다음 홉으로 사용되는 내부 TCP/UDP 부하 분산기

내부 TCP/UDP 부하 분산은 내부 부하 분산 IP 주소로 서비스를 실행하고 확장할 수 있게 해주는 리전별 부하 분산기입니다. 내부 TCP/UDP 부하 분산기를 패킷이 최종 목적지로 가는 경로를 따라 전달되는 다음 게이트웨이로 사용할 수 있습니다. 이를 위해 부하 분산기를 커스텀 정적 경로다음 홉으로 설정합니다.

이 구성은 다음과 같은 경우에 유용합니다.

  • 가상 네트워크 주소 변환(NAT) 어플라이언스로 작동하는 여러 VM 간에 트래픽을 부하 분산해야 합니다.

  • 기본 경로의 다음 홉으로 사용할 부하 분산기가 필요한 경우. Virtual Private Cloud(VPC) 네트워크의 가상 머신(VM) 인스턴스가 인터넷으로 트래픽을 전송하면 부하 분산 게이트웨이 가상 어플라이언스를 통해 트래픽이 라우팅됩니다.

  • 백엔드와 동일한 다중 NIC VM 집합을 사용하여 두 개 이상의 방향으로 여러 부하 분산기를 통해 트래픽을 전송해야 합니다. 이렇게 하려면 부하 분산기를 만들고 VPC 네트워크의 커스텀 정적 경로에 대해 다음 홉으로 사용합니다. 각 내부 TCP/UDP 부하 분산기는 단일 VPC 네트워크 내에서 작동하며, 해당 네트워크에서 백엔드 VM의 네트워크 인터페이스로 트래픽을 분산합니다.

여러 NIC로 부하 분산(확대하려면 클릭)
여러 NIC로 부하 분산(확대하려면 클릭)

이전 다이어그램에서 VM 인스턴스 그룹은 두 개의 서로 다른 부하 분산기에 대한 백엔드로 작동합니다. 백엔드 VM의 여러 NIC(이 경우에는 nic0nic1)가 부하 분산되기 때문에 이 사용 사례를 공통 백엔드가 포함된 다음 홉으로 사용되는 내부 TCP/UDP 부하 분산기라고 부릅니다. 내부 TCP/UDP 부하 분산이 백엔드 VM 인스턴스의 모든 인터페이스(기본 인터페이스 nic0 포함)에 대한 부하 분산을 지원하기 때문에 이 배포가 허용됩니다.

반면에 VM 인스턴스의 두 집합은 서로 다른 두 개의 부하 분산기의 백엔드로 작동할 수 있습니다. 수신 및 발신 트래픽의 트래픽 프로필이 서로 다른 경우 두 개의 백엔드 집합을 사용할 수 있습니다. 백엔드 VM의 기본 인터페이스(nic0)가 부하 분산되기 때문에 이 사용 사례를 서로 다른 백엔드가 포함된 다음 홉으로 사용되는 내부 TCP/UDP 부하 분산기라고 부릅니다. 이 설정은 다음 다이어그램에 나와 있습니다.

단일 NIC로 부하 분산(확대하려면 클릭)
단일 NIC로 부하 분산(확대하려면 클릭)

커스텀 정적 경로를 만들어 부하 분산기가 정적 경로의 다음 홉인 내부 TCP/UDP 부하 분산기로 TCP 및 UDP 트래픽을 전달할 수 있습니다. 경로는 기본 경로(0.0.0.0/0)이거나, 외부(publicly-routable) CIDR 프리픽스이거나, 내부 CIDR 프리픽스일 수 있습니다(프리픽스가 서브넷 경로와 충돌하지 않는 경우). 예를 들어 기본 경로(0.0.0.0/0)를 패킷 처리를 위해 타사 백엔드 VM으로 트래픽을 보내는 경로로 바꿀 수 있습니다.

커스텀 정적 경로를 사용하려면 각 VPC 네트워크의 VM 인스턴스가 연결된 부하 분산기와 동일한 리전에 있어야 합니다.

