하이브리드 연결 네트워크 엔드포인트 그룹 개요

Cloud Load Balancing은 온프레미스 데이터 센터, 하이브리드 연결을 사용하여 연결할 수 있는 기타 퍼블릭 클라우드 등 Google Cloud 이상으로 확장되는 엔드포인트에 대한 부하 분산 트래픽을 지원합니다.

하이브리드 전략은 변화하는 시장 요구에 적응하고 애플리케이션을 점진적으로 현대화할 수 있는 실용적인 솔루션입니다. 최신 클라우드 기반 솔루션으로의 마이그레이션을 위한 임시 하이브리드 배포 또는 조직의 IT 인프라의 영구적 설비일 수 있습니다.

또한 하이브리드 부하 분산을 설정하면 Cloud Load Balancing의 네트워킹 기능을 Google Cloud 외부의 기존 인프라에서 실행되는 서비스에 활용할 수 있습니다.

하이브리드 부하 분산은 다음 Google Cloud 부하 분산기에서 지원됩니다.

온프레미스 및 기타 클라우드 서비스는 다른 Cloud Load Balancing 백엔드와 같이 처리됩니다. 주요 차이점은 하이브리드 연결 NEG를 사용하여 이러한 백엔드의 엔드포인트를 구성한다는 것입니다. 엔드포인트는 Cloud VPN 또는 Cloud Interconnect와 같은 하이브리드 연결 제품을 사용하여 부하 분산기가 연결할 수 있는 유효한 IP:port 조합이어야 합니다.

사용 사례: 온프레미스 위치 또는 다른 클라우드로 트래픽 라우팅

하이브리드 NEG를 사용하는 가장 간단한 사용 사례는 Google Cloud 부하 분산기에서 온프레미스 위치 또는 다른 클라우드 환경으로 트래픽을 라우팅하는 것입니다. 클라이언트는 공개 인터넷, Google Cloud 내 또는 온프레미스 클라이언트에서 트래픽을 시작할 수 있습니다.

공개 클라이언트

하이브리드 NEG 백엔드와 함께 외부 애플리케이션 부하 분산기를 사용하여 외부 클라이언트에서 온프레미스 백엔드 또는 다른 클라우드 네트워크의 백엔드로 트래픽을 라우팅할 수 있습니다. 온프레미스 서비스 또는 다른 클라우드 네트워크의 서비스에 대해 다음과 같은 부가 가치 네트워킹 기능을 사용 설정할 수도 있습니다.

  • 전역 외부 애플리케이션 부하 분산기 및 기본 애플리케이션 부하 분산기를 사용하면 다음을 수행할 수 있습니다.

    • Google의 글로벌 에지 인프라를 사용하여 사용자와 더 가까운 사용자 연결을 종료하여 지연 시간을 줄일 수 있습니다.
    • 외부 애플리케이션 부하 분산기를 통해 액세스하는 모든 서비스에 제공되는 에지 DDoS 방어/WAF 보안 제품인 Google Cloud Armor로 서비스를 보호할 수 있습니다.
    • Cloud CDN을 사용하여 서비스에서 전송을 최적화하도록 사용 설정할 수 있습니다. Cloud CDN을 사용하면 사용자에게 친숙한 콘텐츠를 캐시할 수 있습니다. Cloud CDN은 캐시 무효화와 Cloud CDN으로 서명된 URL 등의 기능을 제공합니다.
    • Google 관리형 SSL 인증서를 사용합니다. 이미 다른 Google Cloud 제품에서 사용하는 인증서와 비공개 키를 재사용할 수 있습니다. 이렇게 하면 별도의 인증서를 관리할 필요가 없습니다.

    다음 다이어그램은 외부 애플리케이션 부하 분산기가 있는 하이브리드 배포를 보여줍니다.

