영역 DNS를 사용하도록 프로젝트 업데이트

이 문서에서는 기존 프로젝트를 전역 DNS에서 영역 DNS로 마이그레이션하는 방법을 설명합니다. 영역 DNS는 영역 내에서 중단을 격리하여 안정성을 개선하고 인스턴스 생성 및 자동 복구와 같은 필수 서비스의 중단을 방지합니다.

시작하기 전에

• 아직 인증을 설정하지 않았다면 설정합니다. 인증은 서비스 및 API에 액세스하기 위해 ID를 확인하는 프로세스입니다. Google Cloud 로컬 개발 환경에서 코드 또는 샘플을 실행하려면 다음 옵션 중 하나를 선택하여 Compute Engine에 인증하면 됩니다.
  

  Select the tab for how you plan to use the samples on this page:

  Console

  When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.

  gcloud

  1. Install the Google Cloud CLI, then initialize it by running the following command:

     gcloud init

  2. Set a default region and zone.

  REST

  로컬 개발 환경에서 이 페이지의 REST API 샘플을 사용하려면 gcloud CLI에 제공한 사용자 인증 정보를 사용합니다.

  Install the Google Cloud CLI, then initialize it by running the following command:

  gcloud init

  자세한 내용은 Google Cloud 인증 문서의 REST 사용을 위한 인증을 참고하세요.

필요한 역할

영역 DNS를 사용하도록 프로젝트를 이전하는 데 필요한 권한을 얻으려면 관리자에게 다음 IAM 역할을 부여해 달라고 요청하세요.

• 영역 DNS를 사용하도록 프로젝트 마이그레이션: 프로젝트에 대한 프로젝트 편집자(roles/resourcemanager.projectEditor) 권한
• VM을 프로젝트 내의 영역 DNS로 마이그레이션: 프로젝트에 대한 Compute 인스턴스 관리자(v1)(roles/compute.instanceAdmin.v1) 권한
• VM에서 서비스 계정을 사용하는 경우: 서비스 계정 또는 프로젝트에 대한 서비스 계정 사용자(roles/iam.serviceAccountUser) 권한

역할 부여에 대한 자세한 내용은 프로젝트, 폴더, 조직에 대한 액세스 관리를 참조하세요.

이러한 사전 정의된 역할에는 영역 DNS를 사용하도록 프로젝트를 이전하는 데 필요한 권한이 포함되어 있습니다. 필요한 정확한 권한을 보려면 필수 권한 섹션을 펼치세요.

커스텀 역할이나 다른 사전 정의된 역할을 사용하여 이 권한을 부여받을 수도 있습니다.

프로젝트를 영역 DNS로 마이그레이션

영역 DNS를 사용하도록 프로젝트를 마이그레이션하려면 다음 작업을 완료합니다.

1. 프로젝트에서 기본적으로 전역 DNS를 사용하는지 확인
2. 쿼리 분석을 사용하여 프로젝트의 마이그레이션 준비 상태 확인
3. 영역 DNS와 호환되는 프로젝트 마이그레이션
4. 호환되지 않는 쿼리 수정
5. 전역 DNS 로그를 모니터링하여 이전 준비 상태 확인
6. 나머지 프로젝트를 영역 DNS로 마이그레이션
7. 영역 DNS 변경사항이 프로젝트에 영향을 미치는지 확인하기

프로젝트에서 기본적으로 전역 DNS를 사용하는지 확인

프로젝트를 확인하여 전역 DNS 사용에서 영역 DNS 사용으로 마이그레이션해야 하는지 확인합니다. 프로젝트 내에서 생성된 내부 DNS 이름의 기본값으로 전역 DNS를 사용하도록 구성된 프로젝트만 마이그레이션하면 됩니다.

gcloud compute project-info describe --project=PROJECT_ID --flatten="vmDnsSetting"

GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID?fields=id,name,vmDnsSetting

쿼리 분석을 사용하여 프로젝트의 이전 준비 상태 확인

코드를 변경하거나 전역 DNS 사용 방식을 변경하지 않고도 프로젝트를 영역 DNS로 이전할 수 있는지 평가하기 위해 Google Cloud 는 DNS 쿼리 기록을 분석합니다. 이 분석은 영역 DNS와의 프로젝트 호환성을 나타내는 다음 측정항목을 제공합니다.

