Google Kubernetes Engine(GKE) Enterprise 버전은 Google Cloud 애플리케이션 현대화 플랫폼입니다. 이 플랫폼은 Kubernetes를 기반으로 하며 (VMware 및 베어메탈 서버 모두에서) Google Distributed Cloud를 사용해 Google Cloud, 기타 클라우드, 온프레미스에 배포할 수 있습니다. GKE Enterprise 관리형 클러스터는 온프레미스에서 실행되더라도 모니터링 및 관리 등의 많은 이유로 Google Cloud에 영구적으로 연결되도록 설계되어 있습니다. 하지만 기술적인 이유나 다른 어떤 이유로든 Google Cloud 연결이 끊어졌을 때는 어떤 일이 발생하는지 알아야 할 필요가 있습니다. 이 문서에서는 (베어메탈용 또는 VMware용) Google Distributed Cloud 소프트웨어 전용 배포에서 클러스터의 연결이 끊어졌을 때 발생하는 영향과 이럴 때 사용할 수 있는 해결 방법을 알려줍니다.
이 문서는 Google Cloud에서 계획되지 않은 또는 어쩔 수 없는 연결 해제 상황을 준비하고 그 결과를 알고 있어야 하는 설계자들에게 유용한 정보를 제공합니다. 하지만 일반적인 작동 모드에서는 Google Cloud에서 연결이 끊어진 상태로 소프트웨어 전용 Google Distributed Cloud 배포를 사용하지 않아야 합니다. GKE Enterprise는 Google Cloud 서비스의 확장성과 가용성을 활용하도록 설계되었습니다. 이 문서에서는 일시적인 중단 상황에서 여러 GKE Enterprise 구성요소의 설계 및 아키텍처에 관한 정보를 제공합니다. 모든 상황에 대한 설명이 이 문서에 포함된 것은 아닙니다.
이 문서에서는 사용자가 GKE Enterprise에 익숙하다고 가정합니다. 그렇지 않다면 GKE Enterprise 기술 개요를 읽어보는 것이 좋습니다.
GKE Enterprise 라이선스 검증 및 측정
GKE Enterprise를 사용 설정하여 Anthos API(anthos.googleapis.com)가 Google Cloud 프로젝트에 사용 설정된 경우 클러스터에서 실행되는 GKE Enterprise 측정 컨트롤러는 GKE Enterprise 사용 권한을 생성하고 주기적으로 새로고침합니다. 연결 해제 허용 한도는 12시간입니다. 또한 측정 및 청구는 연결을 통해 관리됩니다.
이 표에서는 Google Cloud 연결이 일시적으로 해제되었을 때 라이선스 및 측정과 관련된 기능의 동작을 보여줍니다.
기능 | 연결 상태 동작 | 일시적인 연결 해제 상태 동작 | 최대 연결 해제 허용 한도 | 연결 손실 문제 해결 방법 |
---|---|---|---|---|
GKE Enterprise 라이선스 검증 | GKE Enterprise 측정 컨트롤러는 anthos.googleapis.com이 Google Cloud 프로젝트에 사용 설정되어 있는 한 GKE Enterprise 사용 권한 커스텀 리소스를 생성하고 주기적으로 새로고침합니다. | 사용 설정 커스텀 리소스를 사용하는 구성요소는 유예 기간을 지원합니다. 따라서 유예 기간 내에 사용 설정 커스텀 리소스가 새로고침되는 한 계속 작동합니다. | 현재까지 무제한. 유예 기간이 만료되면 구성요소에서 오류 로깅이 시작됩니다. 클러스터를 더 이상 업그레이드할 수 없습니다. | 없음 |
측정 및 결제 | GKE Enterprise 측정 컨트롤러는 결제 목적으로 클러스터의 vCPU 용량을 Google Cloud Service Control API에 보고합니다. | 연결 해제 시 클러스터 내 에이전트가 결제 레코드를 보관합니다. 클러스터가 Google Cloud에 다시 연결되면 레코드를 다시 불러옵니다. | 무제한. 하지만 GKE Enterprise 측정 정보는 "프리미엄 소프트웨어"에 대한 서비스별 약관에 설명된 대로 규정 준수를 위해 필요합니다. | 없음 |
클러스터 수명 주기
이 섹션에서는 클러스터 만들기, 업데이트, 삭제, 크기 조정은 물론 이러한 활동의 상태 모니터링과 같은 시나리오에 대해 설명합니다.
