이 페이지에서는 GKE 클러스터에 게이트웨이를 배포할 때 Google Kubernetes Engine(GKE)이 만드는 부하 분산기를 구성하는 방법을 보여줍니다.
게이트웨이를 배포할 때 GatewayClass 구성이 GKE에서 만드는 부하 분산기를 결정합니다. 이 관리형 부하 분산기는 정책을 사용하여 수정할 수 있는 기본 설정으로 사전 구성됩니다.
게이트웨이, 서비스 또는 ServiceImport에 정책을 연결하여 인프라 또는 애플리케이션 요구사항에 맞게 게이트웨이 리소스를 맞춤설정할 수 있습니다. 정책을 적용하거나 수정한 후에는 게이트웨이, 경로, 서비스 리소스를 삭제하거나 다시 만들 필요가 없습니다. 정책은 게이트웨이 컨트롤러에서 처리되며 기본 부하 분산기 리소스는 (신규) 정책에 따라 (재)구성됩니다.
시작하기 전에
시작하기 전에 다음 태스크를 수행했는지 확인합니다.
- Google Kubernetes Engine API를 사용 설정합니다. Google Kubernetes Engine API 사용 설정
- 이 태스크에 Google Cloud CLI를 사용하려면 gcloud CLI를 설치한 후 초기화합니다. 이전에 gcloud CLI를 설치한 경우
gcloud components update
를 실행하여 최신 버전을 가져옵니다.
GKE Gateway Controller 요구사항
- 표준인 경우 GKE 버전 1.24 이상
- Autopilot의 경우 GKE 버전 1.26 이상
- Google Cloud CLI 버전 407.0.0 이상
- Gateway API는 VPC 기반 클러스터에서만 지원됩니다.
- 내부 GatewayClasses를 사용하는 경우 프록시 전용 서브넷을 사용 설정해야 합니다.
- 클러스터에
HttpLoadBalancing
부가기능이 사용 설정되어 있어야 합니다. - Istio를 사용하는 경우 Istio를 다음 버전 중 하나로 업그레이드해야 합니다.
- 1.15.2 이상
- 1.14.5 이상
- 1.13.9 이상
- 공유 VPC를 사용하는 경우 호스트 프로젝트에서 서비스 프로젝트에 대해 GKE 서비스 계정에
Compute Network User
역할을 할당해야 합니다.
제한 및 한도
GKE 게이트웨이 컨트롤러 제한 및 한도 외에도 다음 제한사항이 게이트웨이 리소스에 적용되는 정책에 적용됩니다.
GCPGatewayPolicy
리소스는gateway.networking.k8s.io
Gateway
에만 연결할 수 있습니다.GCPGatewayPolicy
리소스는 대상Gateway
와 동일한 네임스페이스에 있어야 합니다.단일 클러스터 게이트웨이,
GCPBackendPolicy
,HealthCheckPolicy
를 사용할 때 리소스는Service
리소스를 참조해야 합니다.
- 멀티 클러스터 게이트웨이,
GCPBackendPolicy
,HealthCheckPolicy
를 사용할 때 리소스는ServiceImport
리소스를 참조해야 합니다.
한 번에
GCPGatewayPolicy
하나만 서비스에 연결할 수 있습니다. 2개의GCPGatewayPolicy
정책이 생성되고 동일한Service
또는ServiceImport
를 대상으로 하는 경우 가장 오래된 정책이 우선 적용되고 두 번째 정책은 연결되지 않습니다.계층적 정책은 GKE 게이트웨이에서 지원되지 않습니다.
HealthCheckPolicy
및GCPBackendPolicy
리소스는 대상Service
또는ServiceImport
리소스와 동일한 네임스페이스에 있어야 합니다.GCPBackendPolicy
및HealthCheckPolicy
리소스는 백엔드 서비스를 하나만 참조할 수 있는 방식으로 구성됩니다.GCPBackendPolicy
는 세션 어피니티에 대해HEADER_FIELD
또는HTTP_COOKIE
옵션을 지원하지 않습니다.