Cloud Router가 부하 분산기와 동일한 리전에 있으면 Cloud Router 커스텀 경로 공지를 사용하여 다른 연결된 네트워크에 이 경로를 공지할 수 있습니다. 자세한 내용은 내부 TCP/UDP 부하 분산 및 연결된 네트워크를 참조하세요.

자세한 내용은 다음을 참고하세요.

내부 TCP/UDP 부하 분산기를 다음 홉으로 사용할 때의 이점

부하 분산이 정적 경로에 대한 다음 홉인 경우에는 부하 분산기 또는 각 백엔드 VM으로 트래픽을 전송하도록 클라이언트를 명시적으로 구성할 필요가 없습니다. 백엔드 VM을 bump-in-the-wire 방식으로 통합할 수 있습니다.

내부 TCP/UDP 부하 분산기를 정적 경로의 다음 홉으로 사용하면 내부 TCP/UDP 부하 분산과 동일한 이점이 있습니다. 부하 분산기의 상태 확인은 새 연결이 정상적인 백엔드 VM으로 라우팅되도록 보장합니다. 관리형 인스턴스 그룹을 백엔드로 사용하여 서비스 요구에 따라 VM 집합을 늘리거나 줄이도록 자동 확장을 구성할 수 있습니다.

사양

다음은 내부 TCP/UDP 부하 분산기를 다음 홉으로 사용하기 위한 사양입니다.

클라이언트 IP 세션 어피니티

클라이언트 IP 세션 어피니티는 사용 가능한 세션 어피니티 옵션 중 하나입니다. 이 옵션은 소스 IP 주소 및 대상 IP 주소를 해시 함수의 입력으로 사용하는 2-튜플 어피니티입니다.

자체적으로 내부 TCP/UDP 부하 분산기를 사용할 때, 대상 IP 주소는 부하 분산기의 전달 규칙에 대한 IP 주소입니다. 이 컨텍스트에서 클라이언트 IP 세션 어피니티는 일정한 소스 IP 주소를 포함한 클라이언트의 연결이 동일한 백엔드 VM으로 전달됨을 의미합니다(백엔드 VM이 정상인 경우).

반면에 내부 TCP/UDP 부하 분산기를 정적 경로에 대해 다음 홉으로 사용할 때는 부하 분산기의 백엔드 VM이 패킷을 처리하고 다른 대상으로 라우팅하기 때문에 대상 IP 주소가 달라집니다. 이 컨텍스트에서 클라이언트 IP 세션 어피니티 사용하면 클라이언트에 일정한 소스 IP 주소가 포함되더라도 패킷이 동일한 백엔드 VM으로 처리되지 않습니다.

대상 범위

커스텀 정적 경로의 대상 위치는 서브넷 경로와 일치하거나 그보다 구체적일 수 없습니다. 더 구체적인 경우 서브넷 마스크가 더 길다는 것을 의미합니다. 이 규칙은 다음 홉이 내부 TCP/UDP 부하 분산기인 경우를 포함한 모든 커스텀 정적 경로에 적용됩니다. 예를 들어 서브넷 경로가 10.140.0.0/20이라고 가정해 보겠습니다. 커스텀 정적 경로의 대상 위치는 10.140.0.0/20과 같을 수 없으며 10.140.0.0/22와 같이 더 구체적일 수 없습니다.

동일한 VPC 네트워크 및 리전

내부 TCP/UDP 부하 분산기를 다음 홉으로 사용하는 커스텀 정적 경로는 다음으로 제한됩니다.

  • 단일 VPC 네트워크. 부하 분산기와 커스텀 정적 경로가 동일한 VPC 네트워크에 있어야 합니다.

  • 단일 리전 또는 모든 리전. 전역 액세스를 구성하지 않는 한 부하 분산기와 동일한 리전에 있는 리소스만 커스텀 정적 경로를 사용할 수 있습니다. 이 리전 제한은 경로 자체가 전체 VPC 네트워크의 라우팅 테이블의 일부인 경우에도 적용됩니다. 전역 액세스를 사용 설정하면 모든 리전의 리소스가 커스텀 정적 경로를 사용할 수 있습니다.

