내부 TCP/UDP 부하 분산 및 연결된 네트워크

이 페이지에서는 연결된 네트워크에서 Virtual Private Cloud(VPC) 네트워크의 내부 부하 분산기에 액세스하는 시나리오를 설명합니다. 이 페이지의 정보를 검토하기 전에 다음 가이드의 개념을 숙지해야 합니다.

VPC 네트워크 피어링 사용

VPC 네트워크 피어링을 사용하여 VPC 네트워크를 다른 네트워크에 연결하면 Google Cloud는 네트워크 간에 서브넷 경로를 공유합니다. 서브넷 경로는 피어 네트워크의 트래픽이 네트워크의 내부 부하 분산기에 도달하도록 허용합니다. 다음이 참인 경우 액세스가 허용됩니다.

  • 내부 TCP/UDP 부하 분산기의 경우 피어 네트워크의 클라이언트 VM에서 오는 트래픽을 허용하는 인그레스 방화벽 규칙을 만들어야 합니다. Google Cloud 방화벽 규칙은 VPC 네트워크 피어링을 사용할 때 네트워크 간에 공유되지 않습니다.
  • 피어 네트워크의 클라이언트 가상 머신(VM) 인스턴스는 내부 부하 분산기와 동일한 리전에 있습니다. 내부 TCP/UDP 부하 분산기의 경우에만 전역 액세스를 구성하면 이 제한이 적용되지 않습니다.

VPC 네트워크 피어링을 사용하여 일부 내부 TCP/UDP 부하 분산기 또는 내부 HTTP(S) 부하 분산기만 선택적으로 공유할 수는 없습니다. 모든 내부 부하 분산기는 자동으로 공유됩니다. 다음 방법으로 부하 분산기의 백엔드 액세스를 제한할 수 있습니다.

  • 내부 TCP/UDP 부하 분산기의 경우 백엔드 VM 인스턴스에 적용되는 인그레스 방화벽 규칙을 사용할 수 있습니다.

  • 내부 HTTP(S) 부하 분산기의 경우 HTTP 헤더를 사용하여 액세스를 제어하도록 백엔드 VM 또는 엔드포인트를 구성할 수 있습니다(예: X-Forwarded-For).

Cloud VPN 및 Cloud Interconnect 사용

Dedicated Interconnect 연결 또는 Partner InterconnectCloud VPN 터널 또는 VLAN 연결을 통해 연결된 피어 네트워크에서 내부 부하 분산기에 액세스할 수 있습니다. 피어 네트워크는 온프레미스 네트워크, 다른 Google Cloud VPC 네트워크, 다른 클라우드 제공업체에서 호스팅하는 가상 네트워크일 수 있습니다.

Cloud VPN 터널을 통한 액세스

다음 조건이 모두 충족되면 Cloud VPN 터널을 통해 내부 부하 분산기에 액세스할 수 있습니다.

내부 부하 분산기 네트워크에서

  • 전역 액세스가 사용 중지된 경우 Cloud VPN 게이트웨이와 터널 모두 부하 분산기와 동일한 리전에 있어야 합니다. 부하 분산기의 전달 규칙에 전역 액세스가 사용 설정되어 있으면 이 제한이 적용되지 않습니다.

  • 경로는 부하 분산기의 백엔드에서 클라이언트가 있는 온프레미스 또는 피어 네트워크로의 응답 경로를 제공해야 합니다. 동적 라우팅과 함께 Cloud VPN 터널을 사용하는 경우 부하 분산기의 Cloud VPN 네트워크의 동적 라우팅 모드를 고려하세요. 동적 라우팅 모드는 부하 분산기의 백엔드에서 사용할 수 있는 커스텀 동적 경로를 결정합니다.

  • 온프레미스 클라이언트가 패킷을 부하 분산기로 보낼 수 있도록 온프레미스 소스 IP 주소 범위로 인그레스 허용 방화벽 규칙을 구성해야 합니다. 이러한 방화벽 규칙의 대상에는 부하 분산기의 백엔드가 포함되어야 합니다. 자세한 내용은 대상 및 IP 주소를 참조하세요.

피어 네트워크에서

피어 네트워크에는 내부 부하 분산기가 정의된 서브넷에 대한 경로가 있는 Cloud VPN 터널이 하나 이상 있어야 합니다.