대부분의 경우 bmctl
, gkectl
, kubectl
과 같은 CLI 도구를 사용해서 일시적인 연결 해제 기간 동안 작업을 수행할 수 있습니다. 또한 이러한 도구를 사용해서 해당 작업의 상태를 모니터링할 수 있습니다. 다시 연결되면 연결 해제 기간 동안 수행된 작업 결과를 표시하기 위해 Google Cloud 콘솔이 업데이트됩니다.
작업 | 연결 상태 동작 | 일시적인 연결 해제 상태 동작 | 최대 연결 해제 허용 한도 | 연결 손실 문제 해결 방법 |
---|---|---|---|---|
클러스터 만들기 | bmctl 또는 gkectl CLI 도구를 사용해서 클러스터를 만듭니다. 이 작업을 수행하려면 Google Cloud 연결이 필요합니다. |
클러스터를 만들 수 없습니다. | 0 | 없음 |
클러스터 업그레이드 | bmctl 또는 gkectl CLI 도구를 사용하여 클러스터를 업그레이드합니다. 이 작업을 수행하려면 Google Cloud 연결이 필요합니다. |
클러스터를 업그레이드할 수 없습니다. | 0 | 없음 |
클러스터 삭제 | bmctl 또는 gkectl CLI 도구를 사용하여 클러스터를 삭제합니다. 이 작업에는 Google Cloud 연결이 필요하지 않습니다. |
클러스터를 삭제할 수 있습니다. | 무제한 | - |
클러스터 상태 보기 | Google Cloud 콘솔의 Google Kubernetes Engine 클러스터 목록에서 클러스터 정보를 확인할 수 있습니다. | 클러스터 정보는 Google Cloud 콘솔에 표시되지 않습니다. | 무제한 | kubectl 을 사용하여 클러스터를 직접 쿼리하고 필요한 정보를 가져옵니다. |
클러스터에서 노드 삭제 | 클러스터에서 노드를 삭제할 때는 Google Cloud 연결이 필요하지 않습니다. | 클러스터에서 노드를 삭제할 수 있습니다. | 무제한 | - |
클러스터에 노드 추가 | 새 노드는 올바른 작동을 위해 Container Registry에서 컨테이너 이미지를 가져옵니다. Google Cloud 연결을 검증하기 위해 실행 전 검사가 수행됩니다. | 새 노드를 추가할 때 실행되는 실행 전 검사로 Google Cloud 연결 상태가 검증됩니다. 따라서 연결 해제된 상태에서는 클러스터에 새 노드를 추가할 수 없습니다. | 0 | 없음 |
애플리케이션 수명 주기
Google Cloud 연결이 일시적으로 해제되더라도 온프레미스 클러스터에서 실행되는 애플리케이션 관리는 대부분의 경우 영향을 받지 않습니다. Connect 게이트웨이만 영향을 받습니다. Google Cloud에서 컨테이너 이미지 또는 CI/CD 파이프라인 관리를 위해 Container Registry, Artifact Registry, Cloud Build, Cloud Deploy를 사용하는 경우에는 연결 해제되었을 때 이를 더 이상 사용할 수 없습니다. 이러한 제품을 사용할 때의 연결 해제로 인한 문제 해결에 관한 내용은 이 문서에서 다루지 않습니다.