작업 순서

다음 홉으로 사용되는 커스텀 정적 경로를 만들려면 먼저 내부 TCP/UDP 부하 분산기를 만들어야 합니다. 경로를 만들려면 먼저 부하 분산기가 있어야 합니다. 존재하지 않는 부하 분산기를 참조하는 경로를 만들려고 시도하면 Google Cloud에서 오류가 반환됩니다.

전달 규칙과 연결된 내부 IP 주소를 사용하지 않고 전달 규칙의 이름 및 부하 분산기 리전을 사용하여 내부 TCP/UDP 부하 분산기 다음 홉을 지정합니다.

내부 TCP/UDP 부하 분산기를 참조하는 다음 홉이 포함된 경로를 만든 다음에는 경로를 먼저 삭제하지 않는 한, 부하 분산기를 삭제할 수 없습니다. 특히 이 전달 규칙을 다음 홉으로 사용하는 커스텀 정적 경로가 없을 때까지 내부 전달 규칙을 삭제할 수 없습니다.

백엔드 요구사항

  • IP 전달(--can-ip-forward = True)을 허용하도록 모든 내부 TCP/UDP 부하 분산기의 백엔드 VM을 구성해야 합니다. 자세한 내용은 인스턴스 기반 또는 부하 분산기 기반 라우팅 고려사항을 참조하세요.

  • 백엔드가 Google Kubernetes Engine(GKE) 노드인 내부 TCP/UDP 부하 분산기는 커스텀 정적 경로에 대해 다음 홉으로 사용할 수 없습니다. 해당 노드의 소프트웨어는 대상이 임의 대상이 아닌 클러스터에서 관리되는 IP 주소와 일치하는 경우에만 Pod에 트래픽을 라우팅할 수 있습니다.

TCP, UDP, 기타 프로토콜 트래픽 처리

내부 TCP/UDP 부하 분산기가 다음 홉으로 배포되면 Google Cloud는 다음 사항에 관계없이 모든 포트에서 모든 TCP 및 UDP 트래픽을 백엔드 VM으로 전달합니다.

  • 전달 규칙의 프로토콜 및 포트 구성
  • 백엔드 서비스의 프로토콜 구성

부하 분산기는 TCP 및 UDP 트래픽만 처리하고 ICMP와 같은 다른 모든 트래픽은 무시합니다. TCP 또는 UDP 프로토콜을 사용하지 않는 트래픽은 VPC 네트워크에서 다음으로 가장 구체적인 경로로 처리됩니다. 비TCP 및 비UDP 트래픽의 경로의 특징은 다음과 같습니다.

  • 다음 홉으로 내부 TCP/UDP 부하 분산기가 없습니다.
  • 라우팅 순서에 따라 선택됩니다.

예를 들어 VPC 네트워크에 다음 경로가 있다고 가정해 보겠습니다.

  • 대상 위치: 1.1.1.1/32, 다음 홉: 내부 TCP/UDP 부하 분산기
  • 대상: 1.0.0.0/8, 다음 홉: 기본 인터넷 게이트웨이

부하 분산기와 동일한 지역(또는 전역 액세스가 사용 설정된 모든 지역)에 있는 클라이언트의 경우 1.1.1.1/32를 대상으로 하는 TCP 및 UDP 트래픽은 내부 TCP/UDP 부하 분산기 다음 홉으로 경로를 사용합니다.

TCP 외의 트래픽과 UDP 외의 트래픽(예: ICMP 핑)에는 1.0.0.0/8 경로가 대신 사용됩니다.

추가 사양

  • 경로의 다음 홉으로 내부 TCP/UDP 부하 분산기가 있는 경우 커스텀 정적 경로는 네트워크 태그를 사용할 수 없습니다.

  • 우선순위, 대상, 내부 TCP/UDP 부하 분산기 다음 홉이 동일한 여러 개의 커스텀 정적 경로를 만들 수 없습니다. 따라서 동일한 다음 홉 부하 분산기가 있는 각 커스텀 정적 경로에는 고유한 대상 또는 고유한 우선순위가 하나 이상 있어야 합니다.