    전역 외부 애플리케이션 부하 분산기와의 하이브리드 연결
    전역 외부 애플리케이션 부하 분산기와의 하이브리드 연결(확대하려면 클릭)

    이 다이어그램에서 공개 인터넷의 클라이언트 트래픽은 외부 애플리케이션 부하 분산기와 같은 Google Cloud 부하 분산기를 통해 비공개 온프레미스 또는 클라우드 네트워크에 들어옵니다. 트래픽이 부하 분산기에 도달하면 Google Cloud Armor DDoS 보호 또는 IAP(Identity-Aware Proxy) 사용자 인증과 같은 네트워크 에지 서비스를 적용할 수 있습니다.

  • 리전 외부 애플리케이션 부하 분산기를 사용하면 부하 분산기의 리소스와 동일한 Google Cloud 리전 내에 있는 엔드포인트로 외부 트래픽을 라우팅할 수 있습니다. 한 위치정보에서만 콘텐츠를 제공해야 하는 경우(예: 규정 준수 규제를 충족하기 위해) 또는 표준 네트워크 서비스 등급이 필요한 경우 이 부하 분산기를 사용합니다.

요청이 라우팅되는 방식(Google Cloud 백엔드 또는 온프레미스/클라우드 엔드포인트)은 URL 맵 구성 방법에 따라 다릅니다. 부하 분산기는 URL 맵에 따라 요청의 백엔드 서비스를 선택합니다. 선택한 백엔드 서비스가 하이브리드 연결 NEG로 구성된 경우(Google Cloud 이외의 엔드포인트에만 사용됨) 부하 분산기는 Cloud VPN 또는 Cloud Interconnect 간에 트래픽을 원하는 외부 대상으로 전달합니다.

내부 클라이언트(Google Cloud 또는 온프레미스 내)

Google Cloud 내부 클라이언트에 하이브리드 배포를 설정할 수도 있습니다. 이 경우 클라이언트 트래픽은 Google Cloud VPC 네트워크, 온프레미스 네트워크 또는 다른 클라우드에서 시작되며 온프레미스 엔드포인트 또는 다른 클라우드 네트워크의 엔드포인트로 라우팅됩니다.

리전별 내부 애플리케이션 부하 분산기는 리전 부하 분산기입니다. 즉, 부하 분산기 리소스와 동일한 Google Cloud 리전 내 엔드포인트로만 트래픽을 라우팅할 수 있습니다. 리전 간 내부 애플리케이션 부하 분산기는 전역으로 분산된 백엔드 서비스로 트래픽의 부하를 분산할 수 있는 멀티 리전 부하 분산기입니다.

다음 다이어그램은 리전 내부 애플리케이션 부하 분산기가 있는 하이브리드 배포를 보여줍니다.

리전 내부 애플리케이션 부하 분산기와의 하이브리드 연결
리전 내부 애플리케이션 부하 분산기와의 하이브리드 연결(확대하려면 클릭)

사용 사례: 클라우드로 마이그레이션

기존 서비스를 클라우드로 마이그레이션하면 온프레미스 용량을 확보하고 온프레미스 인프라 유지에 따르는 비용과 부담을 줄일 수 있습니다. 현재 온프레미스 서비스와 해당 Google Cloud 서비스 엔드포인트 모두에 트래픽을 라우팅할 수 있는 하이브리드 배포를 임시로 설정할 수 있습니다.

다음 다이어그램은 내부 애플리케이션 부하 분산기를 사용한 설정을 보여줍니다.

Google Cloud로 마이그레이션
Google Cloud로 마이그레이션(확대하려면 클릭)

내부 애플리케이션 부하 분산기를 사용하여 내부 클라이언트를 처리하는 경우 가중치 기반 트래픽 분할을 통해 두 서비스에서 트래픽을 분할하도록 Google Cloud 부하 분산기를 구성할 수 있습니다. 트래픽 분할을 사용하면 트래픽 0%를 Google Cloud 서비스로, 100%를 온프레미스 서비스로 전송하여 시작할 수 있습니다. 그런 다음 Google Cloud 서비스로 전송되는 트래픽의 비율을 점차 높일 수 있습니다. 결국 트래픽 100%가 Google Cloud 서비스로 전송되고, 온프레미스 서비스를 사용 중지할 수 있습니다.

