적 경로: 일치하는 하이브리드 서브넷 경로의 대상 범위 내에서 일치하는 정적 경로가 네트워크 태그를 사용하지 않는지 확인합니다. 네트워크 태그를 사용하는 일치된 정적 경로는 패킷 비율이 높을 때 패킷 손실을 초래합니다.

  • 지원되지 않는 제품 상호작용: 다음과 함께 Hybrid Subnets를 사용하지 마세요.

    • Network Connectivity Center (NCC): NCC는 하이브리드 서브넷에서 지원되지 않습니다. Google Cloud를 사용하면 하이브리드 서브넷 라우팅이 사용 설정된 서브넷을 NCC 허브로 내보낼 수 있지만, 이렇게 하면 예측할 수 없는 라우팅 동작이 발생할 수 있습니다.

    • 하이브리드 연결 NEG: 엔드포인트가 하이브리드 서브넷 경로에 속하는 경우 중앙 집중식 상태 점검을 위한 Google의 상태 점검 프로브 시스템이 하이브리드 NEG의 엔드포인트와 통신할 수 없습니다.

    • Hybrid NAT: Hybrid NAT는 Hybrid Subnets에서 지원되지 않습니다. 하이브리드 서브넷 경로가 먼저 일치하는 경우 Hybrid NAT는 VM에서 정적 또는 동적 경로의 대상으로 전송된 패킷에 소스 NAT (SNAT)를 수행하지 않습니다.

다음과 같은 실용적인 제한사항도 고려하세요.

  • 온프레미스 네트워크에서 프록시 ARP를 지원해야 함: Hybrid Subnets는 Azure 또는 AWS와 같은 다른 클라우드 서비스 제공업체의 원격 네트워크에서 워크로드 마이그레이션을 지원하지 않습니다. 해당 원격 네트워크에서는 프록시 ARP를 지원하지 않기 때문입니다.

  • 온프레미스 네트워크에서 /32 경로 공지를 수락해야 함: Layer 3 Partner Interconnect를 사용하는 경우 파트너에게 /32 접두사를 수신하는지 문의하세요.

이전 옵션

Google에서는 Hybrid Subnets와 함께 Migrate to Virtual Machines를 사용하여 VMware 소스 또는 Google Cloud VMware Engine 소스에서 VM을 마이그레이션하는 프로세스를 자동화하는 것이 좋습니다.

또는 이 문서에 설명된 Hybrid Subnets의 요구사항이 충족되는 한 Hybrid Subnets와 함께 서드 파티 마이그레이션 도구를 사용할 수 있습니다.

Migrate to Virtual Machines를 사용한 마이그레이션을 계획하는 방법은 Migrate to VMs를 사용한 마이그레이션 여정을 참고하세요.

마이그레이션 옵션에 대한 자세한 내용은 마이그레이션 리소스를 참조하세요.

Hybrid Subnets를 사용하여 Google Cloud 로의 마이그레이션을 계획하는 데 도움이 필요하면 지원 케이스를 제출하세요.

Hybrid Subnets 사용 시 고려사항

다음 섹션에서는 Hybrid Subnets를 사용하여 워크로드를 Google Cloud로 마이그레이션할 때의 고려사항을 설명합니다.

프록시 ARP 및 Hybrid Subnets

Hybrid Subnets를 사용하려면 온프레미스 네트워크의 라우터 또는 첫 번째 홉 기기 (호스트가 로컬 네트워크 외부의 대상이 있는 트래픽을 처음 보내는 지점)에 프록시 ARP를 구성해야 합니다.

첫 번째 홉 기기는 라우터, 가상 어플라이언스, 방화벽 또는 choparp와 같은 소프트웨어 솔루션을 실행하는 VM일 수 있습니다.

온프레미스 네트워크에서 프록시 ARP를 사용할 때는 다음을 수행하는 것이 좋습니다.

  • 프록시 ARP 사용 설정 및 네트워크 환경 보호와 관련된 권장사항은 네트워크 패브릭 공급업체에 문의하세요.
  • Google Cloud로 마이그레이션을 완료하면 프록시 ARP를 중지합니다.

지역 제한

이 제한은 트래픽이 하이브리드 서브넷 경로와 일치하지만 대상 IP 주소가 실행 중인 VM 또는 내부 전달 규칙과 연결되지 않은 경우에 적용됩니다. Google Cloud의 경로 선택 모델의 하이브리드 서브넷의 일치하지 않는 리소스 단계에서 패킷의 소스가 하이브리드 서브넷 경로와 동일한 VPC 네트워크에 있는 것처럼 경로가 평가됩니다.

하이브리드 서브넷 경로 내에 포함되는 대상 범위가 있는 정적 또는 동적 경로에 다른 리전의 다음 홉이 있는 경우:

  • 경로에 다음 홉이 혼합되어 있고 일부는 하이브리드 서브넷 경로와 동일한 리전에 있고 일부는 다른 리전에 있는 경우 ECMP가 서브넷이 아닌 리전의 다음 홉을 선택할 때마다 트래픽이 삭제됩니다. 이 패킷 삭제는 패킷이 서브넷 리전에 다음 홉이 있는 덜 구체적인 경로와도 일치하는 경우에도 발생합니다.
  • 경로에 하이브리드 서브넷 라우팅을 사용하는 서브넷과 동일한 리전의 다음 홉이 없으면 패킷이 삭제됩니다.

