전달 규칙 개요

전달 규칙 및 해당 IP 주소는 Google Cloud 부하 분산기의 프런트엔드 구성을 나타냅니다.

각 전달 규칙은 IP 주소와 부하 분산기가 트래픽을 허용하는 하나 이상의 포트를 참조합니다. 일부 Google Cloud 부하 분산기는 대상을 사전 정의된 포트 집합으로 제한하며 다른 부하 분산기는 임의의 포트를 지정할 수 있도록 해 줍니다.

또한 전달 규칙은 IP 프로토콜을 지정합니다. Google Cloud 부하 분산기의 경우 IP 프로토콜은 항상 TCP 또는 UDP입니다.

부하 분산기 유형에 따라 다음 내용이 참입니다.

또한 전달 규칙은 부하 분산기와 해당 등급에 따라 전역 또는 리전 전달 규칙으로 나뉩니다.

내부 전달 규칙

내부 전달 규칙은 Google Cloud 네트워크에서 발생한 트래픽을 전달합니다. 클라이언트는 백엔드와 동일한 Virtual Private Cloud(VPC) 네트워크에 있거나 클라이언트가 연결된 네트워크에 있을 수 있습니다.

내부 전달 규칙은 두 가지 유형의 Google Cloud 부하 분산기에서 사용됩니다.

  • 내부 TCP/UDP 부하 분산기
  • 내부 HTTP(S) 부하 분산기

내부 TCP/UDP 부하 분산기

내부 TCP/UDP 부하 분산기는 트래픽 유형 중 IPv4를 지원하며 프로토콜의 경우 TCP, UDP 중 하나만 지원합니다.

각 내부 TCP/UDP 부하 분산기에는 하나 이상의 리전 내부 전달 규칙이 있습니다. 리전 내부 전달 규칙은 부하 분산기의 리전 내부 백엔드 서비스를 가리킵니다. 다음 다이어그램은 전달 규칙이 내부 TCP/UDP 부하 분산 아키텍처에 어떻게 부합하는지 보여줍니다.

내부 TCP/UDP 부하 분산 전달 규칙(확대하려면 클릭)
내부 TCP/UDP 부하 분산 전달 규칙(확대하려면 클릭)

다음 다이어그램은 부하 분산기 구성요소가 서브넷 및 리전에 맞게 작용하는 방식을 보여줍니다.

내부 전달 규칙은 리전 및 서브넷에 있어야 하며 백엔드 서비스는 리전 내에만 있어야 합니다.

대략적인 내부 TCP/UDP 부하 분산기 예시(확대하려면 클릭)
대략적인 내부 TCP/UDP 부하 분산기 예시(확대하려면 클릭)

내부 TCP/UDP 부하 분산기에 대해 자세히 알아보려면 내부 TCP/UDP 부하 분산 개요를 참조하세요. 내부 TCP/UDP 부하 분산기 구성에 대한 자세한 내용은 내부 TCP/UDP 부하 분산 설정을 참조하세요.

내부 HTTP(S) 부하 분산기

내부 HTTP(S) 부하 분산기는 트래픽 유형 중 IPv4를 지원하며 프로토콜의 경우 HTTP, HTTPS 또는 HTTP/2를 지원합니다.

각 내부 HTTP(S) 부하 분산기에는 정확히 하나의 리전 내부 전달 규칙이 있습니다. 리전 내부 전달 규칙은 부하 분산기의 리전 대상 HTTP 또는 HTTPS 프록시를 가리킵니다. 다음 다이어그램은 전달 규칙이 내부 HTTP(S) 부하 분산 아키텍처에 어떻게 부합하는지 보여줍니다.

내부 HTTP(S) 부하 분산 전달 규칙(확대하려면 클릭)
내부 HTTP(S) 부하 분산 전달 규칙(확대하려면 클릭)

내부 HTTP(S) 부하 분산기에 대한 자세한 내용은 내부 HTTP(S) 부하 분산 개요를 참조하세요. 내부 HTTP(S) 부하 분산기 구성에 대한 자세한 내용은 내부 HTTP(S) 부하 분산 설정 준비를 참조하세요.

외부 전달 규칙

외부 전달 규칙은 VPC 네트워크 외부의 인터넷에서 발생한 트래픽을 전달합니다.

