이 가이드에서는 예시를 사용하여 Google Cloud내부 패스 스루 네트워크 부하 분산기의 기본 사항을 설명합니다. 이 가이드를 진행하기 전에 다음 사항을 숙지하세요.
Google Cloud 콘솔에서 이 태스크에 대한 단계별 안내를 직접 수행하려면 둘러보기를 클릭합니다.
권한
이 가이드를 수행하려면 프로젝트에서 인스턴스를 만들고 네트워크를 수정해야 합니다. 이렇게 하려면 프로젝트 소유자 또는 편집자이거나 다음 Compute Engine IAM 역할을 모두 보유해야 합니다.
| 태스크 | 필요한 역할 |
|---|---|
| 네트워크, 서브넷, 부하 분산기 구성요소 만들기 | Compute 네트워크 관리자 ( roles/compute.networkAdmin)
|
| 방화벽 규칙 추가 및 삭제 | Compute 보안 관리자 ( roles/compute.securityAdmin)
|
| 인스턴스 만들기 | Compute 인스턴스 관리자 ( roles/compute.instanceAdmin) |
자세한 내용은 다음 가이드를 참조하세요.
IPv4 전용 서브넷 및 백엔드로 부하 분산기 설정
이 가이드에서는 내부 패스 스루 네트워크 부하 분산기를 구성하고 테스트하는 방법을 설명합니다. 이 섹션의 단계에서는 다음을 구성하는 방법을 설명합니다.
lb-network라는 커스텀 모드 VPC 네트워크를 사용하는 예시입니다.- IPv4 트래픽에 필요한 단일 스택 서브넷입니다(
stack-type이IPv4로 설정됨). 커스텀 모드 VPC 네트워크에서 단일 스택 서브넷을 만들 때 서브넷에 IPv4 서브넷 범위를 선택합니다. - 백엔드 VM에 대한 수신 연결을 허용하는 방화벽 규칙
- 백엔드 인스턴스 그룹(이 예시에서는 다음 리전 및 서브넷에 있음):
- 리전:
us-west1 - 서브넷:
lb-subnet, 기본 IPv4 주소 범위10.1.2.0/24.
- 리전:
- 4개의 백엔드 VM:
us-west1-a영역의 비관리형 인스턴스 그룹에 있는 2개의 VM과us-west1-c영역의 비관리형 인스턴스 그룹에 있는 2개의 VM입니다. 전역 액세스를 보여주기 위해 이 예시에서는 다른 리전 및 서브넷에 두 번째 테스트 클라이언트 VM을 만듭니다.- 리전:
europe-west1 - 서브넷:
europe-subnet, 기본 IP 주소 범위10.3.4.0/24
- 리전:
- 연결을 테스트하기 위한 클라이언트 VM 1개
- 다음 내부 패스 스루 네트워크 부하 분산기 구성요소:
- 백엔드 서비스의 상태 점검
- 2개의 영역 인스턴스 그룹에 대한 연결 분산을 관리하기 위한
us-west1리전의 내부 백엔드 서비스 - 부하 분산기의 프런트엔드에 대한 내부 전달 규칙 및 내부 IP 주소
이 예시의 아키텍처는 다음과 같습니다.
네트워크, 리전, 서브넷 구성
예시 네트워크 및 서브넷을 만들려면 다음 단계를 따르세요.
콘솔
Google Cloud 콘솔에서 VPC 네트워크 페이지로 이동합니다.
VPC 네트워크 만들기를 클릭합니다.
이름에
lb-network를 입력합니다.서브넷 섹션에서 다음을 수행합니다.
- 서브넷 생성 모드를 커스텀으로 설정합니다.
- 새 서브넷 섹션에 다음 정보를 입력합니다.
- 이름:
lb-subnet - 리전:
us-west1 - IP 스택 유형: IPv4(단일 스택)
- IP 주소 범위:
10.1.2.0/24
- 이름:
- 완료를 클릭합니다.
- 서브넷 추가를 클릭하고 다음 정보를 입력합니다.
- 이름:
europe-subnet - 리전:
europe-west1 - IP 스택 유형: IPv4(단일 스택)
- IP 주소 범위:
10.3.4.0/24
- 이름:
- 완료를 클릭합니다.
만들기를 클릭합니다.
gcloud
커스텀 VPC 네트워크를 만듭니다.
gcloud compute networks create lb-network --subnet-mode=custom
lb-network네트워크에서us-west1리전의 백엔드에 대한 서브넷을 만듭니다.gcloud compute networks subnets create lb-subnet \ --network=lb-network \ --range=10.1.2.0/24 \ --region=us-west1
lb-network네트워크에서europe-west1리전의 전역 액세스를 테스트할 수 있도록 다른 서브넷을 만듭니다.gcloud compute networks subnets create europe-subnet \ --network=lb-network \ --range=10.3.4.0/24 \ --region=europe-west1
API
networks.insert 메서드에 대해 POST 요청을 실행합니다.
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks
{
"routingConfig": {
"routingMode": "REGIONAL"
},
"name": "lb-network",
"autoCreateSubnetworks": false
}
subnetworks.insert 메서드에 POST 요청을 두 번 보냅니다.
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-west1/subnetworks
{
"name": "lb-subnet",
"network": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/lb-network",
"ipCidrRange": "10.1.2.0/24",
"privateIpGoogleAccess": false
}
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/europe-west1/subnetworks
{
"name": "europe-subnet",
"network": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/lb-network",
"ipCidrRange": "10.3.4.0/24",
"privateIpGoogleAccess": false
}
방화벽 규칙 구성
이 예시에서는 다음과 같은 방화벽 규칙을 사용합니다.
fw-allow-lb-access: VPC 네트워크의 모든 대상에 적용할 수 있는 인그레스 규칙으로,10.1.2.0/24및10.3.4.0/24범위의 소스에서 오는 트래픽을 허용합니다. 이 규칙은 두 서브넷의 어느 하나에 있는 클라이언트에서 새로 수신되는 트래픽을 허용합니다. 이후에는 전역 액세스를 구성하고 테스트할 수 있습니다.fw-allow-ssh: 부하 분산되는 인스턴스에 적용되는 인그레스 규칙으로, TCP 포트 22에서 임의의 주소로부터 수신되는 SSH 연결을 허용합니다. 이 규칙에 더 제한적인 소스 IP 범위를 선택할 수 있습니다. 예를 들어 SSH 세션을 시작할 시스템의 IP 범위만 지정할 수도 있습니다. 이 예시에서는allow-ssh대상 태그를 사용하여 방화벽 규칙이 적용되는 VM을 식별합니다.fw-allow-health-check: 부하 분산되는 인스턴스에 적용되는 인그레스 규칙으로 Google Cloud 상태 점검 시스템(130.211.0.0/22및35.191.0.0/16)의 트래픽을 허용합니다. 이 예시에서는allow-health-check대상 태그를 사용하여 적용해야 할 인스턴스를 식별합니다.
이러한 방화벽 규칙이 없으면 기본 거부 인그레스 규칙은 백엔드 인스턴스로 들어오는 트래픽을 차단합니다.
콘솔
Google Cloud 콘솔에서 방화벽 정책 페이지로 이동합니다.
서브넷 트래픽을 허용하려면 방화벽 규칙 만들기를 클릭하고 다음 정보를 입력합니다.
- 이름:
fw-allow-lb-access - 네트워크:
lb-network - 우선순위:
1000 - 트래픽 방향: 인그레스
- 일치 시 작업: 허용
- 대상: All instances in the network
- 소스 필터: IPv4 범위
- 소스 IPv4 범위:
10.1.2.0/24 - 프로토콜 및 포트: 모두 허용
- 이름:
만들기를 클릭합니다.
들어오는 SSH 연결을 허용하려면 방화벽 규칙 만들기를 다시 클릭하고 다음 정보를 입력합니다.
- 이름:
fw-allow-ssh - 네트워크:
lb-network - 우선순위:
1000 - 트래픽 방향: 인그레스
- 일치 시 작업: 허용
- 대상: 지정된 대상 태그
- 대상 태그:
allow-ssh - 소스 필터: IPv4 범위
- 소스 IPv4 범위:
0.0.0.0/0 - 프로토콜 및 포트: 지정된 프로토콜 및 포트를 선택하고 TCP 체크박스를 선택한 후 포트에
22를 입력합니다.
- 이름:
만들기를 클릭합니다.
Google Cloud 상태 점검을 허용하려면 방화벽 규칙 만들기를 세 번째로 클릭하고 다음 정보를 입력합니다.
- 이름:
fw-allow-health-check - 네트워크:
lb-network - 우선순위:
1000 - 트래픽 방향: 인그레스
- 일치 시 작업: 허용
- 대상: 지정된 대상 태그
- 대상 태그:
allow-health-check - 소스 필터: IPv4 범위
- 소스 IPv4 범위:
130.211.0.0/22및35.191.0.0/16 - 프로토콜 및 포트: 모두 허용
- 이름:
만들기를 클릭합니다.
gcloud
fw-allow-lb-access방화벽 규칙을 만들어 서브넷 내의 통신을 허용합니다.gcloud compute firewall-rules create fw-allow-lb-access \ --network=lb-network \ --action=allow \ --direction=ingress \ --source-ranges=10.1.2.0/24,10.3.4.0/24 \ --rules=tcp,udp,icmpallow-ssh네트워크 태그를 사용해 VM으로 가는 SSH 연결을 허용하는fw-allow-ssh방화벽 규칙을 만듭니다.source-ranges를 생략하면Google Cloud 가 모든 소스를 의미하는 것으로 규칙을 해석합니다.gcloud compute firewall-rules create fw-allow-ssh \ --network=lb-network \ --action=allow \ --direction=ingress \ --target-tags=allow-ssh \ --rules=tcp:22Google Cloud상태 점검을 허용하는
fw-allow-health-check규칙을 만듭니다.gcloud compute firewall-rules create fw-allow-health-check \ --network=lb-network \ --action=allow \ --direction=ingress \ --target-tags=allow-health-check \ --source-ranges=130.211.0.0/22,35.191.0.0/16 \ --rules=tcp,udp,icmp
API
firewalls.insert 메서드에 POST 요청을 전송하여 fw-allow-lb-access 방화벽 규칙을 만듭니다.
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/firewalls
{
"name": "fw-allow-lb-access",
"network": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/lb-network",
"priority": 1000,
"sourceRanges": [
"10.1.2.0/24", "10.3.4.0/24"
],
"allowed": [
{
"IPProtocol": "tcp"
},
{
"IPProtocol": "udp"
},
{
"IPProtocol": "icmp"
}
],
"direction": "INGRESS",
"logConfig": {
"enable": false
},
"disabled": false
}
firewalls.insert 메서드에 POST 요청을 전송하여 fw-allow-ssh 방화벽 규칙을 만듭니다.
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/firewalls
{
"name": "fw-allow-ssh",
"network": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/lb-network",
"priority": 1000,
"sourceRanges": [
"0.0.0.0/0"
],
"targetTags": [
"allow-ssh"
],
"allowed": [
{
"IPProtocol": "tcp",
"ports": [
"22"
]
}
],
"direction": "INGRESS",
"logConfig": {
"enable": false
},
"disabled": false
}
firewalls.insert 메서드에 POST 요청을 전송하여 fw-allow-health-check 방화벽 규칙을 만듭니다.
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/firewalls
{
"name": "fw-allow-health-check",
"network": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/lb-network",
"priority": 1000,
"sourceRanges": [
"130.211.0.0/22",
"35.191.0.0/16"
],
"targetTags": [
"allow-health-check"
],
"allowed": [
{
"IPProtocol": "tcp"
},
{
"IPProtocol": "udp"
},
{
"IPProtocol": "icmp"
}
],
"direction": "INGRESS",
"logConfig": {
"enable": false
},
"disabled": false
}
백엔드 VM 및 인스턴스 그룹 만들기
이 예시에서는 각각 백엔드(서버) VM이 2개 있는 비관리형 인스턴스 그룹 2개를 사용합니다. 내부 패스 스루 네트워크 부하 분산기의 리전 특성을 설명하기 위해 두 인스턴스 그룹은 별도의 영역인 us-west1-a 및 us-west1-c에 배치됩니다.
- 인스턴스 그룹
ig-a에는 다음 두 VM이 포함됩니다.vm-a1vm-a2
- 인스턴스 그룹
ig-c에는 다음 두 VM이 포함됩니다.vm-c1vm-c2
4개의 모든 백엔드 VM에 대한 트래픽 부하가 분산됩니다.
이 예시 및 추가 구성 옵션을 지원하기 위해 4개의 각 VM은 TCP 포트 80, 8008, 8080, 8088, 443, 8443에서 리슨하는 Apache 웹 서버를 실행합니다.
각 VM에는 lb-subnet의 내부 IP 주소와 임시 외부(공개) IP 주소가 할당됩니다. 나중에 외부 IP 주소를 삭제할 수 있습니다.
백엔드 VM의 외부 IP 주소는 필요하지 않습니다. 하지만 이 예시에서는 백엔드 VM이 인터넷에서 Apache를 다운로드하고 SSH를 사용하여 연결할 수 있으므로 유용합니다.
기본적으로 Apache는 임의의 IP 주소에 바인딩되도록 구성됩니다. 내부 패스 스루 네트워크 부하 분산기는 대상 IP를 보존하여 패킷을 전달합니다. 백엔드 VM에서 실행 중인 서버 소프트웨어가 부하 분산기의 내부 전달 규칙의 IP 주소에서 리슨하는지 확인합니다. 여러 내부 전달 규칙을 구성하는 경우 소프트웨어가 각기 연결된 내부 IP 주소를 리슨하는지 확인합니다. 내부 패스 스루 네트워크 부하 분산기가 백엔드 VM에 전달하는 패킷의 대상 IP 주소는 전달 규칙의 내부 IP 주소입니다.
설명의 편의를 위해 이러한 백엔드 VM은 Debian GNU/Linux 12를 실행합니다.
콘솔
백엔드 VM 만들기
Google Cloud 콘솔에서 VM 인스턴스 페이지로 이동합니다.
다음 이름 및 영역 조합으로 각 VM에 대해 3~8단계를 반복합니다.
- 이름:
vm-a1, 영역:us-west1-a - 이름:
vm-a2, 영역:us-west1-a - 이름:
vm-c1, 영역:us-west1-c - 이름:
vm-c2, 영역:us-west1-c
- 이름:
인스턴스 만들기를 클릭합니다.
이름을 2단계에 표시된 대로 설정합니다.
리전에
us-west1을 선택하고 2단계에 표시된 대로 영역을 선택합니다.부팅 디스크 섹션에서 부팅 디스크 옵션으로 Debian GNU/Linux 12(bookworm)가 선택되어 있는지 확인합니다. 필요한 경우 변경을 클릭하여 이미지를 변경합니다.
고급 옵션을 클릭합니다.
네트워킹을 클릭하고 다음 필드를 구성합니다.
- 네트워크 태그에
allow-ssh및allow-health-check를 입력합니다. - 네트워크 인터페이스에 다음을 선택합니다.
- 네트워크:
lb-network - 서브넷:
lb-subnet - IP 스택 유형: IPv4(단일 스택)
- 기본 내부 IPv4 주소: 임시(자동)
- 외부 IPv4 주소: 임시
- 네트워크:
- 네트워크 태그에
관리를 클릭한 후 시작 스크립트 필드에 다음 스크립트를 입력합니다. 스크립트 콘텐츠는 VM 4개에서 모두 동일합니다.
#! /bin/bash if [ -f /etc/startup_script_completed ]; then exit 0 fi apt-get update apt-get install apache2 -y a2ensite default-ssl a2enmod ssl file_ports="/etc/apache2/ports.conf" file_http_site="/etc/apache2/sites-available/000-default.conf" file_https_site="/etc/apache2/sites-available/default-ssl.conf" http_listen_prts="Listen 80\nListen 8008\nListen 8080\nListen 8088" http_vh_prts="*:80 *:8008 *:8080 *:8088" https_listen_prts="Listen 443\nListen 8443" https_vh_prts="*:443 *:8443" vm_hostname="$(curl -H "Metadata-Flavor:Google" \ http://metadata.google.internal/computeMetadata/v1/instance/name)" echo "Page served from: $vm_hostname" | \ tee /var/www/html/index.html prt_conf="$(cat "$file_ports")" prt_conf_2="$(echo "$prt_conf" | sed "s|Listen 80|${http_listen_prts}|")" prt_conf="$(echo "$prt_conf_2" | sed "s|Listen 443|${https_listen_prts}|")" echo "$prt_conf" | tee "$file_ports" http_site_conf="$(cat "$file_http_site")" http_site_conf_2="$(echo "$http_site_conf" | sed "s|*:80|${http_vh_prts}|")" echo "$http_site_conf_2" | tee "$file_http_site" https_site_conf="$(cat "$file_https_site")" https_site_conf_2="$(echo "$https_site_conf" | sed "s|_default_:443|${https_vh_prts}|")" echo "$https_site_conf_2" | tee "$file_https_site" systemctl restart apache2 touch /etc/startup_script_completed만들기를 클릭합니다.
인스턴스 그룹 생성
Google Cloud 콘솔에서 인스턴스 그룹 페이지로 이동합니다.
다음 조합을 사용해 다음 단계를 반복하여 각각 VM이 2개 있는 비관리형 인스턴스 그룹 2개를 만듭니다.
- 인스턴스 그룹 이름:
ig-a, 영역:us-west1-a, VM:vm-a1및vm-a2 - 인스턴스 그룹 이름:
ig-c, 영역:us-west1-c, VM:vm-c1및vm-c2
- 인스턴스 그룹 이름:
인스턴스 그룹 만들기를 클릭합니다.
새 비관리형 인스턴스 그룹을 클릭합니다.
이름을 2단계에 표시된 대로 설정합니다.
위치 섹션에서 리전에
us-west1을 선택한 후 2단계에 표시된 대로 영역을 선택합니다.네트워크에
lb-network를 선택합니다.서브네트워크에
lb-subnet을 선택합니다.VM 인스턴스 섹션에서 2단계에 표시된 대로 VM을 추가합니다.