리전 내부 게이트웨이의 전역 액세스 구성
이 섹션에서는 버전 1.24 이상을 실행하는 GKE 클러스터에서 사용할 수 있는 기능을 설명합니다.
내부 게이트웨이를 사용하여 전역 액세스를 사용 설정하려면 게이트웨이 리소스에 정책을 연결합니다.
다음 GCPGatewayPolicy
매니페스트는 전역 액세스를 위해 리전별 내부 게이트웨이를 사용 설정합니다.
apiVersion: networking.gke.io/v1
kind: GCPGatewayPolicy
metadata:
name: my-gateway-policy
namespace: default
spec:
default:
allowGlobalAccess: true
targetRef:
group: gateway.networking.k8s.io
kind: Gateway
name: my-gateway
클라이언트 및 부하 분산기 간 트래픽 보호를 위한 SSL 정책 구성
이 섹션에서는 버전 1.24 이상을 실행하는 GKE 클러스터에서 사용할 수 있는 기능을 설명합니다.
클라이언트 및 부하 분산기 간 트래픽을 보호하려면 정책 이름을 GCPGatewayPolicy
에 추가하여 SSL 정책을 구성합니다. 기본적으로 게이트웨이에는 SSL 정책이 정의 및 연결되어 있지 않습니다.
GCPGatewayPolicy
에서 정책을 참조하기 전에 SSL 정책 만들기를 수행해야 합니다.
다음 GCPGatewayPolicy
매니페스트는 gke-gateway-ssl-policy
라는 보안 정책을 지정합니다.
apiVersion: networking.gke.io/v1
kind: GCPGatewayPolicy
metadata:
name: my-gateway-policy
namespace: team1
spec:
default:
sslPolicy: gke-gateway-ssl-policy
targetRef:
group: gateway.networking.k8s.io
kind: Gateway
name: my-gateway
상태 확인 구성
이 섹션에서는 버전 1.24 이상을 실행하는 GKE 클러스터에서 사용할 수 있는 기능을 설명합니다.
HealthCheckPolicy
를 사용하여 부하 분산기 상태 점검 설정을 제어할 수 있습니다. 각 유형의 상태 점검(http
, https
, grpc
, http2
)에는 정의할 수 있는 매개변수가 하나 있습니다. Google Cloud는 각 GKE 서비스의 각 백엔드 서비스에 대해 고유 상태 점검을 만듭니다.
부하 분산기가 정상적으로 작동하려면 상태 확인 경로가 표준 '/'가 아닌 경우 부하 분산기에 커스텀 HealthCheckPolicy
를 구성해야 합니다. 이 구성은 경로에 특수 헤더가 필요하거나 상태 확인 매개변수를 조정해야 하는 경우에도 필요합니다. 예를 들어 기본 요청 경로가 '/'이지만 해당 요청 경로에서 서비스에 액세스할 수 없고 대신 '/health'를 사용하여 상태를 보고하는 경우 적절하게 HealthCheckPolicy
에서 requestPath
를 구성해야 합니다.
다음 HealthCheckPolicy
매니페스트에서는 상태 점검 정책을 구성할 때 사용할 수 있는 모든 필드를 보여줍니다.