외부 전달 규칙은 다음 Google Cloud 부하 분산기에서 사용됩니다.

  • 외부 HTTP(S) 부하 분산기
  • SSL 프록시 부하 분산기
  • TCP 프록시 부하 분산기
  • 네트워크 부하 분산기

HTTP(S) 부하 분산기

외부 HTTP(S) 부하 분산기는 프리미엄 등급과 표준 등급을 모두 지원합니다. 부하 분산기에 대해 선택한 등급에 따라 전달 규칙과 IP 주소가 모두 달라집니다.

외부 HTTP(S) 부하 분산기에서 전달 규칙은 대상 프록시를 가리킵니다.

프리미엄 등급에서 외부 HTTP(S) 부하 분산기는 IPv4 또는 IPv6의 전역 외부 IP 주소 및 전역 외부 전달 규칙을 사용합니다. 전역적으로 액세스할 수 있는 애플리케이션을 제공하여 가장 가까운 리전의 백엔드에 최종 사용자를 연결하고 여러 리전에 트래픽을 분산할 수 있습니다. 전역 외부 전달 규칙은 하나의 외부 IP 주소를 사용하기 때문에 다른 리전에 별도의 DNS 레코드를 유지하거나 DNS 변경사항이 전파될 때까지 기다리지 않아도 됩니다.

두 개의 서로 다른 전역 외부 IP 주소가 동일한 외부 HTTP(S) 부하 분산기를 가리킬 수 있습니다. 예를 들어 프리미엄 등급에서 전달 규칙 하나는 전역 외부 IP 주소가 IPv4이고 다른 하나는 전역 외부 IP 주소가 IPv6가 될 수 있습니다. 두 전달 규칙은 동일한 대상 프록시를 가리킬 수 있습니다. 따라서 동일한 외부 HTTP(S) 부하 분산기에 IPv4 및 IPv6 주소를 모두 제공할 수 있습니다. 자세한 내용은 IPv6 종료 문서를 참조하세요.

표준 등급에서 외부 HTTP(S) 부하 분산기는 IPv4인 리전 외부 IP 주소와 리전 외부 전달 규칙을 사용합니다. 표준 등급의 외부 HTTP(S) 부하 분산기는 단일 리전 내의 백엔드에 트래픽을 분산하기만 할 수 있습니다.

다음 다이어그램은 전달 규칙이 HTTP(S) 부하 분산 아키텍처에 어떻게 부합하는지 보여줍니다.

HTTP(S) 부하 분산 전달 규칙(확대하려면 클릭)
HTTP(S) 부하 분산 전달 규칙(확대하려면 클릭)

외부 HTTP(S) 부하 분산기에 대한 자세한 내용은 HTTP(S) 부하 분산 개요를 참조하세요. 외부 HTTP(S) 부하 분산기 구성에 대한 자세한 내용은 HTTP(S) 부하 분산 설정을 참조하세요.

SSL 프록시 부하 분산기

SSL 프록시 부하 분산기는 SSL(TLS) 세션을 종료할 수 있다는 점에서 외부 HTTP(S) 부하 분산기와 유사합니다. SSL 프록시 부하 분산기는 외부 HTTP(S) 부하 분산기와 같은 경로 기반 리디렉션을 지원하지 않으므로 SSL을 통한 IMAP 또는 WebSockets와 같은 HTTPS 이외의 프로토콜에 대한 SSL 처리에 가장 적합합니다. 자세한 내용은 SSL FAQ를 참조하세요.

SSL 프록시 부하 분산기에서 전달 규칙은 대상 프록시를 가리킵니다.

SSL 프록시 부하 분산기는 프리미엄 및 표준 등급을 모두 지원합니다. 부하 분산기에 대해 선택한 등급에 따라 전달 규칙과 IP 주소가 모두 달라집니다.

프리미엄 등급에서 SSL 프록시 부하 분산기는 IPv4 또는 IPv6 및 전역 외부 전달 규칙 등의 전역 외부 IP 주소를 사용합니다. 전역적으로 액세스할 수 있는 애플리케이션을 제공하여 가장 가까운 리전의 백엔드에 최종 사용자를 연결하고 여러 리전에 트래픽을 분산할 수 있습니다. 전역 외부 전달 규칙은 하나의 외부 IP 주소를 사용하므로 다른 리전에서 별도의 DNS 레코드를 유지하거나 DNS 변경사항이 전파될 때까지 기다리지 않아도 됩니다.

