VPC 기반 클러스터 만들기

Autopilot Standard

이 페이지에서는 Google Kubernetes Engine(GKE)에서 VPC 기반 클러스터를 구성하는 방법을 설명합니다.

VPC 기반 클러스터의 이점과 요구사항에 대해 자세히 알아보려면 VPC 기반 클러스터 개요를 참조하세요.

GKE Autopilot 클러스터의 경우 VPC 기반 네트워크가 기본적으로 사용 설정되며 이는 재정의할 수 없습니다.

시작하기 전에

시작하기 전에 다음 태스크를 수행했는지 확인합니다.

Google Kubernetes Engine API를 사용 설정합니다.

Google Kubernetes Engine API 사용 설정

이 태스크에 Google Cloud CLI를 사용하려면 gcloud CLI를 설치한 후 초기화합니다. 이전에 gcloud CLI를 설치한 경우 gcloud components update를 실행하여 최신 버전을 가져옵니다.
참고: 기존 gcloud CLI 설치의 경우 compute/region 및 compute/zone 속성을 설정해야 합니다. 기본 위치를 설정하면 gcloud CLI에서 One of [--zone, --region] must be supplied: Please specify location과 같은 오류를 방지할 수 있습니다.

제한사항

VPC 기반 클러스터를 경로 기반 클러스터로 변환할 수 없으며 반대의 경우도 마찬가지입니다.

VPC 기반 클러스터에는 VPC 네트워크가 필요합니다. 이전 네트워크는 지원되지 않습니다.

GKE 클러스터와 마찬가지로 클러스터 내에서만 서비스(ClusterIP) 주소를 사용할 수 있습니다. 클러스터 외부에 있지만 클러스터의 VPC 네트워크와 리전 내에 있는 VM 인스턴스에서 Kubernetes 서비스에 액세스해야 하는 경우에는 내부 패스 스루 네트워크 부하 분산기를 만듭니다.
서브넷의 모든 포드 IP 주소를 사용하는 경우 클러스터를 불안정한 상태로 전환하지 않으면 서브넷의 보조 IP 주소 범위를 바꿀 수 없습니다. 그러나 연속되지 않은 다중 포드 CIDR을 사용하여 추가 포드 IP 주소 범위를 만들 수 있습니다.

클러스터 만들기

이 섹션에서는 클러스터를 만들 때 다음 태스크를 수행하는 방법을 보여줍니다.

클러스터와 서브넷을 동시에 만듭니다.
기존 서브넷에 클러스터를 만듭니다.
클러스터를 만들고 컨트롤 플레인 IP 주소 범위를 선택합니다.
새 서브넷에 이중 스택 네트워킹으로 클러스터를 만듭니다(Autopilot 클러스터 버전 1.25 이상 및 Standard 클러스터 버전 1.24 이상에서 가능).
이중 스택 클러스터와 이중 스택 서브넷을 동시에 만듭니다(Autopilot 클러스터 버전 1.25 이상 및 Standard 클러스터 버전 1.24 이상에서 가능).

클러스터 및 서브넷을 동시에 만들기

다음 안내에서는 VPC 기반 GKE 클러스터와 서브넷을 동시에 만드는 방법을 보여줍니다. 명령어 하나로 다음 두 단계를 수행하면 보조 범위 할당 방법을 GKE에서 관리하게 됩니다.

gcloud

VPC 기반 클러스터와 서브넷을 동시에 만들려면 다음 명령어를 실행합니다.

gcloud container clusters create CLUSTER_NAME \
    --location=COMPUTE_LOCATION \
    --enable-ip-alias \
    --create-subnetwork name=SUBNET_NAME,range=NODE_IP_RANGE \
    --cluster-ipv4-cidr=POD_IP_RANGE \
    --services-ipv4-cidr=SERVICES_IP_RANGE

다음을 바꿉니다.

CLUSTER_NAME: GKE 클러스터의 이름입니다.
COMPUTE_LOCATION: 클러스터의 Compute Engine 위치입니다.
SUBNET_NAME: 만들려는 서브넷의 이름입니다. 서브넷의 리전은 클러스터와 같은 리전(또는 영역 클러스터가 포함된 리전)입니다. GKE에서 이름을 자동으로 생성하도록 하려면 빈 문자열(name="")을 사용합니다.
NODE_IP_RANGE: CIDR 표기법을 따른 IP 주소 범위(예: 10.5.0.0/20) 또는 CIDR 블록의 서브넷 마스크 크기(예: /20)입니다. 이는 노드의 서브넷 기본 IP 주소 범위를 만드는 데 사용됩니다. 이를 생략하면 GKE는 VPC에서 크기가 /20인 사용 가능한 IP 범위를 선택합니다.
POD_IP_RANGE: CIDR 표기법을 따른 IP 주소 범위(예: 10.0.0.0/14) 또는 CIDR 블록의 서브넷 마스크 크기(예: /14)입니다. 이는 포드의 서브넷 보조 IP 주소 범위를 만드는 데 사용됩니다. 이를 생략하면 GKE는 2¹⁸개 주소를 포함하는 무작위로 선택된 /14 범위를 사용합니다. 자동으로 선택되는 범위는 10.0.0.0/8(2²⁴개 주소 범위)에서 무작위로 선택되고, VM 및 기존 경로에 할당된 IP 주소 범위 또는 다른 클러스터에 할당된 범위가 포함되지 않습니다. 자동으로 선택된 범위는 예약된 IP 주소, 동적 경로 또는 이 클러스터와 피어링하는 VPC 내의 경로와 충돌할 수 있습니다. 이 중 하나를 사용하는 경우 충돌을 방지하려면 --cluster-ipv4-cidr을 지정해야 합니다.
SERVICES_IP_RANGE: CIDR 표기법을 따른 IP 주소 범위(예: 10.4.0.0/19) 또는 CIDR 블록의 서브넷 마스크 크기(예: /19)입니다. 서비스의 서브넷 보조 IP 주소 범위를 만드는 데 사용됩니다. 이를 생략하면 GKE는 기본 서비스 IP 주소 범위 크기인 /20을 사용합니다.

