영역 NEG를 사용하여 내부 TCP/UDP 부하 분산 설정

이 가이드에서는 영역 네트워크 엔드포인트 그룹(NEG) 백엔드를 사용하여 내부 TCP/UDP 부하 분산기를 배포하는 방법을 보여줍니다. 영역 NEG는 IP 주소 컬렉션 및 단일 서브넷 내 Google Cloud 리소스의 IP 주소/포트 조합을 나타내는 영역 리소스입니다. NEG를 사용하면 전체 VM 대신 소프트웨어 서비스를 나타내는 IP 주소 또는 IP 주소/포트 조합의 논리적 그룹을 만들 수 있습니다.

이 가이드를 진행하기 전에 다음 사항을 숙지하세요.

내부 TCP/UDP 부하 분산은 GCE_VM_IP 엔드포인트가 있는 영역 NEG만 지원합니다.

권한

이 가이드를 진행하려면 프로젝트에서 인스턴스를 만들고 네트워크를 수정해야 합니다. 이렇게 하려면 프로젝트 소유자 또는 편집자이거나, 다음 Compute Engine IAM 역할을 모두 보유해야 합니다.

태스크 필요한 역할
네트워크, 서브넷, 부하 분산기 구성요소 만들기 네트워크 관리자
방화벽 규칙 추가 및 삭제 보안 관리자
인스턴스 만들기 Compute 인스턴스 관리자

자세한 내용은 다음 가이드를 참조하세요.

설정 개요

이 가이드에서는 GCE_VM_IP 영역 NEG 백엔드를 사용하여 내부 TCP/UDP 부하 분산기를 구성하고 테스트하는 방법을 설명합니다. 이 섹션의 단계에서는 다음을 구성하는 방법을 설명합니다.

  1. 커스텀 서브넷이 있는 lb-network라는 샘플 VPC 네트워크
  2. 백엔드 VM에 대한 수신 연결을 허용하는 방화벽 규칙
  3. 4개의 VM:
    • us-west1-a 영역의 VM vm-a1vm-a2
    • us-west1-c 영역의 VM vm-c1vm-c2
  4. 2개의 백엔드 영역 NEG, us-west1-a 영역의 neg-aus-west1-c 영역의 neg-c. 각 NEG에는 다음 엔드포인트가 있습니다.
    • neg-a에는 다음 두 엔드포인트가 포함됩니다.
      • VM vm-a1의 내부 IP 주소
      • VM vm-a2의 내부 IP 주소
    • neg-c에는 다음 두 엔드포인트가 포함됩니다.
      • VM vm-c1의 내부 IP 주소
      • VM vm-c2의 내부 IP 주소
  5. 연결을 테스트하기 위한 us-west1-a의 클라이언트 VM(vm-client) 1개
  6. 다음 내부 TCP/UDP 부하 분산기 구성요소:
    • 2개의 영역 NEG에 대한 연결 분산을 관리하기 위한 us-west1 리전의 내부 백엔드 서비스
    • 부하 분산기의 프런트엔드에 대한 내부 전달 규칙 및 내부 IP 주소

이 예시의 아키텍처는 다음과 같습니다.

영역 NEG가 있는 내부 TCP/UDP 부하 분산 구성
영역 NEG를 사용한 내부 TCP/UDP 부하 분산 구성

네트워크, 리전, 서브넷 구성

이 페이지에 설명된 예시 내부 TCP/UDP 부하 분산기는 lb-network라는 커스텀 모드 VPC 네트워크로 생성되었습니다.

이 예시에 사용된 백엔드 VM, 영역 NEG, 부하 분산기의 구성요소는 다음 리전 및 서브넷에 있습니다.

  • 리전: us-west1
  • 서브넷: lb-subnet, 기본 IP 주소 범위 10.1.2.0/24

예시 네트워크 및 서브넷을 만들려면 다음 단계를 따르세요.