하이브리드 아키텍처

이 섹션에서는 하이브리드 부하 분산 배포를 구성하는 데 필요한 부하 분산 아키텍처와 리소스를 설명합니다.

온프레미스 및 기타 클라우드 서비스는 다른 Cloud Load Balancing 백엔드와 유사합니다. 주요 차이점은 하이브리드 연결 NEG를 사용하여 이러한 백엔드의 엔드포인트를 구성한다는 것입니다. 엔드포인트는 클라이언트가 Cloud VPN 또는 Cloud Interconnect와 같은 하이브리드 연결을 통해 연결할 수 있는 유효한 IP:port 조합이어야 합니다.

다음 다이어그램은 외부 애플리케이션 부하 분산기 및 리전별 내부 애플리케이션 부하 분산기에 하이브리드 부하 분산을 사용 설정하는 데 필요한 Google Cloud 리소스를 보여줍니다.

전역 외부 HTTP(S)

하이브리드 연결을 위한 전역 외부 애플리케이션 부하 분산기 리소스
하이브리드 연결을 위한 전역 외부 애플리케이션 부하 분산기 리소스(확대하려면 클릭)

리전 외부 HTTP(S)

하이브리드 연결을 위한 리전 외부 애플리케이션 부하 분산기 리소스
하이브리드 연결을 위한 리전 외부 애플리케이션 부하 분산기 리소스(확대하려면 클릭)

리전별 내부 HTTP(S)

하이브리드 연결을 위한 리전 내부 애플리케이션 부하 분산기 리소스
하이브리드 연결을 위한 리전별 내부 애플리케이션 부하 분산기 리소스(확대하려면 클릭)

리전별 내부 프록시

하이브리드 연결을 위한 리전 내부 프록시 네트워크 부하 분산기 리소스
하이브리드 연결을 위한 리전 내부 프록시 네트워크 부하 분산기 리소스(확대하려면 클릭)

리전 및 전역 비교

Cloud Load Balancing 라우팅은 구성된 부하 분산기의 범위에 따라 다릅니다.

외부 애플리케이션 부하 분산기 및 외부 프록시 네트워크 부하 분산기. 사용되는 네트워크 등급에 따라 전역 또는 리전 라우팅에 이러한 부하 분산기를 구성할 수 있습니다. 하이브리드 연결이 구성된 동일한 네트워크 및 리전에서 부하 분산기의 하이브리드 NEG 백엔드를 만듭니다. 근접 기반 부하 분산을 활용하려면 Google Cloud 이외의 엔드포인트도 적절히 구성해야 합니다.

리전 간 내부 애플리케이션 부하 분산기 및 리전 간 내부 프록시 네트워크 부하 분산기 전 세계로 분산된 백엔드 서비스로 트래픽을 부하 분산할 수 있는 멀티 리전 부하 분산기입니다. 하이브리드 연결이 구성된 동일한 네트워크 및 리전에서 부하 분산기의 하이브리드 NEG 백엔드를 만듭니다. 근접 기반 부하 분산을 활용하려면 Google Cloud 이외의 엔드포인트도 적절히 구성해야 합니다.

리전별 내부 애플리케이션 부하 분산기 및 리전 내부 프록시 네트워크 부하 분산기. 이러한 분산기는 리전 부하 분산기입니다. 즉, 부하 분산기와 동일한 리전 내 엔드포인트로만 트래픽을 라우팅할 수 있습니다. 부하 분산기 구성요소는 하이브리드 연결이 구성된 동일한 리전에서 구성되어야 합니다. 기본적으로 부하 분산기에 액세스하는 클라이언트도 동일한 리전에 있어야 합니다. 그러나 전역 액세스를 사용 설정하면 모든 리전의 클라이언트가 부하 분산기에 액세스할 수 있습니다.

