공유 VPC(Shared VPC)

공유 VPC(Shared VPC)란?

공유 VPC는 말 그대로 여러 프로젝트가 공유해서 사용할 수 있는 VPC 네트워크를 의미하며, 공유 VPC를 사용하여 조직 내의 여러 프로젝트의 리소스를 공통 VPC 네트워크에 연결할 수 있습니다. 이를 통해 해당 네트워크의 내부 IP를 사용하여 서로 안전하고 효율적으로 통신할 수 있습니다.

공유 VPC를 사용할 때는 조직 내의 여러 프로젝트 가운데서 중심이 되는 하나의 호스트 프로젝트(Host Project)가 필요하며, 다른 프로젝트는 호스트 프로젝트에 연결이 됩니다. 호스트 프로젝트의 VPC 네트워크를 공유 VPC라고 하며, 공유 VPC에 연결된 다른 프로젝트들은 서비스 프로젝트(Service Project)라고 합니다. 공유 VPC에 참여하지 않는 프로젝트를 독립형 프로젝트라고 합니다. 독립형 VPC 네트워크는 독립형 프로젝트 또는 서비스 프로젝트에 있는 공유되지 않은 VPC 네트워크입니다.

서비스 프로젝트의 운영 가능 리소스는 공유 VPC 네트워크의 서브넷을 사용할 수 있습니다. 호스트 프로젝트 관리자는 서브넷, 라우팅, 방화벽과 같은 네트워크 리소스를 중앙제어합니다. 서비스 프로젝트 관리자에게는 인스턴스 생성 및 관리와 같은 책임을 위임하는 것이 가능합니다. 이러한 형태의 공유 VPC는 중앙 집중식 관리에 유리합니다.

공유 VPC는 동일한 조직 내의 프로젝트만을 연결할 수 있습니다. 즉, 공유 VPC에 참여하는 호스트 및 서비스 프로젝트는 다른 조직에 속할 수 없다는 것입니다. 그리고 연결된 프로젝트는 동일한 폴더에 있을 수도 있고, 다른 폴더에 있을 수도 있는데, 다른 폴더에 있는 경우에 관리자는 두 폴더에 대한 공유 VPC 관리자 권한을 가지고 있어야 합니다.

 

공유 VPC에 사용될 수 있는 리소스

공유 VPC 서비스 프로젝트에서는 대부분의 GCP 기능을 사용할 수 있습니다.

• IP 주소 : 동일한 공유 VPC 네트워크를 통해 호스트 프로젝트에 연결된 서비스 프로젝트의 인스턴스는 임시 또는 예약된 고정 내부 IP 주소를 사용하여 서로 통신할 수 있으며, 이 경우에는 관련 방화벽 규칙이 적용됩니다.

• 내부 DNS : 동일한 서비스 프로젝트의 VM은 GCP에서 자동으로 생성하는 내부 DNS 이름을 사용하여 서로 연결할 수 있습니다.

• 부하 분산 : 공유 VPC는 부하분산과 함께 사용할 수 있습니다. 일반적으로 서비스 프로젝트에서 백엔드 인스턴스를 만들며, 이 경우에는 모든 부하 분산기 구성요소가 해당 프로젝트에서 생성됩니다. 

 

공유 VPC 예시

공유  VPC 예시

위의 아키텍처에서 조직의 공유 VPC 관리자는 호스트 프로젝트를 만들고, 호스트 프로젝트에 2개의 서비스 프로젝트를 연결했습니다.

서비스 프로젝트 A의 서비스 프로젝트 관리자는 공유 VPC 네트워크의 서브넷 전체 또는 일부에 액세스하도록 구성 할 수 있습니다. 10.0.1.0/24서브넷의 서브넷 수준 이상의 권한이 있는 서비스 프로젝트 관리자는 us-west1 리젼의 구역에 인스턴스 A를 만들었으며, 이 인스턴스는 10.0.1.0/24 CIDR block으로부터 10.0.1.3의 내부 IP주소를 받습니다.

 

 

참고링크

https://cloud.google.com/vpc/docs/shared-vpc?hl=ko 

공유 VPC 개요  |  Google Cloud