서비스
apiVersion: networking.gke.io/v1
kind: HealthCheckPolicy
metadata:
name: lb-healthcheck
namespace: lb-service-namespace
spec:
default:
checkIntervalSec: INTERVAL
timeoutSec: TIMEOUT
healthyThreshold: HEALTHY_THRESHOLD
unhealthyThreshold: UNHEALTHY_THRESHOLD
logConfig:
enabled: ENABLED
config:
type: PROTOCOL
httpHealthCheck:
portSpecification: PORT_SPECIFICATION
port: PORT
portName: PORT_NAME
host: HOST
requestPath: REQUEST_PATH
response: RESPONSE
proxyHeader: PROXY_HEADER
httpsHealthCheck:
portSpecification: PORT_SPECIFICATION
port: PORT
portName: PORT_NAME
host: HOST
requestPath: REQUEST_PATH
response: RESPONSE
proxyHeader: PROXY_HEADER
grpcHealthCheck:
grpcServiceName: GRPC_SERVICE_NAME
portSpecification: PORT_SPECIFICATION
port: PORT
portName: PORT_NAME
http2HealthCheck:
portSpecification: PORT_SPECIFICATION
port: PORT
portName: PORT_NAME
host: HOST
requestPath: REQUEST_PATH
response: RESPONSE
proxyHeader: PROXY_HEADER
targetRef:
group: ""
kind: Service
name: lb-service
멀티 클러스터 서비스
apiVersion: networking.gke.io/v1
kind: HealthCheckPolicy
metadata:
name: lb-healthcheck
namespace: lb-service-namespace
spec:
default:
checkIntervalSec: INTERVAL
timeoutSec: TIMEOUT
healthyThreshold: HEALTHY_THRESHOLD
unhealthyThreshold: UNHEALTHY_THRESHOLD
logConfig:
enabled: ENABLED
config:
type: PROTOCOL
httpHealthCheck:
portSpecification: PORT_SPECIFICATION
port: PORT
portName: PORT_NAME
host: HOST
requestPath: REQUEST_PATH
response: RESPONSE
proxyHeader: PROXY_HEADER
httpsHealthCheck:
portSpecification: PORT_SPECIFICATION
port: PORT
portName: PORT_NAME
host: HOST
requestPath: REQUEST_PATH
response: RESPONSE
proxyHeader: PROXY_HEADER
grpcHealthCheck:
grpcServiceName: GRPC_SERVICE_NAME
portSpecification: PORT_SPECIFICATION
port: PORT
portName: PORT_NAME
http2HealthCheck:
portSpecification: PORT_SPECIFICATION
port: PORT
portName: PORT_NAME
host: HOST
requestPath: REQUEST_PATH
response: RESPONSE
proxyHeader: PROXY_HEADER
targetRef:
group: net.gke.io
kind: ServiceImport
name: lb-service
다음을 바꿉니다.
INTERVAL
: 각 상태 점검 프로버의 check-interval을 초 단위로 지정합니다. 이 값은 한 프로버에서 확인을 시작한 후 다음 번에 확인을 시작할 때까지 걸리는 시간입니다. 이 파라미터를 생략하면HealthCheckPolicy
가 지정되지 않은 경우 Google Cloud 기본값은 15초이고checkIntervalSec
값이 없는HealthCheckPolicy
가 지정된 경우 5초입니다. 자세한 내용은 여러 프로브 및 빈도를 참조하세요.TIMEOUT
: Google Cloud에서 프로브에 대한 응답을 기다리는 시간을 지정합니다.TIMEOUT
값은INTERVAL
보다 작거나 같아야 합니다. 단위는 초입니다. 각 프로브에는 프로브 제한 시간 전에 HTTP 200 (OK) 응답 코드가 전달되어야 합니다.HEALTHY_THRESHOLD
및UNHEALTHY_THRESHOLD