콘솔

Google Cloud 콘솔을 사용하여 클러스터와 서브넷을 동시에 만들 수 없습니다. 대신 먼저 서브넷을 만든 후 기존 서브넷에 클러스터를 만듭니다.

API

VPC 기반 클러스터를 만들려면 클러스터 리소스에서 IPAllocationPolicy 객체를 정의합니다.

{
  "name": CLUSTER_NAME,
  "description": DESCRIPTION,
  ...
  "ipAllocationPolicy": {
    "useIpAliases": true,
    "createSubnetwork": true,
    "subnetworkName": SUBNET_NAME
  },
  ...
}

createSubnetwork 자동으로 클러스터의 서브네트워크를 만들고 프로비저닝합니다. subnetworkName 필드는 선택사항입니다. 이 필드를 비워두면 서브네트워크 이름이 자동으로 선택됩니다.

기존 서브넷에 클러스터 만들기

다음 안내에서는 원하는 보조 범위 할당 방법을 사용하여 기존 서브넷에서 VPC 기반 GKE 클러스터를 만드는 방법을 설명합니다.

gcloud

GKE에서 관리하는 보조 범위 할당 방법을 사용하려면 다음 명령어를 실행합니다.

gcloud container clusters create CLUSTER_NAME \
    --location=COMPUTE_LOCATION \
    --enable-ip-alias \
    --subnetwork=SUBNET_NAME \
    --cluster-ipv4-cidr=POD_IP_RANGE \
    --services-ipv4-cidr=SERVICES_IP_RANGE

사용자가 관리하는 보조 범위 할당 방법을 사용하려면 다음 명령어를 실행합니다.

gcloud container clusters create CLUSTER_NAME \
    --location=COMPUTE_LOCATION \
    --enable-ip-alias \
    --subnetwork=SUBNET_NAME \
    --cluster-secondary-range-name=SECONDARY_RANGE_PODS \
    --services-secondary-range-name=SECONDARY_RANGE_SERVICES

다음을 바꿉니다.

CLUSTER_NAME: GKE 클러스터의 이름입니다.
COMPUTE_LOCATION: 클러스터의 Compute Engine 위치입니다.
SUBNET_NAME: 기존 서브넷의 이름입니다. 서브넷의 기본 IP 주소 범위는 노드에 사용됩니다. 서브넷은 클러스터에서 사용되는 리전과 같은 리전에 있어야 합니다. 이를 생략하면 GKE는 클러스터 리전의 default VPC 네트워크에서 서브넷 사용을 시도합니다.
보조 범위 할당 방법을 GKE에서 관리하는 경우의 각 항목 의미는 다음과 같습니다.
- POD_IP_RANGE: CIDR 표기법을 따른 IP 주소 범위(예: 10.0.0.0/14) 또는 CIDR 블록의 서브넷 마스크 크기(예: /14)입니다. 이는 포드의 서브넷 보조 IP 주소 범위를 만드는 데 사용됩니다. --cluster-ipv4-cidr 옵션을 생략하면 GKE는 /14 범위(2¹⁸개의 주소)를 자동으로 선택합니다. 자동으로 선택되는 범위는 10.0.0.0/8(2²⁴개 주소 범위)에서 무작위로 선택되고, VM 및 기존 경로에 할당된 IP 주소 범위 또는 다른 클러스터에 할당된 범위가 포함되지 않습니다. 자동으로 선택된 범위는 예약된 IP 주소, 동적 경로 또는 이 클러스터와 피어링하는 VPC 내의 경로와 충돌할 수 있습니다. 이 중 하나를 사용하는 경우 충돌을 방지하려면 --cluster-ipv4-cidr을 지정해야 합니다.
- SERVICES_IP_RANGE: CIDR 표기법(예: 10.4.0.0/19) 또는 CIDR 블록의 서브넷 마스크 크기(예: /19)에서 IP 주소 범위입니다. 서비스의 서브넷 보조 IP 주소 범위를 만드는 데 사용됩니다.
보조 범위 할당 방법을 사용자가 관리하는 경우의 각 항목 의미는 다음과 같습니다.
- SECONDARY_RANGE_PODS: 지정된 SUBNET_NAME에 있는 기존 보조 IP 주소 범위의 이름입니다. GKE에서는 클러스터의 pod에 전체 서브넷 보조 IP 주소 범위를 사용합니다.
- SECONDARY_RANGE_SERVICES: 지정된 기존 보조 IP 주소 범위의 이름입니다.

