타사 어플라이언스의 내부 TCP/UDP 부하 분산 설정

이 가이드에서는 예시를 사용하여 Google Cloud Platform 내부 TCP/UDP 부하 분산기를 다음 홉으로 구성하는 방법을 설명합니다. 이 가이드를 수행하기 전에 다음 사항을 숙지하세요.

권한

이 가이드를 수행하려면 프로젝트에서 인스턴스를 만들고 네트워크를 수정해야 합니다. 이렇게 하려면 프로젝트 소유자 또는 편집자이거나, 다음 Compute Engine IAM 역할을 모두 보유해야 합니다.

작업 필요한 역할
네트워크, 서브넷, 부하 분산기 구성요소 만들기 네트워크 관리자
방화벽 규칙 추가 및 삭제 보안 관리자
인스턴스 생성 인스턴스 관리자

설정

이 가이드에서는 수평 확장된 가상 어플라이언스를 통합하기 위해 내부 TCP/UDP 부하 분산기를 커스텀 정적 경로의 다음 홉으로 사용하는 방법을 설명합니다.

이 가이드에서 설명하는 솔루션은 가상 어플라이언스를 통합하여 각 가상 어플라이언스로 트래픽을 전송하도록 클라이언트를 명시적으로 재구성할 필요가 없습니다. 이 설정 가이드의 예시에서는 부하 분산된 방화벽 가상 어플라이언스를 통해 모든 East-West 트래픽을 전송합니다.

이 섹션의 단계에서는 다음 리소스를 구성하는 방법을 설명합니다.

  • 샘플 VPC 네트워크 및 커스텀 서브넷
  • 백엔드 VM에 대한 수신 연결을 허용하는 GCP 방화벽 규칙
  • 커스텀 정적 경로
  • 연결을 테스트하기 위한 클라이언트 VM 1개
  • 다음 내부 TCP/UDP 부하 분산기 구성요소:
    • 관리형 인스턴스 그룹의 백엔드 VM
    • 백엔드 VM 어플라이언스의 상태 확인
    • 백엔드 VM 간의 연결 분산을 관리하기 위한 us-west1 리전의 내부 백엔드 서비스
    • 부하 분산기의 프런트엔드에 대한 내부 전달 규칙 및 내부 IP 주소

대략적인 토폴로지는 다음과 같습니다.

내부 TCP/UDP 부하 분산의 East-West 다음 홉 예시(클릭하여 확대)
내부 TCP/UDP 부하 분산의 East-West 다음 홉 예시(클릭하여 확대)

다이어그램은 예시에서 만드는 몇 가지 리소스를 보여줍니다.

  • 내부 TCP/UDP 부하 분산기(이 예시에서는 fr-ilb) 뒤에 있는 애플리케이션 인스턴스(이 경우 방화벽 어플라이언스 소프트웨어를 실행하는 VM). 애플리케이션 인스턴스에는 내부(RFC 1918) IP 주소만 있습니다.
  • 각 애플리케이션 인스턴스에는 [can-ip-forward](/vpc/docs/using-routes#canipforward) 플래그가 사용 설정되어 있습니다. 이는 기본적으로 각 Compute Engine VM이 VM 자체의 패킷만 전송하므로 패킷의 소스 IP 주소가 VM의 IP 주소 중 하나와 일치하기 때문입니다. can-ip-forward 설정을 통해 애플리케이션 인스턴스는 다른 노드에서 시작된 패킷을 전달할 수 있습니다.
  • 대상 10.50.1.0/24 및 다음 홉이 부하 분산기의 전달 규칙 fr-ilb로 설정된 커스텀 고정 경로

다이어그램은 트래픽 흐름도 보여줍니다.

  • Wgeb 트래픽은 production VPC 네트워크에서 10.50.1.0/24를 기본 IP 범위로 사용하는 서브넷으로 전송되고, 트래픽은 부하 분산기를 통해 라우팅됩니다.
  • 부하 분산기는 구성된 세션 어피니티에 따라 애플리케이션 인스턴스 중 하나로 트래픽을 전달합니다. 세션 어피니티는 TCP 트래픽에만 영향을 줍니다.
  • 애플리케이션 인스턴스는 production VPC 네트워크의 인스턴스 그룹에 패킷을 전달하기 위해 소스 네트워크 주소 변환(SNAT)을 수행합니다. 반환 트래픽의 경우 transit VPC 네트워크의 클라이언트 인스턴스로 패킷을 전달하기 위해 대상 네트워크 주소 변환(DNAT)을 수행합니다.