: 프로버 최소 하나 이상에서 상태가 정상에서 비정상으로 또는 정상에서 정상으로 변경되도록 성공하거나 실패해야 하는 순차적 연결 시도 수를 지정합니다. 이러한 매개변수 중 하나를 생략하면 Google Cloud 기본값은 2입니다.PROTOCOL
: 프로브 시스템에서 상태 점검에 사용되는 프로토콜을 지정합니다. 자세한 내용은 HTTP, HTTPS, HTTP/2 성공 기준 및 gRPC 성공 기준을 참조하세요. 이 매개변수는 필수항목입니다.ENABLED
: 로깅이 사용 설정 또는 중지되었는지 여부를 지정합니다.PORT_SPECIFICATION
: 상태 점검에서 고정 포트(USE_FIXED_PORT
), 이름이 지정된 포트(USE_NAMED_PORT
) 또는 서빙 포트(USE_SERVING_PORT
)를 사용하는지 지정합니다. 지정되지 않으면 상태 점검에서port
및portName
필드에 지정된 동작을 수행합니다.port
또는portName
이 지정되지 않으면 이 필드의 기본값은USE_SERVING_PORT
입니다.PORT
: HealthCheckPolicy만 포트 번호를 사용하여 부하 분산기 상태 점검 포트 지정을 지원합니다. 이 매개변수를 생략하면 Google Cloud 기본값은 80입니다. 부하 분산기는 프로브를 포드의 IP 주소로 직접 전송하므로 서비스의targetPort
에서containerPort
를 참조하더라도 서빙 포드의containerPort
와 일치하는 포트를 선택해야 합니다. 서비스의targetPort
에서 참조하는containerPorts
로 제한되지 않습니다.PORT_NAME
: InstanceGroup.NamedPort.name에 정의된 포트 이름을 지정합니다.port
및portName
모두 정의된 경우 Google Cloud는port
값을 먼저 고려합니다.HOST
: 상태 점검 요청의 호스트 헤더 값입니다. 숫자 IP 주소가 허용되지 않는 경우를 제외하고 이 값에는 호스트 이름의 RFC 1123 정의가 사용됩니다. 지정하지 않거나 비워 두면 값이 기본적으로 상태 점검의 IP 주소로 지정됩니다.REQUEST_PATH
: 상태 점검 요청의 요청 경로를 지정합니다. 지정하지 않거나 비워두면 기본값은/
입니다.RESPONSE
: 응답 데이터의 시작 부분과 비교할 바이트를 지정합니다. 값을 지정하지 않거나 비워두면 GKE에서 응답을 정상으로 해석합니다. 응답 데이터는 ASCII여야 합니다.PROXY_HEADER
: 프록시 헤더 유형을 지정합니다.NONE
또는PROXY_V1
을 사용할 수 있습니다. 기본값은NONE
입니다.GRPC_SERVICE_NAME
: gRPC 서비스의 선택적인 이름입니다. 모든 서비스를 지정하려면 이 필드를 생략합니다.
HealthCheckPolicy 필드에 대한 자세한 내용은 healthChecks
참조를 확인하세요.
Google Cloud Armor 백엔드 보안 정책을 구성하여 백엔드 서비스 보호
이 섹션에서는 버전 1.24 이상을 실행하는 GKE 클러스터에서 사용할 수 있는 기능을 설명합니다.
백엔드 서비스를 보호하기 위해 GCPBackendPolicy
에 보안 정책 이름을 추가하여 Google Cloud Armor 백엔드 보안 정책을 구성합니다.
기본적으로 게이트웨이에는 Google Cloud Armor 백엔드 보안 정책이 정의 및 연결되어 있지 않습니다.
GCPBackendPolicy
에서 정책을 참조하기 전에 Google Cloud Armor 백엔드 보안 정책을 만들어야 합니다.
다음 GCPBackendPolicy
매니페스트는 example-security-policy
라는 백엔드 보안 정책을 지정합니다.
서비스
apiVersion: networking.gke.io/v1
kind: GCPBackendPolicy
metadata:
name: my-backend-policy
namespace: lb-service-namespace
spec:
default:
securityPolicy: example-security-policy
targetRef:
group: ""
kind: Service
name: lb-service
멀티 클러스터 서비스
apiVersion: networking.gke.io/v1
kind: GCPBackendPolicy
metadata:
name: my-backend-policy
namespace: lb-service-namespace
spec:
default:
securityPolicy: example-security-policy
targetRef:
group: net.gke.io
kind: ServiceImport
name: lb-service
IAP 구성
이 섹션에서는 버전 1.24 이상을 실행하는 GKE 클러스터에서 사용할 수 있는 기능을 설명합니다.
IAP(Identity-Aware Proxy)는 HTTPRoute와 연결된 백엔드 서비스에 대해 액세스 제어 정책을 적용합니다. 이 시행을 통해 올바른 Identity and Access Management(IAM) 역할이 할당된 인증된 사용자 또는 애플리케이션만 이러한 백엔드 서비스에 액세스할 수 있습니다.
기본적으로 백엔드 서비스에 적용된 IAP가 없으므로 GCPBackendPolicy
에서 IAP를 명시적으로 구성해야 합니다.