피어 네트워크가 다른 Google Cloud VPC 네트워크인 경우:

  • 피어 네트워크의 Cloud VPN 게이트웨이 및 터널은 모든 리전에 위치할 수 있습니다.

  • 동적 라우팅을 사용하는 Cloud VPN 터널의 경우 VPC 네트워크의 동적 라우팅 모드는 각 리전의 클라이언트가 사용할 수 있는 경로를 결정합니다. 모든 리전의 클라이언트에 일관된 커스텀 동적 경로를 제공하려면 전역 동적 라우팅 모드를 사용합니다.

  • 온프레미스 또는 피어 네트워크 방화벽이 부하 분산기 전달 규칙의 IP 주소로 전송된 패킷을 허용하는지 확인합니다. 온프레미스 또는 피어 네트워크 방화벽이 부하 분산기 전달 규칙의 IP 주소에서 수신된 응답 패킷을 허용하는지 확인합니다.

다음 다이어그램은 Cloud VPN 게이트웨이 및 관련 터널을 통해 내부 부하 분산기에 액세스할 때의 주요 개념을 보여줍니다. Cloud VPN은 Cloud VPN 터널을 사용하여 온프레미스 네트워크를 Google Cloud VPC 네트워크에 안전하게 연결합니다.

내부 TCP/UDP 부하 분산 및 Cloud VPN(클릭하여 확대)
내부 부하 분산 및 Cloud VPN(클릭하여 확대)

이 예시와 관련된 다음 구성 요소에 유의하세요.

  • lb-network에서 동적 라우팅을 사용하는 Cloud VPN 터널이 구성되었습니다. VPN 터널, 게이트웨이 및 Cloud Router는 모두 us-west1 내부 부하 분산기의 구성요소가 있는 동일한 리전에 있습니다.
  • VPC의 IP 주소와 온프레미스 네트워크 10.1.2.0/24192.168.1.0/24로부터 트래픽을 수신할 수 있도록 인그레스 허용 방화벽 규칙이 구성되어 인스턴스 그룹 ig-aig-c의 백엔드 VM에 적용되었습니다. 이그레스 거부 방화벽 규칙은 생성되지 않았으므로 묵시적 허용 이그레스 규칙이 적용됩니다.
  • 192.168.1.0/24를 포함한 온프레미스 네트워크의 클라이언트에서 내부 부하 분산기의 IP 주소 10.1.2.99로 전송되는 패킷은 구성된 세션 어피니티에 따라 vm-a2와 같은 정상 백엔드 VM으로 직접 전달됩니다.
  • 백엔드 VM(예: vm-a2)에서 보낸 회신은 VPN 터널을 통해 온프레미스 클라이언트에 전달됩니다.

Cloud VPN 문제를 해결하려면 Cloud VPN 문제해결을 참조하세요.

Cloud Interconnect를 통한 액세스

내부 부하 분산기의 네트워크에서 다음 조건이 모두 충족되는 경우 부하 분산기의 VPC 네트워크에 연결된 내부 피어 네트워크에서 내부 부하 분산기에 액세스할 수 있습니다.

  • 전역 액세스가 사용 중지된 경우 Cloud Interconnect 연결(VLAN)과 Cloud Router 모두 부하 분산기와 동일한 리전에 있어야 합니다. 부하 분산기의 전달 규칙에 전역 액세스가 사용 설정되어 있으면 이 제한이 적용되지 않습니다.

  • 온프레미스 라우터는 부하 분산기의 백엔드에서 온프레미스 네트워크로의 응답 경로를 제공해야 합니다. Dedicated Interconnect와 Partner Interconnect의 Interconnect 연결(VLAN)은 Cloud Router를 사용해야 합니다. 따라서 커스텀 동적 경로는 응답 경로를 제공합니다. 학습하는 커스텀 동적 경로 집합은 부하 분산기 네트워크의 동적 라우팅 모드에 따라 다릅니다.

  • 온프레미스 클라이언트가 패킷을 부하 분산기로 보낼 수 있도록 온프레미스 소스 IP 주소 범위로 인그레스 허용 방화벽 규칙을 구성해야 합니다. 이러한 방화벽 규칙의 대상은 부하 분산기의 백엔드여야 합니다. 자세한 내용은 대상 및 IP 주소를 참조하세요.

  • 온프레미스 방화벽이 부하 분산기 전달 규칙의 IP 주소로 전송되는 패킷을 허용하는지 확인합니다. 온프레미스 방화벽이 부하 분산기 전달 규칙의 IP 주소에서 수신한 응답 패킷을 허용하는지 확인합니다.