작업 | 연결 상태 동작 | 일시적인 연결 해제 상태 동작 | 최대 연결 해제 허용 한도 | 연결 손실 문제 해결 방법 |
---|---|---|---|---|
애플리케이션 배포 | kubectl , CI/CD 도구, Connect 게이트웨이를 사용해서 로컬로 수행됩니다. |
Connect 게이트웨이를 사용할 수 없습니다. 다른 배포 방법의 경우에는 Kubernetes API에 직접 연결되어 있는 한 계속 작동합니다. | 무제한 | Connect 게이트웨이를 사용하는 경우 kubectl 로컬 사용으로 전환합니다. |
애플리케이션 삭제 | kubectl , CI/CD 도구, Connect 게이트웨이를 사용해서 로컬로 수행됩니다. |
Connect 게이트웨이를 사용할 수 없습니다. 다른 배포 방법의 경우에는 Kubernetes API에 직접 연결되어 있는 한 계속 작동합니다. | 무제한 | Connect 게이트웨이를 사용하는 경우 kubectl 로컬 사용으로 전환합니다. |
애플리케이션 수평 확장 | kubectl , CI/CD 도구, Connect 게이트웨이를 사용해서 로컬로 수행됩니다. |
Connect 게이트웨이를 사용할 수 없습니다. 다른 배포 방법의 경우에는 Kubernetes API에 직접 연결되어 있는 한 계속 작동합니다. | 무제한 | Connect 게이트웨이를 사용하는 경우 kubectl 로컬 사용으로 전환합니다. |
로그 기록 및 모니터링
조직은 감사 기능을 통해 규제 요구사항 및 규정 준수 정책을 충족시킬 수 있습니다. GKE Enterprise는 애플리케이션 로깅, Kubernetes 로깅, 감사 로깅을 제공하여 감사 기능을 지원합니다. 많은 고객들이 로깅 및 모니터링 인프라 온프렘 관리를 피하기 위해 Google의 Cloud Logging 및 Cloud Monitoring을 활용하고 있습니다. 일부 고객은 집계를 위해 로그를 온프렘 시스템으로 중앙화하길 원합니다. 이러한 고객을 지원하기 위해 GKE Enterprise는 Prometheus, Elastic, Splunk, Datadog과 같은 서비스에 직접 통합 기능을 제공합니다. 이 모드에서는 Google Cloud에서 일시적으로 연결이 해제되더라도 로깅 또는 모니터링 기능에 영향을 주지 않습니다.
기능 | 연결 상태 동작 | 일시적인 연결 해제 상태 동작 | 최대 연결 해제 허용 한도 | 연결 손실 문제 해결 방법 |
---|---|---|---|---|
Cloud Logging을 사용한 애플리케이션 로깅 | 로그가 Cloud Logging에 기록됩니다. | 로그가 로컬 디스크에 버퍼링됩니다. | 노드당 4.5h 또는 4GiB 로컬 버퍼. 버퍼가 채워지거나 연결 해제가 4.5시간 동안 지속되면 가장 오래된 항목이 삭제됩니다. | 로컬 로깅 솔루션을 사용합니다. |
Cloud Logging을 사용한 시스템/Kubernetes 로깅 | 로그가 Cloud Logging에 기록됩니다. | 로그가 로컬 디스크에 버퍼링됩니다. | 노드당 4.5h 또는 4GiB 로컬 버퍼. 버퍼가 채워지거나 연결 해제가 4.5시간 동안 지속되면 가장 오래된 항목이 삭제됩니다. | 로컬 로깅 솔루션을 사용합니다. |
