GKE Enterprise(Anthos) 기술 개요

GKE Enterprise는 어디서나 최신 앱을 규모에 맞게 일관적으로 실행할 수 있는 Google의 클라우드 중심 컨테이너 플랫폼입니다. 이 가이드에서는 GKE Enterprise의 작동 방식과 GKE Enterprise가 관리 가능하고 확장 가능하며 안정적인 애플리케이션을 제공하는 데 어떻게 도움이 되는지 간략하게 설명합니다.

GKE Enterprise를 사용해야 하는 이유

일반적으로 조직은 컨테이너, 컨테이너 조정, 서비스 메시와 같은 클라우드 네이티브 기술을 사용하므로 단일 클러스터 실행으로는 더 이상 충분하지 않을 수 있습니다. 조직에서 기술 및 비즈니스 목표를 달성하기 위해 여러 클러스터를 배포하는 이유는 프로덕션 환경과 비프로덕션 환경, 다양한 규제 제한사항을 분리하거나 계층, 언어, 팀별로 서비스를 분리하는 등 다양합니다. 하지만 클러스터를 여러 개 사용하는 경우 각자 일관된 구성, 보안, 관리 측면의 어려움과 오버헤드가 발생합니다. 예를 들어 한 번에 하나의 클러스터를 수동으로 구성하면 중단 위험이 있으므로 오류가 발생하는 위치를 정확히 파악하기 어려울 수 있습니다.

클러스터가 모두 한 곳에 없으면 상황이 더 복잡해지고 비용이 증가할 수 있습니다. Google Cloud를 사용하는 많은 조직들이 자체 데이터 센터, 공장 현장, 소매점, 기타 퍼블릭 클라우드에서도 워크로드를 실행하기 원하거나 실행해야 하지만, 이러한 모든 위치에서 새로운 컨테이너 플랫폼을 자체적으로 빌드하거나 컨테이너 워크로드를 구성, 보호, 모니터링 및 최적화하는 방법을 재검토하길 원치 않을 수 있는데, 이는 실행 위치에 따라 운영 환경의 불일치, 보안 및 구성 오류 위험, 운영상의 번거로움 등이 발생할 수 있기 때문입니다.

예를 들면 다음과 같습니다.

  • 금융 기관이 Google Cloud에서 디지털 은행 플랫폼을 빌드하는 중이고 일관적인 구성, 강력한 보안 정책 적용, 여러 앱의 커뮤니케이션 방식에 대한 심층적인 가시성이 필요합니다. 최신 전자상거래 플랫폼을 빌드하는 대규모 소매업체는 동일한 요구사항을 가지고 있습니다. 두 회사 모두 Google Cloud에서 GKE를 사용하여 여러 리전의 여러 클러스터를 관리합니다.
  • 또 다른 글로벌 금융 기관은 복잡한 위험 관리 앱, 은행 간 송금 앱, 기타 다양한 민감한 워크로드를 빌드하며, 이때 일부는 기업 방화벽 뒤에 남아 있어야 하고 일부는 Google Cloud 기반 GKE에 배포됩니다.
  • 주요 약국 소매업체는 백신 접종 예약, 고객 메시지, 디지털 참여 앱을 만들어 약국 운영을 현대화하고 보다 맞춤설정된 매장 환경을 조성하고 있습니다. 이러한 앱에는 BigQuery 및 Retail Search와 같은 Google Cloud 호스팅 서비스와 통합된 매장 컨테이너 플랫폼이 필요합니다.
  • 미디어 및 엔터테인먼트 회사는 Google Cloud에서 연결 및 관리되는 30개의 야구장에서 일관된 컨테이너 환경을 요구하며, 테라바이트 단위의 게임 통계를 수집 및 분석하고 야구장 내부와 가상 모두에서 팬 참여를 촉진합니다.
  • 하드웨어 제조업체는 지연 시간이 매우 짧은 데이터를 분석하여 거의 실시간으로 결정을 내리는 동시에 장기적인 분석을 위해 Google Cloud의 데이터를 통합하여 공장 현장의 제품 품질과 작업자 안전을 테스트하고 최적화해야 합니다.
  • Software as a service(SaaS) 모델에서 통합 플랫폼을 제공하는 소프트웨어 및 인터넷 회사는 고객이 기본 클라우드 서비스와 가까운 곳에서 실행해야 하는 몇 가지 주요 퍼블릭 클라우드에 플랫폼을 제공해야 합니다. 이 회사는 하나의 관리 영역에서 여러 퍼블릭 클라우드에 컨테이너 환경을 프로비저닝, 구성, 보호, 모니터링하고 여러 다른 고유한 관리 도구로 각각의 클라우드 환경을 관리함으로써 발생하는 운영상의 오버헤드를 방지할 수 있는 통합되고 일관적인 방법이 필요합니다.