두 개의 서로 다른 전역 외부 IP 주소가 동일한 SSL 프록시 부하 분산기를 가리킬 수 있습니다. 예를 들어 프리미엄 등급에서 전달 규칙 하나는 전역 외부 IP 주소가 IPv4이고 다른 하나는 전역 외부 IP 주소가 IPv6가 될 수 있습니다. 두 전달 규칙은 동일한 대상 프록시를 가리킬 수 있습니다. 따라서 동일한 SSL 프록시 부하 분산기에 IPv4 주소와 IPv6 주소를 모두 제공할 수 있습니다. 자세한 내용은 IPv6 종료 문서를 참조하세요.

표준 등급에서 SSL 프록시 부하 분산기는 IPv4인 리전 외부 IP 주소와 리전 외부 전달 규칙을 사용합니다. 표준 등급의 SSL 프록시 부하 분산기는 단일 리전 내의 백엔드에 트래픽을 분산하기만 할 수 있습니다.

다음 다이어그램은 전달 규칙이 SSL 프록시 부하 분산 아키텍처에 어떻게 부합하는지 보여줍니다.

SSL 프록시 부하 분산 전달 규칙(확대하려면 클릭)
SSL 프록시 부하 분산 전달 규칙(확대하려면 클릭)

SSL 프록시 부하 분산기에 대한 자세한 내용은 SSL 프록시 부하 분산 개요를 참조하세요. SSL 프록시 부하 분산기 구성에 대한 자세한 내용은 SSL 프록시 부하 분산 설정을 참조하세요.

TCP 프록시 부하 분산기

TCP 프록시 부하 분산기는 SSL 오프로드 없이 전역 TCP 프록시 기능을 제공합니다. TCP 프록시 부하 분산기는 프리미엄 및 표준 등급을 모두 지원합니다. 부하 분산기에 대해 선택한 등급에 따라 전달 규칙과 IP 주소가 모두 달라집니다.

TCP 프록시 부하 분산기에서 전달 규칙은 대상 프록시를 가리킵니다.

프리미엄 등급에서 TCP 프록시 부하 분산기는 IPv4 또는 IPv6 및 전역 외부 전달 규칙 등의 전역 외부 IP 주소를 사용합니다. 전역적으로 액세스할 수 있는 애플리케이션을 제공하여 가장 가까운 리전의 백엔드에 최종 사용자를 연결하고 여러 리전에 트래픽을 분산할 수 있습니다. 전역 외부 전달 규칙은 하나의 외부 IP 주소를 사용하므로 다른 리전에서 별도의 DNS 레코드를 유지하거나 DNS 변경사항이 전파될 때까지 기다리지 않아도 됩니다.

두 개의 서로 다른 전역 외부 IP 주소가 TCP 프록시 부하 분산기를 가리킬 수 있습니다. 예를 들어 프리미엄 등급에서 전달 규칙 하나는 전역 외부 IP 주소가 IPv4이고 다른 하나는 전역 외부 IP 주소가 IPv6가 될 수 있습니다. 두 전달 규칙은 동일한 대상 프록시를 가리킬 수 있습니다. 따라서 동일한 TCP 프록시 부하 분산기에 IPv4 주소와 IPv6 주소를 모두 제공할 수 있습니다. 자세한 내용은 IPv6 종료 문서를 참조하세요.

표준 등급에서 TCP 프록시 부하 분산기는 IPv4인 리전 외부 IP 주소와 리전 외부 전달 규칙을 사용합니다. 표준 등급의 TCP 프록시 부하 분산기는 단일 리전 내의 백엔드에 트래픽을 분산하기만 할 수 있습니다.

다음 다이어그램은 전달 규칙이 TCP 프록시 부하 분산 아키텍처에 어떻게 부합하는지 보여줍니다.

TCP 프록시 부하 분산 전달 규칙(확대하려면 클릭)
TCP 프록시 부하 분산 전달 규칙(확대하려면 클릭)

TCP 프록시 부하 분산기에 대한 자세한 내용은 TCP 프록시 부하 분산 개요를 참조하세요. TCP 프록시 부하 분산기 구성에 대한 자세한 내용은 TCP 프록시 부하 분산 설정을 참조하세요.