Cloud 감사 로그를 사용한 감사 로깅 | 로그가 Cloud Logging에 기록됩니다. | 로그가 로컬 디스크에 버퍼링됩니다. | 제어 영역 노드당 10GiB 로컬 버퍼. 버퍼가 채워지면 가장 오래된 항목이 삭제됩니다. | 로그 전달을 로컬 로깅 솔루션으로 설정합니다. |
다른 제공업체를 사용한 애플리케이션 로깅 | Elastic, Splunk, Datadog, Loki와 같은 여러 타사 제공업체를 사용할 수 있습니다. | 영향 없음 | 무제한 | - |
다른 제공업체를 사용한 시스템/Kubernetes 로깅 | Elastic, Splunk, Datadog과 같은 여러 타사 제공업체를 사용할 수 있습니다. | 영향 없음 | 무제한 | - |
Cloud Monitoring에 기록된 애플리케이션 및 Kubernetes 측정항목 | 측정항목이 Cloud Monitoring에 기록됩니다. | 측정항목이 로컬 디스크에 버퍼링됩니다. | 시스템 측정항목의 경우 노드당 24h 또는 6GiB 로컬 버퍼 및 애플리케이션 측정항목의 경우 노드당 1GiB 로컬 버퍼. 버퍼가 채워지거나 연결 해제가 24시간 지속되면 가장 오래된 항목이 삭제됩니다. | 로컬 모니터링 솔루션을 사용합니다. |
Kubernetes 및 애플리케이션 워크로드에서 모니터링 데이터 액세스 및 읽기 | 모든 측정항목은 Google Cloud 콘솔 및 Cloud Monitoring API를 통해 제공됩니다. | 연결이 해제된 동안에는 측정항목이 Cloud Monitoring에서 업데이트되지 않습니다. | 시스템 측정항목의 경우 노드당 24h 또는 6GiB 로컬 버퍼 및 애플리케이션 측정항목의 경우 노드당 1GiB 로컬 버퍼. 버퍼가 채워지거나 연결 해제가 24시간 지속되면 가장 오래된 항목이 삭제됩니다. | 로컬 모니터링 솔루션을 사용합니다. |
알림 규칙 및 측정항목 페이징 | Cloud Monitoring은 알림을 지원합니다. 모든 측정항목에 대해 알림을 만들 수 있습니다. 다른 여러 채널을 통해 알림을 전송할 수 있습니다. | 연결 해제된 동안 알림이 트리거되지 않습니다. 알림은 Cloud Monitoring에 이미 전송된 측정항목 데이터에서만 트리거됩니다. | 로컬 모니터링 및 알림 솔루션을 사용합니다. |
구성 및 정책 관리
구성 동기화 및 정책 컨트롤러를 사용하면 모든 클러스터 간에 규모에 맞게 구성 및 정책을 관리할 수 있습니다. Git 저장소에 구성 및 정책을 저장하면 클러스터에 자동으로 동기화됩니다.
구성 동기화
구성 동기화는 클러스터 내 에이전트를 사용해서 Git 저장소에 직접 연결합니다. gcloud
또는 kubectl
도구를 사용하여 저장소 URL 또는 동기화 매개변수에 대한 변경사항을 관리할 수 있습니다.
일시적으로 연결이 해제되어도 클러스터 내 에이전트가 Git 저장소에 계속 연결할 수 있으면 동기화에 영향을 주지 않습니다. 그러나 Google Cloud CLI 또는 Google Cloud 콘솔을 사용해서 동기화 매개변수를 변경한 경우에는 연결 해제 기간 동안 클러스터에 적용되지 않습니다. 이러한 설정은 kubectl
을 사용해서 로컬로 일시적으로 덮어쓸 수 있습니다. 모든 로컬 변경사항은 다시 연결할 때 덮어써집니다.
정책 컨트롤러
정책 컨트롤러를 사용하면 클러스터에 완전히 프로그래밍 가능한 정책을 적용할 수 있습니다. 이러한 정책은 '가드레일' 역할을 수행하며 사용자가 정의한 보안, 운영, 규정 준수 기준을 위반하는 모든 변경사항을 방지합니다.