GKE Enterprise는 다음과 같은 일관적인 플랫폼을 제공함으로써 이러한 조직을 도와줄 수 있습니다.

  • 현재 위치에서 애플리케이션 및 인프라 현대화
  • 통합 클라우드 운영 모델(단일 제어 창)을 만들어 어디서나 컨테이너 클러스터를 생성, 업데이트, 최적화
  • 일관된 보안, 구성, 서비스 관리를 통해 대규모 멀티 클러스터 애플리케이션을 Fleet(유사한 환경의 논리적 그룹)으로 확장
  • 통합 제어 영역에서 일관적인 거버넌스 및 보안 강화

엔터프라이즈 규모에서 컨테이너화된 워크로드를 제어, 관리, 운영하는 데 도움이 되는 독자적인 도구와 기능을 통해 Google에서 서비스를 실행하면서 습득한 권장사항과 원칙을 채택할 수 있습니다.

GKE Enterprise 기본사항

GKE Enterprise 플랫폼의 특성을 보여주는 다이어그램

GKE Enterprise 기능은 함께 관리할 수 있도록 논리적으로 그룹화된 Kubernetes 클러스터를 나타내는 Fleet 개념을 바탕으로 합니다. Fleet를 Google Cloud의 GKE 클러스터로 전부 구성하거나 온프레미스를 비롯해 AWS 및 Azure와 같은 기타 퍼블릭 클라우드에서 실행되는 Google Cloud 외부의 클러스터를 포함할 수 있습니다.

Fleet를 만든 후에는 GKE Enterprise Fleet 지원 특성을 사용해서 추가 가치를 더하고 여러 클러스터 및 인프라 제공업체 간의 작업을 단순화할 수 있습니다.

  • 구성 및 정책 관리 도구를 사용하면 클러스터 위치에 관계없이 동일한 구성, 기능 및 보안 정책을 Fleet 전반에서 일관되게 자동으로 추가 및 업데이트하여 규모에 맞춰 보다 쉽게 작업할 수 있습니다.
  • Fleet 차원의 네트워킹 기능은 여러 클러스터에 걸쳐 있는 애플리케이션의 멀티 클러스터 인그레스 및 서비스 메시 트래픽 관리 기능을 비롯해 전체 Fleet의 트래픽을 관리하는 데 도움이 됩니다.
  • ID 관리 기능을 사용하면 Fleet 워크로드 및 사용자에 대한 인증을 일관되게 구성할 수 있습니다.
  • 관측 가능성 특성에 따라 상태, 리소스 활용률, 보안 상황을 비롯하여 Fleet 클러스터 및 애플리케이션을 모니터링하고 문제 해결할 수 있습니다.
  • 팀 관리 도구를 통해 팀이 워크로드를 실행하는 데 필요한 인프라 리소스에 액세스할 수 있도록 보장하고 리소스 및 워크로드를 팀 전반적으로 파악할 수 있게 해줍니다.
  • Fleet에서 실행되는 마이크로서비스 기반 애플리케이션의 경우 Anthos Service Mesh가 메시 전반의 애플리케이션 보안, 네트워킹, 관측 가능성을 위한 강력한 도구를 제공합니다.

전체 GKE Enterprise 플랫폼에서 멀티 클라우드 및 하이브리드 클라우드 기능을 포함하여 사용 가능한 모든 기능을 사용 설정하거나 Google Cloud에서만 Fleet를 만들고 필요에 따라 추가 엔터프라이즈 기능에 대한 비용을 지불할 수 있습니다. GKE Enterprise는 업계 표준 오픈소스 기술을 사용하며 여러 인프라 제공업체를 지원하여 비즈니스 및 조직 요구를 충족시킬 수 있는 방식으로 GKE Enterprise를 사용할 수 있는 유연성을 제공합니다.