• zonal_dns_ready (호환 쿼리): 이 측정항목은 100일 동안 영역 DNS를 사용하여 성공적으로 확인할 수 있는 총 쿼리 수를 나타냅니다.

• zonal_dns_risky (호환되지 않는 쿼리): 이 측정항목은 영역 DNS를 사용하여 확인할 수 없는 총 쿼리 수를 나타냅니다. 이러한 쿼리는 일반적으로 교차 리전 통신 또는 영역 확인에 실패하는 기타 시나리오와 관련이 있습니다. 중요한 점은 이 측정항목의 값이 0이 아니면 프로젝트를 아직 마이그레이션할 준비가 되지 않은 것입니다. 영역 DNS로 전환하기 전에 이러한 비호환 쿼리를 해결해야 합니다.

이러한 측정항목을 보려면 Google Cloud 콘솔에서 측정항목 탐색기를 사용합니다.

1. Google Cloud 콘솔에서 leaderboard 측정항목 탐색기 페이지로 이동합니다.

   측정항목 탐색기로 이동

   검색창을 사용하여 이 페이지를 찾은 경우 부제목이 Monitoring인 결과를 선택합니다.

2. 측정항목 선택 필드가 있는 툴바 오른쪽에서 코드 편집기, MQL 또는 PromQL을 클릭합니다.

3. 쿼리 입력란 제목이 MQL 쿼리가 아니면 쿼리 입력란 오른쪽 하단에 있는 언어에서 MQL을 선택합니다.

4. 쿼리 입력란에 다음 텍스트를 표시된 그대로 정확하게 입력합니다.

   fetch compute.googleapis.com/Location
   | metric 'compute.googleapis.com/global_dns/request_count'
   | every 1d
   | within 7d
   

5. 쿼리 실행 버튼을 클릭합니다.

   Google Cloud 콘솔에는 두 측정항목(zonal_dns_ready 및 zonal_dns_risky)의 차트와 각 측정항목의 기간 동안 실행된 해당 쿼리 수가 표시됩니다.

   

6. zonal_dns_risky 측정항목 값을 확인합니다.

   • 값이 0이면 프로젝트를 영역 DNS로 마이그레이션할 준비가 완료된 것입니다. 준비된 프로젝트를 영역 DNS로 마이그레이션의 설명대로 프로젝트를 마이그레이션할 수 있습니다.
   • 이전 스크린샷에 표시된 것처럼 값이 0.02k과 같이 0이 아닌 숫자인 경우 영역 DNS로 마이그레이션한 후에 작동하지 않을 수 있는 몇 가지 쿼리가 있습니다. 프로젝트를 마이그레이션할 준비가 되지 않았습니다. 호환되지 않는 쿼리 수정의 단계를 계속 진행합니다.

영역 DNS와 호환되는 프로젝트 마이그레이션

영역 DNS로 전환할 준비가 된 프로젝트를 마이그레이션하려면 다음 옵션 중 하나를 사용하세요.

• Google Cloud 콘솔에서 영역 DNS 사용 버튼을 클릭합니다.

  1. 프로젝트의 VM 인스턴스 페이지를 열람할 때, 프로젝트를 마이그레이션할 준비가 된 경우 (영역 DNS 쿼리와 호환됨) 배너에 영역 DNS 사용을 권장하는 사항이 포함됩니다. 이 추천은 프로젝트의 내부 DNS 사용량을 기반으로 하지만 지난 30일로 제한됩니다.

     

     Use Zonal DNS(영역 DNS 사용) 버튼을 클릭하면 영역 DNS를 사용하도록 프로젝트 메타데이터가 업데이트됩니다.

  2. 선택사항: VM 메타데이터 보기 및 쿼리를 사용하여 메타데이터 변경사항을 확인합니다.

• 영역 DNS를 사용하도록 프로젝트 메타데이터를 수동으로 변경합니다.