콘솔

Google Cloud 콘솔에서 Google Kubernetes Engine 페이지로 이동합니다.

Google Kubernetes Engine으로 이동
만들기를 클릭하고 Standard 또는 Autopilot 섹션에서 구성을 클릭합니다.
탐색창의 클러스터에서 네트워킹을 클릭합니다.
네트워크 드롭다운 목록에서 VPC를 선택합니다.
노드 서브넷 드롭다운 목록에서 클러스터의 서브넷을 선택합니다.
VPC 기반 트래픽 라우팅 사용 설정(별칭 IP 사용) 체크박스가 선택되어 있는지 확인합니다.
GKE에서 보조 범위 할당 방법을 관리하려면 보조 범위 자동 생성 체크박스를 선택합니다. 선택한 서브넷의 보조 범위를 이미 만들었지만 보조 범위 할당 방법을 사용자가 관리하도록 하려면 이 체크박스를 선택 취소합니다.
포드 주소 범위 필드에 포드 범위(예: 10.0.0.0/14)를 입력합니다.
서비스 주소 범위 필드에 서비스 범위(예: 10.4.0.0/19)를 입력합니다.
클러스터를 구성합니다.
만들기를 클릭합니다.

Terraform

Terraform 모듈을 사용하여 Terraform을 통해 VPC 기반 클러스터를 만들 수 있습니다.

예를 들어 Terraform 구성에 다음 블록을 추가할 수 있습니다.

module "gke" {
  source  = "terraform-google-modules/kubernetes-engine/google"
  version = "~> 12.0"

  project_id        = "PROJECT_ID"
  name              = "CLUSTER_NAME"
  region            = "COMPUTE_LOCATION"
  network           = "NETWORK_NAME"
  subnetwork        = "SUBNET_NAME"
  ip_range_pods     = "SECONDARY_RANGE_PODS"
  ip_range_services = "SECONDARY_RANGE_SERVICES"
}

다음을 바꿉니다.

PROJECT_ID: 프로젝트 ID입니다.
CLUSTER_NAME: GKE 클러스터의 이름입니다.
COMPUTE_LOCATION: 클러스터의 Compute Engine 위치입니다. Terraform의 경우 Compute Engine 리전입니다.
NETWORK_NAME: 기존 네트워크 이름입니다.
SUBNET_NAME: 기존 서브넷의 이름입니다. 서브넷의 기본 IP 주소 범위는 노드에 사용됩니다. 서브넷은 클러스터에서 사용되는 리전과 같은 리전에 있어야 합니다.
SECONDARY_RANGE_PODS: 지정된 기존 보조 IP 주소 범위의 이름입니다.
SECONDARY_RANGE_SERVICES: 지정된 기존 보조 IP 주소 범위의 이름입니다.

API

VPC 기반 클러스터를 만들 때 IPAllocationPolicy 객체를 정의합니다. 기존 서브넷 보조 IP 주소 범위를 참조하거나 CIDR 블록을 지정할 수 있습니다. 기존 서브넷 보조 IP 주소 범위를 참조하여 보조 범위 할당 메서드를 사용자가 관리하는 클러스터를 만듭니다. 범위 할당 방법을 GKE에서 관리하려면 CIDR 블록을 제공합니다.

{
  "name": CLUSTER_NAME,
  "description": DESCRIPTION,
  ...
  "ipAllocationPolicy": {
    "useIpAliases": true,
    "clusterIpv4CidrBlock"      : string,
    "servicesIpv4CidrBlock"     : string,
    "clusterSecondaryRangeName" : string,
    "servicesSecondaryRangeName": string,

  },
  ...
}

이 명령어에는 다음 값이 포함됩니다.

"clusterIpv4CidrBlock": 포드의 CIDR 범위입니다. 이에 따라 포드 보조 범위의 크기가 결정되며 10.0.0.0/14와 같은 CIDR 표기법일 수 있습니다. 지정된 크기의 빈 공간이 VPC의 사용 가능한 공간에서 선택됩니다. 공백으로 두면 유효 범위가 발견되고 기본 크기로 생성됩니다.
"servicesIpv4CidrBlock": 서비스의 CIDR 범위입니다. "clusterIpv4CidrBlock"의 설명을 참조하세요.
"clusterSecondaryRangeName": 포드 보조 범위의 이름입니다. 보조 범위는 이미 있어야 하고 클러스터에 연결된 서브네트워크에 속해야 합니다.
"serviceSecondaryRangeName": 서비스 보조 범위의 이름입니다. 보조 범위는 이미 있어야 하고 클러스터에 연결된 서브네트워크에 속해야 합니다.