Fleet 작동 방식

Fleet를 사용하면 GKE Enterprise로 Kubernetes 클러스터를 논리적으로 그룹화 및 정규화하여 인프라 관리를 쉽게 수행할 수 있습니다. Fleet를 채택하면 Google Cloud 콘솔에서 전체 Fleet를 한눈에 볼 수 있으므로 조직이 개별 클러스터에서 클러스터 그룹으로 관리를 강화할 수 있습니다. 그러나 Fleet는 단순한 클러스터 그룹 이상입니다. Fleet 내에서 유지되는 동일성과 신뢰성에 대한 원칙에 따라 전체 Fleet 지원 특성을 활용할 수 있습니다.

이러한 Fleet 원칙 중 첫 번째는 동일성입니다. 즉, 클러스터 Fleet 내에서 서로 다른 클러스터의 네임스페이스와 같은 일부 Kubernetes 객체는 동일한 이름을 가진 경우 동일한 것으로 취급됩니다. 이 정규화를 사용하면 여러 클러스터를 한 번에 더 간단하게 관리할 수 있으며 GKE Enterprise Fleet 지원 특성에서 사용됩니다. 예를 들어 어떤 클러스터에 있는지, 또는 해당 클러스터의 위치에 관계없이 정책 컨트롤러를 사용하여 보안 정책을 네임스페이스 foo의 모든 Fleet 서비스에 적용할 수 있습니다.

또한 Fleet은 서비스 동일성(동일한 이름으로 네임스페이스의 모든 서비스를 동일한 서비스로 취급할 수 있음(예: 트래픽 관리 목적))과 ID 동일성(Fleet 내의 서비스 및 워크로드는 인증 및 승인을 위해 공통 ID를 활용할 수 있음)을 가정합니다. 또한 Fleet 동일성 원칙은 많은 조직 및 Google에서 이미 권장사항으로 구현한 대로 네임스페이스, 서비스 및 ID를 설정하는 방법에 대한 강력한 지침을 제공합니다.

또 다른 원칙은 신뢰성입니다. 서비스 동일성, 워크로드 아이덴티티 동일성, 메시 ID 동일성은 Fleet 구성원 사이의 높은 신뢰성 원칙에 따라 빌드됩니다. 이러한 신뢰성이 있으면 클러스터 단위로 리소스를 관리하는 대신 Fleet로 관리 수준을 높일 수 있고 궁극적으로 클러스터 경계가 덜 중요합니다.

Fleet 구성 방법은 조직 및 기술적 요구에 따라 달라집니다. 각 Fleet은 Fleet 호스트 프로젝트라고 하는 특정 Google Cloud 프로젝트에 연결되어 Fleet을 관리하고 보기 위해 사용하지만 다른 프로젝트의 클러스터를 포함할 수 있습니다. 예를 들어 프로덕션, 테스트, 개발 환경에 대해 Fleet를 별개로 지정하거나 여러 비즈니스 라인에 따라 Fleet를 구분할 수 있습니다(Fleet 내에서 범위를 사용하여 여러 팀을 인프라 테넌트로 처리). 서비스 간 통신이 많은 클러스터는 Fleet에서 함께 관리할 경우 가장 효과적입니다. 동일한 환경(예: 프로덕션 환경)의 클러스터는 동일한 Fleet에 있어야 합니다. 일반적으로 서비스 간 신뢰성과 동일성을 허용하는 가장 큰 Fleet 크기가 권장되지만 Anthos Service Mesh에서는 이를 사용하도록 선택할 경우 Fleet 내에서 세밀한 서비스 액세스 제어가 가능합니다.

자세히 알아보기:

어디서나 Kubernetes 클러스터 사용

Kubernetes는 GKE Enterprise의 핵심이며 Fleet를 빌드할 때 다양한 Kubernetes 클러스터 옵션을 선택할 수 있습니다.