Console

  1. Google Cloud Console에서 VPC 네트워크 페이지로 이동합니다.
    VPC 네트워크 페이지로 이동
  2. VPC 네트워크 만들기를 클릭합니다.
  3. lb-network이름을 입력합니다.
  4. 서브넷 섹션에서 다음을 수행합니다.
    • 서브넷 생성 모드커스텀으로 설정합니다.
    • 새 서브넷 섹션에 다음 정보를 입력합니다.
      • 이름: lb-subnet
      • 리전: us-west1
      • IP 주소 범위: 10.1.2.0/24
      • 완료를 클릭합니다.
  5. 만들기를 클릭합니다.

gcloud

  1. 커스텀 VPC 네트워크를 만듭니다.

    gcloud compute networks create lb-network --subnet-mode=custom
    
    1. lb-network 네트워크 내에서 us-west1 리전에 있는 백엔드 VM의 서브넷을 만듭니다.
    gcloud compute networks subnets create lb-subnet \
        --network=lb-network \
        --range=10.1.2.0/24 \
        --region=us-west1
    

방화벽 규칙 구성

이 예시에서는 다음과 같은 방화벽 규칙을 사용합니다.

  • fw-allow-lb-access: VPC 네트워크의 모든 대상에 적용되는 인그레스 규칙으로 10.1.2.0/24 범위의 소스에서 오는 트래픽을 허용합니다. 이 규칙은 lb-subnet에 있는 모든 클라이언트에서 들어오는 트래픽을 허용합니다.

  • fw-allow-ssh: 부하 분산되는 인스턴스에 적용되는 인그레스 규칙으로, TCP 포트 22에서 임의의 주소로부터 수신되는 SSH 연결을 허용합니다. 이 규칙에 더 제한적인 소스 IP 범위를 선택할 수 있습니다. 예를 들어 SSH 세션을 시작할 시스템의 IP 범위만 지정할 수도 있습니다. 이 예시에서는 allow-ssh 대상 태그를 사용하여 방화벽 규칙이 적용되는 VM을 식별합니다.

이러한 방화벽 규칙이 없으면 기본 거부 인그레스 규칙은 백엔드 인스턴스로 들어오는 트래픽을 차단합니다.

Console

  1. Google Cloud Console의 방화벽 페이지로 이동합니다.
    방화벽 페이지로 이동
  2. 방화벽 규칙 만들기를 클릭하고 다음 정보를 입력하여 서브넷 트래픽을 허용하는 규칙을 만듭니다.
    • 이름: fw-allow-lb-access
    • 네트워크: lb-network
    • 우선순위: 1000
    • 트래픽 방향: 인그레스
    • 일치 시 작업: 허용
    • 대상: 네트워크의 모든 인스턴스
    • 소스 필터: IP ranges
    • 소스 IP 범위: 10.1.2.0/24
    • 프로토콜 및 포트: 모두 허용
  3. 만들기를 클릭합니다.
  4. 방화벽 규칙 만들기를 다시 클릭하여 수신 SSH 연결을 허용하는 규칙을 만듭니다.
    • 이름: fw-allow-ssh
    • 네트워크: lb-network
    • 우선순위: 1000
    • 트래픽 방향: 인그레스
    • 일치 시 작업: 허용
    • 대상: 지정된 대상 태그
    • 대상 태그: allow-ssh
    • 소스 필터: IP ranges
    • 소스 IP 범위: 0.0.0.0/0
    • 프로토콜 및 포트: 지정된 프로토콜 및 포트를 선택하고 tcp:22를 입력합니다.
  5. 만들기를 클릭합니다.
  6. 방화벽 규칙 만들기를 세 번째로 클릭하여 Google Cloud 상태 확인을 허용하는 규칙을 만듭니다.
    • 이름: fw-allow-health-check
    • 네트워크: lb-network
    • 우선순위: 1000
    • 트래픽 방향: 인그레스
    • 일치 시 작업: 허용
    • 대상: 지정된 대상 태그
    • 대상 태그: allow-health-check
    • 소스 필터: IP ranges
    • 소스 IP 범위: 130.211.0.0/2235.191.0.0/16
    • 프로토콜 및 포트: 모두 허용
  7. 만들기를 클릭합니다.

