비공개 클러스터 정보

이 페이지에서는 Google Kubernetes Engine(GKE)에서 비공개 클러스터가 작동하는 방식을 설명합니다. 비공개 클러스터를 만드는 방법도 알아볼 수 있습니다.

비공개 클러스터는 외부 IP 주소가 없는 노드를 사용합니다. 즉, 인터넷의 클라이언트가 노드의 IP 주소에 연결할 수 없습니다. 비공개 클러스터는 데이터 개인 정보 보호 및 보안 규정으로 인해 액세스 제어가 필요한 워크로드 등에 적합합니다.

비공개 클러스터는 표준 모드나 Autopilot 모드로 사용할 수 있습니다.

비공개 클러스터 아키텍처

공개 클러스터와 달리 비공개 클러스터에는 제어 영역 내부 엔드포인트와 제어 영역 외부 엔드포인트가 모두 있습니다.

다음 다이어그램은 비공개 클러스터의 아키텍처를 간략하게 보여줍니다.

다음은 비공개 클러스터의 핵심 구성요소입니다.

제어 영역: 제어 영역에는 내부 클러스터 통신을 위한 내부 엔드포인트와 외부 엔드포인트가 모두 있습니다. 외부 엔드포인트를 중지할 수 있습니다.
노드: 노드는 내부 IP 주소만 사용하여 공개 인터넷과 격리합니다.
VPC 네트워크: 특별히 클러스터의 노드 및 포드를 위한 내부 IP 주소 범위로 서브넷을 만드는 가상 네트워크입니다.
비공개 Google 액세스: 클러스터의 서브넷에서 사용 설정되며, 내부 IP 주소가 있는 노드가 공개 IP 주소 없이 필수 Google Cloud API 및 서비스에 연결할 수 있도록 허용합니다. 예를 들어 비공개 클러스터가 Artifact Registry에서 컨테이너 이미지에 액세스하고 Cloud Logging으로 로그를 전송하려면 비공개 Google 액세스가 필요합니다. 비공개 Google 액세스는 수동 사용 설정이 필요한 공유 VPC 클러스터를 제외하고 비공개 클러스터에서 기본적으로 사용 설정됩니다.

비공개 클러스터의 제어 영역

모든 GKE 클러스터에는 제어 영역에서 관리되는 하는 Kubernetes API 서버가 있습니다.

제어 영역은 Google 관리 프로젝트의 VPC 네트워크에 있는 가상 머신(VM)에서 실행됩니다. 리전 클러스터에는 여러 제어 영역의 복제본이 있으며 각 복제본은 자체 VM에서 실행됩니다.

비공개 클러스터에서 제어 영역의 VPC 네트워크는 VPC 네트워크 피어링을 통해 클러스터의 VPC 네트워크에 연결됩니다. VPC 네트워크에는 클러스터 노드가 포함되고 Google 관리 Google Cloud VPC 네트워크에는 클러스터의 제어 영역이 포함됩니다.

노드와 제어 영역 간의 트래픽은 전적으로 내부 IP 주소를 통해 라우팅됩니다. VPC 네트워크 피어링을 사용하여 클러스터의 VPC 네트워크를 세 번째 네트워크에 연결하면 세 번째 네트워크는 제어 영역의 VPC 네트워크에 있는 리소스에 도달할 수 없습니다. 이는 VPC 네트워크 피어링이 직접 피어링된 네트워크 간의 통신만 지원하고 세 번째 네트워크는 제어 영역 네트워크와 피어링될 수 없기 때문입니다. 자세한 내용은 VPC 네트워크 피어링 제한을 참조하세요.

비공개 클러스터의 엔드포인트

비공개 클러스터의 제어 영역에는 외부 엔드포인트 외에도 내부 엔드포인트가 있습니다.

내부 엔드포인트는 제어 영역의 VPC 네트워크에 있는 내부 IP 주소입니다. 비공개 클러스터에서 노드는 항상 제어 영역의 내부 엔드포인트와 통신합니다. 구성에 따라 kubectl와 같은 도구를 사용하여 클러스터를 관리할 수 있으며 이 도구는 비공개 엔드포인트에도 연결됩니다. 비공개 클러스터와 동일한 서브넷을 사용하는 모든 VM은 내부 엔드포인트에 액세스할 수도 있습니다.

외부 엔드포인트는 제어 영역의 외부 IP 주소입니다. 기본적으로 kubectl와 같은 도구는 외부 엔드포인트에서 제어 영역과 통신합니다.

클러스터 엔드포인트 액세스 옵션

다음 구성 중 하나를 사용하여 엔드포인트에 대한 액세스를 제어할 수 있습니다.

외부 엔드포인트 액세스 중지: 제어 영역에 대한 모든 인터넷 액세스를 차단하므로 가장 안전한 옵션입니다. Cloud Interconnect 또는 Cloud VPN을 사용하여 온프레미스 네트워크를 Google Cloud에 연결하도록 구성한 경우에 적합합니다.