작업 | 연결 상태 동작 | 일시적인 연결 해제 상태 동작 | 최대 연결 해제 허용 한도 | 연결 손실 문제 해결 방법 |
---|---|---|---|---|
Git 저장소에서 구성 동기화 | 클러스터 내 에이전트가 Git 저장소에 직접 연결합니다. Google Cloud API를 사용해서 저장소 URL 또는 동기화 매개변수를 변경할 수 있습니다. | 구성 동기화는 영향을 받지 않습니다. gcloud 또는 Google Cloud 콘솔을 사용해서 동기화 매개변수를 변경한 경우에는 연결 해제 기간 동안 클러스터에 적용되지 않습니다. 이러한 설정은 kubectl 을 사용해서 로컬로 일시적으로 덮어쓸 수 있습니다. 모든 로컬 변경사항은 다시 연결할 때 덮어써집니다. |
무제한 | 구성 동기화를 위해 Fleet API를 사용하지 않고, Kubernetes API만 사용하여 구성합니다. |
요청에 따라 Kubernetes API에 정책 적용 | Kubernetes API와의 통합 덕분에 클러스터 내 에이전트가 제약조건을 적용합니다. 로컬 Kubernetes API를 사용하여 정책을 관리합니다. Google Cloud API를 사용해서 정책 컨트롤러의 시스템 구성을 관리합니다. | 정책 적용은 영향을 받지 않습니다. 정책은 로컬 Kubernetes API를 사용해서 계속 관리됩니다. Google Cloud API를 사용하는 정책 컨트롤러 시스템 구성에 대한 변경사항이 클러스터에 전파되지는 않지만, 이를 일시적으로 로컬로 덮어쓸 수 있습니다. 모든 로컬 변경사항은 다시 연결할 때 덮어써집니다. | 무제한 | 정책 컨트롤러에 Fleet API를 사용하지 않고, Kubernetes API만 사용하여 구성합니다. |
Google Cloud API를 사용해서 구성 동기화 설치, 구성, 업그레이드 | Google Cloud API를 사용하여 클러스터 내 에이전트의 설치 및 업그레이드를 관리합니다. 또한 이 API(또는 gcloud 또는 Google Cloud 콘솔)을 사용해서 이러한 에이전트의 구성을 관리합니다. | 클러스터 내 에이전트는 계속 정상적으로 작동합니다. Google Cloud API를 사용해서는 클러스터 내 에이전트를 설치, 업그레이드, 구성할 수 없습니다. API를 사용하여 수행 중인 보류된 설치, 업그레이드, 구성은 다시 연결되었을 때 계속됩니다. | 0 | 정책 컨트롤러에 Fleet API를 사용하지 않고, Kubernetes API만 사용하여 구성합니다. |
Google Cloud 콘솔에서 시스템 또는 동기화 상태 보기 | Google Cloud API 또는 Google Cloud 콘솔을 사용하여 클러스터 내 에이전트 상태 및 동기화 상태를 확인할 수 있습니다. | Google Cloud API 또는 Google Cloud 콘솔의 상태 정보가 비활성이 됩니다. API에 연결 오류가 표시됩니다. 모든 정보는 로컬 Kubernetes API를 사용하여 클러스터별 기준으로 계속 제공됩니다. | 0 | nomos CLI 또는 로컬 Kubernetes API를 사용합니다. |
보안
ID, 인증, 승인
GKE Enterprise는 애플리케이션 및 사용자 역할에 대해 Cloud ID에 직접 연결하여 Connect를 사용하여 워크로드를 관리할 수 있고, 엔드포인트 인증의 경우에는 OIDC를 사용할 수 있습니다. Google Cloud에서 연결이 해제되면 Cloud ID에 대한 연결도 영향을 받으며, 해당 기능이 더 이상 제공되지 않습니다. 일시적인 연결 해제 기간 중에도 추가적인 복원력이 필요한 워크로드의 경우에는 GKE Identity Service를 사용해서 LDAP 또는 OIDC 제공업체(ADFS 포함)와 통합하여 최종 사용자 인증을 구성할 수 있습니다.
