1. 소개
개요
이 실습에서는 사용자가 Network Connectivity Center (NCC)가 NCC 게이트웨이를 활용하여 보안 연결을 설정하는 방법을 살펴봅니다. 사용자는 보안 액세스 연결을 구현하여 서드 파티 보안 서비스 에지 (SSE) 제품을 통합하여 트래픽 흐름의 강력한 검사 및 보호를 지원합니다. 이 구성은 Google Cloud 환경에 들어가거나 나가는 트래픽을 보호하기 위한 중앙 집중식 게이트웨이 기반 모델을 제공하여 네트워크 관리를 간소화합니다.
빌드할 항목
이 Codelab에서는 세 개의 서로 다른 VPC에 걸쳐 완전히 메시된 VPC 연결 패브릭을 구현하는 NCC 허브를 사용하여 논리적 허브 및 스포크 토폴로지를 빌드합니다.
학습할 내용
- 하이브리드 검사 토폴로지
- NCC 게이트웨이
- 보안 액세스 연결
- Palo Alto Network SSE
필요한 항목
- GCP VPC 네트워크에 대한 지식
- Cloud Router 및 BGP 라우팅에 대한 지식
- 이 Codelab에는 VPC가 5개 필요합니다. 이러한 VPC 중 하나는 NCC 허브와 다른 프로젝트에 있어야 합니다.
- 할당량: 네트워크를 확인하고 필요한 경우 네트워크를 추가로 요청합니다(아래 스크린샷 참고).
목표
- GCP 환경 설정
- 하이브리드 검사를 위한 Network Connectivity Center 구성
- SSE용 Palo Alto Network Stratacloud Manager 프로비저닝
- 데이터 경로 확인
- NCC 서비스 가능성 기능 살펴보기
- 사용된 리소스 정리
시작하기 전에
Google Cloud 콘솔 및 Cloud Shell
이 실습에서는 GCP와 상호작용하기 위해 Google Cloud 콘솔과 Cloud Shell을 모두 사용합니다.
NCC 허브 프로젝트 Google Cloud 콘솔
Cloud 콘솔은 https://console.cloud.google.com에서 액세스할 수 있습니다.
Network Connectivity Center를 더 쉽게 구성할 수 있도록 Google Cloud에서 다음 항목을 설정합니다.
Google Cloud Console의 프로젝트 선택기 페이지에서 Google Cloud 프로젝트를 선택하거나 만듭니다.
참고: 이 절차에서 생성한 리소스를 유지하지 않으려면 기존 프로젝트를 선택하지 말고 프로젝트를 새로 만드세요. 작업이 끝나면 프로젝트를 삭제하여 프로젝트와 관련된 모든 리소스를 삭제할 수 있습니다.
Cloud Shell을 실행합니다. 이 Codelab에서는 Cloud Shell에서 gcloud 구성 구현을 지원하기 위해 $변수를 사용합니다.
gcloud auth list
gcloud config list project
gcloud config set project [HUB-PROJECT-ID]
projectname=[HUB-PROJECT-ID]
echo $projectname
gcloud config set compute/zone us-central1-a
gcloud config set compute/region us-central1
IAM 역할
NCC에서 특정 API에 액세스하려면 IAM 역할이 필요합니다. 필요에 따라 NCC IAM 역할로 사용자를 구성해야 합니다.
역할/설명 | 권한 |
| networkconnectivity.hubs.networkconnectivity.spokes.networkconnectivity.gatewaynetworkconnectivity.locations. |
| networkconnectivity.gatewayAdvertisedRoutes.networkconnectivity.groups. networkconnectivity.hubRouteTables.networkconnectivity.hubRoutes.networkconnectivity.hubs. networkconnectivity.locations. networkconnectivity.operations.* networkconnectivity.spokes.*resourcemanager.projects.getresourcemanager.projects.list |
| networkconnectivity.gatewayAdvertisedRoutes.getnetworkconnectivity.gatewayAdvertisedRoutes.listnetworkconnectivity.groups.getnetworkconnectivity.groups.getIamPolicynetworkconnectivity.groups.listnetworkconnectivity.hubRouteTables.getnetworkconnectivity.hubRouteTables.getIamPolicynetworkconnectivity.hubRouteTables.listnetworkconnectivity.hubRoutes.getnetworkconnectivity.hubRoutes.getIamPolicynetworkconnectivity.hubRoutes.listnetworkconnectivity.hubs.getnetworkconnectivity.hubs.getIamPolicynetworkconnectivity.hubs.listnetworkconnectivity.hubs.listSpokesnetworkconnectivity.hubs.queryStatus networkconnectivity.locations.*networkconnectivity.spokes.getnetworkconnectivity.spokes.getIamPolicynetworkconnectivity.spokes.listresourcemanager.projects.getresourcemanager.projects.list |
2. 네트워크 환경 설정
이 섹션에서는 단일 프로젝트에 VPC 네트워크와 방화벽 규칙을 배포합니다. 논리 다이어그램은 이 단계에서 설정할 네트워크 환경을 보여줍니다.
VPC 및 서브넷 만들기
VPC 네트워크에는 데이터 경로 검증을 위해 GCE VM을 설치할 서브넷이 포함되어 있습니다.
gcloud compute networks create vpc1-ncc --subnet-mode custom
gcloud compute networks create vpc2-ncc --subnet-mode custom
gcloud compute networks create vpc3-ncc --subnet-mode custom
gcloud compute networks subnets create vpc1-ncc-subnet1 \
--network vpc1-ncc \
--range 10.1.1.0/24 \
--region us-central1
gcloud compute networks subnets create vpc2-ncc-subnet1 \
--network vpc2-ncc \
--range 10.1.2.0/24 \
--region us-central1
gcloud compute networks subnets create vpc3-ncc-subnet1 \
--network vpc3-ncc \
--range 10.1.3.0/24 \
--region us-central1
VPC 방화벽 규칙 구성
각 VPC에서 다음을 허용하도록 방화벽 규칙을 구성합니다.