클러스터 만들기 및 컨트롤 플레인 IP 주소 범위 선택

기본적으로 Private Service Connect를 사용하는 클러스터는 기본 서브넷 범위를 사용하여 컨트롤 플레인 엔드포인트에 할당된 내부 IP 주소를 프로비저닝합니다. 클러스터 생성 시간 중에만 다른 서브넷 범위를 선택하여 기본 설정을 재정의할 수 있습니다. 다음 섹션에서는 Private Service Connect로 클러스터를 만들고 서브넷 범위를 재정의하는 방법을 보여줍니다.

gcloud

Private Service Connect가 공개로 정의된 클러스터 만들기

gcloud container clusters create CLUSTER_NAME \
    --private-endpoint-subnetwork=SUBNET_NAME \
    --location=COMPUTE_LOCATION

--enable-private-nodes 플래그를 추가하여 Private Service Connect 클러스터를 비공개로 만듭니다.

다음을 바꿉니다.

CLUSTER_NAME: GKE 클러스터의 이름입니다.
SUBNET_NAME: 기존 서브넷의 이름입니다.
COMPUTE_LOCATION: 클러스터의 Compute Engine 위치입니다.

GKE는 Private Service Connect로 클러스터를 만듭니다.

비공개로 정의된 클러스터 만들기

GKE 버전 1.29 이상에서는 Private Service Connect로 클러스터를 만들 수 있습니다. Private Service Connect를 사용하여 비공개 클러스터에 서브넷을 만들 때 --master-ipv4-cidr 매개변수는 선택사항입니다. 비공개 클러스터를 만들려면 다음 안내를 따르세요.

gcloud container clusters create CLUSTER_NAME --enable-ip-alias \
    --enable-private-nodes  \
    --private-endpoint-subnetwork=SUBNET_NAME \
    --region=COMPUTE_REGION

다음을 바꿉니다.

CLUSTER_NAME: GKE 클러스터의 이름입니다.
SUBNET_NAME: 기존 서브넷의 이름입니다. private-endpoint-subnetwork 플래그에 대한 값을 제공하지 않지만 master-ipv4-cidr을 사용하는 경우 GKE는 master-ipv4-cidr에서 정의한 값을 사용하는 새 서브넷을 만듭니다. GKE는 새 서브넷을 사용하여 컨트롤 플레인의 내부 IP 주소를 프로비저닝합니다.
COMPUTE_LOCATION: 클러스터의 Compute Engine 위치입니다.

콘솔

공개로 정의된 클러스터를 만듭니다.

새 클러스터의 컨트롤 플레인에 서브넷을 할당하려면 먼저 서브넷을 추가해야 합니다. 다음 단계를 완료하세요.

Google Cloud 콘솔에서 Google Kubernetes Engine 페이지로 이동합니다.

Google Kubernetes Engine으로 이동
만들기를 클릭합니다.
표준 또는 Autopilot 섹션에서 구성을 클릭합니다.
이름에 클러스터 이름을 입력합니다.
Standard 클러스터의 경우 탐색창의 클러스터에서 네트워킹을 클릭합니다.
IPv4 네트워크 액세스 섹션에서 다음을 수행합니다.
1. GKE 클러스터를 공개로 만들려면 공개 클러스터를 선택합니다.
2. GKE 클러스터를 비공개로 만들려면 비공개 클러스터를 선택합니다.
두 경우 모두 나중에 클러스터 구성을 수정할 때 클러스터 격리 모드를 변경할 수 있습니다.
고급 네트워킹 옵션 섹션에서 컨트롤 플레인의 기본 비공개 엔드포인트 서브넷 재정의 체크박스를 선택합니다.
비공개 엔드포인트 서브넷 목록에서 사용자가 만든 서브넷을 선택합니다.
완료를 클릭합니다. 필요에 따라 승인된 네트워크를 더 추가합니다.

이중 스택 네트워킹으로 클러스터 만들기

신규 또는 기존 이중 스택 서브넷에서 IPv4/IPv6 이중 스택 네트워킹으로 클러스터를 만들 수 있습니다. 이중 스택 서브넷은 Autopilot 클러스터 버전 1.25 이상과 Standard 클러스터 버전 1.24 이상에서 사용 가능합니다. 이중 스택 서브넷은 Windows Server 노드 풀에서 지원되지 않습니다.

이중 스택 클러스터를 설정하기 전에 다음 작업을 완료하는 것이 좋습니다.

이중 스택 네트워킹에서 GKE 클러스터의 이점과 요구사항에 대해 자세히 알아보세요.
이중 스택 네트워킹의 제한 및 한도를 참조하세요.

이 섹션에서는 먼저 이중 스택 서브넷을 만들고 이 서브넷을 사용하여 클러스터를 만듭니다.