  • Google Kubernetes Engine(GKE)은 GKE Enterprise 사용자를 위해 다음과 같은 옵션을 제공하는 Google의 관리형 Kubernetes 구현입니다.
    • Google Cloud에서 GKE에는 Compute Engine 인스턴스로 구성된 클라우드 호스팅 제어 영역과 클러스터가 포함됩니다. Google Cloud에서 GKE 자체는 Kubernetes를 자동으로 배포, 확장, 관리하는 데 도움이 되지만 Fleet에서 GKE 클러스터를 그룹화하면 규모에 맞춰 더 쉽게 작업할 수 있으며 GKE에서 기존에 제공하는 강력한 클러스터 관리 기능 외에도 GKE Enterprise 기능을 사용할 수 있습니다.
    • Google Cloud 외부에서 GKE는 Azure, AWS, 자체 온프레미스 하드웨어를 포함하여 다른 인프라 제공업체와 함께 사용하도록 확장됩니다(VMware 또는 베어메탈). 이러한 옵션에서 Google 제공 Kubernetes 제어 영역은 Google Cloud의 Fleet 호스트 프로젝트에 연결된 클러스터를 사용하여 데이터 센터 또는 클라우드 제공업체에서 클러스터 노드와 함께 실행됩니다.
  • Google Distributed Cloud Edge를 사용하면 온프레미스 GKE 클러스터를 Fleet에 추가할 수 있습니다. 이번에는 Google에서 제공하고 유지보수되는 하드웨어에서 실행되며 GKE Enterprise 기능의 하위 집합을 지원합니다.
  • GKE 클러스터만이 유일한 옵션은 아닙니다. GKE Enterprise는 또한 연결된 클러스터로 알려진 EKS 및 AKS 클러스터와 같은 호환되는 타사 Kubernetes 클러스터를 Fleet에 등록하는 기능을 제공합니다. 이 옵션을 사용하면 기존 워크로드를 해당 위치에서 계속 실행하면서도 GKE Enterprise 기능의 하위 집합으로 가치를 더할 수 있습니다. GKE Enterprise는 Kubernetes 제어 영역 또는 노드 구성요소를 관리하지 않으며, 이러한 클러스터에서 실행되는 GKE Enterprise 서비스만 관리합니다.

온프레미스 및 퍼블릭 클라우드를 포함하는 모든 GKE 기반 클러스터의 경우 GKE Enterprise는 명령줄 유틸리티를 비롯해 클러스터 관리 및 수명 주기(만들기, 업데이트, 삭제, 업그레이드) 도구를 제공하며 일부 클러스터 유형의 경우 Google Cloud 콘솔에서 관리를 위한 도구를 제공합니다.

클러스터 구성

클러스터가 있는 위치에 관계없이 구성 동기화는 연결된 클러스터를 포함하여 전체 Fleet에서 클러스터를 구성할 수 있는 일관적인 방식을 제공합니다. 구성 동기화는 원하는 환경 상태를 선언적으로 정의하는 "데이터로서의 구성" 방식을 사용합니다. 버전 제어에 따라 단일 정보 소스 역할을 수행하고 직접 적용에 따라 반복 가능한 결과를 보장합니다. 구성 동기화는 구성이 포함된 중앙 Git 저장소를 모니터링하고 실행 위치에 관계없이 지정된 대상 클러스터에 변경사항이 발생할 때마다 자동으로 적용합니다. kubectl 명령어로 적용할 수 있는 YAML 또는 JSON은 구성 동기화로 관리되고 모든 Kubernetes 클러스터에 적용할 수 있습니다.

마이그레이션 및 VM

현대화 프로세스의 일환으로 애플리케이션을 컨테이너 및 Kubernetes로 마이그레이션하려는 조직을 위해 GKE Enterprise에 VM 기반 워크로드를 GKE에서 실행되는 컨테이너로 변환하는 도구와 함께 Migrate to Containers가 포함되어 있습니다. 또한 베어메탈 GKE Enterprise 플랫폼(베어메탈용 GKE 및 Distributed Cloud Edge)에서 조직은 Google Distributed Cloud 기반 VM 런타임을 사용해서 컨테이너 실행과 동일한 방법으로 Kubernetes에서 VM을 실행하여, 새 컨테이너 기반 애플리케이션을 개발 및 실행할 때 기존 VM 기반 워크로드를 계속 사용할 수 있습니다. 준비가 되면 이러한 VM 기반 워크로드를 컨테이너로 마이그레이션하고 동일한 GKE Enterprise 관리 도구를 계속 사용할 수 있습니다.