기능 | 연결 상태 동작 | 일시적인 연결 해제 상태 동작 | 최대 연결 해제 허용 한도 | 연결 손실 문제 해결 방법 |
---|---|---|---|---|
Connect 게이트웨이를 사용하여 Cloud ID를 ID 공급업체로 사용 | Cloud ID를 ID 공급업체로 사용해서 GKE Enterprise 리소스에 액세스하고, Connect 게이트웨이를 통해 연결할 수 있습니다. | Connect 게이트웨이에는 Google Cloud 연결이 필요합니다. 연결 해제 기간 중에는 클러스터에 연결할 수 없습니다. | 0 | GKE Identity Service를 사용하여 다른 ID 공급업체와 통합합니다. |
타사 ID 공급업체를 사용하여 ID 및 인증 사용 | OIDC 및 LDAP를 지원합니다. 처음 로그인할 때 gcloud CLI를 사용합니다. OIDC 제공업체의 경우 Google Cloud 콘솔을 사용하여 로그인할 수 있습니다. 그런 후 클러스터 API로 일반적으로 인증을 수행할 수 있습니다(예: kubectl 사용). |
ID 공급업체가 사용자 및 클러스터에 연결할 수 있는 한 클러스터 API로 계속 인증을 수행할 수 있습니다. Google Cloud 콘솔을 통해서는 로그인할 수 없습니다. 클러스터의 OIDC 또는 LDAP 구성만 로컬로 업데이트할 수 있고, Google Cloud 콘솔은 사용할 수 없습니다. | 무제한 | - |
승인 | GKE Enterprise는 역할 기반 액세스 제어(RBAC)를 지원합니다. 역할은 사용자, 그룹, 서비스 계정에 적용될 수 있습니다. 사용자 ID 및 그룹을 ID 공급업체에서 검색할 수 있습니다. | RBAC 시스템은 Kubernetes 클러스터에 한정되며 Google Cloud 연결 해제의 영향을 받지 않습니다. 하지만 Cloud ID에서 수신되는 ID가 사용될 경우 연결 해제 기간 동안 사용할 수 없습니다. | 무제한 | - |
보안 비밀 및 키 관리
보안 비밀 및 키 관리는 보안 상황에서 중요한 부분입니다. Google Cloud 연결이 해제되었을 때 GKE Enterprise의 동작은 해당 기능에 사용 중인 서비스가 무엇인지에 따라 달라집니다.
기능 | 연결 상태 동작 | 일시적인 연결 해제 상태 동작 | 최대 연결 해제 허용 한도 | 연결 손실 문제 해결 방법 |
---|---|---|---|---|
Cloud Key Management Service 및 Secret Manager를 사용한 보안 비밀 및 키 관리 | Cloud Key Management Service를 사용하여 암호화 키를 관리하고 Secret Manager를 사용하여 보안 비밀을 관리합니다. | Cloud Key Management Service 및 Secret Manager 모두 사용할 수 없습니다. | 0 | 대신 로컬 시스템을 사용합니다. |
Hashicorp Vault 및 Google Cloud 서비스를 사용한 보안 비밀 및 키 관리 | Cloud Storage 또는 Spanner를 사용해서 보안 비밀을 저장하고 Cloud Key Management Service를 사용해서 키를 관리하도록 Hashicorp Vault를 구성합니다. | Hashicorp Vault가 Anthos 클러스터에서 실행되고 연결 해제로 영향을 받는 경우에는 연결 해제 기간 동안 보안 비밀 스토리지 및 키 관리를 사용할 수 없습니다. | 0 | 대신 로컬 시스템을 사용합니다. |
Hashicorp Vault 및 온프레미스 서비스를 사용한 보안 비밀 및 키 관리 | 보안 비밀을 위해 온프레미스 스토리지 백엔드를 사용하고 온프레미스 키 관리 시스템(예: 하드웨어 보안 모듈)을 사용하도록 Hashicorp Vault를 구성합니다. | Google Cloud 연결 해제는 영향을 주지 않습니다. | 무제한 | - |
네트워킹 및 네트워크 서비스
부하 분산
온프레미스 클러스터에서 호스팅되는 Kubernetes 서비스를 사용자에게 노출할 때는 제공된 번들 부하 분산기(베어메탈용 MetalLB, VMware용 Seesaw 또는 MetalLB) 또는 GKE Enterprise 외부의 부하 분산기를 사용하도록 선택할 수 있습니다. 두 옵션 모두 Google Cloud 연결이 해제되었을 때 계속 작동합니다.