만들기를 클릭합니다.
gcloud
다음 명령어를 4번 실행하고
[VM-NAME]및[ZONE]에 이러한 4개의 조합을 사용하여 4개의 VM을 만듭니다. 스크립트 콘텐츠는 VM 4개에서 모두 동일합니다.VM-NAME:vm-a1,ZONE:us-west1-aVM-NAME:vm-a2,ZONE:us-west1-aVM-NAME:vm-c1,ZONE:us-west1-cVM-NAME:vm-c2,ZONE:us-west1-c
gcloud compute instances create VM-NAME \ --zone=ZONE \ --image-family=debian-12 \ --image-project=debian-cloud \ --tags=allow-ssh,allow-health-check \ --subnet=lb-subnet \ --metadata=startup-script='#! /bin/bash if [ -f /etc/startup_script_completed ]; then exit 0 fi apt-get update apt-get install apache2 -y a2ensite default-ssl a2enmod ssl file_ports="/etc/apache2/ports.conf" file_http_site="/etc/apache2/sites-available/000-default.conf" file_https_site="/etc/apache2/sites-available/default-ssl.conf" http_listen_prts="Listen 80\nListen 8008\nListen 8080\nListen 8088" http_vh_prts="*:80 *:8008 *:8080 *:8088" https_listen_prts="Listen 443\nListen 8443" https_vh_prts="*:443 *:8443" vm_hostname="$(curl -H "Metadata-Flavor:Google" \ http://metadata.google.internal/computeMetadata/v1/instance/name)" echo "Page served from: $vm_hostname" | \ tee /var/www/html/index.html prt_conf="$(cat "$file_ports")" prt_conf_2="$(echo "$prt_conf" | sed "s|Listen 80|${http_listen_prts}|")" prt_conf="$(echo "$prt_conf_2" | sed "s|Listen 443|${https_listen_prts}|")" echo "$prt_conf" | tee "$file_ports" http_site_conf="$(cat "$file_http_site")" http_site_conf_2="$(echo "$http_site_conf" | sed "s|*:80|${http_vh_prts}|")" echo "$http_site_conf_2" | tee "$file_http_site" https_site_conf="$(cat "$file_https_site")" https_site_conf_2="$(echo "$https_site_conf" | sed "s|_default_:443|${https_vh_prts}|")" echo "$https_site_conf_2" | tee "$file_https_site" systemctl restart apache2 touch /etc/startup_script_completed'각 영역에서 다음과 같이 비관리형 인스턴스 그룹 2개를 만듭니다.
gcloud compute instance-groups unmanaged create ig-a \ --zone=us-west1-a gcloud compute instance-groups unmanaged create ig-c \ --zone=us-west1-cVM을 적절한 인스턴스 그룹에 추가합니다.
gcloud compute instance-groups unmanaged add-instances ig-a \ --zone=us-west1-a \ --instances=vm-a1,vm-a2 gcloud compute instance-groups unmanaged add-instances ig-c \ --zone=us-west1-c \ --instances=vm-c1,vm-c2
API
4개의 VM에는 다음 VM 이름과 영역을 사용합니다.
VM-NAME:vm-a1,ZONE:us-west1-aVM-NAME:vm-a2,ZONE:us-west1-aVM-NAME:vm-c1,ZONE:us-west1-cVM-NAME:vm-c2,ZONE:us-west1-c
다음 gcloud 명령어를 실행하여 현재 DEBIAN_IMAGE_NAME를 가져올 수 있습니다.
gcloud compute images list \ --filter="family=debian-12"
instances.insert 메서드에 POST 요청을 4개 보내 백엔드 VM 4개를 만듭니다.
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances
{
"name": "VM-NAME",
"tags": {
"items": [
"allow-health-check",
"allow-ssh"
]
},
"machineType": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/zones/[ZONE]/machineTypes/e2-standard-2",
"canIpForward": false,
"networkInterfaces": [
{
"network": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/lb-network",
"subnetwork": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-west1/subnetworks/lb-subnet",
"accessConfigs": [
{
"type": "ONE_TO_ONE_NAT",
"name": "external-nat",
"networkTier": "PREMIUM"
}
]
}
],
"disks": [
{
"type": "PERSISTENT",
"boot": true,
"mode": "READ_WRITE",
"autoDelete": true,
"deviceName": "VM-NAME",
"initializeParams": {
"sourceImage": "projects/debian-cloud/global/images/debian-image-name",
"diskType": "projects/PROJECT_ID/zones/zone/diskTypes/pd-standard",
"diskSizeGb": "10"
}
}
],
"metadata": {
"items": [
{
"key": "startup-script",
"value": "#! /bin/bash\napt-get update\napt-get install apache2 -y\na2ensite default-ssl\na2enmod ssl\nfile_ports=\"/etc/apache2/ports.conf\"\nfile_http_site=\"/etc/apache2/sites-available/000-default.conf\"\nfile_https_site=\"/etc/apache2/sites-available/default-ssl.conf\"\nhttp_listen_prts=\"Listen 80\\nListen 8008\\nListen 8080\\nListen 8088\"\nhttp_vh_prts=\"*:80 *:8008 *:8080 *:8088\"\nhttps_listen_prts=\"Listen 443\\nListen 8443\"\nhttps_vh_prts=\"*:443 *:8443\"\nvm_hostname=\"$(curl -H \"Metadata-Flavor:Google\" \\\nhttp://metadata.google.internal/computeMetadata/v1/instance/name)\"\necho \"Page served from: $vm_hostname\" | \\\ntee /var/www/html/index.html\nprt_conf=\"$(cat \"$file_ports\")\"\nprt_conf_2=\"$(echo \"$prt_conf\" | sed \"s|Listen 80|${http_listen_prts}|\")\"\nprt_conf=\"$(echo \"$prt_conf_2\" | sed \"s|Listen 443|${https_listen_prts}|\")\"\necho \"$prt_conf\" | tee \"$file_ports\"\nhttp_site_conf=\"$(cat \"$file_http_site\")\"\nhttp_site_conf_2=\"$(echo \"$http_site_conf\" | sed \"s|*:80|${http_vh_prts}|\")\"\necho \"$http_site_conf_2\" | tee \"$file_http_site\"\nhttps_site_conf=\"$(cat \"$file_https_site\")\"\nhttps_site_conf_2=\"$(echo \"$https_site_conf\" | sed \"s|_default_:443|${https_vh_prts}|\")\"\necho \"$https_site_conf_2\" | tee \"$file_https_site\"\nsystemctl restart apache2"
}
]
},
"scheduling": {
"preemptible": false
},
"deletionProtection": false
}
instanceGroups.insert 메서드에 POST 요청을 보내 인스턴스 그룹 2개를 만듭니다.
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/us-west1-a/instanceGroups
{
"name": "ig-a",
"network": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/lb-network",
"subnetwork": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-west1/subnetworks/lb-subnet"
}
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/us-west1-c/instanceGroups
{
"name": "ig-c",
"network": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/lb-network",
"subnetwork": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-west1/subnetworks/lb-subnet"
}
instanceGroups.addInstances 메서드에 POST 요청을 전송하여 인스턴스를 각 인스턴스 그룹에 추가합니다.
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/us-west1-a/instanceGroups/ig-a/addInstances
{
"instances": [
{
"instance": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/zones/us-west1-a/instances/vm-a1",
"instance": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/zones/us-west1-a/instances/vm-a2"
}
]
}
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/us-west1-c/instanceGroups/ig-c/addInstances
{
"instances": [
{
"instance": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/zones/us-west1-c/instances/vm-c1",
"instance": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/zones/us-west1-c/instances/vm-c2"
}
]
}
부하 분산기 구성요소 구성
이러한 단계를 통해 상태 점검 및 백엔드 서비스부터 프런트엔드 구성에 이르기까지 모든 내부 패스 스루 네트워크 부하 분산기 구성요소를 구성합니다.
상태 점검: 이 예시에서는 HTTP
200(OK) 응답을 확인하는 HTTP 상태 점검을 사용합니다. 자세한 내용은 내부 패스 스루 네트워크 부하 분산기 개요의 상태 점검 섹션을 참조하세요.백엔드 서비스: 내부 부하 분산기를 통해 HTTP 트래픽을 전달해야 하므로 UDP가 아닌 TCP를 사용해야 합니다.
전달 규칙: 이 예시에서는 하나의 내부 전달 규칙을 만듭니다.
내부 IP 주소: 이 예시에서는 전달 규칙을 만들 때 내부 IP 주소
10.1.2.99를 지정합니다.
콘솔
구성 시작
Google Cloud 콘솔에서 부하 분산 페이지로 이동합니다.
- 부하 분산기 만들기를 클릭합니다.
- 부하 분산기 유형에 네트워크 부하 분산기(TCP/UDP/SSL)를 선택하고 다음을 클릭합니다.
- 프록시 또는 패스 스루에서 패스 스루 부하 분산기를 선택하고 다음을 클릭합니다.
- 공개 또는 내부에서 내부를 선택하고 다음을 클릭합니다.
- 구성을 클릭합니다.
기본 구성
내부 패스 스루 네트워크 부하 분산기 만들기 페이지에서 다음 정보를 입력합니다.
- 부하 분산기 이름:
be-ilb - 리전:
us-west1 - 네트워크:
lb-network
백엔드 구성
- 백엔드 구성을 클릭합니다.
- IPv4 트래픽만 처리하려면 백엔드의 새 백엔드 섹션에서 IP 스택 유형을 IPv4(단일 스택)로 선택합니다.
- 인스턴스 그룹에서
ig-c인스턴스 그룹을 선택하고 완료를 클릭합니다. - 백엔드 추가를 클릭하고 단계를 반복하여
ig-a를 추가합니다. 상태 점검 목록에서 상태 점검 만들기를 선택하고 다음 정보를 입력한 후 저장을 클릭합니다.
- 이름:
hc-http-80 - 프로토콜:
HTTP - 포트:
80 - 프록시 프로토콜:
NONE - 요청 경로:
/
Google Cloud 콘솔을 사용하여 부하 분산기를 만들면 상태 점검이 전역으로 수행됩니다. 리전 상태 점검을 만들려면
gcloud또는 API를 사용합니다.- 이름:
계속하기 전에 백엔드 구성 옆에 파란색 체크표시가 있는지 확인합니다.
프런트엔드 구성
- 프런트엔드 구성을 클릭합니다.
- 새 프런트엔드 IP 및 포트 섹션에서 다음을 수행합니다.
- 이름에
fr-ilb를 입력합니다. - 서브네트워크에
lb-subnet을 선택합니다. - 내부 IP 용도 섹션의 IP 주소 목록에서 IP 주소 만들기를 선택하고 다음 정보를 입력한 후 예약을 클릭합니다.
- 이름:
ip-ilb - IP 버전: IPv4
- 고정 IP 주소: 직접 선택
- 커스텀 IP 주소:
10.1.2.99
- 이름:
- 포트에 복수를 선택한 후 포트 번호에
80,8008,8080,8088을 입력합니다. - 계속하기 전에 프런트엔드 구성 옆에 파란색 체크표시가 있는지 확인합니다.
- 이름에
구성 검토
- 검토 및 완료를 클릭합니다.
- 부하 분산기 구성 설정을 검토합니다.
- 선택사항: 부하 분산기를 만드는 데 사용되는 REST API 요청을 보려면 상응하는 코드를 클릭합니다.
- 만들기를 클릭합니다.
gcloud
새 리전 HTTP 상태 확인을 만들어 포트 80에서 VM에 대한 HTTP 연결을 테스트합니다.
gcloud compute health-checks create http hc-http-80 \ --region=us-west1 \ --port=80HTTP 트래픽에 대한 백엔드 서비스를 만듭니다.
gcloud compute backend-services create be-ilb \ --load-balancing-scheme=internal \ --protocol=tcp \ --region=us-west1 \ --health-checks=hc-http-80 \ --health-checks-region=us-west1백엔드 서비스에 두 인스턴스 그룹을 추가합니다.
gcloud compute backend-services add-backend be-ilb \ --region=us-west1 \ --instance-group=ig-a \ --instance-group-zone=us-west1-a gcloud compute backend-services add-backend be-ilb \ --region=us-west1 \ --instance-group=ig-c \ --instance-group-zone=us-west1-c백엔드 서비스에 대한 전달 규칙을 만듭니다. 전달 규칙을 만들 때 서브넷의 내부 IP에
10.1.2.99를 지정합니다.gcloud compute forwarding-rules create fr-ilb \ --region=us-west1 \ --load-balancing-scheme=internal \ --network=lb-network \ --subnet=lb-subnet \ --address=10.1.2.99 \ --ip-protocol=TCP \ --ports=80,8008,8080,8088 \ --backend-service=be-ilb \ --backend-service-region=us-west1
API
regionHealthChecks.insert 메서드에 POST 요청을 전송하여 상태 점검을 만듭니다.
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-west1/regionHealthChecks
{
"name": "hc-http-80",
"type": "HTTP",
"httpHealthCheck": {
"port": 80
}
}
regionBackendServices.insert 메서드에 POST 요청을 전송하여 리전 백엔드 서비스를 만듭니다.
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-west1/backendServices
{
"name": "be-ilb",
"backends": [
{
"group": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/zones/us-west1-a/instanceGroups/ig-a",
"balancingMode": "CONNECTION"
},
{
"group": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/zones/us-west1-c/instanceGroups/ig-c",
"balancingMode": "CONNECTION"
}
],
"healthChecks": [
"https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-west1/healthChecks/hc-http-80"
],
"loadBalancingScheme": "INTERNAL",
"connectionDraining": {
"drainingTimeoutSec": 0
}
}
forwardingRules.insert 메서드에 POST 요청을 전송하여 전달 규칙을 만듭니다.
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-west1/forwardingRules
{
"name": "fr-ilb",
"IPAddress": "10.1.2.99",
"IPProtocol": "TCP",
"ports": [
"80", "8008", "8080", "8088"
],
"loadBalancingScheme": "INTERNAL",
"subnetwork": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-west1/subnetworks/lb-subnet",
"network": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/lb-network",
"backendService": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-west1/backendServices/be-ilb",
"networkTier": "PREMIUM"
}
부하 분산기 테스트
이 테스트는 부하 분산기 구성을 확인하고 예상되는 동작을 확인하는 방법을 보여줍니다.
클라이언트 VM 만들기
다음 예시에서는 백엔드(서버) VM과 동일한 리전에 클라이언트 VM(vm-client)을 만듭니다. 클라이언트는 부하 분산기의 구성을 검사하고 테스트 섹션의 설명대로 예상되는 동작을 보여줍니다.
콘솔
Google Cloud 콘솔에서 VM 인스턴스 페이지로 이동합니다.
인스턴스 만들기를 클릭합니다.
이름에
vm-client를 입력합니다.리전에
us-west1을 선택합니다.영역에
us-west1-a를 선택합니다.고급 옵션을 클릭합니다.
네트워킹을 클릭하고 다음 필드를 구성합니다.
- 네트워크 태그에
allow-ssh를 입력합니다. - 네트워크 인터페이스에 다음을 선택합니다.
- 네트워크:
lb-network - 서브넷:
lb-subnet
- 네트워크:
- 네트워크 태그에
만들기를 클릭합니다.
gcloud
클라이언트 VM은 부하 분산기와 동일한 리전의 어떤 영역에든 위치할 수 있으며 그 리전의 어떤 서브넷이든 사용할 수 있습니다. 다음 예시에서 클라이언트는 us-west1-a 영역에 위치하며 백엔드 VM과 동일한 서브넷을 사용합니다.
gcloud compute instances create vm-client \
--zone=us-west1-a \
--image-family=debian-12 \
--image-project=debian-cloud \
--tags=allow-ssh \
--subnet=lb-subnet
API
instances.insert 메서드에 대해 POST 요청을 실행합니다.
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/us-west1-a/instances
{
"name": "vm-client",
"tags": {
"items": [
"allow-ssh"
]
},
"machineType": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/zones/us-west1-a/machineTypes/e2-standard-2",
"canIpForward": false,
"networkInterfaces": [
{
"network": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/lb-network",
"subnetwork": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-west1/subnetworks/lb-subnet",
"accessConfigs": [
{
"type": "ONE_TO_ONE_NAT",
"name": "external-nat",
"networkTier": "PREMIUM"
}
]
}
],
"disks": [
{
"type": "PERSISTENT",
"boot": true,
"mode": "READ_WRITE",
"autoDelete": true,
"deviceName": "vm-client",
"initializeParams": {
"sourceImage": "projects/debian-cloud/global/images/debian-image-name",
"diskType": "projects/PROJECT_ID/zones/us-west1-a/diskTypes/pd-standard",
"diskSizeGb": "10"
}
}
],
"scheduling": {
"preemptible": false
},
"deletionProtection": false
}
클라이언트 VM의 연결 테스트
이 테스트에서는 별도의 클라이언트 VM에서 부하 분산기에 연결합니다. 즉, 부하 분산기의 백엔드 VM에서 연결하는 것이 아닙니다. 예상되는 동작은 세션 어피니티가 구성되지 않아 트래픽이 4개의 백엔드 VM 사이에 분산되는 것입니다.
클라이언트 VM 인스턴스에 연결합니다.
gcloud compute ssh vm-client --zone=us-west1-a
curl을 사용하여 부하 분산기에 대한 웹 요청을 만들어 IP 주소에 연결합니다. 다른 백엔드 VM에서 응답을 볼 수 있도록 요청을 반복합니다. 응답을 생성하는 VM의 이름은 각 백엔드 VM에 있는/var/www/html/index.html의 콘텐츠에 따라 HTML 응답에 텍스트로 표시됩니다. 예를 들어 예상 응답은Page served from: vm-a1및Page served from: vm-a2와 같습니다.curl http://10.1.2.99
다음 전달 규칙은 포트
80,8008,8080,8088을 제공하도록 구성됩니다. 다른 포트로 트래픽을 전송하려면 다음과 같이 IP 주소 다음에 콜론(:)과 포트 번호를 추가합니다.curl http://10.1.2.99:8008
내부 전달 규칙에 서비스 라벨을 추가하면 내부 DNS를 사용하여 서비스 이름으로 부하 분산기에 연결할 수 있습니다.
curl http://web-test.fr-ilb.il4.us-west1.lb.PROJECT_ID.internal
부하 분산기의 IP 주소 핑
이 테스트는 예상되는 동작을 보여줍니다. 부하 분산기의 IP 주소를 핑할 수 없습니다. 이는 내부 패스 스루 네트워크 부하 분산기가 별도의 기기가 아닌 가상 네트워크 프로그래밍으로 구현되기 때문입니다.
클라이언트 VM 인스턴스에 연결합니다.
gcloud compute ssh vm-client --zone=us-west1-a
부하 분산기의 IP 주소에 대해 핑을 시도합니다. 이 예시에서는 응답이 없으며 10초 후에
ping명령어가 타임아웃됩니다.timeout 10 ping 10.1.2.99
부하 분산 VM에서 요청 전송
이 테스트는 백엔드 VM이 해당 부하 분산기의 전달 규칙의 IP 주소에 패킷을 전송할 때 해당 요청이 다시 자신에게 라우팅되는 것을 보여줍니다. 이는 백엔드 VM의 상태 확인 점검에 관계없이 적용됩니다.
내부 패스 스루 네트워크 부하 분산기는 게스트 OS의 가상 네트워크 프로그래밍과 VM 구성을 통해 구현됩니다. Linux VM에서 게스트 환경은 운영체제의 로컬 라우팅 테이블에 부하 분산기의 IP 주소에 대한 경로를 만듭니다.
