내부 HTTP(S) 부하 분산 및 연결된 네트워크

이 페이지에서는 연결된 네트워크에서 Virtual Private Cloud(VPC) 네트워크의 내부 부하 분산기에 액세스하는 시나리오를 설명합니다. 이 페이지의 정보를 검토하기 전에 다음 가이드의 개념을 숙지해야 합니다.

VPC 네트워크 피어링 사용

VPC 네트워크 피어링을 사용하여 VPC 네트워크를 다른 네트워크에 연결하면 Google Cloud는 네트워크 간에 서브넷 경로를 공유합니다. 서브넷 경로는 피어 네트워크의 트래픽이 네트워크의 내부 부하 분산기에 도달하도록 허용합니다. 다음이 참인 경우 액세스가 허용됩니다.

  • 내부 TCP/UDP 부하 분산기 및 내부 HTTP(S) 부하 분산기의 경우 피어 네트워크의 클라이언트 VM에서 오는 트래픽을 허용하는 인그레스 방화벽 규칙을 만들어야 합니다. Google Cloud 방화벽 규칙은 VPC 네트워크 피어링을 사용할 때 네트워크 간에 공유되지 않습니다.
  • 피어 네트워크의 클라이언트 가상 머신(VM)은 전역 액세스를 구성하지 않는 한 내부 부하 분산기와 동일한 리전에 있습니다(내부 TCP/UDP 부하 분산기에만 해당). 전역 액세스를 구성하면 피어링된 VPC 네트워크의 모든 리전에서 클라이언트 VM 인스턴스가 내부 TCP/UDP 부하 분산기에 액세스할 수 있습니다. 내부 HTTP(S) 부하 분산에는 전역 액세스가 지원되지 않습니다.

VPC 네트워크 피어링을 사용하여 일부 내부 TCP/UDP 부하 분산기 또는 내부 HTTP(S) 부하 분산기만 선택적으로 공유할 수는 없습니다. 모든 내부 부하 분산기는 자동으로 공유됩니다. 다음 방법으로 부하 분산기의 백엔드 액세스를 제한할 수 있습니다.

  • 내부 TCP/UDP 부하 분산기의 경우 백엔드 VM 인스턴스에 적용되는 인그레스 방화벽 규칙을 사용할 수 있습니다.

  • 내부 HTTP(S) 부하 분산기의 경우 HTTP 헤더를 사용하여 액세스를 제어하도록 백엔드 VM 또는 엔드포인트를 구성할 수 있습니다(예: X-Forwarded-For).

Cloud VPN 및 Cloud Interconnect 사용

Dedicated Interconnect 또는 Partner Interconnect의 경우 Cloud VPN 터널 또는 Interconnect 연결(VLAN)을 통해 연결된 피어 네트워크에서 내부 부하 분산기에 액세스할 수 있습니다. 피어 네트워크는 온프레미스 네트워크, 다른 Google Cloud VPC 네트워크, 다른 클라우드 제공업체에서 호스팅하는 가상 네트워크일 수 있습니다.

Cloud VPN 터널을 통한 액세스

다음 조건이 모두 충족되면 Cloud VPN 터널을 통해 내부 부하 분산기에 액세스할 수 있습니다.

내부 부하 분산기 네트워크에서

  • Cloud VPN 게이트웨이와 터널은 전역 액세스를 구성하지 않는 한 내부 부하 분산기의 구성요소와 동일한 리전에 있습니다(내부 TCP/UDP 부하 분산기에만 해당).

  • 경로는 이그레스 트래픽의 경로를 다시 피어(클라이언트) 네트워크로 제공합니다. 동적 라우팅과 함께 Cloud VPN 터널을 사용하는 경우 부하 분산기의 Cloud VPN 네트워크의 동적 라우팅 모드를 고려하세요. 동적 라우팅 모드는 백엔드에서 사용할 수 있는 커스텀 동적 경로를 결정합니다.

  • 내부 TCP/UDP 부하 분산기의 경우 온프레미스 클라이언트가 부하 분산기의 백엔드 VM과 통신할 수 있도록 방화벽 규칙을 구성했습니다.

피어 네트워크에서

피어 네트워크에는 내부 부하 분산기가 정의된 서브넷에 대한 경로가 있는 Cloud VPN 터널이 하나 이상 있어야 합니다.

피어 네트워크가 다른 Google Cloud VPC 네트워크인 경우:

  • 피어 네트워크의 Cloud VPN 게이트웨이는 모든 리전에 위치할 수 있습니다.

  • 동적 라우팅을 사용하는 Cloud VPN 터널의 경우 VPC 네트워크의 동적 라우팅 모드는 각 리전의 클라이언트가 사용할 수 있는 경로를 결정합니다. 모든 리전의 클라이언트에 일관된 커스텀 동적 경로를 제공하려면 전역 동적 라우팅 모드를 사용합니다.

다음 다이어그램은 Cloud VPN 게이트웨이 및 관련 터널을 통해 내부 부하 분산기에 액세스할 때의 주요 개념을 보여줍니다. Cloud VPN은 Cloud VPN 터널을 사용하여 온프레미스 네트워크를 Google Cloud VPC 네트워크에 안전하게 연결합니다.

이 다이어그램은 내부 TCP/UDP 부하 분산기의 설정을 보여줍니다. 내부 HTTP(S) 부하 분산기의 경우 Cloud VPN과 Cloud Router는 동일하지만 부하 분산 리소스는 다릅니다. 예를 들어 내부 HTTP(S) 부하 분산기를 설정하려면 다른 유형의 전달 규칙, 대상 프록시, URL 맵이 필요합니다.
내부 TCP/UDP 부하 분산 및 Cloud VPN(클릭하여 확대)
내부 부하 분산 및 Cloud VPN(클릭하여 확대)

이 예시와 관련된 다음 구성 요소에 유의하세요.