예를 들어 Cloud VPN 게이트웨이 또는 Cloud Interconnect VLAN 연결이 us-central1에 구성되어 있으면 부하 분산기에 필요한 리소스(예: 백엔드 서비스, 하이브리드 NEG, 전달 규칙)가 us-central1 리전에 생성되어야 합니다. 기본적으로 부하 분산기에 액세스하는 클라이언트도 us-central1 리전에 있어야 합니다. 그러나 전역 액세스를 사용 설정하면 모든 리전의 클라이언트가 부하 분산기에 액세스할 수 있습니다.

네트워크 연결 요구사항

하이브리드 부하 분산 배포를 구성하기 전에 먼저 다음 리소스를 설정해야 합니다.

  • Google Cloud VPC 네트워크 Google Cloud 내에서 구성된 VPC 네트워크 이는 Cloud Interconnect/Cloud VPN 및 Cloud Router를 구성하는 데 사용되는 VPC 네트워크입니다. 또한 부하 분산 리소스(전달 규칙, 대상 프록시, 백엔드 서비스 등)를 만들 동일한 네트워크입니다. 온프레미스, 기타 클라우드, Google Cloud 서브넷 IP 주소 및 IP 주소 범위가 겹치면 안 됩니다. 서브넷 경로는 IP 주소가 겹칠 때 원격 연결보다 우선 적용됩니다.
  • 하이브리드 연결 Google Cloud와 온프레미스 또는 기타 클라우드 환경은 Cloud Router와 함께 Cloud Interconnect VLAN 연결 또는 Cloud VPN 터널을 사용하는 하이브리드 연결을 통해 연결되어야 합니다. 고가용성 연결을 사용하는 것을 권장합니다. 전역 동적 라우팅으로 사용 설정된 Cloud Router는 BGP를 통해 특정 엔드포인트를 확인하고 Google Cloud VPC 네트워크에 프로그래밍합니다. 리전별 동적 라우팅은 지원되지 않습니다. 정적 경로도 지원되지 않습니다.

    Cloud Interconnect/Cloud VPN 및 Cloud Router는 하이브리드 부하 분산 배포에 사용하려는 것과 동일한 VPC 네트워크에 구성되어 있어야 합니다. 또한 Cloud Router는 온프레미스 환경에 다음 경로를 공지해야 합니다.

    • Google의 상태 점검 프로브에서 사용되는 범위: 35.191.0.0/16130.211.0.0/22. 이는 전역 외부 애플리케이션 부하 분산기, 기본 애플리케이션 부하 분산기, 전역 외부 프록시 네트워크 부하 분산기, 기본 프록시 네트워크 부하 분산기에 필요합니다.

    • 리전의 프록시 전용 서브넷 범위: Envoy 기반 부하 분산기(리전 외부 애플리케이션 부하 분산기, 리전 외부 프록시 네트워크 부하 분산기, 리전 내부 프록시 네트워크 부하 분산기, 내부 애플리케이션 부하 분산기)

      분산된 Envoy 상태 점검이 작동하려면 공지 리전의 프록시 전용 서브넷도 필요합니다. 분산된 Envoy 상태 점검은 Envoy 기반 부하 분산기 뒤의 영역 하이브리드 연결 NEG(즉, NON_GCP_PRIVATE_IP_PORT 엔드포인트)의 기본 상태 점검 메커니즘입니다.

  • 온프레미스 또는 다른 클라우드에 있는 네트워크 엔드포인트(IP:Port) 온프레미스 또는 다른 클라우드 환경 내에서 구성되고 Cloud Interconnect 또는 Cloud VPN을 통해 라우팅할 수 있는 하나 이상의 IP:Port 네트워크 엔드포인트 IP 엔드포인트에 여러 경로가 있는 경우 라우팅은 VPC 경로 개요Cloud Router 개요에 설명된 동작을 따릅니다.

  • 온프레미스 또는 기타 클라우드의 방화벽 규칙. 온프레미스 또는 다른 클라우드 환경에서 다음 방화벽 규칙을 만들어야 합니다.

