Cloud/GCP

On-premise 환경에서 GCP의 Private Google Access(PGA) 사용하기 – DNS Forward 방안

달빛궁전- 2025. 3. 3. 18:03

 

목표 : 
PGA(Private Google Access)란 Google Cloud에서 Public 대역이 아닌 구글의 대역을 타고 통신을 할 수 있는 서비스입니다.
이는 크게 GCP VPC 내 Subnet에서 동작하는 GCP PGA가 있고, On-premise → GCP 통신시 사용할 수 있는 On-premise to PGA가 있습니다.
GCP PGA는 다음 포스팅에서 설명하도록 하고 이번 문서에서는 On-premise용 PGA 설정을 하기 위해 DNS설정을 변경하는 방안에 대해 알아보겠습니다.
 
전체구성도
 
환경
OS : ubuntu 24.10
CPU : Core 1
MEM : 512MB

On-premise 환경
내부 네트워크 대역 : 192.168.1.0/24
VPN Gateway : 192.168.1.80
DNS Server : 192.168.1.70
DNS SW : Bind9

GCP 환경
내부 네트워크 대역 : 192.168.10.0/24
VPN IP : 34.64.61.94
On-premise용 Private Google Access 대역 : 199.36.153.4/30, 199.36.153.8/30

 

On-premise PGA를 사용하는 방안은 총 3가지가 있습니다.
 
  1.  VPN을 통해 GCP를 사용할 서버, 클라이언트의 hosts 파일 변조
  2. 온프레미스 환경에서 private.googleapis.com 또는 restricted.googleapis.com을 사용하여 Google API를 사설 IP(199.36.153.8~11)로 접근하도록 설정을 구성
  3. On-premise DNS에서 GCP Cloud DNS로 *.googleapis.com에 대해서만 DNS Forward을 사용하기

    2, 3번 방안은 On-premise에서 PGA를 사용한다는 결과는 같습니다.
    다만 2번은 On-premise의 DNS에서 DNS처리가 이루어지는 점
    이번 문서의 3번 방안은 googleapis.com에 대한 DNS질의는 GCP Cloud zone으로 넘긴다는 차이가 있습니다.
    결국 어디에 더 관리포인트가 있는지의 차이 입니다.

    1,2 번방안은 지난번 작성된 글을 참고 부탁드립니다.
    https://seonggi.kr/256
    본 문서에서는 3번 방안에 대해 기술하겠습니다.
 

On-premise 환경에서 GCP의 Private Google Access(PGA) 사용하기 – DNS 설정 가이드

목표 : PGA란 Google Cloud에서 Public 대역이 아닌 구글의 대역을 타고 통신을 할 수 있는 서비스입니다. 이는 크게 GCP VPC 내 Subnet에서 동작하는 GCP PGA가 있고, On-premise → GCP 통신시 사용할 수 있는 On-p

seonggi.kr

 

 
  1. On-Premise DNS Server 설정 (Bind9 기준)
    설치 부분은 위 1,2 번 방안의 글을 참고 부탁드립니다.
    sudo vi /etc/bind/named.conf.local

    다음 내용을 추가 합니다.
    googleapis.com에 대한 것은 모두 설정한 DNS 로 질의하는 설정입니다.
    zone "googleapis.com" {

 type forward;
 forwarders { GCP Cloud DNS IP; };

};
     
    BIND9 설정 테스트 및 적용
    아래의 명령어로 위에 설정한 부분이 정상적인지 확인합니다.

    sudo named-checkconf

    BIND(DNS)를 재기동하여 변경사항을 적용시킵니다.
    sudo systemctl restart bind9
sudo systemctl status bind9
     
  2. Cloud DNS 설정

    사전에 On-premise와 VPN으로 연결 후 진행입니다.

    Console → 네트워크 서비스 → Cloud DNS로 이동
    “DNS 서버 정책" 탭을 선택하고 정책을 만듭니다.



    이름과 설명은 다른 사람들이 보아도 구분할 수 있도록 명확히 설정해 줍니다.
    “인바운드 쿼리 전달” : 외부에서 DNS 질의가 올 때 응답해준다는 뜻이며 이를 사용으로 변경합니다.

    정책이 생성되면, 세부정보로 들어간 후 “다음에서 사용 중"탭에서 네트워크를 추가합니다.
    On-premise와 VPN으로 연결된 GCP VPC를 선택합니다.