외부 엔드포인트 액세스를 중지하면 내부 엔드포인트에 승인된 네트워크를 구성해야 합니다. 이 작업을 수행하지 않으면 클러스터와 동일한 서브넷의 클러스터 노드 또는 VM에서만 내부 엔드포인트에 연결할 수 있습니다. 이 설정의 경우 승인된 네트워크는 내부 IP 주소여야 합니다.
중요: 외부 엔드포인트에 대한 액세스를 중지하더라도 Google에서 예약 유지보수 및 자동 제어 영역 업그레이드와 같은 클러스터 관리 목적으로 제어 영역의 외부 엔드포인트를 사용할 수 있습니다.
외부 엔드포인트 액세스 사용 설정, 승인된 네트워크 사용 설정: 이 구성에서 승인된 네트워크는 제어 영역의 외부 엔드포인트에 적용됩니다. 이는 Cloud Interconnect 또는 Cloud VPN을 사용하여 클러스터의 VPC 네트워크에 연결되지 않은 소스 네트워크에서 클러스터를 관리해야 하는 경우에 적합합니다.
외부 엔드포인트 액세스 사용 설정, 승인된 네트워크 중지: 기본값이며 최소한으로 제한되는 옵션입니다. 승인된 네트워크를 사용 설정하지 않으므로 인증 후 모든 소스 IP 주소에서 클러스터를 관리할 수 있습니다.

VPC 네트워크 피어링 재사용

2020년 1월 15일 이후에 생성된 비공개 클러스터는 클러스터가 같은 Google Cloud 영역 또는 리전에 있고 동일한 VPC 네트워크를 사용하는 경우 공통 VPC 네트워크 피어링 연결을 사용합니다.

영역 클러스터: 영역에서 처음 만드는 비공개 클러스터는 클러스터의 VPC 네트워크에 대한 새로운 VPC 네트워크 피어링 연결을 생성합니다. 동일한 영역 및 VPC 네트워크에서 만드는 추가 영역 비공개 클러스터는 동일한 피어링 연결을 사용합니다.
리전 클러스터: 리전에서 처음 만드는 비공개 클러스터는 클러스터의 VPC 네트워크에 대한 새로운 VPC 네트워크 피어링 연결을 생성합니다. 동일한 리전 및 VPC 네트워크에서 만드는 추가 리전 비공개 클러스터는 동일한 피어링 연결을 사용합니다.

영역 및 리전 클러스터는 동일한 리전에 있더라도 자체 피어링 연결을 사용합니다. 예를 들면 다음과 같습니다.

us-east1-b 영역에서 영역 비공개 클러스터를 두 개 이상 만들고 동일한 VPC 네트워크를 사용하도록 구성합니다. 두 클러스터 모두 동일한 피어링 연결을 사용합니다.
us-east1 리전에서 리전 비공개 클러스터를 두 개 이상 만들고 영역 클러스터와 동일한 VPC 네트워크를 사용하도록 구성합니다. 이러한 리전 클러스터는 서로 동일한 VPC 네트워크 피어링 연결을 사용하지만 영역 클러스터와 통신하려면 다른 피어링 연결이 필요합니다.

2020년 1월 15일 이전에 만든 모든 비공개 클러스터는 고유한 VPC 네트워크 피어링 연결을 사용합니다. 즉, 이러한 클러스터는 다른 영역 또는 리전 클러스터와 동일한 피어링 연결을 사용하지 않습니다. 이러한 클러스터에서 VPC 네트워크 피어링 재사용을 사용 설정하려면 클러스터를 삭제하고 다시 만들면 됩니다. 클러스터를 업그레이드해도 클러스터는 기존 VPC 네트워크 피어링 연결을 재사용하지 않습니다.

비공개 클러스터가 공통 VPC 네트워크 피어링 연결을 사용하는지 확인하려면 VPC 피어링 재사용 확인을 참조하세요.

제한사항

클러스터에 VPC 네트워크 피어링 재사용이 사용 설정된 경우 각 영역 또는 리전에서 비공개 클러스터를 최대 75개까지 지원할 수 있습니다.

참고: 위치당 비공개 클러스터를 75개를 초과하여 구성하려면 Google Cloud 지원팀에 문의하세요. 이는 클러스터에 VPC 네트워크 피어링 재사용이 사용 설정된 경우에만 적용됩니다.

예를 들어 us-east1-a에 비공개 영역 클러스터를 최대 75개까지 만들고 us-east1에 다른 비공개 리전 클러스터 75개를 만들 수 있습니다. 공유 VPC 네트워크에서 비공개 클러스터를 사용하는 경우에도 마찬가지입니다.
단일 VPC 네트워크의 최대 연결 수는 25개이므로 고유한 위치 25개를 사용하는 비공개 클러스터만 만들 수 있습니다.
VPC 네트워크 피어링 재사용은 같은 위치에 있는 클러스터(예: 같은 리전에 있는 리전 클러스터 또는 같은 영역에 있는 영역 클러스터)에만 적용됩니다. 리전의 모든 영역에 리전 클러스터와 영역 클러스터를 모두 만드는 경우 리전마다 VPC 네트워크 피어링이 최대 4개까지 있을 수 있습니다.
2020년 1월 15일 이전에 만든 클러스터의 경우 각 VPC 네트워크가 최대 25개의 다른 VPC 네트워크와 피어링할 수 있습니다. 즉, 이러한 클러스터는 네트워크당 비공개 클러스터가 최대 25개로 제한됩니다(피어링이 다른 목적으로 사용되지 않는다고 가정).