게이트웨이로 IAP를 구성하려면 다음을 수행합니다.
GKE에 IAP 사용 설정:
BackendConfig
는 인그레스 배포의 경우에만 유효하므로 백엔드를 구성하지 마세요(BackendConfig 구성).IAP의 보안 비밀을 만듭니다.
Google Cloud 콘솔에서 사용자 인증 정보 페이지로 이동합니다.
클라이언트 이름을 클릭하고 OAuth 클라이언트 파일을 다운로드합니다.
OAuth 클라이언트 파일에서 클립보드에 OAuth 보안 비밀을 복사합니다.
iap-secret.txt
라는 파일을 만듭니다.다음 명령어를 사용하여
iap-secret.txt
파일에 OAuth 보안 비밀을 붙여넣습니다.echo -n CLIENT_SECRET > iap-secret.txt kubectl create secret generic SECRET_NAME --from-file=key=iap-secret.txt
보안 비밀을 참조하는 IAP 정책을 지정하려면 다음 안내를 따르세요.
다음
GCPBackendPolicy
매니페스트를 만들고 각각SECRET_NAME
및CLIENT_ID
를 바꿉니다. 매니페스트를backend-policy.yaml
로 저장합니다.서비스
apiVersion: networking.gke.io/v1 kind: GCPBackendPolicy metadata: name: backend-policy spec: default: iap: enabled: true oauth2ClientSecret: name: SECRET_NAME clientID: CLIENT_ID targetRef: group: "" kind: Service name: lb-service
멀티 클러스터 서비스
apiVersion: networking.gke.io/v1 kind: GCPBackendPolicy metadata: name: backend-policy spec: default: iap: enabled: true oauth2ClientSecret: name: SECRET_NAME clientID: CLIENT_ID targetRef: group: net.gke.io kind: ServiceImport name: lb-service
backend-policy.yaml
매니페스트를 적용합니다.kubectl apply -f backend-policy.yaml
구성을 확인합니다
IAP로
GCPBackendPolicy
를 만든 후 정책이 적용되었는지 확인합니다.kubectl get gcpbackendpolicy
출력은 다음과 비슷합니다.
NAME AGE backend-policy 45m
더 많은 세부정보를 확인하려면 describe 명령어를 사용합니다.
kubectl describe gcpbackendpolicy
출력은 다음과 비슷합니다.
Name: backend-policy Namespace: default Labels: <none> Annotations: <none> API Version: networking.gke.io/v1 Kind: GCPBackendPolicy Metadata: Creation Timestamp: 2023-05-27T06:45:32Z Generation: 2 Resource Version: 19780077 UID: f4f60a3b-4bb2-4e12-8748-d3b310d9c8e5 Spec: Default: Iap: Client ID: 441323991697-luotsrnpboij65ebfr13hlcpm5a4heke.apps.googleusercontent.com Enabled: true oauth2ClientSecret: Name: my-iap-secret Target Ref: Group: Kind: Service Name: lb-service Status: Conditions: Last Transition Time: 2023-05-27T06:48:25Z Message: Reason: Attached Status: True Type: Attached Events: Type Reason Age From Message ---- ------ ---- ---- ------- Normal ADD 46m sc-gateway-controller default/backend-policy Normal SYNC 44s (x15 over 43m) sc-gateway-controller Application of GCPGatewayPolicy "default/backend-policy" was a success
백엔드 서비스 제한 시간 구성
이 섹션에서는 버전 1.24 이상을 실행하는 GKE 클러스터에서 사용할 수 있는 기능을 설명합니다.
다음 GCPBackendPolicy
매니페스트는 백엔드 서비스 제한 시간을 40초로 지정합니다. timeoutSec
필드의 기본값은 30초입니다.