    • 인그레스 허용 방화벽 규칙은 Google의 상태 점검 프로브에서 엔드포인트로의 트래픽을 허용합니다. 허용할 범위는 35.191.0.0/16130.211.0.0/22입니다. 이러한 범위는 Cloud Router가 온프레미스 네트워크에 공지해야 합니다. 자세한 내용은 프로브 IP 범위 및 방화벽 규칙을 참조하세요.
    • 인그레스 허용 방화벽 규칙은 부하 분산되는 트래픽이 엔드포인트에 도달하도록 허용합니다.
    • Envoy 기반 부하 분산기 - 리전 외부 애플리케이션 부하 분산기, 리전 외부 프록시 네트워크 부하 분산기, 리전 내부 프록시 네트워크 부하 분산기, 리전 간 내부 프록시 네트워크 부하 분산기, 내부 애플리케이션 부하 분산기의 경우, 리전의 프록시 전용 서브넷의 트래픽이 온프레미스 또는 다른 클라우드 환경에 있는 엔드포인트에 도달할 수 있도록 방화벽 규칙도 만들어야 합니다.

부하 분산기 구성요소

부하 분산기 유형에 따라 표준 또는 프리미엄 네트워크 서비스 등급을 사용하여 하이브리드 부하 분산 배포를 설정할 수 있습니다.

하이브리드 부하 분산기에는 백엔드 서비스만 위한 특수 구성이 필요합니다. 프런트엔드 구성은 다른 부하 분산기와 동일합니다. Envoy 기반 부하 분산기 - 리전 외부 애플리케이션 부하 분산기, 리전 외부 프록시 네트워크 부하 분산기, 리전 내부 프록시 네트워크 부하 분산기, 리전 간 내부 프록시 네트워크 부하 분산기, 내부 애플리케이션 부하 분산기 -는 사용자를 대신하여 Envoy 프록시를 실행하려면 추가 프록시 전용 서브넷이 필요합니다.

프런트엔드 구성

하이브리드 부하 분산에는 특별한 프런트엔드 구성이 필요하지 않습니다. 전달 규칙은 IP 주소, 포트, 프로토콜별로 트래픽을 대상 프록시로 라우팅하는 데 사용됩니다. 그런 다음 대상 프록시는 클라이언트의 연결을 종료합니다.

URL 맵은 HTTP(S) 부하 분산기에서 적절한 백엔드 서비스로의 URL 기반 요청 라우팅을 설정하는 데 사용됩니다.

이러한 각 구성요소에 대한 자세한 내용은 특정 부하 분산기 개요의 아키텍처 섹션을 참조하세요.

백엔드 서비스

백엔드 서비스는 부하 분산기에 구성 정보를 제공합니다. 부하 분산기는 백엔드 서비스의 정보를 사용하여 수신 트래픽을 하나 이상의 연결된 백엔드로 보냅니다.

하이브리드 부하 분산 배포를 설정하려면 부하 분산기를 Google Cloud 내부와 Google Cloud 외부에 있는 백엔드로 구성합니다.

  • Google Cloud 이외의 백엔드(온프레미스 또는 기타 클라우드)

    Google의 하이브리드 연결 제품(Cloud VPN 또는 Cloud Interconnect)을 사용하여 연결할 수 있으며 유효한 IP:Port 조합으로 연결할 수 있는 대상 부하 분산기의 엔드포인트로 구성할 수 있습니다.

    다음과 같이 Google Cloud 이외의 백엔드를 구성합니다.

    1. Google Cloud 네트워크가 아닌 각 엔드포인트의 IP:Port 조합을 하이브리드 연결 네트워크 엔드포인트 그룹(NEG)에 추가합니다. 하이브리드 연결(Cloud VPN 또는 Cloud Interconnect)을 사용하여 Google Cloud에서 이 IP 주소와 포트에 연결할 수 있는지 확인합니다. 하이브리드 연결 NEG의 경우 네트워크 엔드포인트 유형NON_GCP_PRIVATE_IP_PORT로 설정합니다.
    2. NEG를 만드는 동안 Google Cloud와 온프레미스 또는 다른 클라우드 환경 사이의 지리적 거리를 최소화하는 Google Cloud 영역을 지정합니다. 예를 들어 독일 프랑크푸르트의 온프레미스 환경에서 서비스를 호스팅하는 경우 NEG를 만들 때 europe-west3-a Google Cloud 영역을 지정할 수 있습니다.
    3. 이 하이브리드 연결 NEG를 백엔드 서비스의 백엔드로 추가합니다.