  1. 프로젝트의 vmDnsSetting 메타데이터 항목을 설정하여 인스턴스에 영역 DNS를 사용 설정합니다. 이 메타데이터 항목을 설정하면 검색 경로를 사용할 때는 영역 DNS 이름(VM_NAME.ZONE.c.PROJECT_ID.internal)을 통해서만 컴퓨팅 인스턴스에 액세스할 수 있습니다. 인스턴스는 영역 및 전역 검색 경로를 계속 보존하지만 ZONE이 내부 DNS 이름의 일부로 포함되지 않은 전역 DNS 이름은 더 이상 작동하지 않습니다. 이 설정이 적용되면 같은 리전과 같은 프로젝트에 있는 인스턴스만 전역 이름을 사용하여 서로 액세스할 수 있습니다.

     콘솔

     1. 프로젝트 수준에서 설정을 업데이트하려면 Google Cloud 콘솔에서 Compute Engine 메타데이터 페이지로 이동합니다.

        커스텀 메타데이터 페이지로 이동

     2. edit 수정을 클릭합니다.

     3. 값이 VmDnsSetting인 키가 있으면 값을 ZonalOnly로 변경합니다.

     4. 값이 VmDnsSetting인 키가 없으면 add_box 항목 추가를 클릭합니다.

        • 키 필드에 VmDnsSetting을 입력합니다.
        • 값 필드에 ZonalOnly를 입력합니다.

     5. 커스텀 메타데이터 항목 수정을 완료하려면 저장을 클릭합니다.

     gcloud

     1. 현재 프로젝트의 메타데이터 설정을 업데이트하려면 project-info add-metadata 명령어를 사용합니다.

        gcloud compute project-info add-metadata \
            --metadata vmDnsSetting=ZonalOnly
        

     2. 선택사항: 프로젝트의 메타데이터 설정을 확인하려면 다음 명령어를 사용합니다.

        gcloud compute project-info describe --project=PROJECT_ID --flatten="vmDnsSetting"
        

        PROJECT_ID를 쿼리할 프로젝트의 이름으로 바꿉니다.

     REST

     프로젝트 수준에서 메타데이터 설정을 업데이트하려면 projects.setCommonInstanceMetadata 메서드를 사용하여 POST 요청을 생성합니다.

     1. 선택사항: 최적 잠금을 수행하기 위해 지문을 제공할 수도 있습니다.

        디지털 지문은 Compute Engine에서 생성된 임의의 문자열입니다. 디지털 지문은 요청 시마다 변경되며 일치하지 않는 디지털 지문을 제공하면 요청이 거부됩니다.

        지문을 제공하지 않으면 일관성 검사가 수행되지 않고 projects.setCommonInstanceMetadata 요청이 성공합니다. instances.setMetadata 메서드를 사용하는 경우 항상 지문 인식이 필요합니다.

        프로젝트의 현재 지문을 가져오려면 project.get 메서드를 호출합니다.

        GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID
        

        출력은 다음과 비슷합니다.

        {
         "name": "myproject",
         "commonInstanceMetadata": {
           "kind": "compute#metadata",
           "fingerprint": "FikclA7UBC0=",
           ...
         }
        }
        

     2. projects.setCommonInstanceMetadata 메서드에 대한 POST 요청을 생성하여 메타데이터 키-값 쌍을 설정합니다.

        POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/setCommonInstanceMetadata
        
        {
        "fingerprint": "FikclA7UBC0=",
        "items": [
          {
          "key": "vmDnsSetting",
          "value": "ZonalOnly"
          }
        ]
        }
        

        PROJECT_ID를 프로젝트 ID로 바꿉니다.

  2. 프로젝트의 vmDnsSetting 메타데이터 항목을 구성한 후에는 해당 프로젝트의 각 인스턴스에서 DHCP 임대를 새로고침합니다. 인스턴스를 다시 시작하거나, 임대가 만료되기를 기다리거나, 다음 명령어 중 하나를 실행하여 임대를 새로 고칠 수 있습니다.