- SSH
- 내부 IAP
- 10.0.0.0/8 범위
gcloud compute firewall-rules create ncc1-vpc-internal \
--network vpc1-ncc \
--allow all \
--source-ranges 10.0.0.0/8
gcloud compute firewall-rules create ncc2-vpc-internal \
--network vpc2-ncc \
--allow all \
--source-ranges 10.0.0.0/8
gcloud compute firewall-rules create ncc3-vpc-internal \
--network vpc3-ncc \
--allow all \
--source-ranges 10.0.0.0/8
gcloud compute firewall-rules create ncc1-vpc-iap \
--network vpc1-ncc \
--allow all \
--source-ranges 35.235.240.0/20
gcloud compute firewall-rules create ncc2-vpc-iap \
--network vpc2-ncc \
--allow=tcp:22 \
--source-ranges 35.235.240.0/20
gcloud compute firewall-rules create ncc3-vpc-iap \
--network vpc3-ncc \
--allow=tcp:22 \
--source-ranges 35.235.240.0/20
각 VPC에서 GCE VM 구성
'vm1-vpc1-ncc'에 패키지를 설치하려면 임시 인터넷 액세스가 필요합니다.
가상 머신 4개를 만듭니다. 각 VM은 이전에 만든 VPC 중 하나에 할당됩니다.
gcloud compute instances create vm1-vpc1-ncc \
--subnet vpc1-ncc-subnet1 \
--metadata=startup-script='#!/bin/bash
apt-get update
apt-get install apache2 -y
apt-get install tcpdump -y
service apache2 restart
echo "
<h3>Web Server: vpc1-vm1</h3>" | tee /var/www/html/index.html'
gcloud compute instances create vm1-vpc2-ncc \
--zone us-central1-a \
--subnet vpc2-ncc-subnet1 \
--no-address \
--metadata=startup-script='#!/bin/bash
apt-get update
apt-get install apache2 -y
apt-get install tcpdump -y
service apache2 restart
echo "
<h3>Web Server: vpc2-vm2</h3>" | tee /var/www/html/index.html'
gcloud compute instances create vm1-vpc3-ncc \
--zone us-central1-a \
--subnet vpc3-ncc-subnet1 \
--no-address \
--metadata=startup-script='#!/bin/bash
apt-get update
apt-get install apache2 -y
apt-get install tcpdump -y
service apache2 restart
echo "
<h3>Web Server: vpc3-vm3</h3>" | tee /var/www/html/index.html'
3. NCC 하이브리드 검사 토폴로지
이 섹션에서는 하이브리드 검사 토폴로지를 위한 Network Connectivity Center 허브를 배포합니다. NCC 하이브리드 검사 토폴로지는 NCC 게이트웨이를 특별히 지원하기 위해 사전 설정된 NCC 스포크 정책을 구현합니다. 논리 다이어그램은 이 단계에서 설정할 네트워크 환경을 보여줍니다.
하이브리드 스포크 검사를 위한 NCC 허브
NCC 허브를 만들 때 '-preset-topology=hybrid-inspection' 플래그를 사용하여 NCC 스포크 유형의 네 그룹을 만듭니다. NCC 스포크에는 다음 네 가지 유형이 있습니다.
Groups:gateways | 게이트웨이 스포크는 온프레미스 또는 다른 클라우드에서 Google Cloud로 유입되는 트래픽 흐름의 리전 진입점 및 종료점 역할을 합니다. Palo Alto Networks 또는 Symantec과 같은 서드 파티 SSE 서비스를 통해 트래픽 검사를 용이하게 합니다. 참고: 이 토폴로지에서 NCC 게이트웨이 스포크를 포함할 수 있는 유일한 그룹입니다. |
Groups:services | 이 그룹은 공유 리소스의 '허브' 역할을 합니다. 이 그룹의 스포크는 다른 모든 스포크 그룹 (프로덕션, 비프로덕션, 게이트웨이)에 연결됩니다. 공유 서비스 VPC (예: 로깅, 인증, 모니터링 또는 공통 도구용) |
Groups:prod | 사용 사례: 미션 크리티컬 워크로드 (VM, GKE 클러스터)가 포함된 프로덕션 애플리케이션 VPC를 할당합니다. |
Groups:non-prod | 할당된 리소스: 개발, 테스트 또는 스테이징 환경에 사용되는 비프로덕션 애플리케이션 VPC입니다. |
하이브리드 검사 사전 설정 토폴로지를 사용하도록 NCC 허브 구성
gcloud beta network-connectivity hubs create cl-hi-hub \ --preset-topology=hybrid-inspection
출력 예
Create request issued for: [cl-hi-hub]
Waiting for operation [projects/"${projectname}"/locations/global/operations/operation-1759424304217-6402fe4a97da0-5de6
e5a1-2ea2de02] to complete...done.