네트워크 부하 분산기

네트워크 부하 분산기는 TCP 또는 UDP 트래픽을 단일 리전의 백엔드 간에 배포하며 프리미엄 및 표준 등급을 모두 지원합니다. 네트워크 부하 분산기는 리전 외부 전달 규칙과 리전 외부 IPv4 주소를 사용합니다(등급과 무관). 어디에서든 인터넷 연결만 있으면 리전 외부 IP 주소에 액세스할 수 있습니다.

리전 외부 전달 규칙은 부하 분산기의 대상 풀을 가리킵니다.

네트워크 부하 분산 전달 규칙(확대하려면 클릭)
네트워크 부하 분산 전달 규칙(확대하려면 클릭)

다른 리전에서 네트워크 부하 분산을 사용하려면 각 리전에 네트워크 부하 분산기를 만들어야 합니다. 이는 등급에 관계없이 적용됩니다. 다음 그림은 서로 다른 3개 리전에 대한 3개의 부하 분산기가 있는 네트워크 부하 분산을 보여줍니다. 각 부하 분산기에는 자체 리전 외부 IPv4 주소가 있는 리전 외부 전달 규칙이 있습니다.

네트워크 부하 분산 예시(확대하려면 클릭)
네트워크 부하 분산 예시(확대하려면 클릭)

네트워크 부하 분산기에 대한 자세한 내용은 네트워크 부하 분산 개요를 참조하세요. 네트워크 부하 분산기 구성에 대한 자세한 내용은 네트워크 부하 분산 설정을 참조하세요.

네트워크 서비스 등급이 부하 분산기에 미치는 영향

네트워크 서비스 등급에서 표준 등급과 프리미엄 등급의 차이는 공용 인터넷을 통해 트래픽이 얼마나 멀리 라우팅되는지에 따라 다릅니다.

  • 표준 등급: 트래픽을 Google 데이터 센터에 최대한 가깝게 오프로드합니다. 즉, 일반적으로 트래픽은 프리미엄 등급과 비교할 때 공용 인터넷을 통해 더 먼 거리로 라우팅됩니다.

  • 프리미엄 등급: Google Cloud를 최종 사용자에게 연결하기 전에 Google 사설 네트워크를 통해 트래픽을 가능한 멀리 라우팅합니다.

내부 부하 분산기(HTTP(S) 및 TCP/UDP)는 Google의 사설 네트워크를 사용해야 하므로 항상 프리미엄 등급을 사용합니다. 내부 부하 분산은 항상 리전입니다.

외부 부하 분산기(HTTP(S), TCP 프록시, SSL 프록시, TCP/UDP 네트워크)는 공용 인터넷으로만 라우팅할 수 있습니다. 외부 부하 분산기를 Google의 사설망을 사용하는 프리미엄 등급 또는 공용 인터넷을 사용하는 표준 등급 중에서 선택할 수 있습니다.

네트워크 부하 분산은 계층에 관계없이 항상 리전입니다.

프리미엄 등급에서 외부 HTTP(S) 부하 분산기, TCP 프록시 부하 분산기, SSL 프록시 부하 분산기는 전역입니다. 전달 규칙, IP 주소, 백엔드 서비스는 전역입니다. 표준 등급에서 이들 부하 분산기는 사실상 리전입니다. 백엔드 서비스는 전역이지만 전달 규칙과 IP 주소는 리전입니다.

IP 주소 사양

다음 표에는 부하 분산 체계와 전달 규칙의 대상에 따라 유효한 주소 구성이 요약되어 있습니다.

체계 대상 주소 유형 주소 범위 주소 등급 예비 주소 참고
외부 대상 HTTP 프록시
대상 HTTPS 프록시
대상 SSL 프록시
대상 TCP 프록시
외부 전달 규칙과 일치하는 리전 또는 전역 프리미엄 등급은 전역 외부 IP 주소와 전달 규칙이 필요함