     Linux 인스턴스

     sudo dhclient -v -r
     

     Windows 인스턴스

     ipconfig /renew
     

  3. 프로젝트에서 영역 DNS를 사용하는지 확인

호환되지 않는 쿼리 수정

마이그레이션할 준비가 되지 않은 프로젝트는 하나 이상의 호환되지 않는 DNS 쿼리가 특정 기간(예: 지난 30일) 내에 실행되었음을 의미합니다. 호환되지 않는 쿼리에는 다음과 같은 속성이 있을 수 있습니다.

• 다른 프로젝트의 컴퓨팅 인스턴스 호출
• 다른 리전의 컴퓨팅 인스턴스 호출

프로젝트에 호환되지 않는 쿼리가 있는 경우 Google Cloud 콘솔의 VM 인스턴스 페이지에 다음 배너가 표시됩니다.

호환되지 않는 모든 쿼리를 수정하려면 쿼리에서 소스 인스턴스의 영역 정규화된 도메인 이름 (FQDN)을 사용하는 것이 좋습니다. 이 접근 방식을 사용하면 프로젝트를 영역 DNS로 마이그레이션한 후에도 쿼리 확인이 중단되지 않습니다.

호환되지 않는 쿼리를 해결하려면 다음 단계를 따르세요.

1. 로그 탐색기를 사용하여 프로젝트의 컴퓨팅 인스턴스에 대한 전역 DNS 사용량에 액세스하고 쿼리합니다.

   로그 탐색기로 이동

2. 프로젝트를 선택합니다.

3. 리소스 및 로그 이름 필터를 적용합니다.

   1. 리소스를 클릭합니다.
   2. 리소스 선택 대화상자에서 VM 인스턴스를 선택한 후 적용을 클릭합니다.
   3. 로그 이름을 클릭합니다.

   4. 로그 이름 선택 대화상자에서 gdnsusage를 선택한 후 적용을 클릭합니다.

   또는 쿼리 필드에 다음을 입력:

      resource.type="gce_instance"
      log_name="projects/PROJECT_ID/logs/compute.googleapis.com%2Fgdnsusage"
     

4. 쿼리 결과 창의 각 쿼리에는 jsonPayload 필드가 있습니다. 각 jsonPayload 필드에는 다음 정보가 포함됩니다.

   • 소스 VM 이름, 프로젝트 ID, 영역 이름
   • 대상 VM 이름, 프로젝트 ID, 영역 이름

   • 영역 DNS 이름을 사용하여 확인할 수 없는 전역 DNS 쿼리를 업데이트하는 방법에 대한 정보를 제공하는 디버그 메시지. 이 메시지는 디버그하고 수정해야 하는 마이그레이션 차단 쿼리로 간주됩니다.

     "To use Zonal DNS, update the Global DNS query sent from the source VM
     VM_NAME.c.PROJECT_ID.internal to the following zonal
     FQDN: VM_NAME.ZONE.c.PROJECT_ID.internal"
     

   • 소스 VM에서 해당 날짜에 대상 VM으로 보내는 마이그레이션 차단 쿼리 수를 보여주는 쿼리 수

   다음 스크린샷에서는 로그 탐색기 콘솔 페이지의 jsonPayload 필드 정보를 보여줍니다.

   

5. 이전 단계에서 가져온 jsonPayload의 정보를 사용하여 영역 DNS를 사용하도록 전역 DNS 쿼리를 수동으로 업데이트하는 데 사용할 FQDN을 결정하고 프로젝트를 마이그레이션할 준비를 합니다. FQDN을 업데이트하고 호환성을 해결하는 가장 일반적인 사용 사례는 다음과 같습니다.

   • 메타데이터 서버의 내부 DNS 이름: 반환된 DNS 이름은 영역 DNS로 마이그레이션 후에 즉시 영역 FQDN으로 변경되므로 필요한 작업이 없습니다. DNS 이름이 캐시된 경우 캐시 값을 업데이트하기 위해 한 번만 더 호출하면 됩니다.
   • 다른 리전의 VM에 액세스하는 데 사용되는 내부 DNS 이름: 다른 리전의 VM에 내부 DNS 이름을 사용하는 애플리케이션이 있는 경우 DHCP 정책 또는 구성 파일을 수정하여 다른 리전의 영역을 포함할 수 있습니다.
   • 하드 코딩된 전역 FQDN: VM에 하드 코딩된 전역 FQDN 이름을 사용하는 애플리케이션이 있으면 애플리케이션 내에서 호출을 업데이트하여 내부 DNS 이름이나 영역 FQDN을 대신 사용할 수 있습니다. Terraform에서 코드나 구성을 변경하여 이를 변경할 수 있습니다.
   • 공유 VPC 네트워크를 사용하는 서비스 프로젝트의 VM: 공유 VPC 네트워크를 사용하는 서비스 프로젝트에서 VM의 DNS 이름을 확인하려면 VM의 영역 FQDN을 사용해야 합니다.