추가 사용 사례는 다음 홉 개념인 내부 TCP/UDP 부하 분산기를 참조하세요.

다음 다이어그램은 부하 분산 리소스와 네트워킹 토폴로지를 보다 자세하게 보여줍니다.

내부 TCP/UDP 부하 분산의 East-West 다음 홉 예시(클릭하여 확대)
내부 TCP/UDP 부하 분산의 East-West 다음 홉 예시(클릭하여 확대)

네트워크, 리전, 서브넷 구성

이 예시에서는 다음 VPC 네트워크, 리전, 서브넷을 사용합니다.

  • 네트워크: 이 예시에서는 각각 하나 이상의 서브넷이 있는 두 개의 네트워크가 필요합니다. 각 백엔드 타사 어플라이언스 VM에는 각 VPC 네트워크에 하나씩 둘 이상의 네트워크 인터페이스가 있어야 합니다. 이 예시의 네트워크는 이름이 transitproduction커스텀 모드 VPC 네트워크입니다. 이 예시의 transit 네트워크에는 클라이언트와 부하 분산기가 포함됩니다. production 네트워크에는 대상 VM이 포함됩니다.

  • 리전: 서브넷은 us-west1 리전에 있습니다. VM 인스턴스는 영역 리소스이므로 서브넷은 동일한 리전에 있어야 합니다.

  • 서브넷: transit-subnetproduction-subnet 서브넷은 각각 10.30.1.0/2410.50.1.0/24 기본 IP 주소 범위를 사용합니다.

예시 네트워크 및 서브넷을 만들려면 다음 단계를 따르세요.

Console

transit 네트워크 및 transit-subnet을 만듭니다.

  1. Google Cloud Platform Console의 VPC 네트워크 페이지로 이동합니다.
    VPC 네트워크 페이지로 이동
  2. VPC 네트워크 만들기를 클릭합니다.
  3. transit이름을 입력합니다.
  4. 서브넷 섹션에서 다음을 수행합니다.
    • 서브넷 생성 모드커스텀으로 설정합니다.
    • 새 서브넷 섹션에 다음 정보를 입력합니다.
      • 이름: transit-subnet
      • 리전: us-west1
      • IP 주소 범위: 10.30.1.0/24
      • 완료를 클릭합니다.
  5. 만들기를 클릭합니다.

production 네트워크 및 production-subnet을 만듭니다.

  1. Google Cloud Platform Console의 VPC 네트워크 페이지로 이동합니다.
    VPC 네트워크 페이지로 이동
  2. VPC 네트워크 만들기를 클릭합니다.
  3. production이름을 입력합니다.
  4. 서브넷 섹션에서 다음을 수행합니다.
    • 서브넷 생성 모드커스텀으로 설정합니다.
    • 새 서브넷 섹션에 다음 정보를 입력합니다.
      • 이름: production-subnet
      • 리전: us-west1
      • IP 주소 범위: 10.50.1.0/24
      • 완료를 클릭합니다.
  5. 만들기를 클릭합니다.

gcloud

  1. 커스텀 VPC 네트워크를 만듭니다.

    gcloud compute networks create transit --subnet-mode=custom
    
    gcloud compute networks create production --subnet-mode=custom
    
  2. us-west1 리전의 transitproduction 네트워크에 서브넷을 만듭니다.

    gcloud compute networks subnets create transit-subnet \
        --network=transit \
        --range=10.30.1.0/24 \
        --region=us-west1
    
    gcloud compute networks subnets create production-subnet \
        --network=production \
        --range=10.50.1.0/24 \
        --region=us-west1
    

방화벽 규칙 구성

이 예시에서는 다음과 같은 방화벽 규칙을 사용합니다.

  • fw-allow-transit-subnet: transit 네트워크의 모든 대상에 적용되는 인그레스 규칙으로, 10.30.1.0/24 범위의 소스에서 오는 트래픽을 허용합니다. 이 규칙을 사용하면 transit-subnet의 타사 VM 어플라이언스와 클라이언트가 통신할 수 있습니다.