이 로컬 경로가 VPC 네트워크의 경로가 아닌 VM 자체 내에 있기 때문에 부하 분산기의 IP 주소에 전송되는 패킷이 VPC 네트워크에서 처리되지 않습니다. 대신 부하 분산기의 IP 주소로 전송되는 패킷이 VM의 운영체제 내에 유지됩니다.
vm-a1과 같은 백엔드 VM에 연결합니다.gcloud compute ssh vm-a1 --zone=us-west1-a
curl을 사용하여 부하 분산기에 IP 주소 또는 서비스 이름으로 웹 요청을 보냅니다. 응답은 요청을 수행하는 동일한 백엔드 VM에서 시작됩니다. 반복된 요청은 동일한 방법으로 응답됩니다.vm-a1에서 테스트할 때 예상되는 응답은 항상Page served from: vm-a1입니다.curl http://10.1.2.99
로컬 라우팅 테이블을 검사하여 부하 분산기 자체의 IP 주소(
10.1.2.99)와 일치하는 대상을 찾습니다. 이 경로는 내부 패스 스루 네트워크 부하 분산기의 필수적인 부분이지만 부하 분산기 뒤에 있는 VM의 요청이 항상 동일한 VM에서 응답을 받는 이유를 보여줍니다.ip route show table local | grep 10.1.2.99
내부 패스 스루 네트워크 부하 분산기의 백엔드 VM이 부하 분산기의 전달 규칙 IP 주소로 패킷을 전송하면 패킷은 항상 요청을 수행하는 VM으로 다시 라우팅됩니다. 이는 내부 패스 스루 네트워크 부하 분산기는 패스 스루 부하 분산기이고 이 섹션에 설명된 대로 VM의 게스트 OS 내에 부하 분산기의 IP 주소에 대한 로컬 경로를 만들어 구현되기 때문입니다. 부하 분산 백엔드가 TCP 트래픽을 부하 분산기의 IP 주소로 전송해야 하고, 트래픽이 부하 분산기가 아닌 백엔드에서 시작된 것처럼 분산되어야 하는 사용 사례가 있는 경우 분산된 백엔드의 경우 리전별 내부 프록시 네트워크 부하 분산기를 대신 사용하는 것이 좋습니다.
자세한 내용은 다음 홉으로의 내부 부하 분산기 네트워크 부하 분산기를 참조하세요.
이중 스택 서브넷 및 백엔드로 부하 분산기 설정
이 문서에서는 IPv4 및 IPv6 트래픽을 모두 지원하는 내부 패스 스루 네트워크 부하 분산기를 구성하고 테스트하는 방법을 보여줍니다. 이 섹션의 단계에서는 다음을 구성하는 방법을 설명합니다.
- 이 페이지의 예시에서는
lb-network-dual-stack라는 커스텀 모드 VPC 네트워크를 사용합니다. IPv6 트래픽에는 커스텀 모드 서브넷이 필요합니다. - IPv6 트래픽에 필요한 이중 스택 서브넷입니다(
stack-type이IPv4_IPv6로 설정됨). 커스텀 모드 VPC 네트워크에서 이중 스택 서브넷을 만들 때 서브넷에 IPv6 액세스 유형을 선택합니다. 이 예시에서는 서브넷의ipv6-access-type매개변수를INTERNAL로 설정합니다. 즉, 이 서브넷의 새 VM에 내부 IPv4 주소와 내부 IPv6 주소를 모두 할당할 수 있습니다. 자세한 내용은 이중 스택 서브넷 추가에 대한 VPC 문서를 참조하세요. - 백엔드 VM에 대한 수신 연결을 허용하는 방화벽 규칙
- 백엔드 인스턴스 그룹(이 예시에서는 다음 리전 및 서브넷에 있음):
- 리전:
us-west1 - 서브넷:
lb-subnet, 기본 IPv4 주소 범위10.1.2.0/24. 서브넷에 구성할 IPv4 주소 범위를 선택하더라도 IPv6 주소 범위가 자동으로 할당됩니다. Google은 고정된 크기(/64)의 IPv6 CIDR 블록을 제공합니다.
- 리전:
- 4개의 백엔드 이중 스택 VM:
us-west1-a영역의 비관리형 인스턴스 그룹에 있는 2개의 VM 및us-west1-c영역의 비관리형 인스턴스 그룹에 있는 2개의 VM입니다. 전역 액세스를 보여주기 위해 이 예시에서는 다른 리전 및 서브넷에 두 번째 테스트 클라이언트 VM을 만듭니다.- 리전:
europe-west1 - 서브넷:
europe-subnet, 기본 IP 주소 범위10.3.4.0/24
- 리전:
- 연결을 테스트하기 위한 클라이언트 VM 1개
- 다음 내부 패스 스루 네트워크 부하 분산기 구성요소:
- 백엔드 서비스의 상태 점검
- 2개의 영역 인스턴스 그룹에 대한 연결 분산을 관리하기 위한
us-west1리전의 내부 백엔드 서비스 - 부하 분산기의 프런트엔드에 대한 내부 전달 규칙 2개
다음 다이어그램은 이 예시의 아키텍처를 보여줍니다.
네트워크, 리전, 서브넷 구성
이 페이지에 설명된 예시 내부 패스 스루 네트워크 부하 분산기는 lb-network-dual-stack라는 커스텀 모드 VPC 네트워크로 생성되었습니다.
내부 IPv6 범위가 있는 서브넷을 구성하려면 VPC 네트워크 ULA 내부 IPv6 범위를 사용 설정합니다. 내부 IPv6 서브넷 범위는 이 범위에서 할당됩니다.
콘솔
Google Cloud 콘솔에서 VPC 네트워크 페이지로 이동합니다.
VPC 네트워크 만들기를 클릭합니다.
이름에
lb-network-dual-stack를 입력합니다.이 네트워크에서 서브넷에 내부 IPv6 주소 범위를 구성하려면 다음 단계를 수행합니다.
- 비공개 IPv6 주소 설정에서 이 VPC 네트워크의 ULA 내부 IPv6 범위 구성을 선택합니다.
- 내부 IPv6 범위 할당에 대해 자동 또는 수동을 선택합니다.
수동을 선택한 경우
fd20::/20범위 내에서/48범위를 입력합니다. 범위가 사용 중인 경우 다른 범위를 제공하라는 메시지가 표시됩니다.
서브넷 생성 모드에 커스텀을 선택합니다.
새 서브넷 섹션에서 서브넷에 다음 구성 매개변수를 지정합니다.
- 이름:
lb-subnet - 리전:
us-west1 - IP 스택 유형: IPv4 및 IPv6(이중 스택)
- IPv4 범위:
10.1.2.0/24 - IPv6 액세스 유형: 내부
- 이름:
완료를 클릭합니다.
서브넷 추가를 클릭하고 다음 정보를 입력합니다.
- 이름:
europe-subnet - 리전:
europe-west1 - IP 스택 유형: IPv4(단일 스택)
- IP 주소 범위:
10.3.4.0/24
- 이름:
완료를 클릭합니다.
만들기를 클릭합니다.
gcloud
새 커스텀 모드 VPC 네트워크를 만들려면
gcloud compute networks create명령어를 실행합니다.이 네트워크의 서브넷에서 내부 IPv6 범위를 구성하려면
--enable-ula-internal-ipv6플래그를 사용합니다. 이 옵션은 내부 IPv6 서브넷 범위에 대해 Google Cloud 에서 사용하는fd20::/20범위 내에서/48ULA 프리픽스를 할당합니다. 할당된/48IPv6 범위를 선택하려면--internal-ipv6-range플래그를 사용해서 범위를 지정합니다.gcloud compute networks create lb-network-dual-stack \ --subnet-mode=custom \ --enable-ula-internal-ipv6 \ --internal-ipv6-range=ULA_IPV6_RANGE \ --bgp-routing-mode=regional
ULA_IPV6_RANGE를 내부 IPv6 서브넷 범위에 대해 Google에서 사용하는fd20::/20범위 내의/48프리픽스로 바꿉니다.--internal-ipv6-range플래그를 사용하지 않으면 Google은 네트워크의/48프리픽스를 선택합니다(예:fd20:bc7:9a1c::/48).NETWORK네트워크 내에서us-west1리전의 백엔드에 대해 서브넷을 만들고europe-west1리전의 전역 액세스를 테스트하기 위한 다른 서브넷을 만듭니다.서브넷을 만들려면
gcloud compute networks subnets create명령어를 실행합니다.gcloud compute networks subnets create lb-subnet \ --network=lb-network-dual-stack \ --range=10.1.2.0/24 \ --region=us-west1 \ --stack-type=IPV4_IPV6 \ --ipv6-access-type=INTERNAL
gcloud compute networks subnets create europe-subnet \ --network=lb-network-dual-stack \ --range=10.3.4.0/24 \ --region=europe-west1 \ --stack-type=IPV4_IPV6 \ --ipv6-access-type=INTERNAL
API
새 커스텀 모드 VPC 네트워크를 만듭니다.
이 네트워크의 서브넷에서 내부 IPv6 범위를 구성하려면 enableUlaInternalIpv6를 true로 설정합니다. 이 옵션은 내부 IPv6 서브넷 범위에 대해 Google에서 사용되는 fd20::/20 범위 내에서 /48 범위를 할당합니다. 할당되는 /48 IPv6 범위를 선택하려면 internalIpv6Range 필드도 사용하여 범위를 지정합니다.
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks
{
"autoCreateSubnetworks": false,
"name": "lb-network-dual-stack",
"mtu": MTU,
"enableUlaInternalIpv6": true,
"internalIpv6Range": "ULA_IPV6_RANGE",
"routingConfig": {
"routingMode": "DYNAMIC_ROUTING_MODE"
}
}
다음을 바꿉니다.
PROJECT_ID: VPC 네트워크가 만들어진 프로젝트의 IDMTU: 네트워크의 최대 전송 단위입니다. MTU는1460(기본값) 또는1500이 될 수 있습니다. MTU를1500으로 설정하기 전에 최대 전송 단위 개요를 검토합니다.ULA_IPV6_RANGE: 내부 IPv6 서브넷 범위에 대해 Google에서 사용하는fd20::/20범위 내의/48프리픽스입니다.internalIpv6Range값을 제공하지 않으면 Google은 네트워크의/48프리픽스를 선택합니다.DYNAMIC_ROUTING_MODE:global또는regional일 수 있으며, 이는 네트워크에서 Cloud Router의 경로 공지 동작을 제어합니다. 자세한 내용은 동적 라우팅 모드를 참조하세요.자세한 내용은
networks.insert메서드를 참조하세요.
subnetworks.insert 메서드에 POST 요청을 두 번 보냅니다.
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks
{
"ipCidrRange": "10.1.2.0/24",
"network": "lb-network-dual-stack",
"name": "lb-subnet"
"stackType": IPV4_IPV6,
"ipv6AccessType": Internal
}
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks
{
"ipCidrRange": "10.3.4.0/24",
"network": "lb-network-dual-stack",
"name": "europe-subnet"
"stackType": IPV4_IPV6,
"ipv6AccessType": Internal
}
방화벽 규칙 구성
이 예시에서는 다음과 같은 방화벽 규칙을 사용합니다.
fw-allow-lb-access: VPC 네트워크의 모든 대상에 적용할 수 있는 인그레스 규칙으로,10.1.2.0/24및10.3.4.0/24범위의 소스에서 오는 트래픽을 허용합니다. 이 규칙은 두 서브넷의 어느 하나에 있는 클라이언트에서 새로 수신되는 트래픽을 허용합니다. 나중에 전역 액세스를 구성하고 테스트할 수 있습니다.fw-allow-lb-access-ipv6: VPC 네트워크의 모든 대상에 적용되는 인그레스 규칙으로, 서브넷에 구성된 IPv6 범위의 소스에서 오는 트래픽을 허용합니다. 이 규칙은 두 서브넷의 어느 하나에 있는 클라이언트에서 새로 수신되는 IPv6 트래픽을 허용합니다. 나중에 전역 액세스를 구성하고 테스트할 수 있습니다.fw-allow-ssh: 부하 분산되는 인스턴스에 적용되는 인그레스 규칙으로, TCP 포트 22에서 임의의 주소로부터 수신되는 SSH 연결을 허용합니다. 이 규칙에 더 제한적인 소스 IP 범위를 선택할 수 있습니다. 예를 들어 SSH 세션을 시작할 시스템의 IP 범위만 지정할 수도 있습니다. 이 예시에서는allow-ssh대상 태그를 사용하여 방화벽 규칙이 적용되는 VM을 식별합니다.fw-allow-health-check: 부하 분산되는 인스턴스에 적용되는 인그레스 규칙으로 Google Cloud 상태 점검 시스템(130.211.0.0/22및35.191.0.0/16)의 트래픽을 허용합니다. 이 예시에서는allow-health-check대상 태그를 사용하여 적용해야 할 인스턴스를 식별합니다.fw-allow-health-check-ipv6: 부하 분산되는 인스턴스에 적용되는 인그레스 규칙으로 Google Cloud 상태 점검 시스템(2600:2d00:1:b029::/64)의 트래픽을 허용합니다. 이 예시에서는allow-health-check-ipv6대상 태그를 사용하여 적용해야 할 백엔드 인스턴스를 식별합니다.
이러한 방화벽 규칙이 없으면 기본 거부 인그레스 규칙은 백엔드 인스턴스로 들어오는 트래픽을 차단합니다.
콘솔
Google Cloud 콘솔에서 방화벽 정책 페이지로 이동합니다.
서브넷 트래픽을 허용하는 규칙을 만들려면 방화벽 규칙 만들기를 클릭하고 다음 정보를 입력합니다.
- 이름:
fw-allow-lb-access - 네트워크:
lb-network-dual-stack - 우선순위:
1000 - 트래픽 방향: 인그레스
- 일치 시 작업: 허용
- 대상: All instances in the network
- 소스 필터: IPv4 범위
- 소스 IPv4 범위:
10.1.2.0/24및10.3.4.0/24 - 프로토콜 및 포트: 모두 허용
- 이름:
만들기를 클릭합니다.
IPv6 서브넷 트래픽을 허용하려면 방화벽 규칙 만들기를 다시 클릭하고 다음 정보를 입력합니다.
- 이름:
fw-allow-lb-access-ipv6 - 네트워크:
lb-network-dual-stack - 우선순위:
1000 - 트래픽 방향: 인그레스
- 일치 시 작업: 허용
- 대상: All instances in the network
- 소스 필터: IPv6 범위
- 소스 IPv6 범위:
lb-subnet에서 할당된 IPV6_ADDRESS - 프로토콜 및 포트: 모두 허용
- 이름:
만들기를 클릭합니다.
들어오는 SSH 연결을 허용하려면 방화벽 규칙 만들기를 다시 클릭하고 다음 정보를 입력합니다.
- 이름:
fw-allow-ssh - 네트워크:
lb-network-dual-stack - 우선순위:
1000 - 트래픽 방향: 인그레스
- 일치 시 작업: 허용
- 대상: 지정된 대상 태그
- 대상 태그:
allow-ssh - 소스 필터: IPv4 범위
- 소스 IPv4 범위:
0.0.0.0/0 - 프로토콜 및 포트: 지정된 프로토콜 및 포트를 선택하고 TCP 체크박스를 선택한 후 포트에
22를 입력합니다.
- 이름:
만들기를 클릭합니다.
Google Cloud IPv6 상태 점검을 허용하려면 방화벽 규칙 만들기를 다시 클릭하고 다음 정보를 입력합니다.
- 이름:
fw-allow-health-check-ipv6 - 네트워크:
lb-network-dual-stack - 우선순위:
1000 - 트래픽 방향: 인그레스
- 일치 시 작업: 허용
- 대상: 지정된 대상 태그
- 대상 태그:
allow-health-check-ipv6 - 소스 필터: IPv6 범위
- 소스 IPv6 범위:
2600:2d00:1:b029::/64 - 프로토콜 및 포트: 모두 허용
- 이름:
만들기를 클릭합니다.
Google Cloud 상태 점검을 허용하려면 방화벽 규칙 만들기를 다시 클릭하고 다음 정보를 입력합니다.
- 이름:
fw-allow-health-check - 네트워크:
lb-network-dual-stack - 우선순위:
1000 - 트래픽 방향: 인그레스
- 일치 시 작업: 허용
- 대상: 지정된 대상 태그
- 대상 태그:
allow-health-check - 소스 필터: IPv4 범위
- 소스 IPv4 범위:
130.211.0.0/22및35.191.0.0/16 - 프로토콜 및 포트: 모두 허용
- 이름:
만들기를 클릭합니다.
gcloud
fw-allow-lb-access방화벽 규칙을 만들어 서브넷과의 통신을 허용합니다.gcloud compute firewall-rules create fw-allow-lb-access \ --network=lb-network-dual-stack \ --action=allow \ --direction=ingress \ --source-ranges=10.1.2.0/24,10.3.4.0/24 \ --rules=allfw-allow-lb-access-ipv6방화벽 규칙을 만들어 서브넷과의 통신을 허용합니다.gcloud compute firewall-rules create fw-allow-lb-access-ipv6 \ --network=lb-network-dual-stack \ --action=allow \ --direction=ingress \ --source-ranges=IPV6_ADDRESS \ --rules=allIPV6_ADDRESS를lb-subnet에서 할당된 IPv6 주소로 바꿉니다.allow-ssh네트워크 태그를 사용해 VM으로 가는 SSH 연결을 허용하는fw-allow-ssh방화벽 규칙을 만듭니다.source-ranges를 생략하면Google Cloud 가 모든 소스를 의미하는 것으로 규칙을 해석합니다.gcloud compute firewall-rules create fw-allow-ssh \ --network=lb-network-dual-stack \ --action=allow \ --direction=ingress \ --target-tags=allow-ssh \ --rules=tcp:22Google Cloud IPv6 상태 점검을 허용하는
fw-allow-health-check-ipv6규칙을 만듭니다.gcloud compute firewall-rules create fw-allow-health-check-ipv6 \ --network=lb-network-dual-stack \ --action=allow \ --direction=ingress \ --target-tags=allow-health-check-ipv6 \ --source-ranges=2600:2d00:1:b029::/64 \ --rules=tcp,udpGoogle Cloud상태 점검을 허용하는
fw-allow-health-check규칙을 만듭니다.gcloud compute firewall-rules create fw-allow-health-check \ --network=lb-network-dual-stack \ --action=allow \ --direction=ingress \ --target-tags=allow-health-check \ --source-ranges=130.211.0.0/22,35.191.0.0/16 \ --rules=tcp,udp,icmp
API
firewalls.insert메서드에POST요청을 전송하여fw-allow-lb-access방화벽 규칙을 만듭니다.POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/firewalls { "name": "fw-allow-lb-access", "network": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/lb-network-dual-stack", "priority": 1000, "sourceRanges": [ "10.1.2.0/24", "10.3.4.0/24" ], "allowed": [ { "IPProtocol": "tcp" }, { "IPProtocol": "udp" }, { "IPProtocol": "icmp" } ], "direction": "INGRESS", "logConfig": { "enable": false }, "disabled": false }firewalls.insert메서드에POST요청을 전송하여fw-allow-lb-access-ipv6방화벽 규칙을 만듭니다.POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/firewalls { "name": "fw-allow-lb-access-ipv6", "network": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/lb-network-dual-stack", "priority": 1000, "sourceRanges": [ "IPV6_ADDRESS" ], "allowed": [ { "IPProtocol": "tcp" }, { "IPProtocol": "udp" }, { "IPProtocol": "icmp" } ], "direction": "INGRESS", "logConfig": { "enable": false }, "disabled": false }IPV6_ADDRESS를lb-subnet에서 할당된 IPv6 주소로 바꿉니다.firewalls.insert메서드에POST요청을 전송하여fw-allow-ssh방화벽 규칙을 만듭니다.POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/firewalls { "name": "fw-allow-ssh", "network": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/lb-network-dual-stack", "priority": 1000, "sourceRanges": [ "0.0.0.0/0" ], "targetTags": [ "allow-ssh" ], "allowed": [ { "IPProtocol": "tcp", "ports": [ "22" ] } ], "direction": "INGRESS", "logConfig": { "enable": false }, "disabled": false }firewalls.insert메서드에POST요청을 전송하여fw-allow-health-check-ipv6방화벽 규칙을 만듭니다.POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/firewalls { "name": "fw-allow-health-check-ipv6", "network": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/lb-network-dual-stack", "priority": 1000, "sourceRanges": [ "2600:2d00:1:b029::/64" ], "targetTags": [ "allow-health-check-ipv6" ], "allowed": [ { "IPProtocol": "tcp" }, { "IPProtocol": "udp" } ], "direction": "INGRESS", "logConfig": { "enable": false }, "disabled": false }firewalls.insert메서드에POST요청을 전송하여fw-allow-health-check방화벽 규칙을 만듭니다.POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/firewalls { "name": "fw-allow-health-check", "network": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/lb-network-dual-stack", "priority": 1000, "sourceRanges": [ "130.211.0.0/22", "35.191.0.0/16" ], "targetTags": [ "allow-health-check" ], "allowed": [ { "IPProtocol": "tcp" }, { "IPProtocol": "udp" }, { "IPProtocol": "icmp" } ], "direction": "INGRESS", "logConfig": { "enable": false }, "disabled": false }
백엔드 VM 및 인스턴스 그룹 만들기
이 예시에서는 각각 백엔드(서버) VM이 2개 있는 비관리형 인스턴스 그룹 2개를 사용합니다. 내부 패스 스루 네트워크 부하 분산기의 리전 특성을 설명하기 위해 두 인스턴스 그룹은 별도의 영역인 us-west1-a 및 us-west1-c에 배치됩니다.