다음 리소스가 동일한 리전에 있는지 확인합니다.

  • 하이브리드 서브넷 라우팅이 사용 설정된 서브넷
  • 온프레미스 네트워크로의 경로를 학습하는 Cloud Router
  • 하이브리드 연결을 제공하는 HA VPN 터널 또는 VLAN 연결

예를 들어 하이브리드 서브넷 라우팅이 사용 설정된 IP 주소 범위가 192.0.2.0/24인 서브넷이 있다고 가정해 보겠습니다. 서브넷은 us-central1 리전에 있습니다. Cloud Router는 하이브리드 서브넷 경로에 속하는 대상 범위가 있는 두 개의 경로를 학습했습니다.

  • 대상 범위가 192.0.2.0/25이고 다음 홉이 us-central1 리전에 있는 동적 경로
  • 대상 범위가 192.0.2.0/30이고 다음 홉이 us-west1 리전에 있는 동적 경로

패킷이 대상 192.0.2.2로 전송됩니다. 이 IP 주소는 로컬 서브넷의 실행 중인 VM 또는 내부 전달 규칙과 연결되어 있지 않으므로 경로 선택 모델은 가장 구체적인 대상이 있는 맞춤 경로(192.0.2.0/30)를 선택합니다. 이 경로에는 서브넷의 리전에 다음 홉이 없으므로 패킷이 삭제됩니다.

자세한 내용은 하이브리드 서브넷의 일치하지 않는 리소스를 참고하세요.

VPC 네트워크 피어링

VPC 네트워크 피어링을 사용하여 하이브리드 서브넷 라우팅을 사용하는 서브넷이 포함된 VPC 네트워크를 피어 VPC 네트워크에 연결할 수 있습니다.

피어링된 네트워크의 클라이언트에서 발생하는 트래픽은 대상이Google Cloud 리소스인지 온프레미스 네트워크에 있는지에 관계없이 공유 CIDR 블록 내의 대상에 도달할 수 있습니다. 피어링된 네트워크의 클라이언트에서 온 패킷에 피어링 하이브리드 서브넷 경로와 일치하는 대상이 있고 대상이 실행 중인 VM 또는 내부 전달 규칙과 일치하지 않는 경우 피어링된 VPC 네트워크의 정적 또는 동적 경로를 사용하여 패킷을 라우팅할 수 있습니다.

피어링된 VPC 네트워크에서 정적 또는 동적 경로를 사용하는 라우팅은 클라이언트가 포함된 VPC 네트워크와의 커스텀 경로 교환에 의존하지 않습니다. 하지만 다음은 여전히 관련이 있습니다.

  • 클라이언트가 포함된 VPC 네트워크의 리전 및 피어링 그룹당 동적 경로 할당량 사용량이 할당량 한도보다 적은지 확인합니다.

  • 피어링 하이브리드 서브넷 경로에 속하는 피어링 네트워크의 정적 또는 동적 경로와 일치하는 대상 범위에 대해 클라이언트의 VPC 네트워크에 다른 경로가 없는지 확인합니다.

네트워크 성능

Hybrid Subnets는 OSI 모델의 레이어 3을 사용하여 온프레미스와 VPC 네트워크 간에 패킷을 라우팅합니다. 이 접근 방식은 일부 워크로드가 온프레미스 네트워크에 있지만 다른 워크로드가 클라우드로 마이그레이션되었을 때 마이그레이션 중에 발생할 수 있는 지연 시간, 지터, 처리량과 관련된 문제를 Hybrid Subnets에서 방지하는 데 도움이 됩니다.

특히 Layer 2 터널링을 방지하면 추가 Layer 2 오버레이의 캡슐화 및 암호화와 관련된 성능 저하를 방지할 수 있습니다. 또한 레이어 3 라우팅을 사용하면 Hybrid Subnets가 트래픽의 출발지와 가까울 수 있는 대상에 도달하기 전에 트래픽이 중앙 노드로 전송되는 레이어 2 터널링의 일반적인 문제를 방지할 수 있습니다. 이 문제를 네트워크 트롬보닝이라고도 합니다.

Hybrid Subnets는 이 라우팅 접근 방식을 사용하므로 Hybrid Subnets를 사용하지 않는 네트워크와 유사하거나 동일한 성능을 기대할 수 있습니다.

방화벽 및 Hybrid Subnets

Hybrid Subnets는 레이어 2 오버레이에 캡슐화된 트래픽에 방화벽을 사용하는 것과 관련된 문제를 방지합니다. 레이어 2 트래픽의 경우 오버레이 트래픽의 투명 복호화 또는 심층 검사와 같은 특정 조치를 취하지 않는 한 방화벽에서 오버레이 엔드포인트 또는 그 밖의 패킷만 검사할 수 있습니다.

Hybrid Subnets에 기존 방화벽 및 방화벽 규칙을 사용할 때는 특별한 고려사항이 없습니다. 하지만 Google Cloud VM이 온프레미스 네트워크의 워크로드와 통신할 수 있도록 방화벽 규칙을 구성해야 합니다.

가격 책정

하이브리드 서브넷 가격 책정에 대한 자세한 내용은 Virtual Private Cloud 가격 책정을 참고하세요.

다음 단계