기능 | 연결 상태 동작 | 일시적인 연결 해제 상태 동작 | 최대 연결 해제 허용 한도 | 연결 손실 문제 해결 방법 |
---|---|---|---|---|
L4 번들 부하 분산기 | Google Cloud API 또는 네트워크에 대한 종속 항목 없이 완전히 로컬로 L4 부하 분산을 제공합니다. | 변경사항 없음 | 무제한 | - |
수동 또는 통합 부하 분산기 | 온프레미스에도 호스팅되는 F5 BIG-IP 및 기타 부하 분산기를 지원합니다. | 변경사항 없음 | 무제한 | - |
Cloud Service Mesh
Cloud Service Mesh를 사용하여 온프레미스 클러스터에서 실행되는 서비스 간 통신을 관리, 관측, 보호할 수 있습니다. Google Distributed Cloud에서 Cloud Service Mesh 기능이 모두 지원되지는 않습니다. 자세한 내용은 지원되는 기능 목록을 참조하세요.
기능 | 연결 상태 동작 | 일시적인 연결 해제 상태 동작 | 최대 연결 해제 허용 한도 | 연결 손실 문제 해결 방법 |
---|---|---|---|---|
정책 배포 또는 업데이트(라우팅, 승인, 보안, 감사 등) | Google Cloud 콘솔, kubectl , asmcli 또는 istioctl 을 사용하여 Cloud Service Mesh 정책을 관리할 수 있습니다. |
kubectl 또는 istioctl 만 사용하여 Cloud Service Mesh 정책을 관리할 수 있습니다. |
무제한 | kubectl 또는 istioctl 을 사용합니다. |
인증 기관(CA) | 클러스터 내 CA 또는 Cloud Service Mesh 인증 기관을 사용해서 Cloud Service Mesh에 사용되는 인증서를 관리할 수 있습니다. | 클러스터 내 CA를 사용하는 경우에는 영향이 없습니다. Cloud Service Mesh 인증 기관을 사용하는 경우에는 인증서가 24시간 후 만료됩니다. 새 서비스 인스턴스가 인증서를 검색할 수 없습니다. |
클러스터 CA의 경우 제한이 없습니다. 24시간 동안 서비스 성능이 저하되고, Cloud Service Mesh 인증 기관의 경우 24시간 후 서비스가 제공되지 않습니다. |
클러스터 내 CA를 사용합니다. |
Cloud Service Mesh용 Cloud Monitoring | Cloud Monitoring을 사용하여 Cloud Service Mesh에서 수신되는 HTTP 관련 측정항목을 저장, 탐색, 사용할 수 있습니다. | 측정항목은 저장되지 않습니다. | 0 | Prometheus와 같은 호환 가능한 로컬 모니터링 솔루션을 사용합니다. |
Cloud Service Mesh 감사 로깅 | Cloud Service Mesh에는 로컬 Kubernetes 로깅 기능이 사용됩니다. 이 동작은 GKE Enterprise 클러스터에서 로깅을 구성한 방법에 따라 달라집니다. | GKE Enterprise 클러스터의 로깅 구성 방법에 따라 달라집니다. | - | - |
인그레스 게이트웨이 | Istio 인그레스 게이트웨이로 외부 IP를 정의할 수 있습니다. | 영향 없음 | 무제한 | - |
Istio 컨테이너 네트워크 인터페이스(CNI) | iptable 대신 Istio CNI를 사용해서 트래픽을 관리하도록 Cloud Service Mesh를 구성할 수 있습니다. | 영향 없음 | 무제한 | - |