- 인스턴스 그룹
ig-a에는 다음 두 VM이 포함됩니다.vm-a1vm-a2
- 인스턴스 그룹
ig-c에는 다음 두 VM이 포함됩니다.vm-c1vm-c2
4개의 모든 백엔드 VM에 대한 트래픽 부하가 분산됩니다.
이 예시 및 추가 구성 옵션을 지원하기 위해 각 VM 4개는 80, 8008, 8080, 8088, 443, 8443 TCP 포트에서 리슨하는 Apache 웹 서버를 실행합니다.
각 VM에는 lb-subnet의 내부 IP 주소와 임시 외부(공개) IP 주소가 할당됩니다. 나중에 외부 IP 주소를 삭제할 수 있습니다.
백엔드 VM의 외부 IP 주소는 필요하지 않습니다. 하지만 이 예시에서는 백엔드 VM이 인터넷에서 Apache를 다운로드하고 SSH를 사용하여 연결할 수 있으므로 유용합니다.
기본적으로 Apache는 임의의 IP 주소에 바인딩되도록 구성됩니다. 내부 패스 스루 네트워크 부하 분산기는 대상 IP를 보존하여 패킷을 전달합니다.
백엔드 VM에서 실행 중인 서버 소프트웨어가 부하 분산기의 내부 전달 규칙의 IP 주소에서 리슨하는지 확인합니다. 여러 내부 전달 규칙을 구성하는 경우 소프트웨어가 각기 연결된 내부 IP 주소를 리슨하는지 확인합니다. 내부 패스 스루 네트워크 부하 분산기가 백엔드 VM에 전달하는 패킷의 대상 IP 주소는 전달 규칙의 내부 IP 주소입니다.
관리형 인스턴스 그룹을 사용하는 경우 서브네트워크 스택 유형이 관리형 인스턴스 그룹에서 사용하는 인스턴스 템플릿의 스택 유형과 일치하는지 확인합니다. 관리형 인스턴스 그룹에서 이중 스택 인스턴스 템플릿을 사용하는 경우 서브네트워크는 이중 스택이어야 합니다.
설명의 편의를 위해 이러한 백엔드 VM은 Debian GNU/Linux 12를 실행합니다.
콘솔
백엔드 VM 만들기
Google Cloud 콘솔에서 VM 인스턴스 페이지로 이동합니다.
다음 이름 및 영역 조합으로 각 VM에 대해 3~8단계를 반복합니다.
- 이름:
vm-a1, 영역:us-west1-a - 이름:
vm-a2, 영역:us-west1-a - 이름:
vm-c1, 영역:us-west1-c - 이름:
vm-c2, 영역:us-west1-c
- 이름:
인스턴스 만들기를 클릭합니다.
이름을 2단계에 표시된 대로 설정합니다.
리전에
us-west1을 선택하고 2단계에 표시된 대로 영역을 선택합니다.부팅 디스크 섹션에서 부팅 디스크 옵션으로 Debian GNU/Linux 12(bookworm)가 선택되어 있는지 확인합니다. 필요한 경우 변경을 클릭하여 이미지를 변경합니다.
고급 옵션을 클릭합니다.
네트워킹을 클릭하고 다음 필드를 구성합니다.
- 네트워크 태그에
allow-ssh및allow-health-check-ipv6를 입력합니다. - 네트워크 인터페이스에 다음을 선택합니다.
- 네트워크:
lb-network-dual-stack - 서브넷:
lb-subnet - IP 스택 유형: IPv4 및 IPv6(이중 스택)
- 기본 내부 IPv4 주소: 임시(자동)
- 외부 IPv4 주소: 임시
- 네트워크:
관리를 클릭한 후 시작 스크립트 필드에 다음 스크립트를 입력합니다. 스크립트 콘텐츠는 VM 4개에서 모두 동일합니다.
#! /bin/bash if [ -f /etc/startup_script_completed ]; then exit 0 fi apt-get update apt-get install apache2 -y a2ensite default-ssl a2enmod ssl file_ports="/etc/apache2/ports.conf" file_http_site="/etc/apache2/sites-available/000-default.conf" file_https_site="/etc/apache2/sites-available/default-ssl.conf" http_listen_prts="Listen 80\nListen 8008\nListen 8080\nListen 8088" http_vh_prts="*:80 *:8008 *:8080 *:8088" https_listen_prts="Listen 443\nListen 8443" https_vh_prts="*:443 *:8443" vm_hostname="$(curl -H "Metadata-Flavor:Google" \ http://metadata.google.internal/computeMetadata/v1/instance/name)" echo "Page served from: $vm_hostname" | \ tee /var/www/html/index.html prt_conf="$(cat "$file_ports")" prt_conf_2="$(echo "$prt_conf" | sed "s|Listen 80|${http_listen_prts}|")" prt_conf="$(echo "$prt_conf_2" | sed "s|Listen 443|${https_listen_prts}|")" echo "$prt_conf" | tee "$file_ports" http_site_conf="$(cat "$file_http_site")" http_site_conf_2="$(echo "$http_site_conf" | sed "s|*:80|${http_vh_prts}|")" echo "$http_site_conf_2" | tee "$file_http_site" https_site_conf="$(cat "$file_https_site")" https_site_conf_2="$(echo "$https_site_conf" | sed "s|_default_:443|${https_vh_prts}|")" echo "$https_site_conf_2" | tee "$file_https_site" systemctl restart apache2 touch /etc/startup_script_completed
- 네트워크 태그에
만들기를 클릭합니다.
인스턴스 그룹 생성
Google Cloud 콘솔에서 인스턴스 그룹 페이지로 이동합니다.
다음 조합을 사용해 다음 단계를 반복하여 각각 VM이 2개 있는 비관리형 인스턴스 그룹 2개를 만듭니다.
- 인스턴스 그룹 이름:
ig-a, 영역:us-west1-a, VM:vm-a1및vm-a2 - 인스턴스 그룹 이름:
ig-c, 영역:us-west1-c, VM:vm-c1및vm-c2
- 인스턴스 그룹 이름:
인스턴스 그룹 만들기를 클릭합니다.
새 비관리형 인스턴스 그룹을 클릭합니다.
이름을 2단계에 표시된 대로 설정합니다.
위치 섹션에서 리전에
us-west1을 선택한 후 2단계에 표시된 대로 영역을 선택합니다.네트워크에
lb-network-dual-stack을 선택합니다.서브네트워크에
lb-subnet을 선택합니다.VM 인스턴스 섹션에서 2단계에 표시된 대로 VM을 추가합니다.
만들기를 클릭합니다.
gcloud
VM 4개를 만들려면
[VM-NAME]및[ZONE]에 다음 조합 4개를 사용하여gcloud compute instances create명령어를 4회 실행합니다. 스크립트 콘텐츠는 VM 4개에서 모두 동일합니다.VM-NAME:vm-a1,ZONE:us-west1-aVM-NAME:vm-a2,ZONE:us-west1-aVM-NAME:vm-c1,ZONE:us-west1-cVM-NAME:vm-c2,ZONE:us-west1-cgcloud compute instances create VM-NAME \ --zone=ZONE \ --image-family=debian-12 \ --image-project=debian-cloud \ --tags=allow-ssh,allow-health-check-ipv6 \ --subnet=lb-subnet \ --stack-type=IPV4_IPV6 \ --metadata=startup-script='#! /bin/bash if [ -f /etc/startup_script_completed ]; then exit 0 fi apt-get update apt-get install apache2 -y a2ensite default-ssl a2enmod ssl file_ports="/etc/apache2/ports.conf" file_http_site="/etc/apache2/sites-available/000-default.conf" file_https_site="/etc/apache2/sites-available/default-ssl.conf" http_listen_prts="Listen 80\nListen 8008\nListen 8080\nListen 8088" http_vh_prts="*:80 *:8008 *:8080 *:8088" https_listen_prts="Listen 443\nListen 8443" https_vh_prts="*:443 *:8443" vm_hostname="$(curl -H "Metadata-Flavor:Google" \ http://metadata.google.internal/computeMetadata/v1/instance/name)" echo "Page served from: $vm_hostname" | \ tee /var/www/html/index.html prt_conf="$(cat "$file_ports")" prt_conf_2="$(echo "$prt_conf" | sed "s|Listen 80|${http_listen_prts}|")" prt_conf="$(echo "$prt_conf_2" | sed "s|Listen 443|${https_listen_prts}|")" echo "$prt_conf" | tee "$file_ports" http_site_conf="$(cat "$file_http_site")" http_site_conf_2="$(echo "$http_site_conf" | sed "s|*:80|${http_vh_prts}|")" echo "$http_site_conf_2" | tee "$file_http_site" https_site_conf="$(cat "$file_https_site")" https_site_conf_2="$(echo "$https_site_conf" | sed "s|_default_:443|${https_vh_prts}|")" echo "$https_site_conf_2" | tee "$file_https_site" systemctl restart apache2 touch /etc/startup_script_completed'
각 영역에서 다음과 같이 비관리형 인스턴스 그룹 2개를 만듭니다.
gcloud compute instance-groups unmanaged create ig-a \ --zone=us-west1-a gcloud compute instance-groups unmanaged create ig-c \ --zone=us-west1-cVM을 적절한 인스턴스 그룹에 추가합니다.
gcloud compute instance-groups unmanaged add-instances ig-a \ --zone=us-west1-a \ --instances=vm-a1,vm-a2 gcloud compute instance-groups unmanaged add-instances ig-c \ --zone=us-west1-c \ --instances=vm-c1,vm-c2
api
4개의 VM에는 다음 VM 이름과 영역을 사용합니다.
VM-NAME:vm-a1,ZONE:us-west1-aVM-NAME:vm-a2,ZONE:us-west1-aVM-NAME:vm-c1,ZONE:us-west1-cVM-NAME:vm-c2,ZONE:us-west1-c
다음 gcloud 명령어를 실행하여 현재 DEBIAN_IMAGE_NAME을 가져올 수 있습니다.
gcloud compute images list \ --filter="family=debian-12"
instances.insert 메서드에 POST 요청을 4개 보내 백엔드 VM 4개를 만듭니다.
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances
{
"name": "VM-NAME",
"tags": {
"items": [
"allow-health-check-ipv6",
"allow-ssh"
]
},
"machineType": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/zones/[ZONE]/machineTypes/e2-standard-2",
"canIpForward": false,
"networkInterfaces": [
{
"stackType": "IPV4_IPV6",
"network": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/lb-network-dual-stack",
"subnetwork": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-west1/subnetworks/lb-subnet",
"accessConfigs": [
{
"type": "ONE_TO_ONE_NAT",
"name": "external-nat",
"networkTier": "PREMIUM"
}
]
}
],
"disks": [
{
"type": "PERSISTENT",
"boot": true,
"mode": "READ_WRITE",
"autoDelete": true,
"deviceName": "VM-NAME",
"initializeParams": {
"sourceImage": "projects/debian-cloud/global/images/debian-image-name",
"diskType": "projects/PROJECT_ID/zones/zone/diskTypes/pd-standard",
"diskSizeGb": "10"
}
}
],
"metadata": {
"items": [
{
"key": "startup-script",
"value": "#! /bin/bash\napt-get update\napt-get install apache2 -y\na2ensite default-ssl\na2enmod ssl\nfile_ports=\"/etc/apache2/ports.conf\"\nfile_http_site=\"/etc/apache2/sites-available/000-default.conf\"\nfile_https_site=\"/etc/apache2/sites-available/default-ssl.conf\"\nhttp_listen_prts=\"Listen 80\\nListen 8008\\nListen 8080\\nListen 8088\"\nhttp_vh_prts=\"*:80 *:8008 *:8080 *:8088\"\nhttps_listen_prts=\"Listen 443\\nListen 8443\"\nhttps_vh_prts=\"*:443 *:8443\"\nvm_hostname=\"$(curl -H \"Metadata-Flavor:Google\" \\\nhttp://169.254.169.254/computeMetadata/v1/instance/name)\"\necho \"Page served from: $vm_hostname\" | \\\ntee /var/www/html/index.html\nprt_conf=\"$(cat \"$file_ports\")\"\nprt_conf_2=\"$(echo \"$prt_conf\" | sed \"s|Listen 80|${http_listen_prts}|\")\"\nprt_conf=\"$(echo \"$prt_conf_2\" | sed \"s|Listen 443|${https_listen_prts}|\")\"\necho \"$prt_conf\" | tee \"$file_ports\"\nhttp_site_conf=\"$(cat \"$file_http_site\")\"\nhttp_site_conf_2=\"$(echo \"$http_site_conf\" | sed \"s|*:80|${http_vh_prts}|\")\"\necho \"$http_site_conf_2\" | tee \"$file_http_site\"\nhttps_site_conf=\"$(cat \"$file_https_site\")\"\nhttps_site_conf_2=\"$(echo \"$https_site_conf\" | sed \"s|_default_:443|${https_vh_prts}|\")\"\necho \"$https_site_conf_2\" | tee \"$file_https_site\"\nsystemctl restart apache2"
}
]
},
"scheduling": {
"preemptible": false
},
"deletionProtection": false
}
instanceGroups.insert 메서드에 POST 요청을 보내 인스턴스 그룹 2개를 만듭니다.
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/us-west1-a/instanceGroups
{
"name": "ig-a",
"network": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/lb-network-dual-stack",
"subnetwork": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-west1/subnetworks/lb-subnet"
}
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/us-west1-c/instanceGroups
{
"name": "ig-c",
"network": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/lb-network-dual-stack",
"subnetwork": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-west1/subnetworks/lb-subnet"
}
instanceGroups.addInstances 메서드에 POST 요청을 전송하여 인스턴스를 각 인스턴스 그룹에 추가합니다.
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/us-west1-a/instanceGroups/ig-a/addInstances
{
"instances": [
{
"instance": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/zones/us-west1-a/instances/vm-a1",
"instance": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/zones/us-west1-a/instances/vm-a2"
}
]
}
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/us-west1-c/instanceGroups/ig-c/addInstances
{
"instances": [
{
"instance": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/zones/us-west1-c/instances/vm-c1",
"instance": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/zones/us-west1-c/instances/vm-c2"
}
]
}
부하 분산기 구성요소 구성
이러한 단계를 통해 상태 점검 및 백엔드 서비스부터 프런트엔드 구성에 이르기까지 모든 내부 패스 스루 네트워크 부하 분산기 구성요소를 구성합니다.
상태 점검: 이 예시에서는 HTTP
200(OK) 응답을 확인하는 HTTP 상태 점검을 사용합니다. 자세한 내용은 내부 패스 스루 네트워크 부하 분산기 개요의 상태 점검 섹션을 참조하세요.백엔드 서비스: 내부 부하 분산기를 통해 HTTP 트래픽을 전달해야 하므로 UDP가 아닌 TCP를 사용해야 합니다.
전달 규칙: 이 예시에서는 IPv4 및 IPv6 트래픽용 내부 전달 규칙 2개를 만듭니다.
내부 IP 주소: 이 예시에서는 IPv4 전달 규칙을 만들 때 내부 IP 주소
10.1.2.99를 지정합니다. 자세한 내용은 내부 IP 주소를 참조하세요. 구성할 IPv4 주소를 선택하더라도 IPv6 주소가 자동으로 할당됩니다.
콘솔
구성 시작
Google Cloud 콘솔에서 부하 분산 페이지로 이동합니다.
- 부하 분산기 만들기를 클릭합니다.
- 부하 분산기 유형에 네트워크 부하 분산기(TCP/UDP/SSL)를 선택하고 다음을 클릭합니다.
- 프록시 또는 패스 스루에서 패스 스루 부하 분산기를 선택하고 다음을 클릭합니다.
- 공개 또는 내부에서 내부를 선택하고 다음을 클릭합니다.
- 구성을 클릭합니다.
기본 구성
내부 패스 스루 네트워크 부하 분산기 만들기 페이지에서 다음 정보를 입력합니다.
- 부하 분산기 이름:
be-ilb - 리전:
us-west1 - 네트워크:
lb-network-dual-stack
백엔드 구성
- 백엔드 구성을 클릭합니다.
- 백엔드의 새 백엔드 섹션에서 IP 스택 유형을 IPv4 및 IPv6(이중 스택)로 선택합니다.
- 인스턴스 그룹에서
ig-a인스턴스 그룹을 선택하고 완료를 클릭합니다. - 백엔드 추가를 클릭하고 단계를 반복하여
ig-c를 추가합니다. - 상태 점검 목록에서 상태 점검 만들기를 선택하고 다음 정보를 입력한 후 저장을 클릭합니다.
- 이름:
hc-http-80. - 범위: 리전별.
- 프로토콜:
HTTP. - 포트:
80. - 프록시 프로토콜:
NONE. - 요청 경로:
/.
- 이름:
- 백엔드 구성 옆에 파란색 체크표시가 표시되는지 확인합니다.
프런트엔드 구성
- 프런트엔드 구성을 클릭합니다. 새 프런트엔드 IP 및 포트 섹션에서 다음을 수행합니다.
- 이름에
fr-ilb-ipv6를 입력합니다. - IPv6 트래픽을 처리하려면 다음을 수행합니다.
- IP 버전에서 IPv6을 선택합니다.
- 서브네트워크에
lb-subnet을 선택합니다. 전달 규칙의 IPv6 주소 범위는 항상 임시입니다. - 포트에 복수를 선택한 후 포트 번호 필드에
80,8008,8080,8088을 입력합니다. - 완료를 클릭합니다.
- IPv4 트래픽을 처리하려면 다음을 수행합니다.
- 프런트엔드 IP 및 포트 추가를 클릭합니다.