내부 TCP/UDP 부하 분산을 위한 전역 액세스

내부 TCP/UDP 부하 분산을 위한 전역 액세스를 구성하면 다음 리소스를 모든 리전에 배치할 수 있습니다.

  • Cloud Router
  • Cloud VPN 게이트웨이 및 터널
  • Cloud Interconnect 연결(VLAN)

다이어그램에서:

  • Cloud Router는 europe-west1 리전에 있습니다.
  • 내부 TCP/UDP 부하 분산기의 프런트엔드 및 백엔드는 us-east1 리전에 있습니다.
  • Cloud Router는 온프레미스 VPN 라우터와 피어링됩니다.
  • Border Gateway Protocol(BGP) 피어링 세션은 다이렉트 피어링 또는 Partner Interconnect가 있는 Cloud VPN 또는 Cloud Interconnect를 통해 이루어질 수 있습니다.
전역 액세스를 사용한 내부 TCP/UDP 부하 분산(클릭하여 확대)
전역 액세스를 사용한 내부 TCP/UDP 부하 분산(클릭하여 확대)

europe-west1에서 Cloud Router를 사용 설정하여 내부 TCP/UDP 부하 분산기의 VPC 네트워크에 있는 모든 리전의 서브넷에 대한 서브넷 경로를 공지하려면 VPC 네트워크의 동적 라우팅 모드global으로 설정합니다.

다중 이그레스 경로

프로덕션 환경에서는 중복을 위해 여러 Cloud VPN 터널 또는 Cloud Interconnect 연결(VLAN)을 사용해야 합니다. 이 섹션에서는 여러 터널 또는 VLAN을 사용할 때의 요구사항에 대해 설명합니다.

다음 다이어그램에서는 두 개의 Cloud VPN 터널이 lb-network를 온프레미스 네트워크로 보냅니다. 여기에는 Cloud VPN 터널이 사용되지만 Cloud Interconnect에도 동일한 원칙이 적용됩니다.

내부 TCP/UDP 부하 분산 및 다중 Cloud VPN 터널(클릭하여 확대)
내부 부하 분산 및 다중 Cloud VPN 터널(클릭하여 확대)

각 터널 또는 각 Cloud Interconnect 연결(VLAN)을 내부 부하 분산기와 같은 리전에 구성해야 합니다. 전역 액세스를 사용 설정한 경우 내부 TCP/UDP 부하 분산에는 이 요구사항이 적용되지 않습니다.

다중 터널 또는 VLAN은 추가 대역폭을 제공하거나 중복성을 위한 대기 경로 역할을 할 수 있습니다.

다음 사항에 유의하세요.

  • 온프레미스 네트워크에 우선순위가 동일하며 각각 대상이 10.1.2.0/24, 내부 부하 분산기와 동일한 리전에 있는 서로 다른 VPN 터널에 해당하는 다음 홉이 있는 2개의 경로가 있는 경우 트래픽은 동일 비용 다중 경로(ECMP)를 사용하여 온프레미스 네트워크(192.168.1.0/24)에서 부하 분산기로 전송될 수 있습니다.
  • 패킷이 VPC 네트워크로 전달된 후 내부 부하 분산기는 구성된 세션 어피니티에 따라 백엔드 VM에 패킷을 배포합니다.
  • lb-network에 각각 대상이 192.168.1.0/24이며 서로 다른 VPN 터널에 해당하는 다음 홉이 있는 2개의 경로가 있는 경우 백엔드 VM의 응답은 네트워크의 경로 우선순위에 따라 각 터널을 통해 전달될 수 있습니다. 다른 경로 우선순위가 사용되는 경우 하나의 터널이 다른 터널의 백업 역할을 할 수 있습니다. 동일한 우선순위가 사용되는 경우 ECMP를 사용하여 응답이 전달됩니다.
  • 백엔드 VM(예: vm-a2)에서 보낸 회신은 적절한 터널을 통해 온프레미스 클라이언트에 직접 전달됩니다. lb-network의 관점에서 경로 또는 VPN 터널이 변경되면 트래픽 이그레스에 다른 터널이 사용될 수 있습니다. 이로 인해 진행 중인 연결이 중단되는 경우 TCP 세션이 재설정될 수 있습니다.

다음 단계