서비스
apiVersion: networking.gke.io/v1
kind: GCPBackendPolicy
metadata:
name: my-backend-policy
namespace: lb-service-namespace
spec:
default:
timeoutSec: 40
targetRef:
group: ""
kind: Service
name: lb-service
멀티 클러스터 서비스
apiVersion: networking.gke.io/v1
kind: GCPBackendPolicy
metadata:
name: my-backend-policy
namespace: lb-service-namespace
spec:
default:
timeoutSec: 40
targetRef:
group: net.gke.io
kind: ServiceImport
name: lb-service
세션 어피니티 구성
이 섹션에서는 버전 1.24 이상을 실행하는 GKE 클러스터에서 사용할 수 있는 기능을 설명합니다.
다음 기준에 따라 세션 어피니티를 구성할 수 있습니다.
- 클라이언트 IP 주소
- 생성된 쿠키
서비스에 세션 어피니티를 구성하면 게이트웨이의 localityLbPolicy
설정이 MAGLEV
로 설정됩니다.
GCPBackendPolicy
에서 세션 어피니티 구성을 삭제하면 게이트웨이가 localityLbPolicy
설정을 기본값 ROUND_ROBIN
으로 되돌립니다.
다음 GCPBackendPolicy
매니페스트는 클라이언트 IP 주소에 따라 세션 어피니티를 지정합니다.
서비스
apiVersion: networking.gke.io/v1
kind: GCPBackendPolicy
metadata:
name: my-backend-policy
namespace: lb-service-namespace
spec:
default:
sessionAffinity:
type: CLIENT_IP
targetRef:
group: ""
kind: Service
name: lb-service
멀티 클러스터 서비스
apiVersion: networking.gke.io/v1
kind: GCPBackendPolicy
metadata:
name: my-backend-policy
namespace: lb-service-namespace
spec:
default:
sessionAffinity:
type: CLIENT_IP
targetRef:
group: net.gke.io
kind: ServiceImport
name: lb-service
다음 GCPBackendPolicy
매니페스트는 생성된 쿠키에 따라 세션 어피니티를 지정하고 쿠키 TTL을 50초로 구성합니다.
서비스
apiVersion: networking.gke.io/v1
kind: GCPBackendPolicy
metadata:
name: my-backend-policy
namespace: lb-service-namespace
spec:
default:
sessionAffinity:
type: GENERATED_COOKIE
cookieTtlSec: 50
targetRef:
group: ""
kind: Service
name: lb-service
멀티 클러스터 서비스
apiVersion: networking.gke.io/v1
kind: GCPBackendPolicy
metadata:
name: my-backend-policy
namespace: lb-service-namespace
spec:
default:
sessionAffinity:
type: GENERATED_COOKIE
cookieTtlSec: 50
targetRef:
group: net.gke.io
kind: ServiceImport
name: lb-service
sessionAffinity.type
필드에는 다음 값을 사용할 수 있습니다.
CLIENT_IP
GENERATED_COOKIE
NONE
연결 드레이닝 제한 시간 구성
이 섹션에서는 버전 1.24 이상을 실행하는 GKE 클러스터에서 사용할 수 있는 기능을 설명합니다.
GCPBackendPolicy
를 사용하여 연결 드레이닝 제한 시간을 구성할 수 있습니다. 연결 드레이닝 제한 시간은 연결이 드레이닝될 때까지 기다리는 시간(초)입니다. 제한 시간을 0~3600초로 지정할 수 있습니다.
기본값은 0이며 이 경우 연결 드레이닝이 중지됩니다.
다음 GCPBackendPolicy
매니페스트는 연결 드레이닝 제한 시간을 60초로 지정합니다.
서비스
apiVersion: networking.gke.io/v1
kind: GCPBackendPolicy
metadata:
name: my-backend-policy
namespace: lb-service-namespace
spec:
default:
connectionDraining:
drainingTimeoutSec: 60
targetRef:
group: ""
kind: Service
name: lb-service
멀티 클러스터 서비스
apiVersion: networking.gke.io/v1
kind: GCPBackendPolicy
metadata:
name: my-backend-policy
namespace: lb-service-namespace
spec:
default:
connectionDraining:
drainingTimeoutSec: 60
targetRef:
group: net.gke.io
kind: ServiceImport
name: lb-service
지정된 제한 시간 동안 GKE는 삭제된 백엔드에 대한 기존 요청이 완료될 때까지 기다립니다. 부하 분산기는 새로운 요청을 삭제된 백엔드에 보내지 않습니다. 제한 시간에 도달하면 GKE는 백엔드에 남아있는 모든 연결을 닫습니다.