자세히 알아보기:

GKE Enterprise 기능

이 가이드의 나머지 부분에서는 GKE Enterprise가 제공하는 Fleet과 Fleet에서 실행되는 애플리케이션을 관리하는 데 도움이 되는 기능을 소개합니다. 지원되는 각 Kubernetes 클러스터 유형에 사용 가능한 전체 기능 목록은 GKE Enterprise 배포 옵션에서 확인할 수 있습니다.

네트워킹, 인증 및 보안

Fleet을 빌드한 후 GKE Enterprise를 사용하여 트래픽을 관리하고, 인증 및 액세스 제어를 관리하고, Fleet 전체에 보안 및 규정 준수 정책을 일관되게 적용할 수 있습니다.

Fleet에 연결

하이브리드 및 멀티 클라우드 Fleet에서 Google에 대한 연결을 관리하기 위해 Google은 Connect Agent라는 Kubernetes 배포를 제공합니다. 에이전트가 Fleet 등록의 일부로 클러스터에 설치된 경우 이 에이전트는 Google Cloud 외부의 클러스터와 해당 Google Cloud Fleet 호스트 프로젝트 간에 연결을 설정하여 Google에서 클러스터와 워크로드를 관리하고 Google 서비스를 사용할 수 있게 합니다.

온프레미스 환경에서 Google에 대한 연결은 Google Cloud와 상호작용할 때 애플리케이션의 지연 시간, 보안, 대역폭 요구사항에 따라 공개 인터넷, 고가용성 VPN, Public Interconnect 또는 Dedicated Interconnect를 사용할 수 있습니다.

자세히 알아보기:

부하 분산

GKE Enterprise는 Fleet에서 들어오고 나가는 트래픽을 관리하기 위해 다음과 같은 부하 분산 솔루션을 제공합니다.

  • Google Cloud의 GKE 클러스터는 다음 옵션을 사용할 수 있습니다.
  • 온프레미스 GKE 클러스터를 사용하면 번들로 포함된 MetalLB 부하 분산기와 기존 솔루션을 사용하도록 부하 분산을 수동으로 구성하는 옵션을 포함해서 요구에 맞게 다양한 부하 분산 모드 중에서 선택할 수 있습니다.
  • Distributed Cloud Edge에는 번들 MetalLB 부하 분산이 포함됩니다.
  • 다른 퍼블릭 클라우드의 GKE 클러스터는 플랫폼 기반 부하 분산기를 사용합니다.

자세히 알아보기:

인증 및 액세스 제어

여러 인프라 제공업체 간에 여러 클러스터를 사용하여 작업할 때 중요한 과제는 인증 및 승인을 관리하는 것입니다. GKE Enterprise는 Fleet의 클러스터에 인증하기 위해 kubectl 명령줄 및 Google Cloud 콘솔에서 클러스터와 상호작용할 때 일관되고 간단하며 안전한 인증 옵션을 제공합니다.

  • Google ID 사용: Connect 게이트웨이를 사용하면 사용자와 서비스 계정이 클러스터 어디에 있든 Google ID로 전체 Fleet 클러스터에 인증을 수행할 수 있습니다. 이 기능을 사용하여 클러스터에 직접 연결하거나 빌드 파이프라인 및 기타 DevOps 자동화에 활용할 수 있습니다.
  • 타사 ID 사용: GKE Enterprise의 GKE ID 서비스를 사용하면 타사 ID 공급업체로 인증을 구성하여, 전체 Fleet에 걸쳐서 팀이 Microsoft AD FS 및 Okta와 같은 OIDC(및 지원되는 경우 LDAP) 제공업체로부터 기존 사용자 이름, 비밀번호, 보안 그룹을 계속 사용할 수 있도록 지원할 수 있습니다.

지원되는 ID 공급업체를 클러스터에 원하는 만큼 구성할 수 있습니다.