6. 영역 DNS를 사용하도록 전역 DNS 쿼리를 업데이트한 후 다음을 실행합니다.

   1. 로그 탐색기 페이지를 사용하여 전역 DNS 사용량을 다시 쿼리합니다. 모든 차단 전역 DNS 쿼리를 수정한 후에는 쿼리 결과에 디버그 로그가 표시되지 않아야 합니다.

   2. 모니터링 측정항목을 다시 확인하여 호환되지 않는 DNS 쿼리가 모두 삭제되었는지 확인합니다.

로그 탐색기에서 전역 DNS 로그 보기

로그 탐색기에는 주로 영역 DNS와 호환되지 않는 쿼리가 있는 프로젝트의 전역 DNS 로그가 표시됩니다. 이러한 로그를 사용하면 이전하기 전에 이러한 문제 있는 쿼리를 식별하고 분석할 수 있습니다.

이러한 호환되지 않는 쿼리에 로그 탐색기를 활용하여 다음을 수행할 수도 있습니다.

• 대시보드 만들기: 호환되지 않는 전역 DNS 쿼리 패턴을 시각화하여 애플리케이션의 통신 동작에 대한 유용한 정보를 얻습니다.
• 로그 집계: 조직 전체의 DNS 로그를 분석하여 광범위한 추세와 개선 가능성이 있는 영역을 파악합니다.

영역 DNS 변경사항이 프로젝트에 영향을 미치는지 확인

영역 DNS로 이전한 후에는 애플리케이션과 서비스가 여전히 올바르게 작동하는지 확인하는 것이 중요합니다. 영역 DNS는 내부 DNS 이름이 확인되는 방식을 변경하므로 전역 DNS 이름을 사용하는 일부 애플리케이션에 문제가 발생할 수 있습니다.

다음 섹션에서는 잠재적인 영향을 확인하고 해결하는 방법을 설명합니다.

1. 명령줄 인스턴스 통신

   작업: gcloud CLI를 사용하여 한 인스턴스에서 다른 인스턴스로 핑을 시도합니다.

   gcloud compute ssh VM-A --command "ping VM-B"
   

   가능한 오류: '호스트를 확인할 수 없음': VM-A가 VM-B의 IP 주소를 찾을 수 없음을 의미합니다.

   해결 방법: VM-B에 사용 중인 호스트 이름을 영역 이름이 포함된 정규화된 도메인 이름 (FQDN)으로 업데이트합니다. INSTANCE_NAME.ZONE.c.PROJECT_ID.internal

2. Compute Engine 서비스 내 인스턴스 통신

   작업: 내부 DNS 이름을 사용하는 관리형 인스턴스 그룹 (MIG)에 상태 확인을 사용하는 경우 상태 확인이 통과하는지 확인합니다.

   발생할 수 있는 오류: '상태 확인 실패': DNS 변환 문제로 인해 상태 확인이 타겟에 도달할 수 없음을 나타냅니다.

   해결 방법: 상태 확인이 영역 이름을 포함하여 대상 인스턴스의 FQDN을 사용하고 있는지 확인합니다.

3. 애플리케이션별 사용 사례

   많은 애플리케이션은 다음과 같은 작업에 내부 DNS를 사용합니다.

   • 데이터베이스 (예: Cloud SQL)에 연결

   • 메시지 큐 (예: Pub/Sub)와 상호작용

   • 발생할 수 있는 오류: 애플리케이션에 따라 다르지만 다음과 같은 오류가 발생할 수 있습니다.