HTTP 액세스 로깅
이 섹션에서는 버전 1.24 이상을 실행하는 GKE 클러스터에서 사용할 수 있는 기능을 설명합니다.
기본적으로
- 게이트웨이 컨트롤러는 클라이언트의 모든 HTTP 요청을 Cloud Logging에 로깅합니다.
- 샘플링 레이트는 1,000,000이며, 이는 모든 요청이 로깅됨을 의미합니다.
다음 세 가지 방법으로 GCPBackendPolicy
를 사용하여 게이트웨이에서 액세스 로깅을 사용 중지할 수 있습니다.
logging
섹션 없이GCPBackendPolicy
를 그대로 둘 수 있습니다.logging.enabled
를false
로 설정할 수 있습니다.logging.enabled
를true
로,logging.sampleRate
를0
으로 설정할 수 있습니다.
액세스 로깅 샘플링 레이트를 구성할 수도 있습니다.
다음 GCPBackendPolicy
매니페스트는 액세스 로깅의 기본 샘플링 레이트를 수정하고 이를 지정된 서비스 리소스에 대한 HTTP 요청의 50%로 설정합니다.
서비스
apiVersion: networking.gke.io/v1
kind: GCPBackendPolicy
metadata:
name: my-backend-policy
namespace: lb-service-namespace
spec:
default:
logging:
enabled: true
sampleRate: 500000
targetRef:
group: ""
kind: Service
name: lb-service
멀티 클러스터 서비스
apiVersion: networking.gke.io/v1
kind: GCPBackendPolicy
metadata:
name: my-backend-policy
namespace: lb-service-namespace
spec:
default:
logging:
enabled: true
sampleRate: 500000
targetRef:
group: net.gke.io
kind: ServiceImport
name: lb-service
이 매니페스트에는 다음과 같은 필드가 있습니다.
enable: true
: 액세스 로깅을 명시적으로 사용 설정합니다. Logging에서 로그를 사용할 수 있습니다.sampleRate: 500000
: 패킷의 50%가 로깅되도록 지정합니다. 0~1,000,000 사이의 값을 사용할 수 있습니다. GKE는 1,000,000으로 나누어 [0,1] 범위의 부동 소수점 값으로 변환합니다. 이 필드는enable
이true
로 설정된 경우에만 관련이 있습니다.sampleRate
는 선택적 필드이지만 구성되는 경우enable: true
도 설정해야 합니다.enable
이true
로 설정되었지만sampleRate
가 제공되지 않으면 GKE에서enable
을false
로 설정합니다.
문제 해결
동일한 Service
에 연결된 여러 GCPBackendPolicy
증상:
Service
또는 ServiceImport
에 GCPBackendPolicy
를 연결할 때 다음 상태 조건이 발생할 수 있습니다.
status:
conditions:
- lastTransitionTime: "2023-09-26T20:18:03Z"
message: conflicted with GCPBackendPolicy "[POLICY_NAME]" of higher precedence, hence not applied
reason: Conflicted
status: "False"
type: Attached
이유:
이 상태 조건은 이미 GCPBackendPolicy
가 연결된 Service
또는 ServiceImport
에 두 번째 GCPBackendPolicy
를 적용하려고 함을 나타냅니다.
동일한 Service
또는 ServiceImport
에 연결된 여러 GCPBackendPolicy
는 GKE 게이트웨이에서 지원되지 않습니다. 자세한 내용은 제한 및 한도를 참조하세요.
해결 방법:
모든 커스텀 구성을 포함하는 단일 GCPBackendPolicy
를 구성하고 이를 Service
또는 ServiceImport
에 연결합니다.
다음 단계
- 게이트웨이 컨트롤러 자세히 알아보기
- 리소스에서 게이트웨이를 참조하는 방법 알아보기
- Policy types API 참조 보기
- API 유형 정의 살펴보기