인증을 설정한 후에는 표준 Kubernetes 역할 기반 액세스 제어(RBAC)를 사용하여 인증된 사용자가 클러스터와 상호작용하도록 승인하고 Identity and Access Management를 사용하여 Connect 게이트웨이와 같은 Google 서비스에 대한 액세스를 제어할 수 있습니다.

클러스터에서 실행되는 워크로드의 경우 GKE Enterprise는 Fleet 차원의 워크로드 아이덴티티를 제공합니다. 이 기능을 사용하면 Fleet 구성원 클러스터의 워크로드가 Cloud API와 같은 외부 서비스에 인증할 때 Fleet 차원의 워크로드 아이덴티티 풀의 ID를 사용할 수 있습니다. 따라서 클러스터별로 액세스를 구성하는 대신 더 간단하게 서비스에 대해 애플리케이션 액세스를 설정할 수 있습니다. 예를 들어 동일한 Fleet의 여러 클러스터에 배포된 백엔드가 있는 애플리케이션이 있으며 Google API에 인증해야 하는 경우 '백엔드' 네임 스페이스의 모든 서비스가 해당 API를 사용할 수 있도록 애플리케이션을 구성할 수 있습니다.

자세히 알아보기:

정책 관리

여러 클러스터로 작업할 때 또 다른 문제는 Fleet 전체에 일관된 보안 및 규정 준수 정책을 적용하는 것입니다. 많은 조직에는 금융 서비스 애플리케이션의 소비자 정보를 보호하는 등 엄격한 보안 및 규정 준수 요구사항이 있으며 이러한 요구사항을 규모에 맞게 충족할 수 있어야 합니다.

이를 위해 정책 컨트롤러는 관련 클러스터에 대한 모든 Kubernetes API 요청에 커스텀 비즈니스 로직을 적용합니다. 이러한 정책은 '가드레일' 역할을 하며 Kubernetes API 구성 변경으로 인해 보안, 운영, 규정 준수 제어를 위반하는 것을 방지합니다. Fleet 간에 규정을 준수하지 않는 API 요청을 적극적으로 차단하거나 클러스터 구성을 감사하고 위반사항을 보고하도록 정책을 설정할 수 있습니다. 정책 컨트롤러의 기본 제공되는 규칙 집합을 사용해서 일반적인 보안 및 규정 준수 규칙을 표현하거나 오픈소스 Open Policy Agent 프로젝트를 기반으로 확장 가능한 정책 언어를 사용해서 자체 규칙을 작성할 수 있습니다.

자세히 알아보기:

애플리케이션 수준 보안

Fleet에서 실행되는 애플리케이션의 경우 GKE Enterprise는 다음과 같은 심층 방어 액세스 제어 및 인증 기능을 제공합니다.

  • Binary Authorization은 Fleet의 클러스터에 신뢰할 수 있는 이미지만 배포할 수 있게 해줍니다.
  • Kubernetes 네트워크 정책은 각 포드 간에 그리고 다른 네트워크 엔드포인트와 통신하도록 허용되는 포드를 지정할 수 있게 해줍니다.
  • Anthos Service Mesh 서비스 액세스 제어는 서비스 계정 및 요청 컨텍스트에 따라 메시 서비스에 대해 액세스 제어를 세밀하게 구성할 수 있게 해줍니다.
  • Anthos Service Mesh 인증 기관(Mesh CA)은 인증서를 자동으로 생성 및 순환하여 서비스 간에 상호 TLS 인증(mTLS)을 쉽게 사용 설정할 수 있습니다.

관측 가능성

규모에 맞는 클러스터 운영 및 관리를 위해서는 해당 상태, 리소스 활용률, 보안 상황을 포함하여 Fleet 클러스터 및 애플리케이션을 쉽게 모니터링할 수 있어야 합니다.

Google Cloud 콘솔의 GKE Enterprise

Google Cloud 콘솔은 프로젝트와 리소스를 관리하는 데 사용할 수 있는 Google Cloud의 웹 인터페이스입니다. GKE Enterprise는 GKE Google Cloud 콘솔 페이지에서 전체 Fleet의 엔터프라이즈 기능과 구조화된 뷰를 지원하여 애플리케이션 및 리소스를 모두 한 곳에서 관리할 수 있는 통합 인터페이스를 제공합니다. 대시보드 페이지를 통해 대략적인 세부정보를 확인할 수 있을 뿐만 아니라 문제를 식별하는 데 필요한 만큼 자세히 살펴볼 수 있습니다.