Created hub [cl-hi-hub].
gcloud 명령어를 사용하여 NCC 허브의 사전 설정된 라우팅 테이블을 확인합니다.
gcloud network-connectivity hubs describe cl-hi-hub
출력 예
createTime: '2026-02-18T16:14:45.828597880Z'
exportPsc: false
name: projects/"${projectname}"/locations/global/hubs/cl-hi-hub
policyMode: PRESET
routeTables:
- projects/"${projectname}"/locations/global/hubs/cl-hi-hub/routeTables/gateways
- projects/"${projectname}"/locations/global/hubs/cl-hi-hub/routeTables/non-prod
- projects/"${projectname}"/locations/global/hubs/cl-hi-hub/routeTables/prod
- projects/"${projectname}"/locations/global/hubs/cl-hi-hub/routeTables/services
spokeSummary:
state: ACTIVE
uniqueId: c0fbb826-173b-42dd-a5d2-00c2aa66fed8
updateTime: '2026-04-21T19:13:50.269721594Z'
NCC 스포크를 그룹에 추가하여 트래픽 흐름 정책을 적용할 수 있습니다. NCC 스포크는 하나의 그룹에만 속할 수 있습니다. 이번 출시에서는 HYBRID-INSPECTION이라는 특정 사전 설정 토폴로지에 게이트웨이, 프로덕션, 비프로덕션, 서비스라는 4개의 그룹이 도입되었습니다.
모든 NCC 게이트웨이 리소스 (하이브리드 연결 포함)는 게이트웨이 그룹에 속합니다. 게이트웨이 그룹의 스포크는 서로 통신할 수 있으며, 게이트웨이와 다른 스포크 그룹 간의 트래픽은 서비스 정책 구성에 따라 검사 대상이 될 수 있습니다.
NCC 스포크 그룹 연결 규칙
소스 그룹 | 액세스 가능 (허용됨) | 액세스할 수 없음 (제한됨) |
서비스 그룹 | 게이트웨이, prod, non-prod, 서비스 | 없음 |
제품 그룹 | 게이트웨이, 서비스, prod 스포크 | 비프로덕션 스포크 |
비프로덕션 그룹 | 게이트웨이, 서비스, 비프로덕션 스포크 | prod spokes |
게이트웨이 그룹 | 게이트웨이, 서비스, 프로덕션, 비프로덕션 | 없음 |
gcloud 명령어를 사용하여 NCC 허브의 사전 설정된 그룹을 나열합니다.
gcloud network-connectivity hubs groups list --hub cl-hi-hub --project "${projectname}"
출력 예
NAME HUB DESCRIPTION
gateways cl-hi-hub
non-prod cl-hi-hub
prod cl-hi-hub
services cl-hi-hub
웹 콘솔에서 네트워크 연결 > Network Connectivity Center로 이동하여 'cl-hi-hub'를 선택하여 NCC 허브 구성을 확인합니다.
NCC 그룹 prod의 스포크로서의 워크로드 VPC2
gcloud 명령어를 사용하여 워크로드 VPC3을 (워크로드) 스포크로 구성하고 스포크를 group:prod에 할당합니다.
gcloud network-connectivity spokes linked-vpc-network create vpc2-sp \
--hub=cl-hi-hub \
--description=codelab-vpc2-ncc-spoke \
--vpc-network=vpc2-ncc \
--global \
--group=prod
출력 예시
Create request issued for: [vpc2-sp]
Waiting for operation [projects/"${projectname}"/locations/global/operations/operation-1776966793852-650245286757a-766d806c-1bc4fabe] to complete...done.
Created spoke [vpc2-sp].
createTime: '2026-04-23T17:53:14.083783233Z'
description: codelab-vpc2-ncc-spoke
etag: '2'
group: projects/"${projectname}"/locations/global/hubs/cl-hi-hub/groups/prod
hub: projects/"${projectname}"/locations/global/hubs/cl-hi-hub
linkedVpcNetwork:
uri: https://www.googleapis.com/compute/v1/projects/"${projectname}"/global/networks/vpc-ncc2
name: projects/"${projectname}"/locations/global/spokes/vpc2-sp
spokeType: VPC_NETWORK
state: ACTIVE
uniqueId: 92972784-e4ed-47e5-be22-08a516a39b0c
updateTime: '2026-04-23T17:53:55.029481722Z'
gcloud 명령어를 사용하여 NCC 허브의 'prod' 라우팅 테이블에 있는 접두사를 확인합니다.
gcloud network-connectivity hubs route-tables routes list --hub=cl-hi-hub --route_table=prod
출력 예시
IP_CIDR_RANGE: 10.1.2.0/24
PRIORITY:
LOCATION: us-central1
STATE: ACTIVE
TYPE: VPC_PRIMARY_SUBNET
SITE_TO_SITE: N/A
NEXT_HOP: vpc2-ncc
HUB: cl-hi-hub
ROUTE_TABLE: prod
워크로드 VPC3을 NCC 그룹:non-prod의 스포크로 구성
gcloud 명령어를 사용하여 워크로드 VPC3을 (워크로드) 스포크로 구성하고 스포크를 group:non-prod에 할당합니다.
gcloud network-connectivity spokes linked-vpc-network create vpc3-sp \
--hub=cl-hi-hub \
--description=codelab-vpc3-ncc-spoke \
--vpc-network=vpc3-ncc \
--global \
--group=non-prod
출력 예시
Create request issued for: [vpc3-sp]
Waiting for operation [projects/cloudnet-demo/locations/global/operations/operation-1778757016454-651c5241b83fe-18b62f78-02d70f9a] to complete...done.