      하이브리드 연결 NEG에는 Google Cloud 외부 엔드포인트만 포함되어야 합니다. 하이브리드 NEG에 내부 패스 스루 네트워크 부하 분산기의 전달 규칙 IP 주소와 같은 Google Cloud VPC 네트워크 내의 리소스 엔드포인트가 포함된 경우 트래픽이 삭제될 수 있습니다. 다음 섹션의 안내에 따라 Google Cloud 엔드포인트를 구성합니다.

  • Google Cloud 백엔드

    다음과 같이 Google Cloud 엔드포인트를 구성합니다.

    1. Google Cloud 백엔드를 위한 별도의 백엔드 서비스를 만듭니다.
    2. 하이브리드 연결을 설정한 동일한 리전 내에서 여러 백엔드(GCE_VM_IP_PORT 영역 NEG 또는 인스턴스 그룹)를 구성합니다.

추가로 고려해야 할 사항

  • 각 하이브리드 연결 NEG는 동일한 유형(NON_GCP_PRIVATE_IP_PORT)의 네트워크 엔드포인트만 포함할 수 있습니다.

  • 단일 백엔드 서비스를 사용하여 Google Cloud 기반 백엔드(GCE_VM_IP_PORT 엔드포인트와 영역 NEG 사용) 및 온프레미스 또는 기타 클라우드 백엔드(NON_GCP_PRIVATE_IP_PORT 엔드포인트와 하이브리드 연결 NEG 사용)를 모두 참조할 수 있습니다. 다른 혼합 백엔드 유형 조합은 허용되지 않습니다. Cloud Service Mesh는 단일 백엔드 서비스에서 혼합된 백엔드 유형을 지원하지 않습니다.

  • 백엔드 서비스의 부하 분산 스키마는 다음 중 하나여야 합니다.

    • 전역 외부 애플리케이션 부하 분산기, 리전 외부 애플리케이션 부하 분산기, 전역 외부 프록시 네트워크 부하 분산기, 리전 외부 프록시 네트워크 부하 분산기에 대한 EXTERNAL_MANAGED
    • 기본 애플리케이션 부하 분산기 및 기본 프록시 네트워크 부하 분산기에 대한 EXTERNAL
    • 내부 애플리케이션 부하 분산기, 리전 간 내부 프록시 네트워크 부하 분산기, 리전 간 내부 프록시 네트워크 부하 분산기, 리전 내부 프록시 네트워크 부하 분산기에 대한 INTERNAL_MANAGED

    INTERNAL_SELF_MANAGED하이브리드 연결 NEG를 사용한 Cloud Service Mesh 멀티 환경 배포에서 지원됩니다.

  • 백엔드 서비스 프로토콜은 애플리케이션 부하 분산기의 경우 HTTP, HTTPS 또는 HTTP2 중 하나이고 외부 프록시 네트워크 부하 분산기 및 리전 내부 프록시 네트워크 부하 분산기의 경우 TCP 또는 SSL여야 합니다. 각 부하 분산기에서 지원하는 백엔드 서비스 프로토콜 목록은 부하 분산기에서 백엔드로의 프로토콜을 참조하세요.

  • 하이브리드 NEG 백엔드의 분산 모드는 외부 및 내부 애플리케이션 부하 분산기의 경우 RATE이고 리전 내부 프록시 네트워크 부하 분산기와 외부 프록시 네트워크 부하 분산기의 경우 CONNECTION여야 합니다. 분산 모드에 대한 자세한 내용은 백엔드 서비스 개요를 참조하세요.

  • 네트워크 엔드포인트를 더 추가하려면 백엔드 서비스에 연결된 백엔드를 업데이트합니다.