     • 'SERVICE_NAME에 연결할 수 없습니다.'
     • '연결 시간 초과'
     • '알려진 호스트가 없음'

   • 해결 방법: 애플리케이션 구성을 확인하여 서비스를 참조할 때 FQDN (영역 이름 포함)을 사용하고 있는지 확인합니다.

전역 DNS 사용으로 되돌리기

기본 내부 DNS 유형을 전역 DNS로 다시 변경하여 영역 DNS로의 마이그레이션을 실행취소할 수 있습니다. 조직, 프로젝트, 인스턴스 또는 컨테이너 수준에서 이 작업을 수행할 수 있습니다.

프로젝트에 전역 DNS 사용으로 되돌리기

전역 DNS를 사용하도록 프로젝트를 되돌리려면 다음 단계를 완료합니다.

1. 프로젝트 메타데이터에 vmDnsSetting=GlobalDefault를 추가합니다.

   프로젝트 메타데이터 값을 설정하는 방법에 대한 자세한 내용은 커스텀 메타데이터 설정 및 삭제를 참고하세요.

2. 프로젝트의 인스턴스 중 vmDnsSetting 메타데이터 값이 ZonalOnly로 설정된 인스턴스가 없는지 확인합니다.

   gcloud compute instances describe INSTANCE_NAME --flatten="metadata[]"
   

   INSTANCE_NAME을 확인할 인스턴스 이름으로 바꿉니다.

3. 각 인스턴스에서 DHCP 임대를 새로고침합니다. 인스턴스를 다시 시작하거나, 임대가 만료되기를 기다리거나, 게스트 운영체제에서 다음 명령어 중 하나를 실행하여 임대를 새로 고칠 수 있습니다.

   • Linux 인스턴스: sudo dhclient -v -r
   • Windows Server 인스턴스: ipconfig /renew

인스턴스에 전역 DNS 사용으로 되돌리기

전역 DNS를 사용하도록 특정 인스턴스를 되돌리려면 다음 단계를 완료합니다.

1. vmDnsSetting=GlobalDefault를 포함하도록 인스턴스의 메타데이터를 업데이트합니다.

   컴퓨팅 인스턴스 메타데이터 값을 설정하는 방법에 대한 자세한 내용은 커스텀 메타데이터 설정 및 삭제를 참고하세요.

2. DNS 구성을 강제로 변경하려면 다음 명령어 중 하나를 사용하여 인스턴스의 네트워크를 다시 시작합니다.

   • Container-Optimized OS 또는 Ubuntu의 경우:

     sudo systemctl restart systemd-networkd
     

   • CentOS, RedHat EL, Fedora CoreOS 또는 Rocky Linux의 경우:

     sudo systemctl restart network
     

     또는

     sudo systemctl restart NetworkManager.service
     

   • Debian의 경우:

     sudo systemctl restart networking
     

   • nmcli가 있는 Linux 시스템의 경우:

     sudo nmcli networking off
     sudo nmcli networking on
     

   • Windows:

     ipconfig /renew
     

컨테이너에 전역 DNS 사용으로 되돌리기

컨테이너, Google Kubernetes Engine, 또는 App Engine 가변형 환경에서 애플리케이션을 실행하는 경우 컨테이너를 다시 시작하기 전에는 컨테이너 설정의 DNS 구성이 자동으로 업데이트되지 않을 수 있습니다. 이러한 컨테이너 앱에서 영역 DNS를 사용 중지하려면 다음 단계를 완료합니다.

1. 컨테이너와 VM을 소유한 프로젝트에서 프로젝트 메타데이터 설정 vmDnsSetting을 GlobalDefault로 설정합니다.

2. DNS 설정이 원래 상태로 되돌아가도록 컨테이너를 다시 시작합니다.

전역 DNS에서 영역 DNS로의 마이그레이션 프로세스 문제 해결

마이그레이션 프로세스에 문제가 있으면 문제 해결 가이드를 참조하세요.

다음 단계

• 조직, 폴더, 프로젝트 간의 관계에 대한 자세한 내용은 Google Cloud 리소스 계층 구조를 참고하세요.
• Compute Engine의 내부 DNS 자세히 알아보기