  • fw-allow-production-subnet: production 네트워크의 모든 대상에 적용되는 인그레스 규칙으로, 10.50.1.0/24 범위의 소스에서 오는 트래픽을 허용합니다. 이 규칙을 사용하면 production-subnet의 타사 VM 어플라이언스와 대상 VM이 통신할 수 있습니다.

  • fw-allow-transit-ssh: 부하 분산되는 인스턴스에 적용되는 인그레스 규칙으로, TCP 포트 22에서 임의의 주소로부터 SSH 연결 수신을 허용합니다. 이 규칙에 더 제한적인 소스 IP 범위를 선택할 수 있습니다. 예를 들어 SSH 세션을 시작하려는 시스템의 IP 범위를 지정할 수 있습니다. 이 예시에서는 allow-ssh 대상 태그를 사용하여 방화벽 규칙이 적용되는 VM을 식별합니다.

  • fw-allow-health-check: 부하 분산된 타사 VM 어플라이언스에 적용되는 인그레스 규칙으로, GCP 상태 확인 시스템(130.211.0.0/2235.191.0.0/16)의 트래픽을 허용합니다. 이 예시에서는 allow-health-check 대상 태그를 사용하여 적용 인스턴스를 식별합니다.

이러한 방화벽 규칙이 없으면 기본 거부 인그레스 규칙은 백엔드 인스턴스로 들어오는 트래픽을 차단합니다. GCP 프로브 시스템의 IP 범위에서 상태 확인을 허용하려면 방화벽 규칙을 만들어야 합니다. 자세한 내용은 프로브 IP 범위를 참조하세요.

Console

  1. Google Cloud Platform Console의 방화벽 규칙 페이지로 이동합니다.
    방화벽 규칙 페이지로 이동
  2. 방화벽 규칙 만들기를 클릭하고 다음 정보를 입력하여 서브넷 트래픽을 허용하는 규칙을 만듭니다.
    • 이름: fw-allow-transit-subnet
    • 네트워크: transit
    • 우선순위: 1000
    • 트래픽 방향: 인그레스
    • 일치 시 작업: 허용
    • 대상: 네트워크의 모든 인스턴스
    • 소스 필터: IP ranges
    • 소스 IP 범위: 10.30.1.0/24
    • 프로토콜 및 포트: 모두 허용
  3. 만들기를 클릭합니다.
  4. 방화벽 규칙 만들기를 클릭하고 다음 정보를 입력하여 서브넷 트래픽을 허용하는 규칙을 만듭니다.
    • 이름: fw-allow-production-subnet
    • 네트워크: production
    • 우선순위: 1000
    • 트래픽 방향: 인그레스
    • 일치 시 작업: 허용
    • 대상: 네트워크의 모든 인스턴스
    • 소스 필터: IP ranges
    • 소스 IP 범위: 10.50.1.0/24
    • 프로토콜 및 포트: 모두 허용
  5. 만들기를 클릭합니다.
  6. 방화벽 규칙 만들기를 다시 클릭하여 수신 SSH 연결을 허용하는 규칙을 만듭니다.
    • 이름: fw-allow-transit-ssh
    • 네트워크: transit
    • 우선순위: 1000
    • 트래픽 방향: 인그레스
    • 일치 시 작업: 허용
    • 대상: 지정된 대상 태그
    • 대상 태그: allow-ssh
    • 소스 필터: IP ranges
    • 소스 IP 범위: 0.0.0.0/0
    • 프로토콜 및 포트: 지정된 프로토콜 및 포트를 선택한 다음 tcp:22를 입력합니다.
  7. 만들기를 클릭합니다.
  8. 방화벽 규칙 만들기를 세 번째 클릭하여 GCP 상태 확인을 허용하는 규칙을 만듭니다.
    • 이름: fw-allow-health-check
    • 네트워크: transit
    • 우선순위: 1000
    • 트래픽 방향: 인그레스
    • 일치 시 작업: 허용
    • 대상: 지정된 대상 태그
    • 대상 태그: allow-health-check
    • 소스 필터: IP ranges
    • 소스 IP 범위: 130.211.0.0/2235.191.0.0/16
    • 프로토콜 및 포트: 모두 허용
  9. 만들기를 클릭합니다.