이중 스택 서브넷을 만들려면 다음 명령어를 실행합니다.
```
gcloud compute networks subnets create SUBNET_NAME \
    --stack-type=ipv4-ipv6 \
    --ipv6-access-type=ACCESS_TYPE \
    --network=NETWORK_NAME \
    --range=PRIMARY_RANGE \
    --region=COMPUTE_REGION
```
다음을 바꿉니다.
- SUBNET_NAME: 선택한 서브넷의 이름입니다.
- ACCESS_TYPE: 공개 인터넷으로의 라우팅 가능 여부입니다. 비공개 클러스터의 경우 INTERNAL, 공개 클러스터의 경우 EXTERNAL입니다. --ipv6-access-type을 지정하지 않으면 기본 액세스 유형이 EXTERNAL입니다.
- NETWORK_NAME: 새 서브넷을 포함할 네트워크의 이름입니다. 이 네트워크는 다음 조건을 충족해야 합니다.
  - 커스텀 모드 VPC 네트워크여야 합니다. 자세한 내용은 자동 모드에서 커스텀 모드로 VPC 네트워크를 전환하는 방법을 참조하세요.
  - ACCESS_TYPE을 INTERNAL로 바꾸는 경우 네트워크가 고유한 로컬 IPv6 유니캐스트 주소(ULA)를 사용해야 합니다.
- PRIMARY_RANGE: CIDR 표기법으로 표시된 새 서브넷의 기본 IPv4 IP 주소 범위입니다. 자세한 내용은 서브넷 범위를 참조하세요.
- COMPUTE_REGION: 클러스터의 컴퓨팅 리전입니다.
이중 스택 서브넷으로 클러스터를 만들려면 gcloud CLI 또는 Google Cloud 콘솔을 사용합니다.

gcloud

Autopilot 클러스터의 경우 다음 명령어를 실행합니다.
```
  gcloud container clusters create-auto CLUSTER_NAME \
      --location=COMPUTE_LOCATION \
      --network=NETWORK_NAME \
      --subnetwork=SUBNET_NAME
```
다음을 바꿉니다.
- CLUSTER_NAME: 새 Autopilot 클러스터의 이름입니다.
- COMPUTE_LOCATION: 클러스터의 Compute Engine 위치입니다.
- NETWORK_NAME: 서브넷이 포함된 VPC 네트워크의 이름입니다. 이 VPC 네트워크는 커스텀 모드 VPC 네트워크여야 합니다. 자세한 내용은 자동 모드에서 커스텀 모드로 VPC 네트워크를 전환하는 방법을 참조하세요.
- SUBNET_NAME: 이중 스택 서브넷의 이름입니다.
  
  이중 스택 서브넷을 사용하면 GKE Autopilot 클러스터가 기본적으로 이중 스택 클러스터로 설정됩니다. 클러스터를 만든 후 Autopilot 클러스터를 IPv4 전용으로 업데이트할 수 있습니다.

Standard 클러스터의 경우 다음 명령어를 실행합니다.
```
gcloud container clusters create CLUSTER_NAME \
    --enable-ip-alias \
    --enable-dataplane-v2 \
    --stack-type=ipv4-ipv6 \
    --network=NETWORK_NAME \
    --subnetwork=SUBNET_NAME \
    --location=COMPUTE_LOCATION
```
다음을 바꿉니다.
- CLUSTER_NAME: 새 클러스터의 이름
- NETWORK_NAME: 서브넷이 포함된 VPC 네트워크의 이름입니다. 이 VPC 네트워크는 고유한 로컬 IPv6 유니캐스트 주소(ULA)를 사용하는 커스텀 모드 VPC 네트워크여야 합니다. 자세한 내용은 자동 모드에서 커스텀 모드로 VPC 네트워크를 전환하는 방법을 참조하세요.
- SUBNET_NAME: 서브넷의 이름입니다.
- COMPUTE_LOCATION: 클러스터의 Compute Engine 위치입니다.

콘솔

Google Cloud 콘솔에서 Google Kubernetes Engine 페이지로 이동합니다.

Google Kubernetes Engine으로 이동
만들기를 클릭합니다.
표준 또는 Autopilot 섹션에서 구성을 클릭합니다.
필요에 따라 클러스터를 구성합니다.
탐색창의 클러스터에서 네트워킹을 클릭합니다.
네트워크 목록에서 네트워크 이름을 선택합니다.
노드 서브넷 목록에서 이중 스택 서브넷 이름을 선택합니다.
Standard 클러스터의 경우 IPv4 및 IPv6(이중 스택) 라디오 버튼을 선택합니다. 이중 스택 서브넷을 선택한 경우에만 이 옵션을 사용할 수 있습니다.

이중 스택 서브넷을 사용하면 Autopilot 클러스터가 기본적으로 이중 스택 클러스터로 설정됩니다.
만들기를 클릭합니다.

이중 스택 클러스터 및 서브넷 동시에 만들기

서브넷과 이중 스택 클러스터를 동시에 만들 수 있습니다. GKE가 IPv6 서브넷을 만들고 서브넷에 외부 IPv6 기본 범위를 할당합니다.

공유VPC를 사용하는 경우에는 클러스터와 서브넷을 동시에 만들 수 없습니다. 대신 공유 VPC 호스트 프로젝트의 네트워크 관리지가 이중 스택 서브넷을 먼저 만들어야 합니다.