gcloud

  1. fw-allow-lb-access 방화벽 규칙을 만들어 서브넷과의 통신을 허용합니다.

    gcloud compute firewall-rules create fw-allow-lb-access \
        --network=lb-network \
        --action=allow \
        --direction=ingress \
        --source-ranges=10.1.2.0/24 \
        --rules=tcp,udp,icmp
    
  2. allow-ssh 네트워크 태그를 사용해 VM으로 가는 SSH 연결을 허용하는 fw-allow-ssh 방화벽 규칙을 만듭니다. source-ranges를 생략하면 Google Cloud가 모든 소스를 의미하는 것으로 규칙을 해석합니다.

    gcloud compute firewall-rules create fw-allow-ssh \
        --network=lb-network \
        --action=allow \
        --direction=ingress \
        --target-tags=allow-ssh \
        --rules=tcp:22
    
  3. fw-allow-health-check 규칙을 만들어 Google Cloud 상태 확인을 허용합니다.

    gcloud compute firewall-rules create fw-allow-health-check \
        --network=lb-network \
        --action=allow \
        --direction=ingress \
        --target-tags=allow-health-check \
        --source-ranges=130.211.0.0/22,35.191.0.0/16 \
        --rules=tcp,udp,icmp
    

VM 및 네트워크 엔드포인트 그룹 만들기

이 예시에서는 us-west1-aus- west1-c 영역에 2개의 영역 NEG 백엔드(neg-aneg-c)를 사용하여 내부 TCP/UDP 부하 분산의 리전 특성을 설명합니다. 트래픽은 두 NEG 및 각 NEG 내의 엔드포인트 간에 부하 분산됩니다.

VM 만들기

이 예시를 지원하기 위해 4개의 각 VM은 TCP 포트 80, 8008, 8080, 8088, 443, 8443에서 리슨하는 Apache 웹 서버를 실행합니다.

각 VM에는 lb-subnet의 내부 IP 주소와 임시 외부(공개) IP 주소가 할당됩니다. 나중에 외부 IP 주소를 삭제할 수 있습니다.

백엔드 VM에는 외부 IP 주소가 필요하지 않습니다. 하지만 이 예시에서는 VM이 인터넷에서 Apache를 다운로드하고 SSH를 통해 쉽게 연결할 수 있기 때문에 유용합니다. 기본적으로 Apache는 임의의 IP 주소에 바인딩되도록 구성됩니다. 내부 TCP/UDP 부하 분산기는 대상 IP를 보존하여 패킷을 전달합니다.

VM에서 실행 중인 서버 소프트웨어가 부하 분산기의 내부 전달 규칙의 IP 주소에서 리슨하는지 확인합니다.

설명의 편의를 위해 이러한 백엔드 VM은 Debian GNU/Linux 10을 실행합니다.

Console

VM 만들기

  1. Google Cloud Console의 VM 인스턴스 페이지로 이동합니다.
    VM 인스턴스 페이지로 이동
  2. 다음 이름 및 영역 조합으로 다음 단계를 반복하여 4개의 VM을 만듭니다.
    • 이름: vm-a1, 영역: us-west1-a
    • 이름: vm-a2, 영역: us-west1-a
    • 이름: vm-c1, 영역: us-west1-c
    • 이름: vm-c2, 영역: us-west1-c
  3. 인스턴스 만들기를 클릭합니다.
  4. 이름을 2단계에 표시된 대로 설정합니다.
  5. 리전의 경우 us-west1을 선택하고 2단계에 표시된 대로 영역을 선택합니다.
  6. 부팅 디스크 섹션에서 부팅 디스크 옵션으로 Debian 운영체제 및 10(Buster) 버전이 선택되어 있는지 확인합니다. 필요한 경우 선택을 클릭하여 이미지를 변경합니다.
  7. 관리, 보안, 디스크, 네트워킹, 단독 테넌시를 클릭하고 다음과 같이 변경합니다.