  • 개요: 최상위 개요는 Cloud Monitoring을 통해 제공되는 정보를 기준으로 Fleet의 리소스 사용량을 간략하게 제공하며, Fleet별 및 클러스터별로 집계된 CPU, 메모리 및 디스크 활용률과 Fleet 차원의 정책 컨트롤러 및 구성 동기화 범위를 표시합니다.
  • 클러스터 관리: GKE Enterprise 클러스터 보기는 클러스터 상태를 포함하여 모든 프로젝트 및 Fleet 클러스터의 상태를 보고, Fleet에 클러스터를 등록하고, Fleet의 새 클러스터를 만들 수 있는(Google Cloud만 해당)보안 콘솔을 제공합니다. 특정 클러스터에 대한 자세한 내용을 보려면 이 보기에서 드릴다운하거나 다른 GKE 대시보드로 이동해서 클러스터 노드 및 워크로드에 대한 추가 세부정보를 확인하면 됩니다.
  • 팀 개요: Fleet 팀을 설정한 경우 리소스 활용률, 오류 비율, 팀에서 수집한 기타 측정항목이 팀 개요에 제공되어, 관리자 및 팀 멤버가 오류를 쉽게 보고 문제 해결할 수 있습니다.
  • 기능 관리: 기능 관리 보기에서는 Fleet 클러스터에 대한 GKE Enterprise 기능 상태를 볼 수 있습니다.
  • 서비스 메시: Google Cloud에서 Anthos Service Mesh를 사용하는 경우 서비스 메시 보기는 서비스 상태 및 성능에 대한 관측 가능성을 제공합니다. Anthos Service Mesh는 각 서비스 요청 및 응답에 대한 데이터를 수집하고 집계합니다. 즉, 원격 분석 데이터를 수집하도록 코드를 만들거나 대시보드 및 차트를 수동으로 설정할 필요가 없습니다. Anthos Service Mesh는 클러스터 내 모든 트래픽의 측정항목 및 로그를 Cloud Monitoring 및 Cloud Logging에 자동으로 업로드합니다. 운영자는 이러한 세부적인 원격 분석을 통해 서비스 동작을 관찰하고 애플리케이션의 문제해결, 유지관리, 최적화를 수행할 수 있습니다.
  • 보안 상황: 보안 상황 보기에는 Fleet 보안 상황을 개선하기 위해 명확하고 실행 가능한 권장사항이 표시됩니다.
  • 구성 관리: 구성 보기를 사용하면 구성 동기화가 사용 설정된 모든 Fleet 클러스터의 구성 상태를 한눈에 파악할 수 있으며 아직 설정되지 않은 클러스터에 기능을 손쉽게 추가할 수 있습니다. 구성 변경사항을 쉽게 추적하고 각 클러스터에 적용된 브랜치 및 커밋 태그를 확인할 수 있습니다. 유연한 필터를 사용하면 클러스터, 브랜치, 태그별로 구성 출시 상태를 쉽게 확인할 수 있습니다.
  • 정책 관리: 정책 보기에서는 Fleet에서 여러 클러스터에 정책 컨트롤러가 사용 설정된 방식과 규정 준수 위반 개요를 확인하고, Fleet 클러스터에 기능을 추가할 수 있습니다.

로그 기록 및 모니터링

클러스터 및 워크로드에 대해 자세히 알아보려면 Cloud Logging 및 Cloud Monitoring을 사용하면 됩니다. Cloud Logging은 로그 데이터를 저장하고 분석하는 통합 장소를 제공하며, Cloud Monitoring은 데이터 시각화 및 분석 도구 제공은 물론 성능 데이터를 자동으로 수집하고 저장합니다. 대부분의 GKE Enterprise 클러스터 유형은 기본적으로 시스템 구성요소(예: kube-systemgke-connect 네임스페이스의 워크로드)에 대한 로깅 및 모니터링 정보를 Cloud Monitoring 및 Cloud Logging으로 보냅니다. 추가로 Cloud Monitoring 및 Cloud Logging을 구성하여 자체 애플리케이션 워크로드에 대한 정보를 가져오고, 여러 유형의 측정항목을 포함하는 대시보드를 빌드하고, 알림을 만드는 등의 작업을 수행할 수 있습니다.

