Cloud Run 네트워킹 권장사항

이 페이지에서는 Cloud Run 리소스에 네트워킹 옵션 구성에 대한 권장사항을 간략하게 설명합니다. 리소스를 만들기 전에 이 페이지의 모든 섹션을 검토하여 Cloud Run에서 지원하는 네트워킹 옵션과 그 영향을 이해하는 것이 좋습니다.

IP 주소 사용량 모니터링

직접 VPC 이그레스를 사용하는 경우 서브넷에 충분한 IP 주소가 있는지 확인합니다. 사용하는 IP 주소 수는 워크로드가 실행되는 인스턴스 수에 따라 다르므로 IP 주소 사용량을 모니터링하는 것이 좋습니다. 시간 경과에 따른 IP 사용량이 서브넷에서 지원하는 범위 내에 있는지 확인합니다.

IP 주소 사용량을 추정하려면 다음 안내를 따르세요.

1. Google Cloud 콘솔에서 Cloud Monitoring 측정항목 탐색기 페이지로 이동합니다.

   Cloud Monitoring 측정항목 탐색기로 이동

2. 측정항목 유형 run.googleapis.com/container/instance_count를 사용하여 프로젝트의 인스턴스 수를 조회합니다. Cloud Monitoring을 사용하면 시간 경과에 따른 이 측정항목 값을 볼 수 있습니다.

3. 인스턴스 수 측정항목 값에 2를 곱하여 사용 중인 IP 주소 수를 추정합니다.

IP 주소 소진 전략

Cloud Run 워크로드가 많은 경우 직접 VPC 이그레스와 함께 RFC 1918 비공개 IP 주소 공간을 사용하면 IP 소진 문제가 발생할 수 있습니다. 다음 전략은 대체 IP 주소 범위를 사용하여 IP 주소 소진을 관리하는 데 도움이 됩니다.

RFC 1918 이외의 IPv4 주소 사용

Cloud Run은 RFC 1918 IPv4 주소 범위 외에도 RFC 6598 및 클래스 E/RFC 5735 범위를 지원합니다. 모든Google Cloud 서비스와 기능은 VPC 네트워크, Cloud Load Balancing, Private Service Connect를 포함한 RFC 1918 이외의 범위에서 작동합니다.

최고의 호환성을 위해 RFC 6598(100.64.0.0/10) 범위로 시작하는 것이 좋습니다. 다른 곳에서 이미 이 범위를 사용하고 있으면 클래스 E/RFC 5735(240.0.0.0/4)를 사용하는 것이 좋습니다. 클래스 E는 IP 주소를 2억 6,800만 개 이상 사용할 수 있는 거대한 공간이므로 장기간 성장을 지원할 수 있습니다. 하지만 클래스 E에는 몇 가지 제한사항이 있습니다. 예를 들어 Windows 및 일부 온프레미스 하드웨어에서는 지원되지 않습니다. 클래스 E IPv4 주소 공간을 활용하여 GKE의 IPv4 소진 문제를 완화하는 방법을 알아보세요.

Cloud NAT 또는 Private Service Connect 사용

비RFC 1918 범위를 사용하는 Cloud Run 워크로드가 RFC 1918만 허용하는 온프레미스 대상에 도달해야 하는 경우 다음 솔루션 중 하나를 사용하세요.

• Hybrid NAT를 사용하여 작은 RFC 1918 범위에서 주소 변환 및 이그레스를 실행합니다.
• 온프레미스 서비스를 Private Service Connect 하이브리드 서비스로 노출합니다.

IPv4 및 IPv6(이중 스택) 서브넷 사용

IPv4 소진을 줄이지는 못하지만 먼저 앱을 IPv6로 이전하는 것이 좋습니다. 향후 IPv4 소진 문제를 방지하려면 이중 스택 리소스를 설정합니다.

포트 소진 감소 전략

다음 섹션에서는 Cloud Run으로 포트 소진을 줄이는 전략을 설명합니다.

연결 풀링 사용 및 연결 재사용

다수의 요청을 단일 대상 IP 주소로 전송할 경우 연결 풀링을 사용하여 대상에 대한 연결을 유지하고 재사용합니다. 단일 IP 주소에 대한 연결 비율이 높으면 아웃바운드 포트가 소진되고 연결 거부 오류가 발생할 수 있습니다.

성능 및 처리량 전략

이 섹션에서는 인터넷 및 Google 서비스에 대한 네트워크 성능과 처리량을 향상시킬 수 있는 확장 가능한 옵션을 설명합니다.

직접 VPC 이그레스를 사용하여 네트워크 이그레스 처리량 가속화

네트워크 이그레스 연결에서 처리량을 가속화하려면 직접 VPC 이그레스를 사용하여 VPC 네트워크를 통해 트래픽을 라우팅합니다.

예시 1: 인터넷에 대한 외부 트래픽

외부 트래픽을 공개 인터넷으로 전송하는 경우 --vpc-egress=all-traffic을 설정하여 모든 트래픽을 VPC 네트워크를 통해 라우팅합니다. 이 방식을 사용하려면 Cloud NAT가 공개 인터넷에 연결되도록 설정해야 합니다.

Cloud Run에서 Public NAT 또는 Private NAT에 Cloud NAT 게이트웨이를 사용하도록 설정하려면 Cloud NAT 직접 VPC 이그레스 상호작용을 참조하세요.

예시 2: Google API에 대한 내부 트래픽

직접 VPC 이그레스를 사용하여 Cloud Storage와 같은 Google API로 트래픽을 전송하는 경우 다음 옵션 중 하나를 선택합니다.

• 비공개 Google 액세스로 private-ranges-only(기본값)를 지정합니다.
  1. --vpc-egress=private-ranges-only 플래그를 설정합니다.
  2. 비공개 Google 액세스를 사용 설정합니다.
  3. 비공개 Google 액세스용 DNS를 구성합니다. 대상 도메인(예: storage.googleapis.com)이 다음 내부 IP 주소 범위 중 하나에 매핑되는지 확인하세요.
     • 199.36.153.8/30
     • 199.36.153.4/30
• 비공개 Google 액세스로 all-traffic을 지정합니다.
  1. --vpc-egress=all-traffic 플래그를 설정합니다.
  2. 비공개 Google 액세스를 사용 설정합니다.

Cloud Run의 기본 MTU 설정 사용

Cloud Run과 함께 사용할 때는 VPC 네트워크의 최대 전송 단위(MTU) 설정을 변경하지 마세요. 대신 기본 MTU인 1,460바이트를 사용하세요.

다음 단계

• 직접 VPC 이그레스와 VPC 커넥터 비교하기
• 테스트, 트래픽 마이그레이션, 롤백에 태그 사용하기