Created spoke [vpc3-sp].
createTime: '2026-05-14T11:10:16.758117151Z'
description: codelab-vpc3-ncc-spoke
etag: '2'
group: projects/cloudnet-demo/locations/global/hubs/cl-hi-hub/groups/non-prod
hub: projects/cloudnet-demo/locations/global/hubs/cl-hi-hub
linkedVpcNetwork:
uri: https://www.googleapis.com/compute/v1/projects/cloudnet-demo/global/networks/vpc3-ncc
name: projects/cloudnet-demo/locations/global/spokes/vpc3-sp
spokeType: VPC_NETWORK
state: ACTIVE
uniqueId: efe8cfed-d77f-4636-aaae-898e73897b49
updateTime: '2026-05-14T11:10:52.880508489Z'
gcloud 명령어를 사용하여 NCC 허브의 'prod' 라우팅 테이블에 있는 접두사를 확인합니다.
gcloud network-connectivity hubs route-tables routes list --hub=cl-hi-hub --route_table=prod
출력 예시
IP_CIDR_RANGE: 10.1.2.0/24
PRIORITY:
LOCATION: us-central1
STATE: ACTIVE
TYPE: VPC_PRIMARY_SUBNET
SITE_TO_SITE: N/A
NEXT_HOP: vpc2-ncc
HUB: cl-hi-hub
ROUTE_TABLE: prod
워크로드 VPC1을 NCC 그룹:services의 스포크로 구성
gcloud 명령어를 사용하여 워크로드 VPC1을 (워크로드) 스포크로 구성하고 스포크를 group:services에 할당합니다.
gcloud network-connectivity spokes linked-vpc-network create vpc1-sp \
--hub=cl-hi-hub \
--description=codelab-vpc1-ncc-spoke \
--vpc-network=vpc1-ncc \
--global \
--group=services
출력 예시
Create request issued for: [vpc1-sp]
Waiting for operation [projects/cloudnet-demo/locations/global/operations/operation-1778758397065-651c57665f795-1af6d94f-942c9ebd] to complete...done.
Created spoke [vpc1-sp].
createTime: '2026-05-14T11:33:17.359361160Z'
description: codelab-vpc1-ncc-spoke
etag: '2'
group: projects/cloudnet-demo/locations/global/hubs/cl-hi-hub/groups/services
hub: projects/cloudnet-demo/locations/global/hubs/cl-hi-hub
linkedVpcNetwork:
uri: https://www.googleapis.com/compute/v1/projects/cloudnet-demo/global/networks/vpc1-ncc
name: projects/cloudnet-demo/locations/global/spokes/vpc1-sp
spokeType: VPC_NETWORK
state: ACTIVE
uniqueId: 82b29a2b-50cb-4557-8b12-3345f5a36ad6
updateTime: '2026-05-14T11:33:55.914406863Z'
us-central1의 SSE 게이트웨이에 NCC Gateway 스포크 구성
gcloud 명령어를 사용하여 us-central1에 NCC 게이트웨이 스포크를 만듭니다.
gcloud beta network-connectivity spokes gateways create cl-ncc-gw-usc-sp \
--region=us-central1 \
--hub=cl-hi-hub \
--capacity=1g \
--ip-range-reservations=10.100.0.0/23 \
--group=gateways
출력 예시
Create request issued for: [cl-ncc-gw-usc-sp]
Waiting for operation [projects/cloudnet-demo/locations/us-central1/operations/operation-1778758907555-651c594d36fc5-783a8d5d-8d3e341b] to complete...done.
Created spoke [cl-ncc-gw-usc-sp].
createTime: '2026-05-14T11:41:48.066042872Z'
etag: '2'
gateway:
capacity: CAPACITY_1_GBPS
ipRangeReservations:
- ipRange: 10.100.0.0/23
group: projects/cloudnet-demo/locations/global/hubs/cl-hi-hub/groups/gateways
hub: projects/cloudnet-demo/locations/global/hubs/cl-hi-hub
name: projects/cloudnet-demo/locations/us-central1/spokes/cl-ncc-gw-usc-sp
spokeType: GATEWAY
state: ACTIVE
uniqueId: ffe8e2b7-c864-4279-9d21-ca72d87083fe
updateTime: '2026-05-14T11:44:08.787947523Z'
gcloud 명령어를 사용하여 NCC 스포크를 나열합니다.
gcloud network-connectivity spokes list
출력 예시
NAME: vpc2-sp
LOCATION: global
HUB: cl-hi-hub
GROUP: prod
TYPE: VPC network
RESOURCE COUNT: 1
DATA TRANSFER: N/A
DESCRIPTION: codelab-vpc2-ncc-spoke
NAME: vpc3-sp
LOCATION: global
HUB: cl-hi-hub
GROUP: non-prod
TYPE: VPC network
RESOURCE COUNT: 1
DATA TRANSFER: N/A
DESCRIPTION: codelab-vpc3-ncc-spoke
NAME: vpc1-sp
LOCATION: global
HUB: cl-hi-hub
GROUP: services
TYPE: VPC network
RESOURCE COUNT: 1
DATA TRANSFER: N/A
DESCRIPTION: codelab-vpc1-ncc-spoke
NAME: cl-ncc-gw-usc-sp
LOCATION: us-central1
HUB: cl-hi-hub
GROUP: gateways
TYPE:
RESOURCE COUNT: 1
DATA TRANSFER: Off
DESCRIPTION:
'cl-hi-hub' NCC 허브에 구성된 NCC 스포크를 검사합니다.
