하이브리드 연결 네트워크 엔드포인트 그룹 개요

Cloud Load Balancing은 온프레미스 데이터 센터, 하이브리드 연결을 사용하여 연결할 수 있는 기타 퍼블릭 클라우드 등 Google Cloud 이상으로 확장되는 엔드포인트에 대한 부하 분산 트래픽을 지원합니다.

하이브리드 전략은 변화하는 시장 요구에 적응하고 애플리케이션을 점진적으로 현대화할 수 있는 실용적인 솔루션입니다. 최신 클라우드 기반 솔루션으로의 마이그레이션을 위한 임시 하이브리드 배포 또는 조직의 IT 인프라의 영구적 설비일 수 있습니다.

또한 하이브리드 부하 분산을 설정하면 Cloud Load Balancing의 네트워킹 기능을 Google Cloud 외부의 기존 인프라에서 실행되는 서비스에 활용할 수 있습니다.

하이브리드 부하 분산은 다음 Google Cloud 부하 분산기에서 지원됩니다.

사용 사례: 온프레미스 위치 또는 다른 클라우드로 트래픽 라우팅

이 기능의 가장 간단한 사용 사례는 Google Cloud 부하 분산기에서 Google Cloud, 온프레미스 위치, 다른 클라우드로 트래픽을 라우팅하는 것입니다. 클라이언트는 공개 인터넷, Google Cloud 내 또는 온프레미스 클라이언트에서 트래픽을 시작할 수 있습니다.

공개 클라이언트

HTTP(S) 부하 분산을 사용하여 트래픽을 외부 클라이언트에서 Google Cloud, 온프레미스 또는 다른 클라우드의 백엔드로 라우팅할 수 있습니다. HTTP(S) 부하 분산을 사용하면 온프렘 서비스에 부가 가치 네트워킹 기능을 사용 설정할 수도 있습니다. 다음이 가능합니다.

  • Google의 글로벌 에지 인프라를 사용하여 사용자와 더 가까운 사용자 연결을 종료하여 지연 시간을 줄일 수 있습니다.
  • 외부 HTTP(S) 부하 분산기를 통해 액세스하는 모든 서비스에 제공되는 에지 DDoS 방어/WAF 보안 제품인 Google Cloud Armor로 서비스를 보호할 수 있습니다.
  • Cloud CDN을 사용하여 서비스에서 전송을 최적화하도록 사용 설정할 수 있습니다. Cloud CDN을 사용하면 사용자에게 친숙한 콘텐츠를 캐시할 수 있습니다. Cloud CDN은 캐시 무효화와 Cloud CDN으로 서명된 URL 등의 기능을 제공합니다.
  • Google 관리형 SSL 인증서를 사용합니다. 이미 다른 Google Cloud 제품에서 사용하는 인증서와 비공개 키를 재사용할 수 있습니다. 이렇게 하면 별도의 인증서를 관리할 필요가 없습니다.

다음 다이어그램은 외부 HTTP(S) 부하 분산기가 있는 하이브리드 배포를 보여줍니다.

HTTP(S) 부하 분산을 사용한 하이브리드 연결(확대하려면 클릭)
외부 HTTP(S) 부하 분산과의 하이브리드 연결(확대하려면 클릭)

이 다이어그램에서 공개 인터넷의 클라이언트 트래픽은 외부 HTTP(S) 부하 분산기와 같은 Google Cloud 부하 분산기를 통해 비공개 온프레미스 또는 클라우드 네트워크에 들어옵니다. 트래픽이 부하 분산기에 도달하면 Google Cloud Armor DDoS 보호 또는 IAP(Identity-Aware Proxy) 사용자 인증과 같은 네트워크 에지 서비스를 적용할 수 있습니다.

요청이 라우팅되는 방식(Google Cloud 백엔드 또는 온프레미스/클라우드 엔드포인트)은 URL 맵 구성 방법에 따라 다릅니다. 부하 분산기는 URL 맵에 따라 요청의 백엔드 서비스를 선택합니다. 선택한 백엔드 서비스가 하이브리드 연결 NEG로 구성된 경우(Google Cloud 이외의 엔드포인트에만 사용됨) 부하 분산기는 Cloud VPN 또는 Cloud Interconnect 간에 트래픽을 원하는 대상으로 전달합니다.