- 이름에
fr-ilb를 입력합니다. - 서브네트워크에
lb-subnet을 선택합니다. - 내부 IP 용도 섹션의 IP 주소 목록에서 IP 주소 만들기를 선택하고 다음 정보를 입력한 후 예약을 클릭합니다.
- 이름:
ip-ilb - IP 버전: IPv4
- 고정 IP 주소: 직접 선택
- 커스텀 IP 주소:
10.1.2.99
- 이름:
- 포트에 복수를 선택한 후 포트 번호에
80,8008,8080,8088을 입력합니다. - 완료를 클릭합니다.
- 계속하기 전에 프런트엔드 구성 옆에 파란색 체크표시가 있는지 확인합니다.
- 이름에
구성 검토
- 검토 및 완료를 클릭합니다. 모든 설정을 확인합니다.
- 설정이 올바르면 만들기를 클릭합니다. 내부 패스 스루 네트워크 부하 분산기가 만들어지는 데 몇 분 정도 걸립니다.
gcloud
새 리전 HTTP 상태 확인을 만들어 포트 80에서 VM에 대한 HTTP 연결을 테스트합니다.
gcloud compute health-checks create http hc-http-80 \ --region=us-west1 \ --port=80HTTP 트래픽에 대한 백엔드 서비스를 만듭니다.
gcloud compute backend-services create be-ilb \ --load-balancing-scheme=internal \ --protocol=tcp \ --region=us-west1 \ --health-checks=hc-http-80 \ --health-checks-region=us-west1백엔드 서비스에 두 인스턴스 그룹을 추가합니다.
gcloud compute backend-services add-backend be-ilb \ --region=us-west1 \ --instance-group=ig-a \ --instance-group-zone=us-west1-a gcloud compute backend-services add-backend be-ilb \ --region=us-west1 \ --instance-group=ig-c \ --instance-group-zone=us-west1-c백엔드 서비스에 대한 전달 규칙 2개를 만듭니다. IPv4 전달 규칙을 만들 때 IPv4 주소의 서브넷의 내부 IP 주소에
10.1.2.99를 지정합니다.gcloud compute forwarding-rules create fr-ilb \ --region=us-west1 \ --load-balancing-scheme=internal \ --subnet=lb-subnet \ --address=10.1.2.99 \ --ip-protocol=TCP \ --ports=80,8008,8080,8088 \ --backend-service=be-ilb \ --backend-service-region=us-west1gcloud compute forwarding-rules create fr-ilb-ipv6 \ --region=us-west1 \ --load-balancing-scheme=internal \ --subnet=lb-subnet \ --ip-protocol=TCP \ --ports=80,8008,8080,8088 \ --backend-service=be-ilb \ --backend-service-region=us-west1 \ --ip-version=IPV6
api
regionHealthChecks.insert 메서드에 POST 요청을 전송하여 상태 점검을 만듭니다.
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-west1/regionHealthChecks
{
"name": "hc-http-80",
"type": "HTTP",
"httpHealthCheck": {
"port": 80
}
}
regionBackendServices.insert 메서드에 POST 요청을 전송하여 리전 백엔드 서비스를 만듭니다.
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-west1/backendServices
{
"name": "be-ilb",
"backends": [
{
"group": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/zones/us-west1-a/instanceGroups/ig-a",
"balancingMode": "CONNECTION"
},
{
"group": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/zones/us-west1-c/instanceGroups/ig-c",
"balancingMode": "CONNECTION"
}
],
"healthChecks": [
"https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-west1/healthChecks/hc-http-80"
],
"loadBalancingScheme": "INTERNAL",
"connectionDraining": {
"drainingTimeoutSec": 0
}
}
forwardingRules.insert 메서드에 POST 요청을 전송하여 전달 규칙을 만듭니다.
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-west1/forwardingRules
{
"name": "fr-ilb-ipv6",
"IPProtocol": "TCP",
"ports": [
"80", "8008", "8080", "8088"
],
"loadBalancingScheme": "INTERNAL",
"subnetwork": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-west1/subnetworks/lb-subnet",
"backendService": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-west1/backendServices/be-ilb",
"ipVersion": "IPV6",
"networkTier": "PREMIUM"
}
forwardingRules.insert 메서드에 POST 요청을 전송하여 전달 규칙을 만듭니다.
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-west1/forwardingRules
{
"name": "fr-ilb",
"IPAddress": "10.1.2.99",
"IPProtocol": "TCP",
"ports": [
"80", "8008", "8080", "8088"
],
"loadBalancingScheme": "INTERNAL",
"subnetwork": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-west1/subnetworks/lb-subnet",
"backendService": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-west1/backendServices/be-ilb",
"networkTier": "PREMIUM"
}
부하 분산기 테스트
부하 분산기를 테스트하려면 부하 분산기와 동일한 리전에 클라이언트 VM을 만든 후 클라이언트에서 부하 분산기로 트래픽을 전송합니다.
클라이언트 VM 만들기
다음 예시에서는 백엔드(서버) VM과 동일한 리전에 클라이언트 VM(vm-client)을 만듭니다. 클라이언트는 부하 분산기의 구성을 검사하고 테스트 섹션의 설명대로 예상되는 동작을 보여줍니다.
콘솔
Google Cloud 콘솔에서 VM 인스턴스 페이지로 이동합니다.
인스턴스 만들기를 클릭합니다.
이름에
vm-client를 입력합니다.리전에
us-west1을 선택합니다.영역에
us-west1-a를 선택합니다.고급 옵션을 클릭합니다.
네트워킹을 클릭하고 다음 필드를 구성합니다.
- 네트워크 태그에
allow-ssh를 입력합니다. - 네트워크 인터페이스에 다음을 선택합니다.
- 네트워크:
lb-network-dual-stack - 서브넷:
lb-subnet - IP 스택 유형: IPv4 및 IPv6(이중 스택)
- 기본 내부 IP: 임시(자동)
- 외부 IP: 임시
- 네트워크:
- 완료를 클릭합니다.
- 네트워크 태그에
만들기를 클릭합니다.
gcloud
클라이언트 VM은 부하 분산기와 동일한 리전의 어떤 영역에든 위치할 수 있으며 그 리전의 어떤 서브넷이든 사용할 수 있습니다. 다음 예시에서 클라이언트는 us-west1-a 영역에 위치하며 백엔드 VM과 동일한 서브넷을 사용합니다.
gcloud compute instances create vm-client \
--zone=us-west1-a \
--image-family=debian-12 \
--image-project=debian-cloud \
--stack-type=IPV4_IPV6 \
--tags=allow-ssh \
--subnet=lb-subnet
api
instances.insert 메서드에 대해 POST 요청을 실행합니다.
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/us-west1-a/instances
{
"name": "vm-client",
"tags": {
"items": [
"allow-ssh"
]
},
"machineType": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/zones/us-west1-a/machineTypes/e2-standard-2",
"canIpForward": false,
"networkInterfaces": [
{
"stackType": "IPV4_IPV6",
"network": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/lb-network-dual-stack",
"subnetwork": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-west1/subnetworks/lb-subnet",
"accessConfigs": [
{
"type": "ONE_TO_ONE_NAT",
"name": "external-nat",
"networkTier": "PREMIUM"
}
]
}
],
"disks": [
{
"type": "PERSISTENT",
"boot": true,
"mode": "READ_WRITE",
"autoDelete": true,
"deviceName": "vm-client",
"initializeParams": {
"sourceImage": "projects/debian-cloud/global/images/debian-image-name",
"diskType": "projects/PROJECT_ID/zones/us-west1-a/diskTypes/pd-standard",
"diskSizeGb": "10"
}
}
],
"scheduling": {
"preemptible": false
},
"deletionProtection": false
}
연결 테스트
이 테스트에서는 별도의 클라이언트 VM에서 부하 분산기에 연결합니다. 즉, 부하 분산기의 백엔드 VM에서 연결하는 것이 아닙니다. 예상되는 동작은 트래픽이 4개의 백엔드 VM 사이에 분산되는 것입니다.
클라이언트 VM 인스턴스에 연결합니다.
gcloud compute ssh vm-client --zone=us-west1-a
IPv6 전달 규칙
fr-ilb-ipv6를 설명합니다. 설명의IPV6_ADDRESS를 확인합니다.gcloud compute forwarding-rules describe fr-ilb-ipv6 --region=us-west1
IPv4 전달 규칙
fr-ilb를 설명합니다.gcloud compute forwarding-rules describe fr-ilb --region=us-west1
IPv6 연결이 설정된 클라이언트에서 다음 명령어를 실행합니다.
$ curl -m 10 -s http://IPV6_ADDRESS:80예를 들어 할당된 IPv6 주소가
[fd20:1db0:b882:802:0:46:0:0/96]:80이면 명령어는 다음과 같습니다.$ curl -m 10 -s http://[fd20:1db0:b882:802:0:46:0:0]:80IPv4 연결이 설정된 클라이언트에서 다음 명령어를 실행합니다.
$ curl -m 10 -s http://10.1.2.99:80자리표시자를 유효한 값으로 바꿉니다.
IPV6_ADDRESS는fr-ilb-ipv6전달 규칙의 임시 IPv6 주소입니다.
IPv6 전용 서브넷 및 백엔드로 부하 분산기 설정
이 문서에서는 IPv6 트래픽만 지원하는 내부 패스 스루 네트워크 부하 분산기를 구성하고 테스트하는 방법을 보여줍니다. 이 섹션의 단계에서는 다음을 구성하는 방법을 설명합니다.
- 이름이
lb-network-ipv6-only인 커스텀 모드 VPC 네트워크. IPv6 트래픽에는 커스텀 모드 서브넷이 필요합니다. - IPv6 전용 트래픽에 필요한
lb-subnet-ipv6-only(stack-type이IPv6_ONLY로 설정됨)라는 IPv6 전용 서브넷입니다. - 백엔드 VM에 대한 수신 연결을 허용하는 방화벽 규칙
- 백엔드 인스턴스 그룹(이 예시에서는 다음 리전 및 서브넷에 있음):
- 리전:
us-west1 - 서브넷:
lb-subnet-ipv6-only서브넷의 IPv6 주소 범위가 자동으로 할당됩니다. Google은 고정된 크기(/64)의 IPv6 CIDR 블록을 제공합니다.
- 리전:
- 4개의 백엔드 IPv6 전용 VM:
us-west1-a영역의 비관리형 인스턴스 그룹에 있는 2개의 VM 및us-west1-c영역의 비관리형 인스턴스 그룹에 있는 2개의 VM입니다. - 연결을 테스트하기 위한 클라이언트 VM 1개
- 다음 내부 패스 스루 네트워크 부하 분산기 구성요소:
- 백엔드 서비스의 상태 점검
- 2개의 영역 인스턴스 그룹에 대한 연결 분산을 관리하기 위한
us-west1리전의 내부 백엔드 서비스
네트워크, 리전, 서브넷 구성
이 페이지에 설명된 예시 내부 패스 스루 네트워크 부하 분산기는 lb-network-ipv6-only라는 커스텀 모드 VPC 네트워크로 생성되었습니다.
내부 IPv6 범위가 있는 서브넷을 구성하려면 VPC 네트워크 ULA 내부 IPv6 범위를 사용 설정합니다. 내부 IPv6 서브넷 범위는 이 범위에서 할당됩니다.
콘솔
Google Cloud 콘솔에서 VPC 네트워크 페이지로 이동합니다.
VPC 네트워크 만들기를 클릭합니다.
이름에
lb-network-ipv6-only를 입력합니다.이 네트워크에서 서브넷에 내부 IPv6 주소 범위를 구성하려면 다음 단계를 수행합니다.
- 비공개 IPv6 주소 설정에서 이 VPC 네트워크의 ULA 내부 IPv6 범위 구성을 선택합니다.
- 내부 IPv6 범위 할당에 대해 자동 또는 수동을 선택합니다.
수동을 선택한 경우
fd20::/20범위 내에서/48범위를 입력합니다. 범위가 사용 중인 경우 다른 범위를 제공하라는 메시지가 표시됩니다.
서브넷 생성 모드에 커스텀을 선택합니다.
새 서브넷 섹션에서 서브넷에 다음 구성 매개변수를 지정합니다.
- 이름:
lb-subnet-ipv6-only - 리전:
us-west1 - IP 스택 유형: IPv6(단일 스택)
- IPv6 액세스 유형: 내부
- 이름:
완료를 클릭합니다.
만들기를 클릭합니다.
gcloud
새 커스텀 모드 VPC 네트워크를 만들려면
gcloud compute networks create명령어를 실행합니다.이 네트워크의 서브넷에서 내부 IPv6 범위를 구성하려면
--enable-ula-internal-ipv6플래그를 사용합니다. 이 옵션은 내부 IPv6 서브넷 범위에 대해 Google Cloud 에서 사용하는fd20::/20범위 내에서/48ULA 프리픽스를 할당합니다. 할당된/48IPv6 범위를 선택하려면--internal-ipv6-range플래그를 사용해서 범위를 지정합니다.gcloud compute networks create lb-network-ipv6-only \ --subnet-mode=custom \ --enable-ula-internal-ipv6 \ --internal-ipv6-range=ULA_IPV6_RANGE \ --bgp-routing-mode=regional
ULA_IPV6_RANGE를 내부 IPv6 서브넷 범위에 대해 Google에서 사용하는fd20::/20범위 내의/48프리픽스로 바꿉니다.--internal-ipv6-range플래그를 사용하지 않으면 Google은 네트워크의/48프리픽스를 선택합니다(예:fd20:bc7:9a1c::/48).NETWORK네트워크 내에서us-west1리전의 백엔드에 대한 서브넷을 만듭니다. 서브넷을 만들려면gcloud compute networks subnets create명령어를 실행합니다.gcloud compute networks subnets create lb-subnet-ipv6-only \ --network=lb-network-ipv6-only \ --region=us-west1 \ --stack-type=IPV6_ONLY \ --ipv6-access-type=INTERNAL
방화벽 규칙 구성
이 예시에서는 다음과 같은 방화벽 규칙을 사용합니다.
fw-allow-lb-access-ipv6-only: VPC 네트워크의 모든 대상에 적용되는 인그레스 규칙으로, 서브넷에 구성된 IPv6 범위의 소스에서 오는 트래픽을 허용합니다. 이 규칙은lb-subnet-ipv6-only에 위치하는 모든 클라이언트에서 들어오는 IPv6 트래픽을 허용합니다.fw-allow-ssh: 부하 분산되는 인스턴스에 적용되는 인그레스 규칙으로, TCP 포트22에서 임의의 주소로부터 수신되는 SSH 연결을 허용합니다. 이 규칙에 더 제한적인 소스 IP 범위를 선택할 수 있습니다. 예를 들어 SSH 세션을 시작할 시스템의 IP 범위만 지정할 수도 있습니다. 이 예시에서는allow-ssh대상 태그를 사용하여 방화벽 규칙이 적용되는 VM을 식별합니다.fw-allow-health-check-ipv6-only: 부하 분산되는 인스턴스에 적용되는 인그레스 규칙으로 Google Cloud 상태 점검 시스템(2600:2d00:1:b029::/64)의 트래픽을 허용합니다. 이 예시에서는allow-health-check-ipv6대상 태그를 사용하여 적용해야 할 백엔드 인스턴스를 식별합니다.
이러한 방화벽 규칙이 없으면 기본 거부 인그레스 규칙은 백엔드 인스턴스로 들어오는 트래픽을 차단합니다.
콘솔
Google Cloud 콘솔에서 방화벽 정책 페이지로 이동합니다.
IPv6 서브넷 트래픽을 허용하려면 방화벽 규칙 만들기를 다시 클릭하고 다음 정보를 입력합니다.
- 이름:
fw-allow-lb-access-ipv6-only - 네트워크:
lb-network-ipv6-only - 우선순위:
1000 - 트래픽 방향: 인그레스
- 일치 시 작업: 허용
- 대상: All instances in the network
- 소스 필터: IPv6 범위
- 소스 IPv6 범위:
lb-subnet-ipv6-only서브넷에 할당된 IPv6 주소 범위 - 프로토콜 및 포트: 모두 허용
- 이름:
만들기를 클릭합니다.
들어오는 SSH 연결을 허용하려면 방화벽 규칙 만들기를 다시 클릭하고 다음 정보를 입력합니다.
- 이름:
fw-allow-ssh - 네트워크:
lb-network-ipv6-only - 우선순위:
1000 - 트래픽 방향: 인그레스
- 일치 시 작업: 허용
- 대상: 지정된 대상 태그
- 대상 태그:
allow-ssh - 소스 필터: IPv4 범위
- 소스 IPv4 범위:
0.0.0.0/0 - 프로토콜 및 포트: 지정된 프로토콜 및 포트를 선택하고 TCP 체크박스를 선택한 후 포트에
22를 입력합니다.
- 이름:
만들기를 클릭합니다.
Google Cloud IPv6 상태 점검을 허용하려면 방화벽 규칙 만들기를 다시 클릭하고 다음 정보를 입력합니다.
- 이름:
fw-allow-health-check-ipv6-only - 네트워크:
lb-network-ipv6-only - 우선순위:
1000 - 트래픽 방향: 인그레스
- 일치 시 작업: 허용
- 대상: 지정된 대상 태그
- 대상 태그:
allow-health-check-ipv6 - 소스 필터: IPv6 범위
- 소스 IPv6 범위:
2600:2d00:1:b029::/64 - 프로토콜 및 포트: 모두 허용
- 이름:
만들기를 클릭합니다.
gcloud
fw-allow-lb-access-ipv6방화벽 규칙을 만들어 서브넷과의 통신을 허용합니다.gcloud compute firewall-rules create fw-allow-lb-access-ipv6-only \ --network=lb-network-ipv6-only \ --action=allow \ --direction=ingress \ --source-ranges=IPV6_ADDRESS \ --rules=allIPV6_ADDRESS를lb-subnet-ipv6-only에서 할당된 IPv6 주소로 바꿉니다.allow-ssh네트워크 태그를 사용해 VM으로 가는 SSH 연결을 허용하는fw-allow-ssh방화벽 규칙을 만듭니다.source-ranges를 생략하면Google Cloud 가 모든 소스를 의미하는 것으로 규칙을 해석합니다.gcloud compute firewall-rules create fw-allow-ssh \ --network=lb-network-ipv6-only \ --action=allow \ --direction=ingress \ --target-tags=allow-ssh \ --rules=tcp:22Google Cloud IPv6 상태 점검을 허용하는
fw-allow-health-check-ipv6규칙을 만듭니다.gcloud compute firewall-rules create fw-allow-health-check-ipv6-only \ --network=lb-network-ipv6-only \ --action=allow \ --direction=ingress \ --target-tags=allow-health-check-ipv6 \ --source-ranges=2600:2d00:1:b029::/64 \ --rules=tcp,udp
백엔드 VM 및 인스턴스 그룹 만들기
이 예시에서는 각각 백엔드 VM이 2개 있는 비관리형 인스턴스 그룹 2개를 사용합니다. 내부 패스 스루 네트워크 부하 분산기의 리전 특성을 설명하기 위해 두 인스턴스 그룹은 별도의 영역인 us-west1-a 및 us-west1-c에 배치됩니다.