표준 등급은 리전 외부 IP 주소와 전달 규칙이 필요함
예(선택사항) IPv6는 전역 외부 주소에서만 사용 가능(프리미엄 등급)
외부 대상 풀 외부 리전 표준 또는 프리미엄 IPv6 지원되지 않음
외부 기본 VPN 문서 참조 외부 리전 Cloud VPN에 네트워크 서비스 등급이 없음 예(필수) IPv6 지원되지 않음
내부 백엔드 서비스 내부 리전 프리미엄 예(선택사항) IP 주소가 연결된 서브넷의 기본 IP 범위에 있어야 함
INTERNAL_MANAGED 대상 HTTP 프록시
대상 HTTPS 프록시
내부 리전 프리미엄 예(선택사항) IP 주소가 연결된 서브넷의 기본 IP 범위에 있어야 함
INTERNAL_SELF_MANAGED 대상 HTTP 프록시
대상 HTTPS 프록시
내부 전체 해당 없음 아니요 0.0.0.0, 127.0.0.1 또는 모든 RFC 1918 주소가 허용됨

공통 IP 주소를 사용하는 여러 전달 규칙

EXTERNAL 부하 분산 체계가 있는 2개 이상의 전달 규칙은 다음이 참인 경우 동일한 IP 주소를 공유할 수 있습니다.

  • 각 전달 규칙에서 사용하는 포트는 중복되지 않습니다.
  • 각 전달 규칙의 네트워크 서비스 등급은 외부 IP 주소의 네트워크 서비스 등급과 일치합니다.

예를 들면 다음과 같습니다.

  • TCP 포트 79에서 트래픽을 허용하는 네트워크 부하 분산기와 TCP 포트 80에서 트래픽을 허용하는 다른 네트워크 부하 분산기는 동일한 리전 외부 IP 주소를 공유할 수 있습니다.
  • 외부 HTTP(S) 부하 분산기(HTTP 및 HTTPS)에 동일한 전역 외부 IP 주소를 사용할 수 있습니다.

전달 규칙의 부하 분산 체계가 다음 중 하나인 경우 IP 주소가 고유해야 합니다.

  • 내부 TCP/UDP 부하 분산기용 INTERNAL
  • 내부 HTTP(S) 부하 분산기용 INTERNAL_MANAGED
  • Traffic Director용 INTERNAL_SELF_MANAGED

포트 사양

다음 표에는 부하 분산 체계와 전달 규칙의 대상에 따라 유효한 포트 구성이 요약되어 있습니다.

체계 대상 포트 지정 필요 여부 포트가 지정되지 않은 경우의 동작 포트 요구사항
외부 대상 HTTP 프록시 없음 80, 8080
외부 대상 HTTPS 프록시 없음 443
외부 대상 SSL 프록시 없음 25, 43, 110, 143, 195, 443, 465, 587, 700, 993, 995, 1688, 1883, 5222
외부 대상 TCP 프록시 없음 25, 43, 110, 143, 195, 443, 465, 587, 700, 993, 995, 1688, 1883, 5222
외부 대상 VPN 게이트웨이 없음 500, 4500
외부 대상 풀 아니요 모든 포트
(1~65535)가 전달됨
인접해야 함
내부 백엔드 서비스 없음 최대 5개(연속 또는 비연속) 또는 ALL 지정 가능
INTERNAL_MANAGED 대상 HTTP 프록시
대상 HTTPS 프록시
없음 80 또는 8080 중 하나
443
INTERNAL_SELF_MANAGED 대상 HTTP 프록시
대상 HTTPS 프록시
없음 단일 값이어야 함

VPC 네트워크 내에서 Traffic Director의 두 가지 전달 규칙은 동일한 IP 주소 및 포트 사양을 가질 수 없습니다.

Cloud IAM 조건

Cloud IAM 조건에서는 구성원에게 부여되는 역할을 제어하는 조건을 설정할 수 있습니다. 이 기능을 사용하면 구성된 조건이 충족되는 경우에 한해 구성원에게 권한을 부여할 수 있습니다.

Cloud IAM 조건은 전달 규칙의 부하 분산 체계(예: INTERNAL 또는 EXTERNAL)를 확인하여 전달 규칙의 생성을 허용하거나 허용하지 않습니다. 구성원이 권한 없이 전달 규칙을 만들려고 하면 오류 메시지가 나타납니다.

자세한 내용은 Cloud IAM 조건을 참조하세요.

API 및 gcloud 참조

REST API를 통해 전달 규칙으로 작업할 때 사용할 수 있는 속성 및 메서드에 대한 설명은 다음을 참조하세요.

gcloud 명령줄 도구는 다음을 참조하세요.

다음 단계