    • 네트워킹을 클릭하고 allow-sshallow-health-check 네트워크 태그를 추가합니다.
    • 네트워크 인터페이스에서 수정 을 클릭하고 다음과 같이 변경한 다음 완료를 클릭합니다.
      • 네트워크: lb-network
      • 서브넷: lb-subnet
      • 기본 내부 IP: 임시(자동)
      • 외부 IP: 임시
    • 관리를 클릭합니다. 시작 스크립트 필드에 다음 스크립트 콘텐츠를 복사하여 붙여넣습니다. 스크립트 콘텐츠는 4개의 모든 VM에서 동일합니다.

      #! /bin/bash
      if [ -f /etc/startup_script_completed ]; then
      exit 0
      fi
      apt-get update
      apt-get install apache2 -y
      a2ensite default-ssl
      a2enmod ssl
      file_ports="/etc/apache2/ports.conf"
      file_http_site="/etc/apache2/sites-available/000-default.conf"
      file_https_site="/etc/apache2/sites-available/default-ssl.conf"
      http_listen_prts="Listen 80\nListen 8008\nListen 8080\nListen 8088"
      http_vh_prts="*:80 *:8008 *:8080 *:8088"
      https_listen_prts="Listen 443\nListen 8443"
      https_vh_prts="*:443 *:8443"
      vm_hostname="$(curl -H "Metadata-Flavor:Google" \
      http://169.254.169.254/computeMetadata/v1/instance/name)"
      echo "Page served from: $vm_hostname" | \
      tee /var/www/html/index.html
      echo "Page served from: $vm_hostname" | \
      tee /var/www/html/index.html
      prt_conf="$(cat "$file_ports")"
      prt_conf_2="$(echo "$prt_conf" | sed "s|Listen 80|${http_listen_prts}|")"
      prt_conf="$(echo "$prt_conf_2" | sed "s|Listen 443|${https_listen_prts}|")"
      echo "$prt_conf" | tee "$file_ports"
      http_site_conf="$(cat "$file_http_site")"
      http_site_conf_2="$(echo "$http_site_conf" | sed "s|*:80|${http_vh_prts}|")"
      echo "$http_site_conf_2" | tee "$file_http_site"
      https_site_conf="$(cat "$file_https_site")"
      https_site_conf_2="$(echo "$https_site_conf" | sed "s|_default_:443|${https_vh_prts}|")"
      echo "$https_site_conf_2" | tee "$file_https_site"
      systemctl restart apache2
      touch /etc/startup_script_completed
      
  8. 만들기를 클릭합니다.

gcloud

다음 명령어를 4번 실행하고 [VM-NAME][ZONE]에 이러한 4개의 조합을 사용하여 4개의 VM을 만듭니다. 스크립트 콘텐츠는 4개의 모든 VM에서 동일합니다.

  • vm-a1[VM-NAME]us-west1-a[ZONE]
  • vm-a2[VM-NAME]us-west1-a[ZONE]
  • vm-c1[VM-NAME]us-west1-c[ZONE]
  • vm-c2[VM-NAME]us-west1-c[ZONE]