웹 애플리케이션을 위한 Cloud Service Mesh 최종 사용자 인증 | Cloud Service Mesh 인그레스 게이트웨이를 사용해서 메시에 포함된 웹 애플리케이션에서 최종 사용자 인증 및 승인을 수행하도록 사용자의 고유 ID 공급업체와 통합(OIDC 사용)할 수 있습니다. | 영향 없음 | 무제한 | - |
기타 네트워크 서비스
기능 | 연결 상태 동작 | 일시적인 연결 해제 상태 동작 | 최대 연결 해제 허용 한도 | 연결 손실 문제 해결 방법 |
---|---|---|---|---|
DNS | Kubernetes DNS 서버는 클러스터 내에서 실행됩니다. | Kubernetes DNS 서비스는 클러스터 자체 내부에서 실행될 때와 같이 정상적으로 작동합니다. | 무제한 | - |
이그레스 프록시 | 이그레스 연결에 프록시를 사용하도록 GKE Enterprise를 구성할 수 있습니다. | 프록시가 온프레미스에서 실행될 경우에는 일시적인 연결 해제 기간 중에도 GKE Enterprise가 계속 이를 사용할 수 있습니다. 하지만 프록시가 Google Cloud에서 연결 해제되면 이 문서에 설명된 모든 시나리오가 적용됩니다. | 무제한 | - |
Google Cloud Marketplace
기능 | 연결 상태 동작 | 일시적인 연결 해제 상태 동작 | 최대 연결 해제 허용 한도 | 연결 손실 문제 해결 방법 |
---|---|---|---|---|
Cloud Marketplace의 애플리케이션 및 서비스 배포 및 관리 | Cloud Marketplace는 Google Cloud 콘솔에서 사용할 수 있으며 이를 통해 솔루션을 검색, 획득, 배포할 수 있습니다. | Cloud Marketplace를 사용할 수 없습니다. Cloud Marketplace의 일부 솔루션에는 여기에 설명되지 않은 자체적인 연결 요구사항이 포함될 수 있습니다. | 0 | 없음 |
지원
이 섹션에서는 GDC 기반 GKE 클러스터 관련 사례에 대해 Google Cloud 지원팀 또는 운영 파트너와 상호 작용할 때 경험할 수 있는 시나리오에 대해 설명합니다.
기능 | 연결 상태 동작 | 일시적인 연결 해제 상태 동작 | 최대 연결 해제 허용 한도 | 연결 손실 문제 해결 방법 |
---|---|---|---|---|
지원팀과 클러스터 스냅샷 공유 | bmctl check cluster 또는 gkectl diagnose snapshot 명령어를 사용하여 클러스터 스냅샷을 로컬로 만들 수 있습니다. 일반 지원 절차에 따라 이 스냅샷을 공유합니다. |
로컬 작업이므로 여전히 스냅샷을 생성할 수 있습니다. Google Cloud 및 해당 지원 웹 인터페이스에 액세스할 수 없으면 고급 또는 프리미엄 지원 요금제에 가입된 경우 지원팀에 전화로 연락할 수 있습니다. | 무제한 | - |
지원팀과 관련 로그 데이터 공유 | 클러스터에서 로컬로 로그를 수집하고 일반 지원 절차에 따라 이를 공유할 수 있습니다. | 여전히 클러스터에서 로그를 수집할 수 있습니다. Google Cloud 및 해당 지원 웹 인터페이스에 액세스할 수 없으면 고급 또는 프리미엄 지원 요금제에 가입된 경우 지원팀에 전화로 연락할 수 있습니다. | 무제한 | - |