gcloud

  1. fw-allow-transit-subnet 방화벽 규칙을 만들어 서브넷에서의 통신을 허용합니다.

    gcloud compute firewall-rules create fw-allow-transit-subnet \
        --network=transit \
        --action=allow \
        --direction=ingress \
        --source-ranges=10.30.1.0/24 \
        --rules=tcp,udp,icmp
    
  2. fw-allow-production-subnet 방화벽 규칙을 만들어 서브넷에서의 통신을 허용합니다.

    gcloud compute firewall-rules create fw-allow-production-subnet \
        --network=production \
        --action=allow \
        --direction=ingress \
        --source-ranges=10.50.1.0/24 \
        --rules=tcp,udp,icmp
    
  3. fw-allow-transit-ssh 방화벽 규칙을 만들어 allow-ssh 네트워크 태그가 있는 VM으로의 SSH 연결을 허용합니다. source-ranges를 생략하면 GCP가 모든 소스를 의미하는 것으로 규칙을 해석합니다.

    gcloud compute firewall-rules create fw-allow-transit-ssh \
        --network=transit \
        --action=allow \
        --direction=ingress \
        --target-tags=allow-ssh \
        --rules=tcp:22
    
  4. fw-allow-health-check 규칙을 만들어 transit 네트워크의 타사 어플라이언스 VM에 GCP 상태 확인을 허용합니다.

    gcloud compute firewall-rules create fw-allow-transit-health-check \
        --network=transit \
        --action=allow \
        --direction=ingress \
        --target-tags=allow-health-check \
        --source-ranges=130.211.0.0/22,35.191.0.0/16 \
        --rules=tcp,udp,icmp
    

대상 인스턴스 만들기

이 예시에서는 production VPC 네트워크의 production-subnet(10.50.1.0/24)에 IP 주소가 10.50.1.2인 대상 인스턴스를 만듭니다.

Console

  1. Google Cloud Platform Console의 VM 인스턴스 페이지로 이동합니다.
    VM 인스턴스 페이지로 이동
  2. VM 이름으로 destination-instance를 입력합니다.
  3. 리전us-west1을 선택하고 영역us-west1-a를 선택합니다.
  4. 부팅 디스크 섹션에서 선택된 이미지가 Debian GNU/Linux 9 Stretch인지 확인합니다. 필요한 경우 선택을 클릭하여 이미지를 변경합니다.
  5. 관리, 보안, 디스크, 네트워킹, 단독 테넌시를 클릭하고 다음과 같이 변경합니다.

    • 네트워킹을 클릭하고 allow-ssh 네트워크 태그를 추가합니다.
    • 네트워크 인터페이스 아래의 수정 버튼을 클릭하고 다음을 수정한 후 완료를 클릭합니다.
      • 네트워크: production
      • 서브넷: production-subnet
      • 기본 내부 IP: 임시(커스텀)
      • 커스텀 임시 IP 주소: 10.50.1.2
      • 외부 IP: 임시
    • 관리를 클릭합니다. 시작 스크립트 필드에서 다음 스크립트 내용을 복사하여 붙여넣습니다. 스크립트 내용은 4개의 모든 VM에서 동일합니다.

      #! /bin/bash
      apt-get update
      apt-get install apache2 -y
      a2ensite default-ssl
      a2enmod ssl
      vm_hostname="$(curl -H "Metadata-Flavor:Google" \
      http://169.254.169.254/computeMetadata/v1/instance/name)"
      echo "Page served from: $vm_hostname" | \
      tee /var/www/html/index.html
      systemctl restart apache2
      
  6. 만들기를 클릭합니다.

gcloud

  1. 다음 명령어를 실행하여 VM을 만듭니다.

    gcloud compute instances create destination-instance \
        --zone=us-west1-a \
        --image-family=debian-9 \
        --image-project=debian-cloud \
        --tags=allow-ssh \
        --subnet=production-subnet \
        --private-network-ip 10.50.1.2 \
        --metadata=startup-script='#! /bin/bash
        apt-get update
        apt-get install apache2 -y
        a2ensite default-ssl
        a2enmod ssl
        vm_hostname="$(curl -H "Metadata-Flavor:Google" \
        http://169.254.169.254/computeMetadata/v1/instance/name)"
        echo "Page served from: $vm_hostname" | \
        tee /var/www/html/index.html
        systemctl restart apache2'
    

타사 가상 어플라이언스 만들기

다음 단계는 iptables 소프트웨어를 타사 가상 어플라이언스로 사용하여 인스턴스 템플릿 및 관리형 리전 인스턴스 그룹을 만드는 방법을 보여줍니다.