Autopilot 클러스터의 경우 다음 명령어를 실행합니다.
```
gcloud container clusters create-auto CLUSTER_NAME \
    --location=COMPUTE_LOCATION \
    --network=NETWORK_NAME \
    --create-subnetwork name=SUBNET_NAME
```
다음을 바꿉니다.
- CLUSTER_NAME: 새 Autopilot 클러스터의 이름입니다.
- COMPUTE_LOCATION: 클러스터의 Compute Engine 위치입니다.
- NETWORK_NAME: 서브넷이 포함된 VPC 네트워크의 이름입니다. 이 VPC 네트워크는 고유한 로컬 IPv6 유니캐스트 주소(ULA)를 사용하는 커스텀 모드 VPC 네트워크여야 합니다. 자세한 내용은 자동 모드에서 커스텀 모드로 VPC 네트워크를 전환하는 방법을 참조하세요.
- SUBNET_NAME: 새 서브넷의 이름입니다. GKE가 조직 정책에 따라 서브넷을 만들 수 있습니다.
  - 조직 정책에서 이중 스택을 허용하고 네트워크가 커스텀 모드인 경우 GKE가 이중 스택 서브넷을 만들고 서브넷에 외부 IPv6 기본 범위를 할당합니다.
  - 조직 정책에서 이중 스택을 허용하지 않거나 네트워크가 자동 모드인 경우에는 GKE에서 단일 스택(IPv4) 서브넷을 만듭니다.

Standard 클러스터의 경우 다음 명령어를 실행합니다.
```
gcloud container clusters create CLUSTER_NAME \
    --enable-ip-alias \
    --stack-type=ipv4-ipv6 \
    --ipv6-access-type=ACCESS_TYPE \
    --network=NETWORK_NAME \
    --create-subnetwork name=SUBNET_NAME,range=PRIMARY_RANGE \
    --location=COMPUTE_LOCATION
```
다음을 바꿉니다.
- CLUSTER_NAME: 선택한 새 클러스터의 이름입니다.
- ACCESS_TYPE: 공개 인터넷으로의 라우팅 가능 여부입니다. 비공개 클러스터의 경우 INTERNAL, 공개 클러스터의 경우 EXTERNAL입니다. --ipv6-access-type을 지정하지 않으면 기본 액세스 유형이 EXTERNAL입니다.
- NETWORK_NAME: 새 서브넷을 포함할 네트워크의 이름입니다. 이 네트워크는 다음 조건을 충족해야 합니다.
  - 커스텀 모드 VPC 네트워크여야 합니다. 자세한 내용은 자동 모드에서 커스텀 모드로 VPC 네트워크를 전환하는 방법을 참조하세요.
  - ACCESS_TYPE을 INTERNAL로 바꾸는 경우 네트워크가 고유한 로컬 IPv6 유니캐스트 주소(ULA)를 사용해야 합니다.
- SUBNET_NAME: 선택한 새 서브넷의 이름입니다.
- PRIMARY_RANGE: CIDR 표기법으로 표시된 새 서브넷의 기본 IPv4 주소 범위입니다. 자세한 내용은 서브넷 범위를 참조하세요.
- COMPUTE_LOCATION: 클러스터의 Compute Engine 위치입니다.

스택 유형 업데이트

기존 클러스터의 스택 유형을 변경하거나 기존 서브넷을 이중 스택 서브넷으로 업데이트할 수 있습니다.

기존 클러스터의 스택 유형 업데이트

기존 클러스터의 스택 유형을 변경하기 전에 다음 제한사항을 고려하세요.

스택 유형 변경은 버전 1.25 이상을 실행하는 새 GKE 클러스터에서 지원됩니다. 버전 1.24에서 버전 1.25 또는 1.26으로 업그레이드된 GKE 클러스터에서 이중 스택 네트워크를 사용 설정할 때 검증 오류가 발생할 수 있습니다. 오류가 발생하면 Google Cloud 지원팀에 문의하세요.
스택 유형을 변경하면 GKE가 컨트롤 플레인 및 노드에서 구성요소를 모두 다시 시작하기 때문에 작업이 중단됩니다.
GKE는 노드를 다시 만들 때 구성된 유지보수 기간을 준수합니다. 즉, 다음 유지보수 기간이 되기 전까지 해당 클러스터 스택 유형이 클러스터에서 작동하지 않습니다. 기다리지 않으려면 --cluster-version 플래그를 컨트롤 플레인에서 이미 실행 중인 것과 동일한 GKE 버전으로 설정하여 노드 풀을 수동으로 업그레이드합니다. 이러한 해결 방법을 사용하려면 gcloud CLI를 사용해야 합니다. 자세한 내용은 유지보수 기간 주의사항을 참조하세요.
스택 유형을 변경해도 기존 서비스의 IP 제품군이 자동으로 변경되지 않습니다. 다음 조건이 적용됩니다.
- 단일 스택을 이중 스택으로 변경할 경우 기존 서비스는 단일 스택으로 유지됩니다.
- 이중 스택을 단일 스택으로 변경하면 IPv6 주소가 포함된 기존 서비스에 오류가 발생합니다. 서비스를 삭제하고 올바른 ipFamilies로 서비스를 만듭니다. 자세한 내용은 배포 설정 방법 예시를 참조하세요.