- 인스턴스 그룹
ig-a에는 다음 두 VM이 포함됩니다.vm-a1vm-a2
- 인스턴스 그룹
ig-c에는 다음 두 VM이 포함됩니다.vm-c1vm-c2
4개의 모든 백엔드 VM에 대한 트래픽 부하가 분산됩니다.
이 예시 및 추가 구성 옵션을 지원하기 위해 각 VM 4개는 80, 8008, 8080, 8088, 443, 8443 TCP 포트에서 리슨하는 Apache 웹 서버를 실행합니다.
각 VM에는 lb-subnet-ipv6-only의 내부 IP 주소와 임시 외부(공개) IP 주소가 할당됩니다. 나중에 외부 IP 주소를 삭제할 수 있습니다.
백엔드 VM의 외부 IP 주소는 필요하지 않습니다. 하지만 이 예시에서는 백엔드 VM이 인터넷에서 Apache를 다운로드하고 SSH를 사용하여 연결할 수 있으므로 유용합니다.
기본적으로 Apache는 임의의 IP 주소에 바인딩되도록 구성됩니다. 내부 패스 스루 네트워크 부하 분산기는 대상 IP를 보존하여 패킷을 전달합니다.
백엔드 VM에서 실행 중인 서버 소프트웨어가 부하 분산기의 내부 전달 규칙의 IP 주소로 전달되는 수신 연결을 적극적으로 대기하는지 확인합니다. 여러 내부 전달 규칙을 구성하는 경우 소프트웨어가 각기 연결된 내부 IP 주소를 리슨하는지 확인합니다. 내부 패스 스루 네트워크 부하 분산기가 백엔드 VM에 전달하는 패킷의 대상 IP 주소는 전달 규칙의 내부 IP 주소입니다.
설명의 편의를 위해 이러한 백엔드 VM은 Debian GNU/Linux 12를 실행합니다.
콘솔
백엔드 VM 만들기
Google Cloud 콘솔에서 VM 인스턴스 페이지로 이동합니다.
다음 이름 및 영역 조합으로 각 VM에 대해 3~8단계를 반복합니다.
- 이름:
vm-a1, 영역:us-west1-a - 이름:
vm-a2, 영역:us-west1-a - 이름:
vm-c1, 영역:us-west1-c - 이름:
vm-c2, 영역:us-west1-c
- 이름:
인스턴스 만들기를 클릭합니다.
이름을 2단계에 표시된 대로 설정합니다.
리전에
us-west1을 선택하고 2단계에 표시된 대로 영역을 선택합니다.부팅 디스크 섹션에서 부팅 디스크 옵션으로 Debian GNU/Linux 12(bookworm)가 선택되어 있는지 확인합니다. 필요한 경우 변경을 클릭하여 이미지를 변경합니다.
고급 옵션을 클릭합니다.
네트워킹을 클릭하고 다음 필드를 구성합니다.
- 네트워크 태그에
allow-ssh및allow-health-check-ipv6를 입력합니다. - 네트워크 인터페이스에 다음을 선택합니다.
- 네트워크:
lb-network-ipv6-only - 서브넷:
lb-subnet-ipv6-only - IP 스택 유형: IPv6(단일 스택)
- 네트워크:
관리를 클릭한 후 시작 스크립트 필드에 다음 스크립트를 입력합니다. 스크립트 콘텐츠는 VM 4개에서 모두 동일합니다.
#! /bin/bash if [ -f /etc/startup_script_completed ]; then exit 0 fi apt-get update apt-get install apache2 -y a2ensite default-ssl a2enmod ssl file_ports="/etc/apache2/ports.conf" file_http_site="/etc/apache2/sites-available/000-default.conf" file_https_site="/etc/apache2/sites-available/default-ssl.conf" http_listen_prts="Listen 80\nListen 8008\nListen 8080\nListen 8088" http_vh_prts="*:80 *:8008 *:8080 *:8088" https_listen_prts="Listen 443\nListen 8443" https_vh_prts="*:443 *:8443" vm_hostname="$(curl -H "Metadata-Flavor:Google" \ http://metadata.google.internal/computeMetadata/v1/instance/name)" echo "Page served from: $vm_hostname" | \ tee /var/www/html/index.html prt_conf="$(cat "$file_ports")" prt_conf_2="$(echo "$prt_conf" | sed "s|Listen 80|${http_listen_prts}|")" prt_conf="$(echo "$prt_conf_2" | sed "s|Listen 443|${https_listen_prts}|")" echo "$prt_conf" | tee "$file_ports" http_site_conf="$(cat "$file_http_site")" http_site_conf_2="$(echo "$http_site_conf" | sed "s|*:80|${http_vh_prts}|")" echo "$http_site_conf_2" | tee "$file_http_site" https_site_conf="$(cat "$file_https_site")" https_site_conf_2="$(echo "$https_site_conf" | sed "s|_default_:443|${https_vh_prts}|")" echo "$https_site_conf_2" | tee "$file_https_site" systemctl restart apache2 touch /etc/startup_script_completed
- 네트워크 태그에
만들기를 클릭합니다.
인스턴스 그룹 생성
Google Cloud 콘솔에서 인스턴스 그룹 페이지로 이동합니다.
다음 조합을 사용해 다음 단계를 반복하여 각각 VM이 2개 있는 비관리형 인스턴스 그룹 2개를 만듭니다.
- 인스턴스 그룹 이름:
ig-a, 영역:us-west1-a, VM:vm-a1및vm-a2 - 인스턴스 그룹 이름:
ig-c, 영역:us-west1-c, VM:vm-c1및vm-c2
- 인스턴스 그룹 이름:
인스턴스 그룹 만들기를 클릭합니다.
새 비관리형 인스턴스 그룹을 클릭합니다.
이름을 2단계에 표시된 대로 설정합니다.
위치 섹션에서 리전에
us-west1을 선택한 후 2단계에 표시된 대로 영역을 선택합니다.네트워크에
lb-network-ipv6-only을 선택합니다.서브네트워크에
lb-subnet-ipv6-only을 선택합니다.VM 인스턴스 섹션에서 2단계에 표시된 대로 VM을 추가합니다.
만들기를 클릭합니다.
gcloud
VM 4개를 만들려면
[VM-NAME]및[ZONE]에 다음 조합 4개를 사용하여gcloud compute instances create명령어를 4회 실행합니다. 스크립트 콘텐츠는 VM 4개에서 모두 동일합니다.VM-NAME:vm-a1,ZONE:us-west1-aVM-NAME:vm-a2,ZONE:us-west1-aVM-NAME:vm-c1,ZONE:us-west1-cVM-NAME:vm-c2,ZONE:us-west1-c
gcloud beta compute instances create VM-NAME \ --zone=ZONE \ --image-family=debian-12 \ --image-project=debian-cloud \ --tags=allow-ssh,allow-health-check-ipv6 \ --subnet=lb-subnet-ipv6-only \ --stack-type=IPV6_ONLY \ --metadata=startup-script='#! /bin/bash if [ -f /etc/startup_script_completed ]; then exit 0 fi apt-get update apt-get install apache2 -y a2ensite default-ssl a2enmod ssl file_ports="/etc/apache2/ports.conf" file_http_site="/etc/apache2/sites-available/000-default.conf" file_https_site="/etc/apache2/sites-available/default-ssl.conf" http_listen_prts="Listen 80\nListen 8008\nListen 8080\nListen 8088" http_vh_prts="*:80 *:8008 *:8080 *:8088" https_listen_prts="Listen 443\nListen 8443" https_vh_prts="*:443 *:8443" vm_hostname="$(curl -H "Metadata-Flavor:Google" \ http://metadata.google.internal/computeMetadata/v1/instance/name)" echo "Page served from: $vm_hostname" | \ tee /var/www/html/index.html prt_conf="$(cat "$file_ports")" prt_conf_2="$(echo "$prt_conf" | sed "s|Listen 80|${http_listen_prts}|")" prt_conf="$(echo "$prt_conf_2" | sed "s|Listen 443|${https_listen_prts}|")" echo "$prt_conf" | tee "$file_ports" http_site_conf="$(cat "$file_http_site")" http_site_conf_2="$(echo "$http_site_conf" | sed "s|*:80|${http_vh_prts}|")" echo "$http_site_conf_2" | tee "$file_http_site" https_site_conf="$(cat "$file_https_site")" https_site_conf_2="$(echo "$https_site_conf" | sed "s|_default_:443|${https_vh_prts}|")" echo "$https_site_conf_2" | tee "$file_https_site" systemctl restart apache2 touch /etc/startup_script_completed'각 영역에서 다음과 같이 비관리형 인스턴스 그룹 2개를 만듭니다.
gcloud beta compute instance-groups unmanaged create ig-a \ --zone=us-west1-a gcloud beta compute instance-groups unmanaged create ig-c \ --zone=us-west1-cVM을 적절한 인스턴스 그룹에 추가합니다.
gcloud beta compute instance-groups unmanaged add-instances ig-a \ --zone=us-west1-a \ --instances=vm-a1,vm-a2 gcloud beta compute instance-groups unmanaged add-instances ig-c \ --zone=us-west1-c \ --instances=vm-c1,vm-c2
부하 분산기 구성요소 구성
이러한 단계를 통해 상태 점검 및 백엔드 서비스부터 프런트엔드 구성에 이르기까지 모든 내부 패스 스루 네트워크 부하 분산기 구성요소를 구성합니다.
콘솔
구성 시작
Google Cloud 콘솔에서 부하 분산 페이지로 이동합니다.
- 부하 분산기 만들기를 클릭합니다.
- 부하 분산기 유형에 네트워크 부하 분산기(TCP/UDP/SSL)를 선택하고 다음을 클릭합니다.
- 프록시 또는 패스 스루에서 패스 스루 부하 분산기를 선택하고 다음을 클릭합니다.
- 공개 또는 내부에서 내부를 선택하고 다음을 클릭합니다.
- 구성을 클릭합니다.
기본 구성
내부 패스 스루 네트워크 부하 분산기 만들기 페이지에서 다음 정보를 입력합니다.
- 부하 분산기 이름:
ilb-ipv6-only - 리전:
us-west1 - 네트워크:
lb-network-ipv6-only
백엔드 구성
- 백엔드 구성을 클릭합니다.
- 백엔드의 새 백엔드 섹션에서 IP 스택 유형을 IPv6(단일 스택)로 선택합니다.
- 인스턴스 그룹에서
ig-a인스턴스 그룹을 선택하고 완료를 클릭합니다. - 백엔드 추가를 클릭하고 단계를 반복하여
ig-c를 추가합니다. - 상태 점검 목록에서 상태 점검 만들기를 선택하고 다음 정보를 입력한 후 저장을 클릭합니다.
- 이름:
hc-http-80. - 범위: 리전별.
- 프로토콜:
HTTP. - 포트:
80. - 프록시 프로토콜:
NONE. - 요청 경로:
/.
- 이름:
- 백엔드 구성 옆에 파란색 체크표시가 표시되는지 확인합니다.
프런트엔드 구성
- 프런트엔드 구성을 클릭합니다. 새 프런트엔드 IP 및 포트 섹션에서 다음을 수행합니다.
- 이름에
fr-ilb-ipv6-only를 입력합니다. - IPv6 트래픽을 처리하려면 다음을 수행합니다.
- IP 버전에서 IPv6을 선택합니다.
- 서브네트워크에
lb-subnet-ipv6-only를 선택합니다. 전달 규칙의 IPv6 주소 범위는 항상 임시입니다. - 포트에 복수를 선택한 후 포트 번호 필드에
80,8008,8080,8088을 입력합니다. - 완료를 클릭합니다.
- 계속하기 전에 프런트엔드 구성 옆에 파란색 체크표시가 있는지 확인합니다.
- 이름에
구성 검토
- 검토 및 완료를 클릭합니다. 모든 설정을 확인합니다.
- 설정이 올바르면 만들기를 클릭합니다. 내부 패스 스루 네트워크 부하 분산기가 만들어지는 데 몇 분 정도 걸립니다.
gcloud
새 리전 HTTP 상태 확인을 만들어 포트 80에서 VM에 대한 HTTP 연결을 테스트합니다.
gcloud beta compute health-checks create http hc-http-80 \ --region=us-west1 \ --port=80백엔드 서비스를 만듭니다.
gcloud beta compute backend-services create ilb-ipv6-only \ --load-balancing-scheme=INTERNAL \ --protocol=tcp \ --region=us-west1 \ --health-checks=hc-http-80 \ --health-checks-region=us-west1백엔드 서비스에 두 인스턴스 그룹을 추가합니다.
gcloud beta compute backend-services add-backend ilb-ipv6-only \ --region=us-west1 \ --instance-group=ig-a \ --instance-group-zone=us-west1-agcloud beta compute backend-services add-backend ilb-ipv6-only \ --region=us-west1 \ --instance-group=ig-c \ --instance-group-zone=us-west1-c임시 IPv6 주소로 IPv6 전달 규칙을 만듭니다.
gcloud beta compute forwarding-rules create fr-ilb-ipv6-only \ --region=us-west1 \ --load-balancing-scheme=INTERNAL \ --subnet=lb-subnet-ipv6-only \ --ip-protocol=TCP \ --ports=80,8008,8080,8088 \ --backend-service=ilb-ipv6-only \ --backend-service-region=us-west1 \ --ip-version=IPV6
부하 분산기 테스트
부하 분산기를 테스트하려면 부하 분산기와 동일한 리전에 클라이언트 VM을 만든 후 클라이언트에서 부하 분산기로 트래픽을 전송합니다.
클라이언트 VM 만들기
다음 예시에서는 백엔드(서버) VM과 동일한 리전에 클라이언트 VM(vm-client)을 만듭니다. 클라이언트는 부하 분산기의 구성을 검사하고 테스트 섹션의 설명대로 예상되는 동작을 보여줍니다.
콘솔
Google Cloud 콘솔에서 VM 인스턴스 페이지로 이동합니다.
인스턴스 만들기를 클릭합니다.
이름에
vm-client를 입력합니다.리전에
us-west1을 선택합니다.영역에
us-west1-a를 선택합니다.고급 옵션을 클릭합니다.
네트워킹을 클릭하고 다음 필드를 구성합니다.
- 네트워크 태그에
allow-ssh를 입력합니다. - 네트워크 인터페이스에 다음을 선택합니다.
- 네트워크:
lb-network-ipv6-only - 서브넷:
lb-subnet-ipv6-only - IP 스택 유형: IPv6(단일 스택)
- 네트워크:
- 완료를 클릭합니다.
- 네트워크 태그에
만들기를 클릭합니다.
gcloud
클라이언트 VM은 부하 분산기와 동일한 리전의 어떤 영역에든 위치할 수 있으며 그 리전의 어떤 서브넷이든 사용할 수 있습니다. 다음 예시에서 클라이언트는 us-west1-a 영역에 위치하며 백엔드 VM과 동일한 서브넷을 사용합니다.
gcloud beta compute instances create vm-client \
--zone=us-west1-a \
--image-family=debian-12 \
--image-project=debian-cloud \
--stack-type=IPV6_ONLY \
--tags=allow-ssh \
--subnet=lb-subnet-ipv6-only
연결 테스트
이 테스트에서는 별도의 클라이언트 VM에서 부하 분산기에 연결합니다. 즉, 부하 분산기의 백엔드 VM에서 연결하는 것이 아닙니다. 예상되는 동작은 트래픽이 4개의 백엔드 VM 사이에 분산되는 것입니다.
클라이언트 VM 인스턴스에 연결합니다.
gcloud compute ssh vm-client --zone=us-west1-a
IPv6 전달 규칙
fr-ilb-ipv6-only를 설명합니다. 설명의IPV6_ADDRESS를 확인합니다.gcloud beta compute forwarding-rules describe fr-ilb-ipv6-only \ --region=us-west1IPv6 연결이 설정된 클라이언트에서 다음 명령어를 실행합니다.
curl -m 10 -s http://IPV6_ADDRESS:80
예를 들어 할당된 IPv6 주소가
[fd20:1db0:b882:802:0:46:0:0/96]:80이면 명령어는 다음과 같습니다.curl -m 10 -s http://[fd20:1db0:b882:802:0:46:0:0]:80
추가 구성 옵션
이 섹션에서는 대체 및 추가 구성 옵션을 제공하는 구성 예시를 살펴봅니다. 모든 작업은 선택사항입니다. 원하는 순서대로 수행할 수 있습니다.
전역 액세스 사용 설정
모든 리전의 클라이언트에서 액세스할 수 있도록 예시 내부 패스 스루 네트워크 부하 분산기에 전역 액세스를 사용 설정할 수 있습니다.
예시 부하 분산기의 백엔드는 계속 하나의 리전(us-west1)에 있어야 합니다.
전역 액세스를 구성하려면 다음과 같이 구성을 변경합니다.
콘솔
부하 분산기의 전달 규칙 수정하기
Google Cloud 콘솔에서 부하 분산 페이지로 이동합니다.
이름 열에서 내부 패스 스루 네트워크 부하 분산기를 클릭합니다. 예시 부하 분산기는 이름이
be-ilb입니다.프런트엔드 구성을 클릭합니다.
수정 을 클릭합니다.
전역 액세스에서 사용 설정을 선택합니다.
완료를 클릭합니다.
업데이트를 클릭합니다.
부하 분산기 세부정보 페이지에서 프런트엔드 구성이 전역 액세스가 포함된 리전별(REGION) 구성인지 확인합니다.
gcloud
--allow-global-access플래그를 포함하도록 예시 부하 분산기의 전달 규칙fr-ilb를 업데이트합니다.gcloud compute forwarding-rules update fr-ilb \ --region=us-west1 \ --allow-global-access
forwarding-rules describe명령어를 사용하여 전달 규칙에 전역 액세스가 사용 설정되어 있는지 확인할 수 있습니다. 예를 들면 다음과 같습니다.gcloud compute forwarding-rules describe fr-ilb \ --region=us-west1 \ --format="get(name,region,allowGlobalAccess)"
전역 액세스가 사용 설정되면 결과에서 전달 규칙의 이름 및 리전 뒤에
True단어가 표시됩니다.
API
forwardingRules/patch 메서드에 대해 PATCH 요청을 실행합니다.
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-west1/forwardingRules/fr-ilb
{
"allowGlobalAccess": true
}
전역 액세스 테스트를 위해 VM 클라이언트 만들기
콘솔
Google Cloud 콘솔에서 VM 인스턴스 페이지로 이동합니다.
인스턴스 만들기를 클릭합니다.
이름을
vm-client2로 설정합니다.리전을
europe-west1로 설정합니다.영역을
europe-west1-b로 설정합니다.고급 옵션을 클릭합니다.
네트워킹을 클릭하고 다음 필드를 구성합니다.
- 네트워크 태그에
allow-ssh를 입력합니다. - 네트워크 인터페이스에 다음을 선택합니다.
- 네트워크:
lb-network - 서브넷:
europe-subnet
- 네트워크:
- 네트워크 태그에
만들기를 클릭합니다.
gcloud
클라이언트 VM은 부하 분산기와 동일한 리전의 어떤 영역에든 위치할 수 있으며 그 리전의 어떤 서브넷이든 사용할 수 있습니다. 다음 예시에서 클라이언트는 europe-west1-b 영역에 위치하며 백엔드 VM과 동일한 서브넷을 사용합니다.
gcloud compute instances create vm-client2 \
--zone=europe-west1-b \
--image-family=debian-12 \
--image-project=debian-cloud \
--tags=allow-ssh \
--subnet=europe-subnet
API
instances.insert 메서드에 대해 POST 요청을 실행합니다.