또한 조직 및 프로젝트 요구사항에 따라 GKE Enterprise는 오픈소스 Prometheus 및 Grafana를 포함한 다른 관측 가능성 도구와 Elastic 및 Splunk와 같은 타사 도구와의 통합을 지원합니다.

자세히 알아보기:

서비스 관리

Kubernetes에서 서비스는 서비스 워크로드 트래픽에 대한 단일 DNS 주소를 사용하여 포드 집합에서 실행되는 애플리케이션을 네트워크 서비스로 노출하는 간략한 방법입니다. 최신 마이크로서비스 아키텍처에서 한 개의 애플리케이션은 수많은 서비스로 구성되고 각 서비스는 여러 버전을 동시에 배포할 수 있습니다. 이러한 종류의 아키텍처에서 서비스 간 통신은 네트워크를 통해 발생하므로 서비스는 네트워크 특이성 및 기타 기본 인프라 문제를 처리할 수 있어야 합니다.

Fleet에서 서비스를 더 쉽게 관리하려면 Anthos Service Mesh를 사용하면 됩니다. Anthos Service Mesh는 서비스 메시 인프라 레이어의 오픈소스 구현인 Istio를 기반으로 합니다. 서비스 메시는 일관되고 강력한 도구를 사용하여 모니터링, 네트워킹, 보안과 같은 서비스 실행과 관련된 일반적인 문제를 고려하므로 서비스 개발자와 운영자가 애플리케이션을 만들고 관리하는 데 집중할 수 있게 해줍니다. Anthos Service Mesh를 사용하면 이러한 함수가 애플리케이션의 기본 컨테이너에서 추상화되고 동일한 포드에서 별도의 컨테이너로 제공되는 공용 프로세스 외부 프록시로 구현됩니다. 이 패턴은 애플리케이션 또는 비즈니스 로직을 네트워크 기능에서 분리하므로 개발자는 비즈니스에 필요한 기능에 집중할 수 있습니다. 또한 서비스 메시를 사용하면 운영팀과 개발팀이 작업을 서로 분리할 수 있습니다.

Anthos Service Mesh는 모든 Istio 기능과 함께 많은 기능을 제공합니다.

  • 메시의 클러스터 내 전체 트래픽의 서비스 측정항목 및 로그는 Google Cloud에 자동으로 수집됩니다.
  • 자동으로 생성된 대시보드는 Anthos Service Mesh 대시보드에 심층적인 원격 분석을 표시하여 측정항목과 로그를 심층적으로 분석하고 다양한 속성별로 데이터를 필터링 및 분할할 수 있습니다.
  • 서비스 간 관계를 한눈에 볼 수 있습니다. 즉, 각 서비스와 각 서비스가 의존하는 서비스를 파악할 수 있습니다.
  • 서비스 간 트래픽 보호: Anthos Service Mesh 인증 기관(Mesh CA)은 인증서를 자동으로 생성 및 순환하여 Istio 정책을 통해 상호 TLS 인증(mTLS)을 쉽게 사용 설정할 수 있습니다.
  • 보유 서비스의 통신 보안 상태뿐 아니라 다른 서비스와의 관계를 신속하게 확인하세요.
  • Cloud Monitoring을 사용하여 서비스 측정항목을 자세히 살펴보고 다른 Google Cloud 측정항목과 결합할 수 있습니다.
  • 자체 서비스 상태 표준을 손쉽게 정의하고 알릴 수 있는 서비스 상태 목표(SLO)를 기반으로 서비스 상태를 명확하고 간단하게 파악할 수 있습니다.

Anthos Service Mesh를 사용하면 Google Cloud의 완전 관리형 서비스 메시 제어 영역(Google Cloud의 Fleet 구성원 클러스터에서 실행되는 메시만 해당) 또는 직접 설치하는 클러스터 내 제어 영역 중에서 선택할 수 있습니다. 각 옵션에 제공되는 기능에 대한 자세한 내용은 Anthos Service Mesh 문서를 참조하세요.

자세히 알아보기:

다음 단계