GCP Shared VPC (GCP 공유 VPC 설정 및 고려사항)

Shared VPC

https://cloud.google.com/vpc/docs/shared-vpc 사이트에서 Basic concepts (click to enlarge) 활용

공유 VPC를 사용하는 조직은 여러 프로젝트의 리소스를 공통 Virtual Private Cloud(VPC) 네트워크에 연결할 수 있으므로 해당 네트워크의 내부 IP를 사용하여 서로 안전하고 효율적으로 통신할 수 있습니다. 공유 VPC를 사용할 때는 프로젝트 하나를 호스트 프로젝트로 지정하고 여기에 하나 이상의 다른 서비스 프로젝트를 연결합니다. 호스트 프로젝트의 VPC 네트워크를 공유 VPC 네트워크라고 합니다. 서비스 프로젝트의 운영 가능 리소스는 공유 VPC 네트워크의 서브넷을 사용할 수 있습니다.

Shared VPC를 이용한 구글 클라우드 설정시 고려사항

설정에 필요한 사전체크리스트

항목	내용
권한	작업을 하기위한 Shared VPC Admin 계정에 다음과 같은 권한이 필요합니다. - Compute 공유 VPC 관리자 (Compute Shared VPC Admin)
주의 사항	위와 같은 권한을 Organization 트리에서 추가해야 합니다. (폴더 단위 설정 시 권한 에러가 발생합니다)

Shared VPC 설정하기

Google Cloud Consoel > Cloud Identity & organization > Networking

Google Cloud Consoel > Cloud Identity & organization > Networking

위의 이미지에 대한 설정 방법은 블로그 하단에 YouTube 영상을 통하여 확인이 가능합니다.

Shared VPC 고려사항

항목	내용
리소스 구조 (이전 포스팅 참조)	리소스 트리를 설계할 경우에 Shared VPC 사용 유무도 고려하여 설계가 되면 좋습니다. - 예) 라이브 유형 폴더 하위에 Shared VPC 호스트 프로젝트 별도 설정하여 관리 다음과 같은 이점을 가져갈 수 있습니다. - Shared VPC의 서비스 프로젝트를 리소스 트리를 통하여 시각화된 관리 - Shared VPC의 사용자에게 서비스 프로젝트 관리자 권한 부여시 폴더 단위로 부여 설정 가능 - Organization policies 적용시 폴더 단위로 정책 설정 적용 및 해지 가능 (별도 포스팅 예정)
추천 아키텍처	1. 네트워크 중앙 관리 체계가 필요할 경우 - 위의 적용을 통한 네트워크 담당자 및 보안 담당자는 여러개의 프로젝트에서 작업을 하지않고, 하나의 프로젝트에서의 작업을 통하여 여러프로젝트에 모든 방화벽 그룹 및 네트워크 관리 가능 2. 중복 리소스 최소화 (웹 방화벽, VPC firewall 등) 3. 비용 최적화 (N/W 구성을 여러개의 VPC로 나눠 peering 구성 등이 필요하지 않음) 4. 리소스 효율화 (역할 담당자들의 업무 효율화)
비추천 아키텍처	1. (쿼터/할당량) Shared VPC의 경우 서비스 프로젝트가 늘어남에 따라 더 다양한 하고 상세한 VPC Firewall 및 Cloud Router 설정등이 적용될 수 있으며 그로인해 GCP Quotas 를 넘어설 경우 확장이 불가능한 상황까지 도달할 수 있어 사전에 고려가 필요 2. (비용) VPC와 함께 활용되는 다양한 보안 기능등을 활성화 하여 사용할 경우 고려 필요 - 예) Shared VPC에 네트워크 보안 기능을 적용이 필요할 경우 현재 몇몇 서비스는 서브넷 단위가 아닌, 리전 단위로만 가능하여 불필요한 비용이 발생할 수 있습니다. - 하나의 Shared VPC에서 라이브 및 개발 유형을 모두 관리할 경우 위와 같은 서비스 활용 계획시에는 불필요한 개발망도 보안 서비스를 적용해야하는 이슈가 발생할 수 있습니다.

프로젝트 생성 > VPC 구성 > Shared VPC 구성 > Quotas 확인 내용

위의 이미지와 같이 기본 제공 되는 Limit의 경우 요청을 통한 확장이 가능하지만, 최대 확장이 가능한 Limit을 먼저 확인하는게 좋습니다.

클톡! 경험톡!

1. Shared VPC 비추천 아키텍처의 경우 여러 호스트 프로젝트, 여러 서비스 프로젝트, 여러 공유 VPC 아키텍처를 참조하여 설계 방향성에 대한 검토 필요 (링크)
2. 클라우드 조직 관리자가 있을 경우 Shared VPC 설계를 통한 구성이 대부분 좋습니다.
3. Shared VPC 설계시 N/W의 중앙 관리를 통한 역할 분리 및 업무 분리가 가능해 집니다.
4. 보안 업무는 Shared VPC의 Firewall 권한 및 Flow log 등 감사 분석을 하나의 프로젝트에서 권한을 받아서 진행 가능
5. 네트워크 업무의 경우 Shared VPC에서 N/W 권한만을 받을 경우 Route 설정 및 Subnet 생성 등 하나의 프로젝트에서 작업이 가능
6. 서비스 담당자의 경우 N/W 및 보안(Firewall) 작업은 해당 부서로 요청 이후 서비스 구축에만 집중이 가능한 구조
7. 위와 같은 4/5/6/ 업무 분담의 경우 조직이 서로 다를 경우 및 규모가 있는 조직에서는 유용하나 그렇지 않을 경우 4/5/6 번에 해당되는 업무를 대부분 한명의 담당자가 하게되는 내용입니다.

참조

공유 VPC 개요 (링크)

GCP Organization 설계 및 개념 (링크)

VPC 설계에 관한 권장사항 및 참조 아키텍처 (링크)

YouTube (GCP Shared VPC Setup)

클톡 유튜브 채널 바로가기 (링크)