    gcloud compute instances create VM-NAME \
        --zone=ZONE \
        --image-family=debian-10 \
        --image-project=debian-cloud \
        --tags=allow-ssh,allow-health-check \
        --subnet=lb-subnet \
        --metadata=startup-script='#! /bin/bash
    if [ -f /etc/startup_script_completed ]; then
    exit 0
    fi
    apt-get update
    apt-get install apache2 -y
    a2ensite default-ssl
    a2enmod ssl
    file_ports="/etc/apache2/ports.conf"
    file_http_site="/etc/apache2/sites-available/000-default.conf"
    file_https_site="/etc/apache2/sites-available/default-ssl.conf"
    http_listen_prts="Listen 80\nListen 8008\nListen 8080\nListen 8088"
    http_vh_prts="*:80 *:8008 *:8080 *:8088"
    https_listen_prts="Listen 443\nListen 8443"
    https_vh_prts="*:443 *:8443"
    vm_hostname="$(curl -H "Metadata-Flavor:Google" \
    http://169.254.169.254/computeMetadata/v1/instance/name)"
    echo "Page served from: $vm_hostname" | \
    tee /var/www/html/index.html
    prt_conf="$(cat "$file_ports")"
    prt_conf_2="$(echo "$prt_conf" | sed "s|Listen 80|${http_listen_prts}|")"
    prt_conf="$(echo "$prt_conf_2" | sed "s|Listen 443|${https_listen_prts}|")"
    echo "$prt_conf" | tee "$file_ports"
    http_site_conf="$(cat "$file_http_site")"
    http_site_conf_2="$(echo "$http_site_conf" | sed "s|*:80|${http_vh_prts}|")"
    echo "$http_site_conf_2" | tee "$file_http_site"
    https_site_conf="$(cat "$file_https_site")"
    https_site_conf_2="$(echo "$https_site_conf" | sed "s|_default_:443|${https_vh_prts}|")"
    echo "$https_site_conf_2" | tee "$file_https_site"
    systemctl restart apache2
    touch /etc/startup_script_completed'
    

GCE_VM_IP 영역 NEG 만들기

NEG(neg-aneg-c)는 이전 단계에서 만든 VM과 동일한 영역에서 생성되어야 합니다.

Console

Cloud Console는 GCE_VM_IP 영역 NEG를 만들거나 관리하는 데 사용할 수 없습니다. gcloud 또는 REST API를 대신 사용하세요.

gcloud

  1. gcloud compute network-endpoint-groups create 명령어를 사용하여 us-west1-aneg-a라는 GCE_VM_IP 영역 NEG를 만듭니다.

    gcloud compute network-endpoint-groups create neg-a \
        --network-endpoint-type=gce-vm-ip \
        --zone=us-west1-a \
        --network=lb-network \
        --subnet=lb-subnet
    
  2. neg-a에 엔드포인트를 추가합니다.

    gcloud compute network-endpoint-groups update neg-a \
        --zone=us-west1-a \
        --add-endpoint='instance=vm-a1' \
        --add-endpoint='instance=vm-a2'
    
  3. gcloud compute network-endpoint-groups create 명령어를 사용하여 us-west1-cneg-c라는 GCE_VM_IP 영역 NEG를 만듭니다.

    gcloud compute network-endpoint-groups create neg-c \
        --network-endpoint-type=gce-vm-ip \
        --zone=us-west1-c \
        --network=lb-network \
        --subnet=lb-subnet
    
  4. neg-c에 엔드포인트를 추가합니다.

    gcloud compute network-endpoint-groups update neg-c \
        --zone=us-west1-c \
        --add-endpoint='instance=vm-c1' \
        --add-endpoint='instance=vm-c2'
    

클라이언트 VM 만들기

다음 예시에서는 백엔드(서버) VM과 동일한 리전에 클라이언트 VM(vm-client)을 만듭니다. 클라이언트는 부하 분산기의 구성을 검사하고 테스트 섹션의 설명대로 예상되는 동작을 보여줍니다.

Console

  1. Google Cloud Console의 VM 인스턴스 페이지로 이동합니다.
    VM 인스턴스 페이지로 이동
  2. 인스턴스 만들기를 클릭합니다.
  3. 이름vm-client로 설정합니다.
  4. 영역us-west1-a로 설정합니다.
  5. 관리, 보안, 디스크, 네트워킹, 단독 테넌시를 클릭하고 다음과 같이 변경합니다.
    • 네트워킹을 클릭하고 네트워크 태그allow-ssh를 추가합니다.
    • 네트워크 인터페이스 아래의 수정 버튼을 클릭하고 다음을 변경한 후 완료를 클릭합니다.
      • 네트워크: lb-network
      • 서브넷: lb-subnet
      • 기본 내부 IP: 임시(자동)
      • 외부 IP: 임시
  6. 만들기를 클릭합니다.