NCC 게이트웨이에서 NCC 허브로 IP 접두사 공지
NCC 게이트웨이가 NCC 허브 라우팅 테이블에 특정 접두사를 공지하도록 구성합니다.
gcloud beta network-connectivity spokes gateways advertised-routes create example-dot-com \
--ip-range=1.1.1.1/32 \
--priority=200 \
--advertise-to-hub \
--region=us-central1 \
--spoke=cl-ncc-gw-usc-sp
gcloud beta network-connectivity spokes gateways advertised-routes create google-dot-com \
--ip-range=173.194.204.101/32 \
--priority=200 \
--advertise-to-hub \
--region=us-central1 \
--spoke=cl-ncc-gw-usc-sp
gcloud beta network-connectivity spokes gateways advertised-routes create branch \
--ip-range=192.168.1.0/24 \
--priority=200 \
--advertise-to-hub \
--region=us-central1 \
--spoke=cl-ncc-gw-usc-sp
gcloud beta network-connectivity spokes gateways advertised-routes create prod \
--ip-range=192.168.11.0/24 \
--priority=200 \
--advertise-to-hub \
--region=us-central1 \
--spoke=cl-ncc-gw-usc-sp
gcloud beta network-connectivity spokes gateways advertised-routes create non-prod \
--ip-range=192.168.12.0/24 \
--priority=200 \
--advertise-to-hub \
--region=us-central1 \
--spoke=cl-ncc-gw-usc-sp
gcloud 명령어를 사용하여 게이트웨이 스포크에서 시작된 공지 경로를 나열합니다.
gcloud beta network-connectivity spokes gateways advertised-routes list --region=us-central1
출력 예
NCC 게이트웨이 스포크의 공지 경로 검사
웹 콘솔에서 네트워크 연결 > Network Connectivity Center > '스포크' 탭을 선택하고 'cl-ncc-gw-usc-sp'를 클릭합니다.
4. Cloud Interconnect 하이브리드 연결
작성 시점에는 NCC 게이트웨이에서 Google Cloud Interconnect만 지원합니다. NCC 게이트웨이는 Google 테넌트 프로젝트의 전역 VPC와 Cloud Router를 사용하여 VLAN 연결 및 BGP 피어링 세션을 종료합니다.
다이어그램에는 NCC 게이트웨이에 논리적으로 연결된 Cloud Interconnect 및 VLAN 연결 쌍이 표시되어 있지만, VLAN 연결을 종료하는 기본 구성요소는 Google 관리 테넌트 전역 VPC의 Cloud Router입니다. 이 섹션에서는 NCC 게이트웨이와 연결된 Cloud Router를 구성하여 온프레미스 연결의 BGP 세션을 관리합니다.
us-central1의 NCC 게이트웨이 전용 Cloud Router
gcloud 명령어를 사용하여 NCC 게이트웨이용으로 Cloud Router를 구성합니다.
gcloud beta compute routers create ncc-gw-usc1-cr \
--ncc-gateway=https://networkconnectivity.googleapis.com/v1/projects/"${projectid}"/locations/us-central1/spokes/cl-ncc-gw-usc-sp \
--asn=64666 \
--advertisement-mode=CUSTOM \
--set-advertisement-ranges=10.100.2.0/23 \
--region=us-central1
출력 예
Creating router [ncc-gw-usc1-cr]...done.
NAME REGION NCC_GATEWAY
ncc-gw-usc1-cr us-central1 cl-ncc-gw-usc-sp
- NCC_GW_NAME: NCC 게이트웨이 스포크의 전체 URI입니다. URI 형식은 https://networkconnectivity.googleapis.com/v1/projects/"${projectid}"/locations/REGION/spokes/GATEWAY_SPOKE_NAME 패턴을 따릅니다.
- ADVERTISED_IP_RANGES: Google Cloud로 트래픽을 유도하기 위해 온프레미스 네트워크에 공지할 IP 범위입니다.
이 gcloud 명령어를 사용하여 방금 만든 라우터를 나열합니다.
gcloud compute routers list --filter="region:(us-central1)"
Cloud Router는 VPC와 연결되지 않습니다.
NAME REGION NETWORK
ncc-gw-usc1-cr us-central1 N/A
Cloud Router에서 인터페이스로 사용될 기존 전용 Cloud Interconnect에서 VLAN 연결을 만듭니다. 아래 예시 구성에서는 링크 로컬 IP 주소를 후보 서브넷 범위로 사용합니다. 이 범위의 특정 호스트 주소는 BGP 피어링을 구성하는 데 사용됩니다.
gcloud compute interconnects attachments dedicated create vl2029-ead1 \
--region=us-central1 \
--interconnect=projects/some-interconnect-project/global/interconnects/interconnect-lab-sea26-zone1 \
--router=ncc-gw-usc1-cr \
--vlan=2024 \
--bandwidth=500m \
--mtu=1440 \
--candidate-subnets=169.254.222.216/29
Created [https://www.googleapis.com/compute/v1/projects/"${projectname}"/regions/us-central1/interconnectAttachments/vl2029-ead1].
gcloud compute interconnects attachments dedicated create vl3029-ead2 \
--region=us-central1 \
--interconnect=projects/some-interconnect-project/global/interconnects/interconnect-lab-sea26-zone2 \
--router=ncc-gw-usc1-cr \
--vlan=3026 \
--bandwidth=500m \
--mtu=1440 \
--candidate-subnets=169.254.220.184/29
Created [https://www.googleapis.com/compute/v1/projects/"${projectname}"/regions/us-central1/interconnectAttachments/vl3029-ead2].
인터페이스를 사용하여 us-central1에서 NCC 게이트웨이 Cloud Router 구성
gcloud 명령어를 사용하여 us-central에서 생성된 VLAN 연결을 NCC 게이트웨이 Cloud Router에 연결합니다.
gcloud compute routers add-interface ncc-gw-usc1-cr \
--region=us-central1 \
--interface-name=if-vl2029-ead1 \
--interconnect-attachment=vl2029-ead1
출력:
Updated [https://www.googleapis.com/compute/v1/projects/cloudnet-demo/regions/us-central1/routers/ncc-gw-usc1-cr].
위에서 만든 VLAN 연결의 BGP 피어를 구성합니다.