기존 VPC 기반 클러스터를 업데이트하려면 gcloud CLI 또는 Google Cloud 콘솔을 사용하면 됩니다.

gcloud

다음 명령어를 실행합니다.

  gcloud container clusters update CLUSTER_NAME \
      --stack-type=STACK_TYPE \
      --location=COMPUTE_LOCATION

다음을 바꿉니다.

CLUSTER_NAME: 업데이트하려는 클러스터의 이름입니다.
STACK_TYPE: 스택 유형입니다. 다음 값 중 하나로 바꿉니다.
- ipv4: 이중 스택 클러스터를 IPv4 전용 클러스터로 업데이트합니다. GKE에서 클러스터 서브넷의 기본 IPv4 주소 범위를 사용합니다.
- ipv4-ipv6: 기존 IPv4 클러스터를 이중 스택으로 업데이트합니다. 기본 서브넷이 이중 스택을 지원하는 경우에만 클러스터를 이중 스택으로 변경할 수 있습니다. 자세한 내용은 기존 서브넷을 이중 스택 서브넷으로 업데이트를 참조하세요.
COMPUTE_LOCATION: 클러스터의 Compute Engine 위치입니다.

콘솔

Google Cloud 콘솔에서 Google Kubernetes Engine 페이지로 이동합니다.

Google Kubernetes Engine으로 이동
수정하려는 클러스터 옆에 있는 작업을 클릭한 다음 수정을 클릭합니다.
네트워킹 섹션에서 스택 유형 옆에 있는 수정을 클릭합니다.
스택 유형 수정 대화상자에서 필요한 클러스터 스택 유형의 체크박스를 선택합니다.
변경사항 저장을 클릭합니다.

기존 서브넷을 이중 스택 서브넷으로 업데이트합니다(Autopilot 클러스터 버전 1.25 이상 및 Standard 클러스터 버전 1.24 이상에서 가능).

기존 서브넷을 이중 스택 서브넷으로 업데이트

기존 서브넷을 이중 스택 서브넷으로 업데이트하려면 다음 명령어를 실행합니다. 서브넷을 업데이트해도 서브넷의 기존 IPv4 클러스터에는 영향을 주지 않습니다.

gcloud compute networks subnets update SUBNET_NAME \
    --stack-type=ipv4-ipv6 \
    --ipv6-access-type=ACCESS_TYPE \
    --region=COMPUTE_REGION

다음을 바꿉니다.

SUBNET_NAME: 서브넷의 이름입니다.
ACCESS_TYPE: 공개 인터넷으로의 라우팅 가능 여부입니다. 비공개 클러스터의 경우 INTERNAL, 공개 클러스터의 경우 EXTERNAL입니다. --ipv6-access-type을 지정하지 않으면 기본 액세스 유형이 EXTERNAL입니다.
COMPUTE_REGION: 클러스터의 컴퓨팅 리전입니다.

스택 유형, 포드, 서비스 IP 주소 범위 확인

VPC 기반 클러스터를 만든 후 포드와 서비스 범위를 확인할 수 있습니다.

gcloud

클러스터를 확인하려면 다음 명령어를 실행합니다.

gcloud container clusters describe CLUSTER_NAME

출력에 ipAllocationPolicy 블록이 포함됩니다. stackType 필드는 네트워크 정의 유형을 설명합니다. 각 유형마다 다음 네트워크 정보를 확인할 수 있습니다.

IPv4 네트워크 정보:
- clusterIpv4Cidr은 포드의 보조 범위입니다.
- servicesIpv4Cidr은 서비스의 보조 범위입니다.
IPv6 네트워크 정보(클러스터에 이중 스택 네트워킹이 있는 경우):
- ipv6AccessType: 공개 인터넷으로의 라우팅 가능 여부입니다. 비공개 IPv6 주소의 경우 INTERNAL, 공개 IPv6 주소의 경우 EXTERNAL입니다.
- subnetIpv6CidrBlock: 새 서브넷의 보조 IPv6 주소 범위입니다.
- servicesIpv6CidrBlock: 이중 스택 클러스터에서 IPv6 서비스에 할당된 주소 범위입니다.

콘솔

클러스터를 확인하려면 다음 단계를 수행합니다.

Google Cloud 콘솔에서 Google Kubernetes Engine 페이지로 이동합니다.

Google Kubernetes Engine으로 이동
클러스터 목록에서 검사하려는 클러스터 이름을 클릭합니다.

보조 범위는 네트워킹 섹션에 표시됩니다.

포드 주소 범위는 포드의 보조 범위입니다.
서비스 주소 범위는 서비스의 보조 범위입니다.

내부 IP 주소의 고급 구성

다음 섹션에서는 비RFC 1918 비공개 IP 주소 범위를 사용하고 비공개로 사용되는 공개 IP 주소 범위를 사용 설정하는 방법을 보여줍니다.

비RFC 1918 IP 주소 범위 사용

GKE 클러스터는 노드, 포드, 서비스에 RFC 1918 범위 밖에 있는 IP 주소 범위를 사용할 수 있습니다. 서브넷 범위의 내부 IP 주소로 사용할 수 있는 비RFC 1918 비공개 범위 목록은 VPC 네트워크 문서의 유효한 범위를 참조하세요.