  • lb-network에서 동적 라우팅을 사용하는 Cloud VPN 터널이 구성되었습니다. VPN 터널, 게이트웨이 및 Cloud Router는 모두 us-west1 내부 부하 분산기의 구성요소가 있는 동일한 리전에 있습니다.
  • VPC의 IP 주소와 온프레미스 네트워크 10.1.2.0/24192.168.1.0/24로부터 트래픽을 수신할 수 있도록 인그레스 허용 방화벽 규칙이 구성되어 인스턴스 그룹 ig-aig-c의 백엔드 VM에 적용되었습니다. 이그레스 거부 방화벽 규칙은 생성되지 않았으므로 묵시적 허용 이그레스 규칙이 적용됩니다.
  • 192.168.1.0/24를 포함한 온프레미스 네트워크의 클라이언트에서 내부 TCP/UDP 부하 분산기의 IP 주소 10.1.2.99로 전송되는 패킷은 구성된 세션 어피니티에 따라 vm-a2와 같은 정상 백엔드 VM으로 직접 전달됩니다.
  • 백엔드 VM(예: vm-a2)에서 보낸 회신은 VPN 터널을 통해 온프레미스 클라이언트에 전달됩니다.

Cloud VPN 문제를 해결하려면 Cloud VPN 문제해결을 참조하세요.

Cloud Interconnect를 통한 액세스

내부 부하 분산기의 네트워크에서 다음 조건이 모두 충족되는 경우 부하 분산기의 VPC 네트워크에 연결된 내부 피어 네트워크에서 내부 부하 분산기에 액세스할 수 있습니다.

  • Interconnect 연결(VLAN)과 해당 Cloud Router는 전역 액세스를 구성하지 않는 한 부하 분산기의 구성요소와 동일한 리전에 있습니다(내부 TCP/UDP 부하 분산기에만 해당).

  • 온프레미스 라우터는 백엔드 VM에서 온프레미스 클라이언트로의 응답을 위한 회신 경로를 제공하는 적절한 경로를 공유합니다. Dedicated Interconnect 및 Partner Interconnect의 Interconnect 연결(VLAN)은 Cloud Router를 사용합니다. 학습하는 커스텀 동적 경로 집합은 부하 분산기 네트워크의 동적 라우팅 모드에 따라 다릅니다.

  • 내부 TCP/UDP 부하 분산기의 경우 온프레미스 클라이언트가 부하 분산기의 백엔드 VM과 통신할 수 있도록 방화벽 규칙을 구성했습니다.

온프레미스 네트워크에는 대상에 내부 부하 분산기에서 정의된 서브넷이 포함된 적절한 경로가 있는 Interconnect 연결(VLAN)이 하나 이상 있어야 합니다. 이그레스 방화벽 규칙도 적절하게 구성되어야 합니다.

다중 이그레스 경로

프로덕션 환경에서는 중복을 위해 여러 Cloud VPN 터널 또는 Cloud Interconnect 연결(VLAN)을 사용해야 합니다. 이 섹션에서는 여러 터널 또는 VLAN을 사용할 때의 요구사항에 대해 설명합니다.

다음 다이어그램에서는 두 개의 Cloud VPN 터널이 lb-network를 온프레미스 네트워크로 보냅니다. 여기에는 Cloud VPN 터널이 사용되지만 Cloud Interconnect에도 동일한 원칙이 적용됩니다.

내부 TCP/UDP 부하 분산 및 다중 Cloud VPN 터널(클릭하여 확대)
내부 부하 분산 및 다중 Cloud VPN 터널(클릭하여 확대)

내부 TCP/UDP 부하 분산의 경우 전역 액세스를 사용하도록 설정하지 않았다면 각 터널 또는 각 Cloud Interconnect 연결(VLAN)을 내부 부하 분산기와 같은 리전에 구성해야 합니다. 다중 터널 또는 VLAN은 추가 대역폭을 제공하거나 중복성을 위한 대기 경로 역할을 할 수 있습니다.

다음 사항에 유의하세요.

  • 온프레미스 네트워크에 우선순위가 동일하며 각각 대상이 10.1.2.0/24, 내부 부하 분산기와 동일한 리전에 있는 서로 다른 VPN 터널에 해당하는 다음 홉이 있는 2개의 경로가 있는 경우 트래픽은 동일 비용 다중 경로(ECMP)를 사용하여 온프레미스 네트워크(192.168.1.0/24)에서 부하 분산기로 전송될 수 있습니다.
  • 패킷이 VPC 네트워크로 전달된 후 내부 부하 분산기는 구성된 세션 어피니티에 따라 백엔드 VM에 패킷을 배포합니다.
  • lb-network에 각각 대상이 192.168.1.0/24이며 서로 다른 VPN 터널에 해당하는 다음 홉이 있는 2개의 경로가 있는 경우 백엔드 VM의 응답은 네트워크의 경로 우선순위에 따라 각 터널을 통해 전달될 수 있습니다. 다른 경로 우선순위가 사용되는 경우 하나의 터널이 다른 터널의 백업 역할을 할 수 있습니다. 동일한 우선순위가 사용되는 경우 ECMP를 사용하여 응답이 전달됩니다.
  • 백엔드 VM(예: vm-a2)에서 보낸 회신은 적절한 터널을 통해 온프레미스 클라이언트에 직접 전달됩니다. lb-network의 관점에서 경로 또는 VPN 터널이 변경되면 트래픽 이그레스에 다른 터널이 사용될 수 있습니다. 이로 인해 진행 중인 연결이 중단되는 경우 TCP 세션이 재설정될 수 있습니다.

다음 단계