아래의 gcloud 명령어를 사용하여 Cloud Router 인터페이스에서 BGP 피어링을 활성화합니다.
gcloud compute routers add-bgp-peer ncc-gw-usc1-cr \
--region=us-central1 \
--peer-name=bgp-vl2029-ead1 \
--interface=if-vl2029-ead1 \
--peer-asn=65112 \
--advertisement-mode=DEFAULT
출력:
Creating peer [bgp-vl2029-ead1] in router [ncc-gw-usc1-cr]...done.
두 번째 VLAN 연결 인터페이스를 사용하여 us-central1에서 NCC 게이트웨이 Cloud Router를 구성합니다.
gcloud 명령어를 사용하여 두 번째 VLAN 연결을 NCC 게이트웨이의 Cloud Router에 인터페이스로 추가합니다.
gcloud compute routers add-interface ncc-gw-usc1-cr \
--region=us-central1 \
--interface-name=if-vl3029-ead2 \
--interconnect-attachment=vl3029-ead2
출력:
Updated [https://www.googleapis.com/compute/v1/projects/cloudnet-demo/regions/us-central1/routers/ncc-gw-usc1-cr]
아래의 gcloud 명령어를 사용하여 Cloud Router 인터페이스에서 BGP 피어링을 활성화합니다.
gcloud compute routers add-bgp-peer ncc-gw-usc1-cr \
--region=us-central1 \
--peer-name=bgp-vl3029-ead2 \
--interface=if-vl3029-ead2 \
--peer-asn=65112 \
--advertisement-mode=DEFAULT
온프레미스 BGP 스피커로 BGP 피어링 상태 확인
gcloud 명령어를 사용하여 온프레미스 라우터의 BGP 피어 상태를 확인하고 NCC 게이트웨이 Cloud Router가 온프레미스 네트워크로 전송하는 경로를 확인합니다.
gcloud compute routers get-status ncc-gw-usc1-cr \
--region=us-central1
**
--format="yaml(result.bgpPeerStatus)"
출력:
BGP 상태가 'Established'인지 확인합니다.
result:
bgpPeerStatus:
- advertisedRoutes:
- destRange: 10.100.2.0/23
kind: compute#route
nextHopIp: 169.254.111.217
nextHopOrigin: INCOMPLETE
priority: 100
routeType: BGP
enableIpv4: true
enableIpv6: false
ipAddress: 169.254.111.217
md5AuthEnabled: false
name: bgp-vl2029-ead1
numLearnedRoutes: 2
peerIpAddress: 169.254.111.218
state: Established
status: UP
uptime: 6 minutes, 27 seconds
uptimeSeconds: '387'
- advertisedRoutes:
- destRange: 10.100.2.0/23
kind: compute#route
nextHopIp: 169.254.112.217
nextHopOrigin: INCOMPLETE
priority: 100
routeType: BGP
enableIpv4: true
enableIpv6: false
ipAddress: 169.254.112.217
md5AuthEnabled: false
name: bgp-vl3029-ead2
numLearnedRoutes: 1
peerIpAddress: 169.254.112.218
state: Established
status: UP
uptime: 1 minutes, 35 seconds
uptimeSeconds: '95'
gcloud 명령어를 사용하여 NCC 게이트웨이 Cloud Router가 온프레미스 네트워크에서 수신하는 경로를 확인합니다.
gcloud compute routers get-status ncc-gw-usc1-cr \
--region=us-central1 \
--format="yaml(result.bestRoutes)"
출력:
result:
bestRoutes:
- asPaths:
- asLists:
- 65112
pathSegmentType: AS_SEQUENCE
creationTimestamp: '2026-05-14T10:02:44.265-07:00'
destRange: 172.16.0.0/16
kind: compute#route
nextHopInterRegionCost: 0
nextHopIp: 169.254.111.218
nextHopMed: 0
nextHopOrigin: IGP
priority: 65536
routeType: BGP
- asPaths:
- asLists:
- 65112
pathSegmentType: AS_SEQUENCE
creationTimestamp: '2026-05-14T09:54:04.340-07:00'
destRange: 3.3.3.0/24
kind: compute#route
nextHopInterRegionCost: 0
nextHopIp: 169.254.111.218
nextHopMed: 0
nextHopOrigin: IGP
priority: 65536
routeType: BGP
- asPaths:
- asLists:
- 65112
pathSegmentType: AS_SEQUENCE
creationTimestamp: '2026-05-14T09:58:56.189-07:00'
destRange: 4.4.4.0/24
kind: compute#route
nextHopInterRegionCost: 0
nextHopIp: 169.254.112.218
nextHopMed: 0
nextHopOrigin: IGP
priority: 65536
routeType: BGP
서브넷 경로는 자동으로 공지되므로 GCP 커스텀 접두사를 온프레미스에 공지합니다. 맞춤 접두사의 '요약' 경로를 광고할 수 있습니다.**
cloud compute routers update ncc-gw-usc1-cr \
--project=cloudnet-demo \
--region=us-central1 \
--advertisement-mode custom \
--set-advertisement-groups=all_subnets \
--set-advertisement-ranges="10.1.0.0/16"
출력:
Updating router [ncc-gw-usc1-cr]...done.
5. 서드 파티 SSE를 NCC 게이트웨이와 통합
보안 액세스 연결은 서드 파티 보안 서비스 에지 (SSE) 제품을 NCC 게이트웨이에 연결하여 수신 및 발신 트래픽을 보호할 수 있는 기능입니다. 기본 기능은 GCP와 서드 파티 SSE 제공업체 간의 링크를 설정하는 것입니다.