이 기능은 Windows Server 노드 풀에서 지원되지 않습니다.

RFC 1918 이외의 IP 주소 범위는 비공개 클러스터 및 비공개가 아닌 클러스터와 호환됩니다.

RFC 1918 이외의 비공개 범위는 서브넷 범위입니다. 이 범위는 RFC 1918 서브넷 범위와 함께 사용하거나 단독으로 사용할 수 있습니다. 노드, 포드, 서비스는 VPC 기반 클러스터의 IP 범위에 설명된 대로 서브넷 범위를 계속 사용합니다. RFC 1918 이외의 범위를 사용할 경우 다음 사항에 유의하세요.

서브넷 범위, 심지어 RFC 1918 이외의 범위를 사용하는 서브넷 범위도 클러스터 노드를 만들기 전에 수동으로 또는 GKE에서 할당해야 합니다. 클러스터를 교체하지 않으면 비RFC 1918 서브넷 범위 사용으로 전환하거나 사용을 중지할 수 없습니다.
내부 패스 스루 네트워크 부하 분산기는 서브넷의 기본 IP 주소 범위의 IP 주소만 사용합니다. RFC 1918 이외의 주소로 내부 패스 스루 네트워크 부하 분산기를 만들려면 서브넷의 기본 IP 주소 범위는 RFC 1918이 아니어야 합니다.

클러스터 외부의 대상은 RFC 1918 이외의 비공개 범위에서 트래픽을 수신하는 데 문제가 발생할 수 있습니다. 예를 들어 RFC 1112(클래스 E) 비공개 범위는 일반적으로 멀티캐스트 주소로 사용됩니다. 소스가 RFC 1918 범위 외부의 비공개 IP 주소인 패킷을 클러스터 외부의 대상이 처리할 수 없는 경우 다음을 수행할 수 있습니다.

서브넷의 기본 IP 주소 범위에 RFC 1918 범위를 사용합니다. 이렇게 하면 클러스터의 노드가 RFC 1918 주소를 사용합니다.

클러스터에서 IP 매스커레이드 에이전트를 실행 중이며 대상이 nonMasqueradeCIDRs 목록에 없는지 확인합니다. 이렇게 하면 포드에서 전송된 패킷에 소스(SNAT)가 RFC 1918인 노드 주소로 변경됩니다.

비공개로 사용되는 외부 IP 주소 범위 사용 설정

GKE 클러스터는 특정 외부 IP 주소 범위를 내부 서브넷 IP 주소 범위로 비공개로 사용할 수 있습니다. VPC 네트워크 문서에 설명된 대로 특정 제한된 범위를 제외한 모든 외부 IP 주소를 비공개로 사용할 수 있습니다. 이 기능은 Windows Server 노드 풀에서 지원되지 않습니다.

비공개로 사용되는 외부 IP 주소 범위를 사용하려면 클러스터가 VPC 기반 클러스터여야 합니다. 경로 기반 클러스터는 지원되지 않습니다.

비공개로 사용되는 외부 범위는 서브넷 범위입니다. 단독으로 또는 비공개 주소를 사용하는 다른 서브넷 범위와 함께 사용할 수 있습니다. 노드, 포드, 서비스는 VPC 기반 클러스터의 IP 범위에 설명된 대로 서브넷 범위를 계속 사용합니다. 외부 IP 주소를 비공개로 다시 사용할 때는 다음 사항에 유의하세요.

외부 IP 주소 범위를 서브넷 범위로 사용할 경우, 클러스터는 더 이상 해당 외부 범위를 사용하는 인터넷상의 시스템과 통신할 수 없습니다. 범위는 클러스터의 VPC 네트워크에서 내부 IP 주소 범위가 됩니다.
서브넷 범위, 심지어 외부 IP 주소 범위를 비공개로 사용하는 서브넷 범위도 클러스터 노드를 만들기 전에 수동으로 또는 GKE에서 할당해야 합니다. 클러스터를 교체하지 않으면 비공개로 사용되는 외부 IP 주소 사용으로 전환하거나 사용을 중지할 수 없습니다.

GKE는 기본적으로 노드의 SNAT을 외부 IP 대상에 구현합니다. 외부 IP 주소를 사용하도록 포드 CIDR을 구성한 경우 SNAT 규칙이 포드 간 트래픽에 적용됩니다. 이를 방지하기 위해 다음 2가지 옵션이 있습니다.

--disable-default-snat 플래그로 클러스터를 만듭니다. 이 플래그에 대한 자세한 내용은 GKE의 IP 매스커레이딩을 참조하세요.
최소한 포드 CIDR, 서비스 CIDR, 노드 서브넷을 nonMasqueradeCIDRs 목록에 포함하여 configMap ip-masq-agent을 구성합니다.

Standard 클러스터의 경우 클러스터 버전이 1.14 이상이면 두 옵션이 모두 작동합니다. 클러스터 버전이 1.14 이전이면 두 번째 옵션(ip-masq-agent 구성)만 사용할 수 있습니다.