  • 대상 위치와 우선순위가 동일한 여러 경로에 대해 다음 홉으로 사용되는 내부 TCP/UDP 부하 분산기가 다른 경우 Google Cloud는 트래픽을 부하 분산기 간에 분산하지 않습니다. 대신 Google Cloud는 대상 위치와 일치하는 모든 트래픽의 다음 홉으로 부하 분산기 중 하나만 선택하고 다른 부하 분산기는 무시합니다.

  • 내부 TCP/UDP 부하 분산기를 커스텀 정적 경로의 다음 홉으로 사용하는 경우 내부 전달 규칙의 IP 주소와 함께 --purpose=SHARED_LOADBALANCER_VIP 플래그를 사용할 수 없습니다. 이는 공유 내부 IP 주소가 두 개 이상의 백엔드 서비스를 간접적으로 참조할 수 있기 때문입니다.

자세한 내용은 경로 개요를 참조하세요.

사용 사례

여러 배포 및 토폴로지에서 내부 TCP/UDP 부하 분산기를 다음 홉으로 사용할 수 있습니다.

각 예시는 다음 가이드라인을 참조하세요.

  • 각 VM 인터페이스는 별도의 VPC 네트워크에 있어야 합니다.

  • 서브넷 경로를 재정의할 수 없으므로 백엔드 VM 또는 부하 분산기를 사용하여 동일한 VPC 네트워크의 서브넷 간 트래픽을 라우팅할 수 없습니다.

  • 내부 TCP/UDP 부하 분산기는 소프트웨어 정의 패스 스루 부하 분산기입니다. NAT 및 프록시는 방화벽 가상 어플라이언스인 백엔드 VM에서만 수행됩니다.

내부 TCP/UDP 부하 분산기를 NAT 게이트웨이에 대해 다음 홉으로 사용

이 사용 사례는 인터넷으로 트래픽을 라우팅하는 여러 NAT 게이트웨이 인스턴스로 내부 VM 트래픽의 부하를 분산합니다.

NAT 사용 사례(클릭하여 확대)
NAT 사용 사례(확대하려면 클릭)

허브 및 스포크: VPC 네트워크 피어링을 사용하여 다음 홉 경로 교환

서브넷 경로 교환 외에도 커스텀 정적 및 동적 경로를 내보내고 가져오도록 VPC 네트워크 피어링을 구성할 수 있습니다. 네트워크 태그를 사용하거나 기본 인터넷 게이트웨이의 다음 홉을 포함하는 커스텀 정적 경로는 제외됩니다.

다음을 수행하여 hub VPC 네트워크에 있는 다음 홉 방화벽 가상 어플라이언스를 사용하여 허브 및 스포크 토폴로지를 구성할 수 있습니다.

  • hub VPC 네트워크에서 백엔드로 방화벽 가상 어플라이언스가 포함된 내부 TCP/UDP 부하 분산기를 만듭니다.
  • hub VPC 네트워크에서 커스텀 정적 경로를 만들고 다음 홉을 내부 TCP/UDP 부하 분산기로 설정합니다.
  • VPC 네트워크 피어링을 사용하여 hub VPC 네트워크를 각 spoke VPC 네트워크에 연결합니다.
  • 각 피어링에 대해 해당 커스텀 경로를 내보내도록 hub 네트워크를 구성하고 커스텀 경로를 가져오도록 해당 spoke 네트워크를 구성합니다. 부하 분산기 다음 홉을 포함하는 경로는 hub 네트워크가 내보내는 경로 중 하나입니다.

hub VPC 네트워크에서 다음 홉 방화벽 어플라이언스 부하 분산기는 라우팅 순서에 따라 각 spoke 네트워크에서 사용될 수 있습니다.