이 섹션에서는 Strata Cloud Manager에 로그인하여 NCC 게이트웨이에서 SSE 프록시 서비스를 활성화하고 구성합니다.
이 서비스는 두 가지 기본 리소스로 구성됩니다.
- 보안 액세스 연결 영역: Google Cloud 프로젝트를 SSE 서비스에 연결하는 전역 리소스입니다. VPC 또는 사용자 그룹의 공유 보안 정책 공간을 설정하여 동일한 보안 정책 집합에 의거하여 관리해야 하는 게이트웨이를 SSE 제공업체에 노출합니다.
- Secure Access Connect 연결: NCC 게이트웨이가 SSE 서비스로 트래픽을 처리할 수 있도록 물리적으로 지원하는 리전별 논리 리소스입니다. 파트너의 SSE 스택과의 신뢰 및 연결을 설정하는 데 필요한 메타데이터를 보유합니다.
Secure Access Connect 영역 만들기
gcloud beta network-security secure-access-connect realms create codelab-sac-realm \
--security-service=prisma-access
페어링 키 식별
보안 액세스 연결 영역을 Prisma Access와 연결하려면 페어링 키가 필요합니다. 이 영숫자 문자열은 Strata Cloud Manager 웹 포털을 통해 SSE 게이트웨이를 구성하고 프로비저닝하는 데 사용됩니다.
gcloud beta network-security secure-access-connect realms describe codelab-sac-realm
createTime: '2026-04-21T13:48:53.760262401Z'
name: projects/"${projectname}"/locations/global/sacRealms/codelab-cden
pairingKey:
expireTime: '2026-04-28T13:48:51.107221733Z'
key: 2a52a7e2-7c95-4dc7-9155-c3234976fad4
securityService: PALO_ALTO_PRISMA_ACCESS
state: PENDING_PARTNER_ATTACHMENT
updateTime: '2026-04-21T13:48:55.874553834Z'
Prisma Access에서 관리형 Cloud WAN으로 파트너 영역 만들기
- Strata Cloud Manager에 로그인하고 할당된 SSE 게이트웨이 테넌트를 사용하고 있는지 확인합니다.
- SAC 영역을 파트너 테넌트에 연결하려면 다음으로 이동하세요.
시스템 설정 -> 통합 -> 관리형 클라우드 WAN
'연결'을 클릭합니다.
- 'Google NCC 게이트웨이 계정 연결' 대화상자에 SAC 영역의 페어링 키를 입력합니다. '확인'을 클릭하여 렐름 만들기를 시작합니다.
NCC 게이트웨이 상태가 '연결됨'으로 업데이트되는 데 몇 분 정도 걸립니다.
GCP Cloud Shell에서 gcloud 명령어를 사용하여 SAC 영역과 연결된 페어링 키를 찾습니다.
gcloud beta network-security secure-access-connect realms describe codelab-sac-realm
GCP 콘솔에서 페어링 키를 확인할 수도 있습니다.
다음으로 이동하여 NCC 게이트웨이 SSE 클러스터를 관리형 Cloud WAN 연결로 추가합니다.
구성 > NGFW 및 Prisma Access > '구성 범위'를 클릭하고 'Prisma Access' 섹션에서 '원격 네트워크'를 선택합니다.
개요 페이지에서 '설정'을 클릭하고 '관리형 Cloud WAN 연결'을 선택합니다.
'관리형 Cloud WAN 사이트 추가'를 클릭합니다.
NCC Gateway에서 SSE 인스턴스 활성화
GCP 콘솔로 전환하고 gcloud 명령어를 사용하여 Secure Access Connect 연결을 만듭니다.
gcloud alpha network-security secure-access-connect attachments create codelab-sac-attachment-usc1 \
--location=us-central1 \
--realm=codelab-sac-realm \
--gateway=cl-ncc-gw-usc-sp
파트너 게이트웨이 만들기
관리형 클라우드 WAN 연결의 매개변수를 입력합니다.
- 사이트 이름: 연결에 고유한 이름을 입력합니다.
- **서비스 유형:**서비스 유형으로 Google NCC 게이트웨이를 선택합니다.
- 연결 이름: N CC 게이트웨이 SAC 연결 활성화 및 생성 중에 생성한 GCP 서비스 위치를 선택합니다.
- Prisma Access 컴퓨팅 위치: Prisma Access와 함께 NCC 게이트웨이 통합을 배포할 컴퓨팅 위치를 선택합니다.
- 대역폭 (Mbps): 할당할 대역폭을 Mbps 단위로 선택합니다. 할당할 수 있는 최대값은 10000Mbps (10Gbps)입니다.
할당할 수 있는 최대값은 10,000Mbps (10Gbps)입니다.
완료되면 '저장'을 클릭합니다.
NCC Gateway의 SSE 인스턴스 구성 동기화
'Push Config'를 선택하여 NCC 게이트웨이 스포크에 파트너 SSE 인스턴스를 만듭니다.
'구성 푸시'를 클릭하고 '작업'을 선택하여 진행 상황을 모니터링합니다. 특정 작업의 모든 '결과'가 완료될 때까지 기다립니다.
완료되면 '완료'를 클릭합니다.
구성 > NGFW 및 Prisma Access > 구성 범위 > Prisma Access > 원격 네트워크 > 설정 > 관리형 Cloud WAN 연결로 이동하여 파트너 SSE 게이트웨이의 상태를 확인합니다.
Prisma Access는 관리형 Cloud WAN 연결의 BGP 구성을 자동으로 프로비저닝합니다.