Console

네트워크 인스턴스가 둘 이상인 인스턴스 템플릿을 만들어야 하므로 이 단계에서 gcloud를 사용해야 합니다. 현재 GCP Console에서는 네트워크 인터페이스가 둘 이상인 인스턴스 템플릿을 만들 수 없습니다.

gcloud

  1. 타사 가상 어플라이언스의 인스턴스 템플릿을 만듭니다. 템플릿에서 생성된 VM 인스턴스가 transitproduction 네트워크의 다른 인스턴스에서 패킷을 전달할 수 있도록 인스턴스 템플릿에는 --can-ip-forward 플래그가 포함되어 있어야 합니다.

    gcloud compute instance-templates create third-party-template \
        --region=us-west1 \
        --network-interface subnet=transit-subnet,address="" \
        --network-interface subnet=production-subnet \
        --tags=allow-ssh,allow-health-check \
        --image-family=debian-9 \
        --image-project=debian-cloud \
        --can-ip-forward \
        --metadata=startup-script='#! /bin/bash
        # Enable IP forwarding:
        echo 1 > /proc/sys/net/ipv4/ip_forward
        echo "net.ipv4.ip_forward=1" > /etc/sysctl.d/20-iptables.conf
        # Read VM network configuration:
        md_vm="http://169.254.169.254/computeMetadata/v1/instance/"
        md_net="$md_vm/network-interfaces"
        nic0_gw="$(curl -H "Metadata-Flavor:Google" $md_net/0/gateway)"
        nic0_mask="$(curl -H "Metadata-Flavor:Google" $md_net/0/subnetmask)"
        nic1_gw="$(curl -H "Metadata-Flavor:Google" $md_net/1/gateway)"
        nic1_mask="$(curl -H "Metadata-Flavor:Google" $md_net/1/subnetmask)"
        nic1_addr="$(curl -H "Metadata-Flavor:Google" $md_net/1/ip)"
        # Start iptables:
        /sbin/iptables -t nat -F
        /sbin/iptables -t nat -A POSTROUTING \
        -s "$nic0_gw/$nic0_mask" \
        -d "$nic1_gw/$nic1_mask" \
        -o eth1 \
        -j SNAT \
        --to-source "$nic1_addr"
        /sbin/iptables-save
        # Use a web server to pass the health check for this example.
        # You should use a more complete test in production.
        apt-get update
        apt-get install apache2 -y
        a2ensite default-ssl
        a2enmod ssl
        echo "Example web page to pass health check" | \
        tee /var/www/html/index.html
        systemctl restart apache2'
    
  2. 타사 가상 어플라이언스의 관리형 인스턴스 그룹을 만듭니다. 다음 명령어는 us-west1에서 리전 관리형 인스턴스 그룹을 만들고 자동 확장할 수 있습니다.

    gcloud compute instance-groups managed create third-party-instance-group \
        --region us-west1 \
        --template=third-party-template \
        --size=3
    

부하 분산 리소스 만들기

이러한 단계를 통해 상태 확인 및 백엔드 서비스부터 프런트엔드 구성에 이르기까지 모든 내부 TCP/UDP 부하 분산기 구성요소를 구성합니다.

  • 상태 확인: 이 예시에서 HTTP 상태 확인은 HTTP 200(OK) 응답을 확인합니다. 자세한 내용은 내부 TCP/UDP 부하 분산 개요의 상태 확인 섹션을 참조하세요.

  • 백엔드 서비스: 이 예시의 백엔드 서비스가 TCP 프로토콜을 지정하더라도 부하 분산기가 경로의 다음 홉인 경우에는 TCP 및 UDP 트래픽이 모두 부하 분산기의 백엔드로 전송됩니다.

  • 전달 규칙: 이 예시의 전달 규칙이 TCP 포트 80을 지정하더라도 부하 분산기가 경로의 다음 홉인 경우에는 TCP 또는 UDP 포트의 트래픽이 부하 분산기의 백엔드로 전송됩니다.