  • Envoy 기반 부하 분산기 뒤에서 영역 하이브리드 연결 NEG(예: NON_GCP_PRIVATE_IP_PORT)와 함께 분산된 Envoy 상태 점검을 사용하는 경우 백엔드 서비스에 연결된 여러 NEG에서 동일한 네트워크 엔드포인트를 구성하지 마세요. 그렇게 하면 정의되지 않은 동작이 발생합니다.

중앙 집중식 상태 점검

하이브리드 NEG를 사용하는 경우 전역 외부 애플리케이션 부하 분산기, 기본 애플리케이션 부하 분산기, 전역 외부 프록시 네트워크 부하 분산기, 기본 프록시 네트워크 부하 분산기에 중앙 집중식 상태 점검이 필요합니다. 다른 Envoy 기반 부하 분산기는 다음 섹션의 설명에 따라 분산된 Envoy 상태 점검을 사용합니다.

Google Cloud 외부의 NON_GCP_PRIVATE_IP_PORT 엔드포인트의 경우 온프레미스 및 기타 클라우드 네트워크에 방화벽 규칙을 만듭니다. 여기에 대해는 네트워크 관리자에게 문의하세요. 하이브리드 연결에 사용되는 Cloud Router는 Google의 상태 점검 프로브에서 사용하는 범위도 공지해야 합니다. 공지할 범위는 35.191.0.0/16130.211.0.0/22입니다.

Google Cloud 내의 다른 유형의 백엔드의 경우 이 예시에 표시된 대로 Google Cloud에서 방화벽 규칙을 만듭니다.

관련 문서:

분산 Envoy 상태 점검

상태 점검 구성은 부하 분산기 유형에 따라 다릅니다.

  • 전역 외부 애플리케이션 부하 분산기, 기본 애플리케이션 부하 분산기, 전역 외부 프록시 네트워크 부하 분산기, 기본 프록시 네트워크 부하 분산기 이러한 부하 분산기는 분산형 Envoy 상태 점검을 지원하지 않습니다. 대신 중앙 집중식 상태 점검 섹션에 설명된 대로 Google의 중앙 집중식 상태 점검 메커니즘을 사용합니다.
  • 리전 외부 애플리케이션 부하 분산기, 내부 애플리케이션 부하 분산기(리전 간 및 리전별), 리전 외부 프록시 네트워크 부하 분산기, 리전 간 내부 프록시 네트워크 부하 분산기, 리전 내부 프록시 네트워크 부하 분산기. 이러한 부하 분산기는 분산된 Envoy 상태 점검을 사용하여 하이브리드 NEG의 상태를 확인합니다. 상태 점검 프로브는 Envoy 프록시 소프트웨어 자체에서 시작됩니다. 각 백엔드 서비스는 백엔드의 상태를 확인하는 상태 점검과 연결되어야 합니다. 상태 점검 프로브는 리전의 프록시 전용 서브넷에 있는 Envoy 프록시에서 시작됩니다. 상태 점검 프로브가 제대로 작동하려면 외부 환경에서 프록시 전용 서브넷의 트래픽이 외부 백엔드에 도달하도록 허용하는 방화벽 규칙을 만들어야 합니다.

    Google Cloud 외부의 NON_GCP_PRIVATE_IP_PORT 엔드포인트의 경우 온프레미스 및 기타 클라우드 네트워크에 이러한 방화벽 규칙을 만들어야 합니다. 여기에 대해는 네트워크 관리자에게 문의하세요. 하이브리드 연결에 사용하는 Cloud Router는 리전의 프록시 전용 서브넷 범위도 공지해야 합니다.

분산 Envoy 상태 점검은 중앙 집중식 상태 점검과 Google Cloud 콘솔, gcloud CLI, API 프로세스를 사용하여 생성됩니다. 다른 구성은 필요하지 않습니다.

