부하 분산기 설정

이 페이지에서는 Compute Engine에 Cloud IAP(Identity-Aware Proxy)를 사용하도록 부하 분산기를 설정하는 방법을 설명합니다. GKE에서 Cloud IAP를 사용하는 경우 일반적으로 Kubernetes Ingress 컨트롤러에 의해 부하 분산기가 구성됩니다. 자세한 내용은 GKE를 위한 Cloud IAP 사용 설정을 참조하세요.

시작하기 전에

부하 분산기를 설정하려면 먼저 다음이 필요합니다.

  • 사용하려는 도메인이 이미 있지 않은 한, 새 도메인이 필요합니다. Google Domains를 포함하여 모든 도메인 이름 등록기관을 사용할 수 있습니다.
  • 서명된 인증서

Compute Engine에서 부하 분산기 설정

Compute Engine에서 부하 분산기를 설정하려면 인스턴스가 인스턴스 그룹에 있어야 합니다. 이 섹션에서는 인스턴스 그룹을 만든 후 부하 분산을 설정하는 방법을 설명합니다.

인스턴스 그룹 만들기

Compute Engine에서 인스턴스 그룹에 없는 인스턴스가 있는 경우, 아래 단계에 따라 그룹에 이를 추가합니다.

  1. 인스턴스 그룹 페이지로 이동합니다.
    Compute Engine 인스턴스 그룹 페이지로 이동
  2. 인스턴스 그룹 만들기를 클릭합니다.
  3. 그룹 유형에서 비관리형 인스턴스 그룹을 선택합니다.
  4. VM 인스턴스 아래에서 그룹에 추가하려는 각 인스턴스를 선택합니다.
    1. 다른 설정은 기본값을 사용하거나 원하는 구성으로 변경합니다.
  5. 만들기를 클릭합니다.

부하 분산기 설정

Compute Engine의 인스턴스가 인스턴스 그룹에 있으면 아래 단계에 따라 부하 분산기를 설정합니다.

  1. 부하 분산 페이지로 이동합니다.
    부하 분산 페이지로 이동
  2. 부하 분산기 만들기를 클릭합니다.
  3. HTTP(S) 부하 분산 아래에서 구성 시작을 클릭합니다.
  4. 표시된 새 HTTP(S) 부하 분산기 패널에서 부하 분산기의 이름을 추가합니다.
  5. 백엔드 구성을 클릭한 후 백엔드 서비스를 만들거나 선택합니다. 새 백엔드 서비스를 만드는 경우 아래 단계를 따르세요.

    1. 백엔드 서비스의 이름을 추가합니다.
    2. 프로토콜 아래에서 HTTP 또는 HTTPS를 선택합니다. HTTPS의 경우 SSL을 제공하도록 각 인스턴스를 구성하고, 인증서를 설치해야 합니다. 하지만 자체 서명된 인증서를 포함하여 모든 인증서를 사용할 수 있습니다.
    3. 백엔드 > 새 백엔드 > 인스턴스 그룹에서 사용하려는 인스턴스 그룹을 선택합니다.
    4. Cloud CDN을 사용 설정하지 마세요. Cloud IAP에서 지원되지 않습니다. 다른 기본 설정은 그대로 유지하거나 원하는 대로 맞춤설정할 수 있습니다.
    5. 상태 확인 > 상태 확인 만들기에서 상태 확인의 이름을 추가합니다.

      Compute Engine 및 GKE 상태 확인은 JWT 헤더를 포함하지 않으며, Cloud IAP는 상태 확인을 처리하지 않습니다. 상태 확인이 액세스 오류를 반환할 경우, GCP Console에서 올바르게 구성되었는지 그리고 JWT 헤더 검증에서 상태 확인 경로가 허용 목록에 포함되었는지 확인합니다. 자세한 내용은 상태 확인 예외 만들기를 참조하세요.

  6. 호스트 및 경로 규칙에서 기본 설정을 유지할 수 있습니다.

  7. 프런트엔드 구성을 클릭한 후 아래 단계를 따릅니다.

    1. 프로토콜 아래에서 HTTPS를 선택합니다.
    2. 인증서 > 새 인증서 만들기 아래에서 인증서 이름을 추가한 후 공개 키 인증서 및 기타 세부정보를 필요에 따라 추가합니다.
  8. 부하 분산기 구성을 마쳤으면 만들기를 클릭합니다.

  9. 부하 분산 화면에서 부하 분산기의 IP:Port를 기록해둡니다. 부하 분산기를 통해 트래픽을 라우팅하도록 부하 분산기에 도메인을 등록합니다.

권장사항

방화벽

  • Compute Engine 또는 GKE에 대한 모든 요청이 부하 분산기를 통해 라우팅 되는지 확인합니다.
    • 상태 확인을 허용하도록 방화벽 규칙을 구성하고 VM(가상 머신)에 대한 모든 트래픽이 GFE(Google Front End) IP에서 시작되는지 확인합니다.
    • 추가 보호를 위해서는 앱에서 요청의 소스 IP가 방화벽 규칙이 허용하는 동일한 IP 범위에서 시작되는지 확인합니다.
  • 방화벽 규칙이 잘못 설정된 것으로 보이면 GCP Console에서 Cloud IAP가 오류 또는 경고를 표시합니다. Cloud IAP GCP Console은 각 서비스에 사용되는 VM을 감지하지 않기 때문에 기본값 이외의 네트워크 및 방화벽 규칙 태그와 같은 고급 기능이 방화벽 분석에 포함되지 않습니다. 이 분석을 우회하려면 gcloud compute backend-services update 명령어를 통해 Cloud IAP를 사용 설정합니다.

다음 단계

이 페이지가 도움이 되었나요? 평가를 부탁드립니다.

다음에 대한 의견 보내기...

Identity-Aware Proxy 문서