허브 및 스포크(클릭하여 확대)
허브 및 스포크(확대하려면 클릭)

여러 NIC에 대한 부하 분산

다음 사용 사례에서 백엔드 VM은 여러 VPC 네트워크의 NIC가 포함된 가상 어플라이언스 인스턴스(예: 방화벽 인스턴스 또는 NAT 게이트웨이)입니다. 방화벽 인스턴스 및 NAT 게이트웨이는 타사에서 가상 어플라이언스로 제공될 수 있습니다. 가상 어플라이언스는 여러 NIC가 포함된 Compute Engine VM입니다.

이 예시에서는 관리형 VM 인스턴스 그룹에 있는 백엔드 가상 어플라이언스의 단일 집합을 보여줍니다.

testing이라는 VPC 네트워크에서 내부 TCP/UDP 부하 분산기에 fr-ilb1이라는 전달 규칙이 포함됩니다. 이 예시에서 이 부하 분산기는 각 가상 어플라이언스의 nic0 인터페이스에 트래픽을 분산하지만, 어떤 NIC라도 가능합니다.

production이라는 VPC 네트워크에서 다른 내부 TCP/UDP 부하 분산기에는 fr-ilb2라는 전달 규칙이 포함됩니다. 이 부하 분산기는 다른 인터페이스(이 예시에서는 nic1)에 트래픽을 분산합니다.

여러 NIC 부하 분산이 포함된 트래픽(확대하려면 클릭)
여러 NIC 부하 분산이 포함된 트래픽(확대하려면 클릭)

자세한 구성 설정은 여러 백엔드 NIC로 부하 분산을 참조하세요.

내부 TCP/UDP 부하 분산기를 단일 NIC가 포함된 다음 홉으로 사용

이전 사용 사례와 마찬가지로, 백엔드 VM은 여러 VPC 네트워크의 NIC가 포함된 가상 어플라이언스 인스턴스(예: 방화벽 인스턴스 또는 NAT 게이트웨이)입니다.

다음 예시에서는 2개의 관리형 VM 인스턴스 그룹에 있는 2개의 백엔드 가상 어플라이언스 집합을 보여줍니다.

백엔드는 다음과 같이 요약됩니다.

testing-production 트래픽을 위해 부하 분산된 인스턴스 production-testing 트래픽을 위해 부하 분산된 인스턴스
fw-instance-a
fw-instance-b
fw-instance-c
fw-instance-d
fw-instance-e
fw-instance-f

testing-production 방향에서 트래픽은 testing이라는 VPC 네트워크에서 시작됩니다. testing 네트워크에서 내부 TCP/UDP 부하 분산기에는 fr-ilb1이라는 전달 규칙이 포함됩니다. 이 예시에서는 지정된 network 매개변수가 없는 백엔드 서비스로 내부 TCP/UDP 부하 분산기를 사용합니다. 즉, 각 부하 분산기가 각 백엔드 VM의 기본 네트워크 인터페이스에만 트래픽을 분산합니다.

단일 NIC 부하 분산이 포함된 트래픽(<code>testing</code>-<code>production</code>)(확대하려면 클릭)
단일 NIC 부하 분산이 포함된 트래픽(testing-production)(확대하려면 클릭)

production-testing 방향에서 트래픽은 production이라는 VPC 네트워크에서 시작됩니다. production 네트워크에서 다른 내부 TCP/UDP 부하 분산기에는 fr-ilb2라는 전달 규칙이 포함됩니다. 다시 이 예시에서는 지정된 network 매개변수가 없는 백엔드 서비스로 내부 TCP/UDP 부하 분산기를 사용합니다. 즉, 각 부하 분산기가 각 백엔드 VM의 기본 네트워크 인터페이스에만 트래픽을 분산합니다. 각 가상 어플라이언스는 nic0을 하나만 포함할 수 있기 때문에, 이 배포는 가상 어플라이언스의 보조 집합이 필요합니다. 여기에는 testing-production 부하 분산에 대한 첫 번째 집합과 production-testing 부하 분산에 대한 두 번째 집합이 포함됩니다.

단일 NIC 부하 분산이 포함된 트래픽(<code>production</code>-<code>testing</code>)(확대하려면 클릭)
단일 NIC 부하 분산이 포함된 트래픽(production-testing)(확대하려면 클릭)

다음 단계