gcloud

클라이언트 VM은 부하 분산기와 동일한 리전의 어떤 영역에든 위치할 수 있으며 그 리전의 어떤 서브넷이든 사용할 수 있습니다. 다음 예시에서 클라이언트는 us-west1-a 영역에 위치하며 백엔드 VM과 동일한 서브넷을 사용합니다.

gcloud compute instances create vm-client \
    --zone=us-west1-a \
    --image-family=debian-10 \
    --image-project=debian-cloud \
    --tags=allow-ssh \
    --subnet=lb-subnet

부하 분산기 구성요소 구성

이러한 단계는 모든 내부 TCP/UDP 부하 분산기 구성요소를 구성합니다.

  • 백엔드 서비스: 이 예시에서는 부하 분산기를 통해 HTTP 트래픽을 전달해야 합니다. 따라서 UDP가 아닌 TCP를 사용해야 합니다.

  • 전달 규칙: 이 예시에서는 하나의 내부 전달 규칙을 만듭니다.

  • 내부 IP 주소: 이 예시에서는 전달 규칙을 만들 때 내부 IP 주소 10.1.2.99를 지정합니다.

Console

gcloud

  1. 새로운 리전별 HTTP 상태 확인을 만듭니다.

    gcloud compute health-checks create http hc-http-80 \
        --region=us-west1 \
        --port=80
    
  2. 백엔드 서비스를 만듭니다.

    gcloud compute backend-services create bs-ilb \
        --load-balancing-scheme=internal \
        --protocol=tcp \
        --region=us-west1 \
        --health-checks=hc-http-80 \
        --health-checks-region=us-west1
    
  3. 2개의 영역 NEG neg-aneg-c를 백엔드 서비스에 전달합니다.

    gcloud compute backend-services add-backend bs-ilb \
        --region=us-west1 \
        --network-endpoint-group=neg-a \
        --network-endpoint-group-zone=us-west1-a
    
    gcloud compute backend-services add-backend bs-ilb \
        --region=us-west1 \
        --network-endpoint-group=neg-c \
        --network-endpoint-group-zone=us-west1-c
    
  4. 백엔드 서비스에 대한 전달 규칙을 만듭니다. 전달 규칙을 만들 때 서브넷의 내부 IP에 10.1.2.99를 지정합니다.

    gcloud compute forwarding-rules create fr-ilb \
        --region=us-west1 \
        --load-balancing-scheme=internal \
        --network=lb-network \
        --subnet=lb-subnet \
        --address=10.1.2.99 \
        --ip-protocol=TCP \
        --ports=80,8008,8080,8088 \
        --backend-service=bs-ilb \
        --backend-service-region=us-west1
    

테스트

이 테스트에서는 별도의 클라이언트 VM에서 부하 분산기에 연결합니다. 즉, 부하 분산기의 백엔드 VM에서 연결하는 것이 아닙니다. 예상되는 동작은 세션 어피니티가 구성되지 않아 트래픽이 4개의 백엔드 VM 사이에 분산되는 것입니다.

  1. 클라이언트 VM 인스턴스에 연결합니다.

    gcloud compute ssh vm-client --zone=us-west1-a
    
  2. curl을 사용하여 부하 분산기에 대한 웹 요청을 만들어 IP 주소에 연결합니다. 다른 백엔드 VM에서 응답을 볼 수 있도록 요청을 반복합니다. 응답을 생성하는 VM의 이름은 각 백엔드 VM에 있는 /var/www/html/index.html의 콘텐츠에 따라 HTML 응답에 텍스트로 표시됩니다. 예상 응답은 Page served from: vm-a1, Page served from: vm-a2 등입니다.

    curl http://10.1.2.99
    

    다음 전달 규칙은 포트 80, 8008, 8080, 8088을 제공하도록 구성됩니다. 다른 포트로 트래픽을 전송하려면 다음과 같이 IP 주소 다음에 콜론(:)과 포트 번호를 추가합니다.

    curl http://10.1.2.99:8008
    

다음 단계