  • 내부 IP 주소: 이 예시에서는 전달 규칙에 내부 IP 주소인 10.30.1.99를 지정합니다.

Console

부하 분산기 생성 및 백엔드 서비스 구성

  1. Google Cloud Platform Console의 부하 분산 페이지로 이동합니다.
    부하 분산 페이지로 이동
  2. 부하 분산기 만들기를 클릭합니다.
  3. TCP 부하 분산에서 구성 시작을 클릭합니다.
  4. 인터넷 연결 또는 내부 전용에서 VM 사이에서만 분산을 선택합니다.
  5. 계속을 클릭합니다.
  6. 이름be-ilb로 설정합니다.
  7. 백엔드 구성을 클릭하고 다음과 같이 변경합니다.
    1. 리전: us-west1
    2. 네트워크: transit
    3. 백엔드새 항목 섹션에서 third-party-instance-group 인스턴스 그룹을 선택하고 완료를 클릭합니다.
    4. 상태 확인에서 다른 상태 확인 생성을 선택하고 다음 정보를 입력한 다음 저장 후 계속을 클릭합니다.
      • 이름: hc-http-80
      • 프로토콜: HTTP
      • 포트: 80
      • 프록시 프로토콜: NONE
      • 요청 경로: /
    5. 계속하기 전에 백엔드 구성 옆에 파란색 체크표시가 있는지 확인합니다. 그렇지 않은 경우 이 단계를 검토합니다.
  8. 프런트엔드 구성을 클릭합니다. 새 프런트엔드 IP 및 포트 섹션에서 다음과 같이 변경합니다.
    1. 이름: fr-ilb
    2. 서브네트워크: transit-subnet
    3. 내부 IP에서 고정 내부 IP 주소 예약을 선택하고 다음 정보를 입력한 다음 예약을 클릭합니다.
      • 이름: ip-ilb
      • 고정 IP 주소: 직접 선택
      • 커스텀 IP 주소: 10.30.1.99
    4. 포트: 단일을 선택하고 포트 번호80을 입력합니다. 부하 분산기에 선택한 프로토콜 및 포트는 부하 분산기가 경로의 다음 홉일 때 사용되는 프로토콜 및 포트를 제한하지 않습니다.
    5. 계속하기 전에 프런트엔드 구성 옆에 파란색 체크표시가 있는지 확인합니다. 그렇지 않은 경우 이 단계를 검토합니다.
  9. 검토 및 완료를 클릭합니다. 설정한 내용을 다시 한 번 확인합니다.
  10. 만들기를 클릭합니다.

gcloud

  1. 새 HTTP 상태 확인을 만들어 80에서 VM에 대한 TCP 연결을 테스트합니다.

    gcloud compute health-checks create http hc-http-80 \
        --port=80
    
  2. us-west1 리전에서 내부 백엔드 서비스를 만듭니다.

    gcloud compute backend-services create be-ilb \
        --load-balancing-scheme=internal \
        --region=us-west1 \
        --health-checks=hc-http-80
    
  3. 타사 가상 어플라이언스가 포함된 인스턴스 그룹을 백엔드 서비스의 백엔드로 추가합니다.

    gcloud compute backend-services add-backend be-ilb \
        --instance-group=third-party-instance-group \
        --instance-group-region=us-west1 \
        --region=us-west1
    
  4. 내부 전달 규칙을 만들어 백엔드 서비스에 연결하여 부하 분산기 구성을 완료합니다. 내부 부하 분산기의 프로토콜(TCP) 및 포트(80)는 부하 분산기가 경로의 다음 홉으로 사용될 때 백엔드 인스턴스(타사 가상 어플라이언스)에 전달되는 포트 및 프로토콜을 제한하지 않습니다.

    gcloud compute forwarding-rules create fr-ilb \
        --load-balancing-scheme=internal \
        --ports=80 \
        --network=transit \
        --subnet=transit-subnet \
        --region=us-west1 \
        --backend-service=be-ilb \
        --address=10.30.1.99
    

다음 홉으로 부하 분산기를 정의하는 정적 경로 만들기

정정 경로를 만들 때 next-hop-address를 사용하여 부하 분산기 전달 규칙의 IP 주소를 가리킬 수 없습니다. 이는 next-hop-address를 사용하면 GCP가 해당 IP 주소에 할당된 VM 인스턴스로 트래픽을 전달하고 부하 분산기가 VM 인스턴스가 아니기 때문입니다. 대신 다음 예시에서와 같이 부하 분산기를 다음 홉으로 지정하려면 next-hop-ilb 플래그를 사용해야 합니다.