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/europe-west1-b/instances
{
"name": "vm-client2",
"tags": {
"items": [
"allow-ssh"
]
},
"machineType": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/zones/europe-west1-b/machineTypes/e2-standard-2",
"canIpForward": false,
"networkInterfaces": [
{
"network": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/lb-network",
"subnetwork": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/europe-west1/subnetworks/europe-subnet",
"accessConfigs": [
{
"type": "ONE_TO_ONE_NAT",
"name": "external-nat",
"networkTier": "PREMIUM"
}
]
}
],
"disks": [
{
"type": "PERSISTENT",
"boot": true,
"mode": "READ_WRITE",
"autoDelete": true,
"deviceName": "vm-client2",
"initializeParams": {
"sourceImage": "projects/debian-cloud/global/images/debian-image-name",
"diskType": "projects/PROJECT_ID/zones/europe-west1-b/diskTypes/pd-standard",
"diskSizeGb": "10"
}
}
],
"scheduling": {
"preemptible": false
},
"deletionProtection": false
}
VM 클라이언트에 연결 및 연결 테스트
연결을 테스트하려면 다음 명령어를 실행합니다.
gcloud compute ssh vm-client2 --zone=europe-west1-b
us-west1 리전의 vm-client에서 연결할 때와 같이 구성된 모든 포트에서 부하 분산기 연결을 테스트합니다. 전달 규칙에 구성된 4개 포트로 HTTP 연결을 테스트합니다.
curl http://10.1.2.99 curl http://10.1.2.99:8008 curl http://10.1.2.99:8080 curl http://10.1.2.99:8088
관리형 인스턴스 그룹 구성
예시 구성에서는 비관리형 인스턴스 그룹 2개를 만들었습니다. 그 대신 영역 및 리전 관리형 인스턴스 그룹을 포함한 관리형 인스턴스 그룹을 내부 패스 스루 네트워크 부하 분산기의 백엔드로 사용할 수 있습니다.
관리형 인스턴스 그룹을 사용하려면 인스턴스 템플릿을 만들어야 합니다. 이 절차에서는 예시의 영역 비관리형 인스턴스 그룹 두 개를 단일 리전 관리형 인스턴스 그룹으로 바꾸는 방법을 보여줍니다. 리전 관리형 인스턴스 그룹은 리전의 여러 영역에 VM을 자동으로 생성하므로 영역 간 프로덕션 트래픽을 더 쉽게 배포할 수 있습니다.
관리형 인스턴스 그룹은 자동 확장 및 자동 복구도 지원합니다. 내부 패스 스루 네트워크 부하 분산기로 자동 확장을 사용하는 경우 부하 분산을 기준으로 확장할 수 없습니다.
이 절차에서는 예시로 든 내부 패스 스루 네트워크 부하 분산기의 백엔드 서비스를 수정하여 리전 관리형 인스턴스 그룹을 사용하는 방법을 보여줍니다.
콘솔
인스턴스 템플릿
Google Cloud 콘솔에서 VM 인스턴스 템플릿 페이지로 이동합니다.
인스턴스 템플릿 만들기를 클릭합니다.
이름을
template-vm-ilb로 설정합니다.머신 유형을 선택합니다.
부팅 디스크 섹션에서 부팅 디스크 옵션으로 Debian GNU/Linux 12(bookworm)가 선택되어 있는지 확인합니다. 필요한 경우 변경을 클릭하여 이미지를 변경합니다.
고급 옵션을 클릭합니다.
네트워킹을 클릭하고 다음 필드를 구성합니다.
- 네트워크 태그에
allow-ssh및allow-health-check를 입력합니다. - 네트워크 인터페이스에 다음을 선택합니다.
- 네트워크:
lb-network - 서브넷:
lb-subnet
- 네트워크:
- 네트워크 태그에
관리를 클릭한 후 시작 스크립트 필드에 다음 스크립트를 입력합니다.
#! /bin/bash if [ -f /etc/startup_script_completed ]; then exit 0 fi apt-get update apt-get install apache2 -y a2ensite default-ssl a2enmod ssl file_ports="/etc/apache2/ports.conf" file_http_site="/etc/apache2/sites-available/000-default.conf" file_https_site="/etc/apache2/sites-available/default-ssl.conf" http_listen_prts="Listen 80\nListen 8008\nListen 8080\nListen 8088" http_vh_prts="*:80 *:8008 *:8080 *:8088" https_listen_prts="Listen 443\nListen 8443" https_vh_prts="*:443 *:8443" vm_hostname="$(curl -H "Metadata-Flavor:Google" \ http://metadata.google.internal/computeMetadata/v1/instance/name)" echo "Page served from: $vm_hostname" | \ tee /var/www/html/index.html prt_conf="$(cat "$file_ports")" prt_conf_2="$(echo "$prt_conf" | sed "s|Listen 80|${http_listen_prts}|")" prt_conf="$(echo "$prt_conf_2" | sed "s|Listen 443|${https_listen_prts}|")" echo "$prt_conf" | tee "$file_ports" http_site_conf="$(cat "$file_http_site")" http_site_conf_2="$(echo "$http_site_conf" | sed "s|*:80|${http_vh_prts}|")" echo "$http_site_conf_2" | tee "$file_http_site" https_site_conf="$(cat "$file_https_site")" https_site_conf_2="$(echo "$https_site_conf" | sed "s|_default_:443|${https_vh_prts}|")" echo "$https_site_conf_2" | tee "$file_https_site" systemctl restart apache2 touch /etc/startup_script_completed만들기를 클릭합니다.
관리형 인스턴스 그룹
Google Cloud 콘솔에서 인스턴스 그룹 페이지로 이동합니다.
인스턴스 그룹 만들기를 클릭합니다.
이름을
ig-ilb로 설정합니다.위치로 다중 영역을 선택하고 리전을
us-west1로 설정합니다.인스턴스 템플릿을
template-vm-ilb로 설정합니다.선택사항: 자동 확장을 구성합니다. 인스턴스 그룹은 내부 패스 스루 네트워크 부하 분산의 백엔드이므로 HTTP 부하 분산기 사용을 기준으로 인스턴스 그룹을 자동으로 확장할 수 없습니다.
최소 인스턴스 수를
1로, 최대 인스턴스 수를6로 설정합니다.선택사항: 자동 복구를 구성합니다. 자동 복구를 구성하는 경우 내부 패스 스루 네트워크 부하 분산기에 백엔드 서비스에서 사용하는 것과 동일한 상태 점검을 사용합니다. 이 예시에서는
hc-http-80을 사용합니다.만들기를 클릭합니다.
gcloud
인스턴스 템플릿을 만듭니다. (선택사항) 사용할 이미지 템플릿에 머신 유형과 같은 다른 매개변수를 설정할 수 있습니다.
gcloud compute instance-templates create template-vm-ilb \ --image-family=debian-12 \ --image-project=debian-cloud \ --tags=allow-ssh,allow-health-check \ --subnet=lb-subnet \ --region=us-west1 \ --network=lb-network \ --metadata=startup-script='#! /bin/bash if [ -f /etc/startup_script_completed ]; then exit 0 fi apt-get update apt-get install apache2 -y a2ensite default-ssl a2enmod ssl file_ports="/etc/apache2/ports.conf" file_http_site="/etc/apache2/sites-available/000-default.conf" file_https_site="/etc/apache2/sites-available/default-ssl.conf" http_listen_prts="Listen 80\nListen 8008\nListen 8080\nListen 8088" http_vh_prts="*:80 *:8008 *:8080 *:8088" https_listen_prts="Listen 443\nListen 8443" https_vh_prts="*:443 *:8443" vm_hostname="$(curl -H "Metadata-Flavor:Google" \ http://metadata.google.internal/computeMetadata/v1/instance/name)" echo "Page served from: $vm_hostname" | \ tee /var/www/html/index.html prt_conf="$(cat "$file_ports")" prt_conf_2="$(echo "$prt_conf" | sed "s|Listen 80|${http_listen_prts}|")" prt_conf="$(echo "$prt_conf_2" | sed "s|Listen 443|${https_listen_prts}|")" echo "$prt_conf" | tee "$file_ports" http_site_conf="$(cat "$file_http_site")" http_site_conf_2="$(echo "$http_site_conf" | sed "s|*:80|${http_vh_prts}|")" echo "$http_site_conf_2" | tee "$file_http_site" https_site_conf="$(cat "$file_https_site")" https_site_conf_2="$(echo "$https_site_conf" | sed "s|_default_:443|${https_vh_prts}|")" echo "$https_site_conf_2" | tee "$file_https_site" systemctl restart apache2 touch /etc/startup_script_completed'템플릿을 사용하여 리전 관리형 인스턴스 그룹을 한 개 만듭니다.
gcloud compute instance-groups managed create ig-ilb \ --template=template-vm-ilb \ --region=us-west1 \ --size=6리전 관리형 인스턴스 그룹을 이미 만든 백엔드 서비스의 백엔드로 추가합니다.
gcloud compute backend-services add-backend be-ilb \ --region=us-west1 \ --instance-group=ig-ilb \ --instance-group-region=us-west1백엔드 서비스에서 2개의 비관리형 (영역) 인스턴스 그룹을 연결 해제합니다.
gcloud compute backend-services remove-backend be-ilb \ --region=us-west1 \ --instance-group=ig-a \ --instance-group-zone=us-west1-a gcloud compute backend-services remove-backend be-ilb \ --region=us-west1 \ --instance-group=ig-c \ --instance-group-zone=us-west1-c
백엔드 VM에서 외부 IP 주소 제거
백엔드 VM을 만들 때 각각 시작 스크립트를 사용하여 Apache를 다운로드할 수 있도록 임시 외부 IP 주소가 각각에 할당되었습니다. 백엔드 VM은 내부 패스 스루 네트워크 부하 분산기에서만 사용되므로 외부 IP 주소는 제거할 수 있습니다. 외부 IP 주소를 제거하면 백엔드 VM에서 인터넷에 직접 액세스할 수 없습니다.
콘솔
Google Cloud 콘솔에서 VM 인스턴스 페이지로 이동합니다.
각 백엔드 VM에 대해 다음 단계를 반복합니다.
백엔드 VM 이름을 클릭합니다(예:
vm-a1).수정을 클릭합니다.
네트워크 인터페이스 섹션에서 네트워크를 클릭합니다.
외부 IP 목록에서 없음을 선택하고 완료를 클릭합니다.
저장을 클릭합니다.
gcloud
예를 들어 리전 관리형 인스턴스 그룹을 사용하는 인스턴스의 영역을 찾으려면 각 인스턴스에 대해 다음 명령어를 실행하여 영역을 확인합니다.
[SERVER-VM]을 조회할 VM의 이름으로 바꿉니다.gcloud compute instances list --filter="name=[SERVER-VM]"
각 백엔드 VM에 대해 다음 단계를 반복합니다.
[SERVER-VM]을 VM의 이름으로 바꾸고[ZONE]을 VM의 영역으로 바꿉니다.gcloud compute instances delete-access-config [SERVER-VM] \ --zone=[ZONE] \ --access-config-name=external-nat
API
vm-a1을 VM 이름으로 바꾸고 us-west1-a를 VM의 영역으로 바꿔 각 백엔드 VM의 instances.deleteAccessConfig 메서드에 POST 요청을 보냅니다.
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/us-west1-a/instances/vm-a1/deleteAccessConfig?accessConfig=external-nat&networkInterface=None
예약된 내부 IP 주소 사용
백엔드 VM 및 인스턴스 그룹을 만들 때 VM 인스턴스는 임시 내부 IPv4 또는 IPv6 주소를 사용합니다.
다음 단계에서는 내부 IPv4 또는 IPv6 주소를 고정 내부 IPv4 또는 IPv6 주소로 승격한 후 VM 인스턴스를 업데이트하여 고정 내부 IP 주소를 사용하는 방법을 보여줍니다.
또는 다음 단계에 따라 새 고정 내부 IPv4 또는 IPv6 주소를 예약한 후 VM 인스턴스를 업데이트하여 고정 내부 IP 주소를 사용하는 방법을 알아보세요.
-
내부 IPv4 예약과 달리 내부 IPv6 예약은 서브네트워크에서 특정 IP 주소를 예약하지 않습니다. 대신
/96내부 IPv6 주소 범위는 서브넷의/64내부 IPv6 주소 범위에서 자동으로 할당됩니다.
자세한 내용은 고정 내부 IP 주소를 예약하는 방법을 참조하세요.
모든 포트에서 트래픽 허용
백엔드 서비스가 아닌 부하 분산기의 전달 규칙에 따라 부하 분산기가 트래픽을 허용할 포트가 결정됩니다. 각 구성요소의 목적에 대한 자세한 내용은 구성요소를 참조하세요.
이 예시 부하 분산기의 전달 규칙을 만들었을 때, 포트 80, 8008, 8080, 8088을 구성했습니다. Apache를 설치하는 시작 스크립트는 또한 포트 443 및 8443에서 HTTPS 연결을 허용하도록 구성합니다.
이 6개 포트를 지원하려면 모든 포트에서 트래픽을 허용하도록 전달 규칙을 구성하면 됩니다. 이 전략에서는 또한 특정 포트만 허용하도록 백엔드 VM에 대해 새로 수신되는 연결을 허용하는 방화벽 규칙을 구성할 수 있습니다.
이 절차에서는 부하 분산기의 현재 전달 규칙을 삭제하고 모든 포트에서 트래픽을 허용하는 새 규칙을 만드는 방법을 보여줍니다.
이 설정을 사용해야 하는 경우에 대한 자세한 내용은 공통 IP 주소를 사용하는 내부 패스 스루 네트워크 부하 분산기 및 전달 규칙을 참조하세요.
콘솔
전달 규칙 삭제 및 새 규칙 만들기
Google Cloud 콘솔에서 부하 분산 페이지로 이동합니다.
be-ilb부하 분산기를 클릭하고 수정을 클릭합니다.프런트엔드 구성을 클릭합니다.
10.1.2.9전달 규칙 위에 마우스 포인터를 올려놓고 삭제를 클릭합니다.프런트엔드 IP 및 포트 추가를 클릭합니다.
새 프런트엔드 IP 및 포트 섹션에 다음 정보를 입력하고 완료를 클릭합니다.
- 이름:
fr-ilb - 서브네트워크:
lb-subnet - 내부 IP:
ip-ilb - 포트: 모두
- 이름:
계속하기 전에 프런트엔드 구성 옆에 파란색 체크표시가 있는지 확인합니다.
검토 및 완료를 클릭하고 부하 분산기 구성 설정을 검토합니다.
만들기를 클릭합니다.
gcloud
기존 전달 규칙인
fr-ilb를 삭제합니다.gcloud compute forwarding-rules delete fr-ilb \ --region=us-west1포트 구성에
ALL키워드가 사용되는 동일한 이름의 대체 전달 규칙을 만듭니다. 전달 규칙의 다른 매개변수는 그대로 유지됩니다.gcloud compute forwarding-rules create fr-ilb \ --region=us-west1 \ --load-balancing-scheme=internal \ --network=lb-network \ --subnet=lb-subnet \ --address=10.1.2.99 \ --ip-protocol=TCP \ --ports=ALL \ --backend-service=be-ilb \ --backend-service-region=us-west1
API
forwardingRules.delete 메서드에 DELETE 요청을 전송하여 전달 규칙을 삭제합니다.
DELETE https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-west1/forwardingRules/fr-ilb
forwardingRules.insert 메서드에 POST 요청을 전송하여 전달 규칙을 만듭니다.
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-west1/forwardingRules
{
"name": "fr-ilb",
"IPAddress": "10.1.2.99",
"IPProtocol": "TCP",
"allPorts": true,
"loadBalancingScheme": "INTERNAL",
"subnetwork": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-west1/subnetworks/lb-subnet",
"network": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/lb-network",
"backendService": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-west1/backendServices/be-ilb",
"networkTier": "PREMIUM"
}
모든 포트 설정에서 트래픽 테스트
클라이언트 VM 인스턴스에 연결하고 HTTP 및 HTTPS 연결을 테스트합니다.
클라이언트 VM에 연결:
gcloud compute ssh vm-client --zone=us-west1-a
4개 포트 모두에서 HTTP 연결 테스트:
curl http://10.1.2.99 curl http://10.1.2.99:8008 curl http://10.1.2.99:8080 curl http://10.1.2.99:8088
포트
443및8443에서 HTTPS 연결을 테스트합니다. 설치 예시의 각 Apache 서버에 자체 서명된 인증서가 사용되므로--insecure플래그가 필요합니다.curl https://10.1.2.99 --insecure curl https://10.1.2.99:8443 --insecure
HTTP 요청(4개 모든 포트) 및 HTTPS 요청(2개 모든 포트)이 모든 백엔드 VM에 분산되었는지 확인합니다.
2개의 전달 규칙을 사용해서 여러 포트에서 트래픽 허용
이 예시 부하 분산기의 전달 규칙을 만들었을 때, 포트 80, 8008, 8080, 8088을 구성했습니다. Apache를 설치하는 시작 스크립트는 또한 포트 443 및 8443에서 HTTPS 연결을 허용하도록 구성합니다.
모든 포트에서 트래픽을 허용하도록 단일 전달 규칙을 구성하는 것에 대한 대체 전략은 각각 5개 이하의 포트를 지원하는 여러 개의 전달 규칙을 만드는 것입니다.
이 절차에서는 포트 80, 8008, 8080, 8088에서 트래픽을 처리하는 규칙과 포트 443 및 8443에서 트래픽을 처리하는 규칙의 두 가지 전달 규칙으로 예시 부하 분산기의 전달 규칙을 바꾸는 방법을 보여줍니다.
이 설정을 사용해야 하는 경우에 대한 자세한 내용은 공통 IP 주소를 사용하는 내부 패스 스루 네트워크 부하 분산기 및 전달 규칙을 참조하세요.
콘솔
Google Cloud 콘솔에서 전달 규칙 페이지로 이동합니다.
이름 열에서
fr-ilb를 클릭한 후 삭제를 클릭합니다.Google Cloud 콘솔에서 부하 분산 페이지로 이동합니다.
이름 열에서
be-ilb를 클릭합니다.수정을 클릭합니다.
프런트엔드 구성을 클릭합니다.
프런트엔드 IP 및 포트 추가를 클릭합니다.
새 프런트엔드 IP 및 포트 섹션에서 다음을 수행합니다.
- 이름에
fr-ilb-http를 입력합니다. - 서브네트워크에
lb-subnet을 선택합니다. - 내부 IP 용도에 공유를 선택합니다.
- IP 주소 목록에서 IP 주소 만들기를 선택하고 다음 정보를 입력한 후 예약을 클릭합니다.
- 이름:
internal-10-1-2-99 - 고정 IP 주소: 직접 선택
- 커스텀 IP 주소:
10.1.2.99
- 이름:
- 포트에 복수를 선택한 후 포트 번호에
80,8008,8080,8088을 입력합니다. - 완료를 클릭합니다.