참고사항:

  • gRPC 상태 점검은 지원되지 않습니다.
  • PROXY 프로토콜 v1을 사용 설정한 상태 점검은 지원되지 않습니다.
  • 단일 백엔드 서비스에 영역별 NEG(Google Cloud 내 GCE_VM_IP_PORT 엔드포인트)와 하이브리드 NEG(Google Cloud 외부의 NON_GCP_PRIVATE_IP_PORT 엔드포인트)의 조합이 있는 경우, Google 상태 점검 프로브 IP 범위(130.211.0.0/2235.191.0.0/16)로부터 Google Cloud의 영역별 NEG 엔드포인트로의 트래픽을 허용하도록 방화벽 규칙을 설정해야 합니다. 이는 영역별 NEG가 Google의 중앙 집중식 상태 점검 시스템을 사용하기 때문입니다.
  • Envoy 데이터 영역은 상태 점검을 처리하므로 Google Cloud 콘솔, API 또는 gcloud CLI를 사용하여 이러한 외부 엔드포인트의 상태 점검을 확인할 수 없습니다. Envoy 기반 부하 분산기가 있는 하이브리드 NEG의 경우 Google Cloud 콘솔에 상태 점검 상태가 N/A로 표시됩니다. 이는 정상적인 동작입니다.

  • VPC 네트워크의 리전에 있는 프록시 전용 서브넷에 할당된 모든 Envoy 프록시는 독립적으로 상태 점검을 시작합니다. 따라서 상태 점검으로 인해 네트워크 트래픽이 증가할 수 있습니다. 증가는 리전의 VPC 네트워크에 할당된 Envoy 프록시 수, 이러한 프록시에서 수신한 트래픽 양, 각 Envoy 프록시가 상태 점검을 하는 데 필요한 엔드포인트 수에 따라 달라집니다. 최악의 경우 상태 점검으로 인한 네트워크 트래픽은 2차율(O(n^2))로 증가합니다.

  • 분산형 Envoy 상태 점검의 상태 점검 로그에는 자세한 상태가 포함되지 않습니다. 로깅되는 항목에 대한 자세한 내용은 상태 점검 로깅을 참조하세요. 또한 Envoy 프록시에서 NEG 엔드포인트로 연결 문제를 해결하려면 해당 부하 분산기 로그를 확인해야 합니다.

관련 문서:

제한사항

  • 하이브리드 연결에 사용되는 Cloud Router는 전역 동적 라우팅으로 사용 설정되어야 합니다. 리전별 동적 라우팅 및 정적 경로는 지원되지 않습니다.
  • Envoy 기반 리전 부하 분산기(리전 외부 애플리케이션 부하 분산기, 리전 외부 프록시 네트워크 부하 분산기, 리전 내부 프록시 네트워크 부하 분산기, 내부 애플리케이션 부하 분산기)의 경우 부하 분산기와 동일한 리전에 하이브리드 연결을 구성해야 합니다. 서로 다른 리전에서 구성되면 백엔드가 정상으로 표시될 수 있지만 클라이언트의 요청은 백엔드로 전달되지 않습니다.
  • 부하 분산기에서 백엔드로의 암호화된 연결에 대한 고려사항은 여기에 설명되어 있습니다. 하이브리드 연결 NEG에 구성된 Google Cloud 이외의 백엔드 엔드포인트에도 적용됩니다.

    하이브리드 연결 구성의 보안 설정도 검토해야 합니다. 현재 HA VPN 연결은 기본적으로 암호화됩니다(IPsec). Cloud Interconnect 연결은 기본적으로 암호화되지 않습니다. 자세한 내용은 전송 중인 데이터 암호화 백서를 참조하세요.

로깅

하이브리드 NEG의 엔드포인트로 프록시된 요청은 다른 백엔드에 대한 요청이 로깅되는 것과 같은 방식으로 Cloud Logging에 로깅됩니다. 전역 외부 애플리케이션 부하 분산기에 Cloud CDN을 사용 설정하면 캐시 적중도 로깅됩니다.

자세한 내용은 다음을 참고하세요.

할당량

기존 네트워크 엔드포인트 그룹 할당량에서 허용하는 만큼 네트워크 엔드포인트로 하이브리드 NEG를 구성할 수 있습니다. 자세한 내용은 NEG 백엔드NEG당 엔드포인트를 참조하세요.

다음 단계