    네트워크가 추가되면, VPC내부에 DNS응답을 줄 수 있는 IP가 생성됩니다.
    해당 IP를 On-premise DNS서버의 /etc/bind/named.conf.local 파일에 Forward IP에 입력해 줍니다.



    Cloud DNS에서 googleapis.com 영역 만들기
    DNS질의에 응답해줄 서버가 생겼지만, 안에 내용은 비어있습니다.
    Cloud DNS에서 영역탭을 선택하고 영역을 만듭니다.

    영역이름은 누구나 확인이 가능하도록 설정하며
    DNS이름은 googleapis.com. 으로 설정합니다.




    “다음에서 사용 중” 탭을 선택하고 생성한 DNS를 사용할 프로젝트와 VPC를 선택합니다. 

    이제 DNS Zone영역에 내용을 채울 차례입니다.

    private.googleapis.com 및 restricted.googleapis.com 의 상세 차이점은 아래 Docs를 참고 부탁드립니다.
    https://cloud.google.com/vpc/docs/configure-private-google-access-hybrid?hl=ko#config-choose-domain
    간략하게 VPC 서비스 제어를 지원하는 Google API와 서비스로만 사용자를 제한해야된다면 restricted.googleapis.com 를 사용하며, VPC 서비스 제어를 사용안한다면 private.googleapis.com를 사용해도 무방합니다.
    VPC서비스 제어에 대해 더 알고싶으시면 아래 포스팅 참조부탁드립니다.
    https://seonggi.kr/231

    본 문서에서는 restricted.googleapis.com를 사용하였습니다.


    DNS이름 유형 데이터
    *.googleapis.com. CNAME restricted.googleapis.com
    restricted.googleapis.com A 199.36.153.4~7
  3. 정상동작 테스트

    nslookup, dig를 사용하여 테스트를 진행합니다.
    On-premise DNS서버는 “192.168.1.70” 입니다.
    아래 화면처럼 “test.googleapis.com” 질의시 CNAME에 설정된 “restricted.googleapis.com” 가 호출되며 해당 A레코드에 설정한대로 199.36.153.4~7 IP 값을 돌려줍니다.


    이제 On-premise PGA 설정이 완료 되었습니다.
    간단히 직접 테스트를 진행해보겠습니다.

    gcloud storage cp ”복사할파일" gs://cloudstorage명


    온프레미스에 있는 “192.168.1.161”서버에서 auth.log를 log-bucket-test-0211 버켓에 업로드를 성공했습니다.

    GCP Console → Cloud Logging으로 이동합니다.


    IP가 On-premise 내부 IP인 "192.168.1.161"로 auth.log를 업로드 성공했음을 GCP Console에서 확인할 수 있습니다.
 

[GCP / Security] - VPC 서비스 제어

목적 : 온프레미스는 물리적으로 분리된 환경에 있다보니 허가된 사용자와 장소에서만 접근이 가능하지만, Public Cloud GCP는 공개된 특성상 기본적으로 Console에는 모두 다 접근이 가능합니다.개인

seonggi.kr

 

 

온프레미스 호스트용 비공개 Google 액세스 구성  |  VPC  |  Google Cloud

의견 보내기 컬렉션을 사용해 정리하기 내 환경설정을 기준으로 콘텐츠를 저장하고 분류하세요. 온프레미스 호스트용 비공개 Google 액세스 구성 온프레미스 호스트의 비공개 Google 액세스는 온

cloud.google.com

 
 
저작자표시 비영리 변경금지

'Cloud > GCP' 카테고리의 다른 글

On-premise 환경에서 GCP의 Private Google Access(PGA) 사용하기 – DNS 설정 가이드  (0) 2025.02.26
[GCP] Cloud Site to Site VPN을 위한 strongswan(openvpn), Cloud VPN 설정방안  (4) 2025.02.25
GCE, GCS, Bigquery Audit Log 확인  (0) 2025.02.18
[GCP] 2단계(MFA) 인증을 조직 단위로 설정하기  (0) 2025.02.09
GCP to AWS HA VPN구성  (0) 2025.02.03
[GCP] No-ORG → ORG(조직 도메인) 이전  (0) 2025.01.31
[GCP] 프로젝트간 VM Image 공유  (0) 2025.01.10

'Cloud/GCP'의 다른글

  • 현재글On-premise 환경에서 GCP의 Private Google Access(PGA) 사용하기 – DNS Forward 방안

관련글

댓글

티스토리툴바