- 이름에
프런트엔드 IP 및 포트 추가를 클릭합니다.
새 프런트엔드 IP 및 포트 섹션에서 다음을 수행합니다.
- 이름에
fr-ilb-https를 입력합니다. - 서브네트워크에
lb-subnet을 선택합니다. - 내부 IP 용도에 공유를 선택합니다.
- IP 주소 목록에서
internal-10-1-2-99를 선택합니다. - 포트에 복수를 선택한 후 포트 번호에
443및8443을 입력합니다. - 완료를 클릭합니다.
- 이름에
검토 및 완료를 클릭하고 부하 분산기 구성 설정을 검토합니다.
업데이트를 클릭합니다.
gcloud
기존 전달 규칙인
fr-ilb를 삭제합니다.gcloud compute forwarding-rules delete fr-ilb \ --region=us-west110.1.2.99에 대해 고정(예약된) 내부 IP 주소를 만들고 해당--purpose플래그를SHARED_LOADBALANCER_VIP로 설정합니다. 2개의 내부 전달 규칙이 동일한 내부 IP 주소를 사용할 수 있도록--purpose플래그가 필요합니다.gcloud compute addresses create internal-10-1-2-99 \ --region=us-west1 \ --subnet=lb-subnet \ --addresses=10.1.2.99 \ --purpose=SHARED_LOADBALANCER_VIP- 다음 매개변수로 2개의 대체 전달 규칙을 만듭니다.
gcloud compute forwarding-rules create fr-ilb-http \ --region=us-west1 \ --load-balancing-scheme=internal \ --network=lb-network \ --subnet=lb-subnet \ --address=10.1.2.99 \ --ip-protocol=TCP \ --ports=80,8008,8080,8088 \ --backend-service=be-ilb \ --backend-service-region=us-west1gcloud compute forwarding-rules create fr-ilb-https \ --region=us-west1 \ --load-balancing-scheme=internal \ --network=lb-network \ --subnet=lb-subnet \ --address=10.1.2.99 \ --ip-protocol=TCP \ --ports=443,8443 \ --backend-service=be-ilb \ --backend-service-region=us-west1
API
forwardingRules.delete 메서드에 DELETE 요청을 전송하여 전달 규칙을 삭제합니다.
DELETE https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-west1/forwardingRules/fr-ilb
addresses.insert 메서드에 POST 요청을 전송하여 10.1.2.99에 고정(예약된) 내부 IP 주소를 만들고 용도를 SHARED_LOADBALANCER_VIP로 설정합니다.
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-west1/addresses
{
"name": "internal-10-1-2-99",
"address": "10.1.2.99",
"prefixLength": 32,
"addressType": INTERNAL,
"purpose": SHARED_LOADBALANCER_VIP,
"subnetwork": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-west1/subnetworks/lb-subnet"
}
forwardingRules.insert 메서드에 POST 요청 2개를 전송하여 전달 규칙 2개를 만듭니다.
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-west1/forwardingRules
{
"name": "fr-ilb-http",
"IPAddress": "10.1.2.99",
"IPProtocol": "TCP",
"ports": [
"80", "8008", "8080", "8088"
],
"loadBalancingScheme": "INTERNAL",
"subnetwork": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-west1/subnetworks/lb-subnet",
"network": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/lb-network",
"backendService": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-west1/backendServices/be-ilb",
"networkTier": "PREMIUM"
}
{
"name": "fr-ilb-https",
"IPAddress": "10.1.2.99",
"IPProtocol": "TCP",
"ports": [
"443", "8443"
],
"loadBalancingScheme": "INTERNAL",
"subnetwork": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-west1/subnetworks/lb-subnet",
"network": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/lb-network",
"backendService": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-west1/backendServices/be-ilb",
"networkTier": "PREMIUM"
}
여러 포트 설정에서 트래픽 테스트
클라이언트 VM 인스턴스에 연결하고 HTTP 및 HTTPS 연결을 테스트합니다.
클라이언트 VM에 연결:
gcloud compute ssh vm-client --zone=us-west1-a
4개 포트 모두에서 HTTP 연결 테스트:
curl http://10.1.2.99 curl http://10.1.2.99:8008 curl http://10.1.2.99:8080 curl http://10.1.2.99:8088
포트
443및8443에서 HTTPS 연결을 테스트합니다. 설치 예시의 각 Apache 서버에 자체 서명된 인증서가 사용되므로--insecure플래그가 필요합니다.curl https://10.1.2.99 --insecure curl https://10.1.2.99:8443 --insecure
HTTP 요청(4개 모든 포트) 및 HTTPS 요청(2개 모든 포트)이 모든 백엔드 VM에 분산되었는지 확인합니다.
세션 어피니티 사용
구성 예시는 세션 어피니티 없이 백엔드 서비스를 만듭니다.
이 절차에서는 클라이언트 IP 주소와 부하 분산기 내부 전달 규칙의 IP 주소에서 생성된 해시를 기반으로 세션 어피니티를 사용하도록 내부 패스 스루 네트워크 부하 분산기 예시의 백엔드 서비스를 업데이트하는 방법을 보여줍니다.
지원되는 세션 어피니티 유형은 세션 어피니티 옵션을 참조하세요.
콘솔
Google Cloud 콘솔에서 부하 분산 페이지로 이동합니다.
be-ilb(이 예시에서 만든 백엔드 서비스의 이름)를 클릭하고 수정을 클릭합니다.
내부 패스 스루 네트워크 부하 분산기 수정 페이지에서 백엔드 구성을 클릭합니다.
세션 어피니티 목록에서 클라이언트 IP를 선택합니다.
업데이트를 클릭합니다.
gcloud
다음 gcloud 명령어를 사용하여 클라이언트 IP 세션 어피니티를 지정하여 be-ilb 백엔드 서비스를 업데이트합니다.
gcloud compute backend-services update be-ilb \
--region=us-west1 \
--session-affinity CLIENT_IP
API
regionBackendServices/patch 메서드에 대해 PATCH 요청을 실행합니다.
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-west1/backendServices/be-ilb
{
"sessionAffinity": "CLIENT_IP"
}
연결 추적 정책 구성
이 섹션에서는 부하 분산기의 기본 연결 추적 정책을 변경하기 위해 백엔드 서비스를 업데이트하는 방법을 보여줍니다.
연결 추적 정책에는 다음 설정이 포함됩니다.
gcloud
다음 gcloud compute
backend-services 명령어를 사용하여 백엔드 서비스의 연결 추적 정책을 업데이트합니다.
gcloud compute backend-services update BACKEND_SERVICE \
--region=REGION \
--tracking-mode=TRACKING_MODE \
--connection-persistence-on-unhealthy-backends=CONNECTION_PERSISTENCE_BEHAVIOR \
--idle-timeout-sec=IDLE_TIMEOUT_VALUE
자리표시자를 유효한 값으로 바꿉니다.
BACKEND_SERVICE: 업데이트할 백엔드 서비스REGION: 업데이트할 백엔드 서비스의 리전TRACKING_MODE: 수신 패킷에 사용할 연결 추적 모드. 지원되는 값 목록은 추적 모드를 참조하세요.CONNECTION_PERSISTENCE_BEHAVIOR: 백엔드가 비정상일 때의 연결 지속성 동작. 지원되는 값 목록은 비정상 백엔드의 연결 지속성을 참조하세요.IDLE_TIMEOUT_VALUE: 부하 분산기가 항목과 일치한 마지막 패킷을 처리하고 나서 연결 추적 테이블 항목이 유지되어야 하는 시간(초)연결 추적이 5튜플보다 작을 때만(즉, 세션 어피니티가
CLIENT_IP또는CLIENT_IP_PROTO로 구성되어 있고 추적 모드가PER_SESSION인 경우에만) 이 속성을 수정할 수 있습니다.기본값은 600초(10분)입니다. 구성 가능한 최대 유휴 제한 시간 값은 57,600초(16시간)입니다.
다른 서브넷에서 전달 규칙 만들기
이 절차에서는 하나의 내부 패스 스루 네트워크 부하 분산기에 대해 여러 전달 규칙을 만들 수 있음을 보여주기 위해 다른 서브넷에 두 번째 IP 주소 및 전달 규칙을 만듭니다. 전달 규칙의 리전은 백엔드 서비스의 리전과 일치해야 합니다.
방화벽 규칙에 따라 리전의 모든 서브넷에 있는 클라이언트는 내부 패스 스루 네트워크 부하 분산기 IP 주소에 연결할 수 있습니다.
콘솔
두 번째 서브넷 추가
Google Cloud 콘솔에서 VPC 네트워크 페이지로 이동합니다.
VPC 네트워크 만들기를 클릭합니다.
lb-network를 클릭합니다.서브넷 섹션에서 다음을 수행합니다.
- 서브넷 추가를 클릭합니다.
- 새 서브넷 섹션에 다음 정보를 입력합니다.
- 이름:
second-subnet - 리전:
us-west1 - IP 주소 범위:
10.5.6.0/24
- 이름:
- 추가를 클릭합니다.
두 번째 전달 규칙 추가
Google Cloud 콘솔에서 부하 분산 페이지로 이동합니다.
be-ilb부하 분산기를 클릭하고 수정을 클릭합니다.프런트엔드 구성을 클릭합니다.
프런트엔드 IP 및 포트 추가를 클릭합니다.
새 프런트엔드 IP 및 포트 섹션에서 다음 필드를 설정하고 완료를 클릭합니다.
- 이름:
fr-ilb-2 - IP 버전: IPv4
- 서브네트워크:
second-subnet - 내부 IP:
ip-ilb - 포트:
80및443
- 이름:
계속하기 전에 프런트엔드 구성 옆에 파란색 체크표시가 있는지 확인합니다.
검토 및 완료를 클릭하고 부하 분산기 구성 설정을 검토합니다.
만들기를 클릭합니다.
gcloud
us-west1리전의lb-network네트워크에 두 번째 서브넷을 만듭니다.gcloud compute networks subnets create second-subnet \ --network=lb-network \ --range=10.5.6.0/24 \ --region=us-west1
포트 80 및 443에 대해 두 번째 전달 규칙을 만듭니다. IP 주소 및 백엔드 서비스를 비롯한 이 규칙의 다른 매개변수는 기본 전달 규칙(
fr-ilb)과 동일합니다.gcloud compute forwarding-rules create fr-ilb-2 \ --region=us-west1 \ --load-balancing-scheme=internal \ --network=lb-network \ --subnet=second-subnet \ --address=10.5.6.99 \ --ip-protocol=TCP \ --ports=80,443 \ --backend-service=be-ilb \ --backend-service-region=us-west1
API
subnetworks.insert 메서드에 POST 요청을 전송합니다.
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-west1/subnetworks
{
"name": "second-subnet",
"network": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/lb-network",
"ipCidrRange": "10.5.6.0/24",
"privateIpGoogleAccess": false
}
forwardingRules.insert 메서드에 POST 요청을 전송하여 전달 규칙을 만듭니다.
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-west1/forwardingRules
{
"name": "fr-ilb-2",
"IPAddress": "10.5.6.99",
"IPProtocol": "TCP",
"ports": [
"80", "443"
],
"loadBalancingScheme": "INTERNAL",
"subnetwork": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-west1/subnetworks/lb-subnet",
"network": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/lb-network",
"backendService": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-west1/backendServices/be-ilb",
"networkTier": "PREMIUM"
}
새 전달 규칙 테스트
클라이언트 VM 인스턴스에 연결하고 IP 주소에 대한 HTTP 및 HTTPS 연결을 테스트합니다.
클라이언트 VM에 연결:
gcloud compute ssh vm-client --zone=us-west1-a
IP 주소에 HTTP 연결 테스트:
curl http://10.1.2.99 curl http://10.5.6.99
HTTPS 연결을 테스트합니다. 설치 예시의 Apache 서버 구성에서 자체 서명 인증서를 사용하므로
--insecure를 사용합니다.curl https://10.1.2.99 --insecure curl https://10.5.6.99 --insecure
요청은 사용된 프로토콜(HTTP 또는 HTTPS) 또는 IP 주소와 상관없이 모든 백엔드 VM에서 처리됩니다.
백엔드 하위 설정 사용
구성 예시는 하위 설정을 사용하지 않고 백엔드 서비스를 만듭니다.
이 절차에서는 내부 패스 스루 네트워크 부하 분산기 예시에 대한 백엔드 서비스에서 하위 항목을 사용 설정하여 배포를 더 많은 백엔드 인스턴스로 확장할 수 있는 방법을 보여줍니다.
단일 부하 분산기에서 250개가 넘는 백엔드 VM을 지원해야 하는 경우에만 하위 설정을 사용 설정해야 합니다.
이 사용 사례에 대한 자세한 내용은 백엔드 하위 설정을 참조하세요.
gcloud
다음 gcloud 명령어를 사용해서 be-ilb 백엔드 서비스를 업데이트하여 하위 설정 정책을 지정합니다.
gcloud compute backend-services update be-ilb \
--subsetting-policy=CONSISTENT_HASH_SUBSETTING
API
regionBackendServices/patch 메서드에 대해 PATCH 요청을 실행합니다.
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-west1/backendServices/be-ilb
{
"subsetting":
{
"policy": CONSISTENT_HASH_SUBSETTING
}
}
패킷 미러링용 부하 분산기 만들기
패킷 미러링을 사용하면 VPC의 특정 인스턴스에서 패킷 데이터를 복사하고 수집할 수 있습니다. 수집된 데이터를 사용하면 보안 위협을 감지하고 애플리케이션 성능을 모니터링하는 데 도움이 될 수 있습니다.
패킷 미러링은 수집기 대상의 인스턴스 그룹으로 트래픽을 분산하기 위해 내부 패스 스루 네트워크 부하 분산기가 필요합니다. 패킷 미러링용 내부 패스 스루 네트워크 부하 분산기를 만들려면 다음 단계를 따르세요.
콘솔
구성 시작
Google Cloud 콘솔에서 부하 분산 페이지로 이동합니다.
- 부하 분산기 만들기를 클릭합니다.
- 부하 분산기 유형에 네트워크 부하 분산기(TCP/UDP/SSL)를 선택하고 다음을 클릭합니다.
- 프록시 또는 패스 스루에서 패스 스루 부하 분산기를 선택하고 다음을 클릭합니다.
- 공개 또는 내부에서 내부를 선택하고 다음을 클릭합니다.
- 구성을 클릭합니다.
기본 구성
- 부하 분산기 이름에 이름을 입력합니다.
- 리전에 패킷을 미러링할 VM 인스턴스의 리전을 선택합니다.
- 네트워크에 패킷을 미러링할 네트워크를 선택합니다.
- 백엔드 구성을 클릭합니다.
- 새 백엔드 섹션에서 인스턴스 그룹에 패킷을 전달할 인스턴스 그룹을 선택합니다.
- 상태 점검 목록에서 상태 점검 만들기를 선택하고 다음 정보를 입력한 후 저장을 클릭합니다.
- 이름에 상태 점검의 이름을 입력합니다.
- 프로토콜에
HTTP를 선택합니다. - 포트에
80을 입력합니다.
- 프런트엔드 구성을 클릭합니다.
- 새 프런트엔드 IP 및 포트 섹션에서 다음을 수행합니다.
- 이름에 이름을 입력합니다.
- 서브네트워크에 미러링할 인스턴스와 동일한 리전에 있는 서브네트워크를 선택합니다.
- 포트에 모두를 선택합니다.
- 고급 구성을 클릭하고 패킷 미러링에 이 부하 분산기 사용 설정 체크박스를 선택합니다.
- 완료를 클릭합니다.
- 만들기를 클릭합니다.
gcloud
새 리전 HTTP 상태 점검을 만들어 포트 80의 인스턴스 그룹에 대한 HTTP 연결을 테스트합니다.
gcloud compute health-checks create http HEALTH_CHECK_NAME \ --region=REGION \ --port=80다음을 바꿉니다.
HEALTH_CHECK_NAME: 상태 점검의 이름입니다.REGION: 패킷을 미러링할 VM 인스턴스의 리전입니다.
HTTP 트래픽에 대한 백엔드 서비스를 만듭니다.
gcloud compute backend-services create COLLECTOR_BACKEND_SERVICE \ --region=REGION \ --health-checks-region=REGION \ --health-checks=HEALTH_CHECK_NAME \ --load-balancing-scheme=internal \ --protocol=tcp다음을 바꿉니다.
COLLECTOR_BACKEND_SERVICE: 백엔드 서비스 이름입니다.REGION: 패킷을 미러링할 VM 인스턴스의 리전입니다.HEALTH_CHECK_NAME: 상태 점검의 이름입니다.
인스턴스 그룹을 백엔드 서비스에 추가합니다.
gcloud compute backend-services add-backend COLLECTOR_BACKEND_SERVICE \ --region=REGION \ --instance-group=INSTANCE_GROUP \ --instance-group-zone=ZONE다음을 바꿉니다.
COLLECTOR_BACKEND_SERVICE: 백엔드 서비스 이름입니다.REGION: 인스턴스 그룹의 리전입니다.INSTANCE_GROUP: 인스턴스 그룹의 이름입니다.ZONE: 인스턴스 그룹의 영역입니다.
백엔드 서비스에 대한 전달 규칙을 만듭니다.
gcloud compute forwarding-rules create FORWARDING_RULE_NAME \ --region=REGION \ --network=NETWORK \ --subnet=SUBNET \ --backend-service=COLLECTOR_BACKEND_SERVICE \ --load-balancing-scheme=internal \ --ip-protocol=TCP \ --ports=all \ --is-mirroring-collector다음을 바꿉니다.
FORWARDING_RULE_NAME: 전달 규칙의 이름입니다.REGION: 전달 규칙의 리전입니다.NETWORK: 전달 규칙의 네트워크입니다.SUBNET: 패킷을 미러링할 VM 리전의 서브네트워크입니다.COLLECTOR_BACKEND_SERVICE: 이 부하 분산기의 백엔드 서비스입니다.
다음 단계
- 중요한 기본 사항은 내부 패스 스루 네트워크 부하 분산기 개요를 참조하세요.
- 장애 조치에 대한 중요한 정보는 내부 패스 스루 네트워크 부하 분산기의 장애 조치 개념을 참조하세요.
- 부하 분산기에서 사용할 수 있는 DNS 이름 옵션은 내부 부하 분산기 및 DNS 이름을 참조하세요.
- 내부 패스 스루 네트워크 부하 분산기 장애 조치의 구성 단계 및 구성 예시는 내부 패스 스루 네트워크 부하 분산기의 장애 조치 구성을 참조하세요.
- 내부 패스 스루 네트워크 부하 분산기의 Logging 및 Monitoring 구성에 대한 자세한 내용은 내부 패스 스루 네트워크 부하 분산기의 Logging 및 Monitoring을 참조하세요.
- VPC 네트워크에 연결된 피어 네트워크에서 내부 패스 스루 네트워크 부하 분산기에 액세스하는 방법은 내부 패스 스루 네트워크 부하 분산기 및 연결된 네트워크를 참조하세요.
- 내부 패스 스루 네트워크 부하 분산기 문제 해결 방법은 내부 패스 스루 네트워크 부하 분산기 문제 해결을 참조하세요.
- 부하 분산기 설정 삭제