6. NCC 게이트웨이를 통한 데이터 경로 확인
GCP Cloud Shell 콘솔로 전환
gcloud 명령어를 사용하여 게이트웨이 스포크에서 시작된 공지된 경로를 확인합니다.
gcloud beta network-connectivity spokes gateways advertised-routes list --region=us-central1
'vm1-vpc1-ncc'에 SSH로 연결하고 TCP 덤프를 시작하여 'vm2-vpc2-ncc'에서 ICMP 패킷을 추적합니다. 참고로 이 VM은 VPC2에 있습니다.
vm1-vpc1-ncc
sudo tcpdump -i any icmp -v -e -n
'vm1-vpc2-ncc'에 SSH 세션을 설정하고 'vm1-vpc1-ncc'의 IP 주소를 'ping'합니다.
vm1-vpc2-ncc
ping 10.1.1.2
출력:
vm1-vpc1-ncc에 아래 트레이스가 표시됩니다.
VM-1에서 온프레미스 HTTP 서버에 curl 명령어를 실행하여 온프레미스 연결 가능 여부 테스트
vm1-vpc1-ncc
curl 172.16.101.11 -vv
출력:
'vm1-vpc2-ncc**'** 에 SSH 세션을 설정하고 IP 주소 '1.1.1.1'을 'ping'합니다.
vm1-vpc2-ncc
ping 1.1.1.1
출력:
Prisma(Strata Cloud Manager)에서 허용해야 하므로 핑이 작동하지 않습니다. 사용 설정해 보겠습니다.
Strata Cloud Manager —-> Configuration —-> NGFW and Prisma Access로 이동하면 아래와 같이 표시됩니다.
왼쪽 상단에서 전역 드롭다운 메뉴를 누르고 '원격 네트워크'를 선택한 다음 '보안 서비스' 탭을 클릭하고 '보안 정책'을 선택합니다. 아래를 참고하세요.
오른쪽 상단에서 규칙 추가를 클릭하고 vm1-vpc2-ncc와 1.1.1.1 간의 icmp 트래픽을 허용하는 'icmp 허용' 규칙을 만든 후 오른쪽 상단에서 '구성 푸시'를 누릅니다.
작업을 확인하여 구성이 성공적으로 푸시되었는지 확인합니다. Push Config(구성 푸시) —-> Jobs(작업)를 클릭합니다.
작업이 완료되면 vm1-vpc2-ncc에서 다시 핑을 테스트합니다.
성공!!! 이 Codelab을 완료했습니다.
7. 실습 정리
VLAN 연결 삭제
gcloud compute interconnects attachments delete vl2024-ead1 \
--region=us-central1 \
--quiet
gcloud compute interconnects attachments delete vl3026-ead2 \
--region=us-central1 \
--quiet
NCC 게이트웨이 Cloud Router bgp 피어 및 bgp 인터페이스 삭제
gcloud compute routers remove-bgp-peer ncc-gw-usc1-cr \
--peer-name=bgp-vl2024-ead1 \
--region=us-central1
gcloud compute routers remove-interface ncc-gw-usc1-cr \
--interface-name=if-vl3026-ead2 \
--region=us-central1
ncc-gw-usc1-cr 및 ncc-gw-usc1-cr 삭제
gcloud compute routers delete ncc-gw-usc1-cr \
--region=us-central1 \
--quiet
게이트웨이 공지 경로 삭제
gcloud beta network-connectivity spokes gateways advertised-routes delete ncc-gw-usc1-cr \
--region=us-central1 \
--spoke=cl-ncc-gw-usw-sp \
NCC VPC 스포크 삭제
gcloud network-connectivity spokes delete vpc1-sp --global --quiet
gcloud network-connectivity spokes delete vpc2-sp --global --quiet
gcloud network-connectivity spokes delete vpc3-sp --global --quiet
ncc-gateway 스포크 삭제
gcloud network-connectivity spokes delete cl-ncc-gw-usc-sp --region=us-central1 \
--quiet
보안 액세스 영역 삭제
gcloud beta network-security secure-access-connect realms delete codelab-sac-realm --quie
t
NCC 허브 삭제
gcloud network-connectivity hubs delete ncc-hub --quiet
방화벽 규칙 삭제
gcloud compute firewall-rules delete ncc1-vpc-internal --quiet
gcloud compute firewall-rules delete ncc2-vpc-internal --quiet
gcloud compute firewall-rules delete ncc3-vpc-internal --quiet
gcloud compute firewall-rules delete ncc1-vpc-iap --quiet
gcloud compute firewall-rules delete ncc2-vpc-iap --quiet
gcloud compute firewall-rules delete ncc3-vpc-iap --quiet
GCE 인스턴스 삭제
gcloud compute instances delete vm1-vpc1-ncc --zone=us-central1-a --quiet
gcloud compute instances delete vm2-vpc2-ncc --zone=us-central1-a --quiet
gcloud compute instances delete vm1-vpc3-ncc --zone=us-east1-b --quiet
VPC 서브넷 삭제
gcloud compute networks subnets delete vpc1-ncc-subnet1 --region us-central1 --quiet
gcloud compute networks subnets delete vpc1-ncc-subnet2 --region us-central1 --quiet
gcloud compute networks subnets delete vpc1-ncc-subnet3 --region us-central1 --quiet
VPC 삭제
gcloud compute networks delete vpc1-ncc vpc2-ncc vpc3-ncc vpc4-ncc, vpc5-ncc --quiet
8. 축하합니다.
Network Connectivity Center 실습을 완료했습니다.
학습한 내용
- NCC 하이브리드 검사 토폴로지 구성
- NCC Gateway 스포크
- Google Cloud의 Palo Alto Network SSE 게이트웨이
- PANW: Strata Cloud Manager
다음 단계