Console

  1. Google Cloud Platform Console의 경로 페이지로 이동합니다.
    경로 페이지로 이동
  2. 경로 만들기를 클릭합니다.
  3. 경로 이름으로 `ilb-nhop-default'를 입력합니다.
  4. transit 네트워크를 선택합니다.
  5. 대상 IP 범위10.50.1.0/24를 입력합니다.
  6. 이 기능에서는 현재 태그가 지원되지 않으므로 태그가 지정되지 않도록 확인합니다.
  7. 경로의 다음 홉에 대해 내부 TCP/UDP 부하 분산기의 전달 규칙 지정을 선택합니다.
  8. 다음 홉 리전으로 us-west1을 선택합니다.
  9. 전달 규칙 이름으로 fr-ilb를 선택합니다.
  10. 만들기를 클릭합니다.

gcloud

다음 홉이 부하 분산기의 전달 규칙으로 설정되고 대상 범위가 경로 10.50.1.0/24로 설정된 고급 경로를 만듭니다.

gcloud beta compute routes create ilb-nhop-default \
    --network=transit \
    --destination-range=10.50.1.0/24 \
    --next-hop-ilb=fr-ilb \
    --next-hop-ilb-region=us-west1

클라이언트 VM 만들기

이 예시에서는 transit VPC 네트워크의 부하 분산기와 동일한 리전에 클라이언트 VM(vm-client)을 만듭니다. 클라이언트는 다음 홉 동작이 어떻게 작동하는지 보여주기 위해 사용됩니다.

Console

  1. Google Cloud Platform Console의 VM 인스턴스 페이지로 이동합니다.
    VM 인스턴스 페이지로 이동
  2. 인스턴스 만들기를 클릭합니다.
  3. 이름vm-client로 설정합니다.
  4. 영역us-west1-a로 설정합니다.
  5. 관리, 보안, 디스크, 네트워킹, 단독 테넌시를 클릭하고 다음과 같이 변경합니다.
    • 네트워킹을 클릭하고 네트워크 태그allow-ssh를 추가합니다.
    • 네트워크 인터페이스 아래의 수정 버튼을 클릭하고 다음을 수정한 후 완료 를 클릭합니다.
      • 네트워크: transit
      • 서브넷: transit-subnet
      • 기본 내부 IP: 임시(자동)
      • 외부 IP: 임시
  6. 만들기를 클릭합니다.

gcloud

클라이언트 VM은 부하 분산기와 동일한 리전의 모든 영역에 있을 수 있으며 해당 리전의 모든 서브넷을 사용할 수 있습니다. 이 예시에서 클라이언트는 us-west1-a 영역에 있으며 기본 VM과 백업 VM에서 사용하는 것과 동일한 서브넷을 사용합니다.

gcloud compute instances create vm-client \
    --zone=us-west1-a \
    --image-family=debian-9 \
    --image-project=debian-cloud \
    --tags=allow-ssh \
    --subnet=transit-subnet

테스트

이 테스트에서는 production VPC 네트워크의 대상 VM을 transit VPC 네트워크의 클라이언트 VM과 연결합니다. 부하 분산기는 패킷을 부하 분산기의 IP 주소로 보내는 대신 부하 분산기를 통해 대상 10.50.1.2로 패킷을 라우팅하므로 다음 홉으로 사용됩니다.

이 예시에서 부하 분산기의 정상적인 백엔드 어플라이언스 VM의 iptables 소프트웨어는 패킷의 NAT를 처리합니다.

  1. 클라이언트 VM 인스턴스에 연결합니다.

    gcloud compute ssh vm-client --zone=us-west1-a
    
  2. curl을 사용하여 대상 인스턴스의 웹 서버 소프트웨어에 대한 웹 요청을 만듭니다. 예상되는 출력은 대상 인스턴스(Page served from: destination-instance)의 색인 페이지 내용입니다.

    curl http://10.50.1.2
    

다음 단계

이 페이지가 도움이 되었나요? 평가를 부탁드립니다.

다음에 대한 의견 보내기...