인터넷 액세스 및 방화벽 규칙 구성

이 페이지에서는 Cloud Dataflow 작업과 연결된 네트워크에 대한 경로를 제공하고 Google Cloud Platform(GCP) 방화벽 규칙을 정의하는 방법에 대해 설명합니다.

참고: default 네트워크는 Cloud Dataflow 작업을 실행할 수 있도록 구성되어 있습니다. 그러나 다른 서비스에서도 이 네트워크를 사용할 수 있습니다. default의 변경사항이 모든 서비스와 호환되는지 확인하세요. 또는 Cloud Dataflow에 대한 별도의 네트워크를 만드세요.

Cloud Dataflow에 대한 인터넷 액세스

Cloud Dataflow 작업자 가상 머신(VM)은 GCP API 및 서비스에 도달할 수 있어야 합니다. 작업자 VM이 인터넷 액세스 요건을 충족하도록 외부 IP 주소를 사용하여 구성하거나 비공개 Google 액세스를 사용하여 구성할 수 있습니다.

비공개 Google 액세스를 사용하는 경우 내부 IP 주소만 있는 VM은 GCP 및 서비스에 대한 일부 공개 IP에 액세스할 수 있습니다. 라우팅 및 방화벽 규칙 요건구성 단계에 대한 자세한 내용은 비공개 Google 액세스 구성을 참조하세요.

GCP 외부의 API 및 서비스에 액세스하는 작업에는 인터넷 액세스가 필요합니다. 예를 들어 Python SDK 작업은 Python Package Index(PyPI)에 대한 액세스 권한이 필요합니다. 이 경우 외부 IP 주소를 사용하여 작업자 VM을 구성하거나 NAT 인스턴스를 통해 인터넷에 액세스해야 합니다 자세한 내용은 Apache Beam 웹사이트에서 Python 파이프라인 종속 항목 관리를 참조하세요.

방화벽 규칙

방화벽 규칙을 사용하면 VM 간의 트래픽을 허용 또는 거부할 수 있습니다. 이 페이지에서는 방화벽 규칙 개요 페이지와 방화벽 규칙 사용 페이지의 설명대로 암시적 방화벽 규칙을 비롯한 GCP 방화벽 규칙이 작동하는 방식을 잘 알고 있다고 가정합니다.

Cloud Dataflow에서 요구하는 방화벽 규칙

Cloud Dataflow를 사용하려면 작업자 VM이 파이프라인 옵션을 지정하는 VPC 네트워크 내에서 특정 TCP 포트를 사용하여 서로 통신해야 합니다. 이러한 유형의 통신을 허용하려면 VPC 네트워크에서 방화벽 규칙을 구성해야 합니다.

자동으로 생성된 default 네트워크와 같은 일부 VPC 네트워크에는 Cloud Dataflow의 방화벽 요건을 충족하는 default-allow-internal 규칙이 포함되어 있습니다.

모든 작업자 VM에 값이 dataflow인 네트워크 태그가 있으므로 Cloud Dataflow에 대해 보다 구체적인 방화벽 규칙을 만들 수 있습니다. 프로젝트 소유자, 편집자 또는 보안 관리자는 다음 gcloud 명령어를 사용하여 네트워크 태그 dataflow가 있는 VM에서 동일한 태그가 있는 VM으로 유입되는 트래픽을 모든 TCP 포트에서 허가하는 인그레스 허용 규칙을 만들 수 있습니다.

gcloud compute firewall-rules create [FIREWALL_RULE_NAME] \
    --network [NETWORK] \
    --action allow \
    --direction ingress \
    --target-tags dataflow \
    --source-tags dataflow \
    --priority 0 \
    --rules tcp:1-65535

위의 예에서 [FIREWALL_RULE_NAME]을 방화벽 규칙의 이름으로 바꾸고 [NETWORK]를 작업자 VM이 사용하는 네트 워크의 이름으로 바꿉니다.

방화벽 규칙에 대한 자세한 지침은 방화벽 규칙 사용을 참조하세요. Cloud Dataflow에서 사용하는 특정 TCP 포트의 프로젝트 컨테이너 매니페스트를 볼 수 있습니다. 컨테이너 매니페스트는 호스트 포트를 컨테이너에 매핑하기 위해 포트를 명시적으로 지정합니다.

작업자 VM에 대한 SSH 액세스

Cloud Dataflow는 SSH가 필요하지 않지만 문제 해결에는 SSH가 사용됩니다.

작업자 VM에 외부 IP 주소가 있는 경우 GCP Console이나 gcloud 명령줄 도구를 사용하여 VM에 연결할 수 있습니다. SSH를 사용하여 연결하려면 TCP 포트 22에 gcloud를 실행 중인 시스템이나 GCP Console에 액세스하기 위해 사용하는 웹 브라우저를 실행하는 시스템의 IP 주소에서 들어오는 연결을 허용하는 방화벽 규칙이 있어야 합니다.

내부 IP 주소만 있는 작업자 VM에 연결해야 하는 경우에는 외부 IP 주소가 없는 인스턴스에 연결을 참조하세요.

이 페이지가 도움이 되었나요? 평가를 부탁드립니다.

다음에 대한 의견 보내기...

도움이 필요하시나요? 지원 페이지를 방문하세요.