내부 클라이언트(Google Cloud 또는 온프레미스 내)

Google Cloud 내부 클라이언트에 하이브리드 배포를 설정할 수도 있습니다. 이 경우 클라이언트 트래픽은 Google Cloud VPC 네트워크, 온프레미스 네트워크, 다른 클라우드에서 시작되며 Google Cloud, 온프레미스, 다른 클라우드에 있을 수 있는 엔드포인트로 라우팅됩니다. 내부 HTTP(S) 부하 분산은 리전 부하 분산기입니다. 즉, 부하 분산기의 리소스와 동일한 GCP 영역 또는 리전 내의 엔드포인트로만 트래픽을 라우팅할 수 있습니다.

다음 다이어그램은 내부 HTTP(S) 부하 분산기가 있는 하이브리드 배포를 보여줍니다.

내부 HTTP(S) 부하 분산과의 하이브리드 연결(확대하려면 클릭)
내부 HTTP(S) 부하 분산과의 하이브리드 연결(확대하려면 클릭)

사용 사례: 클라우드로 마이그레이션

기존 서비스를 클라우드로 마이그레이션하면 온프렘 용량을 확보하고 온프렘 인프라 유지에 따르는 비용과 부담을 줄일 수 있습니다. 현재 온프레미스 서비스와 해당 Google Cloud 서비스 엔드포인트 모두에 트래픽을 라우팅할 수 있는 하이브리드 배포를 임시로 설정할 수 있습니다.

다음 다이어그램은 내부 HTTP(S) 부하 분산을 통해 이 설정을 보여줍니다.

Google Cloud로 마이그레이션(확대하려면 클릭)
Google Cloud로 마이그레이션(확대하려면 클릭)

내부 HTTP(S) 부하 분산을 사용하여 내부 클라이언트를 처리하는 경우 가중치 기반 트래픽 분할을 사용하여 두 서비스에서 트래픽을 분할하도록 Google Cloud 부하 분산기를 구성할 수 있습니다. 트래픽 분할을 사용하면 트래픽 0%를 Google Cloud 서비스로, 100%를 온프레미스 서비스로 전송하여 시작할 수 있습니다. 그런 다음 Google Cloud 서비스로 전송되는 트래픽의 비율을 점차 높일 수 있습니다. 결국 트래픽 100%가 Google Cloud 서비스로 전송되고, 온프레미스 서비스를 사용 중지할 수 있습니다.

하이브리드 아키텍처

이 섹션에서는 하이브리드 부하 분산 배포를 구성하는 데 필요한 부하 분산 아키텍처와 리소스를 설명합니다.

온프레미스 및 기타 클라우드 서비스는 다른 Cloud Load Balancing 백엔드와 유사합니다. 주요 차이점은 하이브리드 연결 NEG를 사용하여 이러한 백엔드의 엔드포인트를 구성한다는 것입니다. 엔드포인트는 클라이언트가 Cloud VPN 또는 Cloud Interconnect와 같은 하이브리드 연결을 통해 연결할 수 있는 유효한 IP:port 조합이어야 합니다.

다음 다이어그램에서는 외부 HTTP(S) 부하 분산 및 내부 HTTP(S) 부하 분산에 하이브리드 부하 분산을 사용 설정하는 데 필요한 Google Cloud 리소스를 보여줍니다.

외부 HTTP(S)

하이브리드 연결을 위한 외부 HTTP(S) 부하 분산기 리소스(확대하려면 클릭)
하이브리드 연결을 위한 외부 HTTP(S) 부하 분산기 리소스(확대하려면 클릭)

내부 HTTP(S)

하이브리드 연결을 위한 내부 HTTP(S) 부하 분산기 리소스(확대하려면 클릭)
하이브리드 연결을 위한 내부 HTTP(S) 부하 분산기 리소스(확대하려면 클릭)

리전 및 전역

Cloud Load Balancing 라우팅은 구성된 부하 분산기의 범위에 따라 다릅니다.

외부 HTTP(S) 부하 분산 인터넷 트래픽의 경우 사용되는 네트워크 등급에 따라 외부 HTTP(S) 부하 분산기를 전역 또는 리전 라우팅으로 구성할 수 있습니다. 하이브리드 연결이 구성된 리전과 동일한 리전에 부하 분산기의 하이브리드 NEG 백엔드를 만들어야 합니다. 근접 기반 부하 분산을 활용하려면 Google Cloud 이외의 엔드포인트도 적절히 구성해야 합니다.

내부 HTTP(S) 부하 분산 내부 클라이언트의 트래픽에서 내부 HTTP(S) 부하 분산기는 리전 부하 분산기입니다. 즉, 부하 분산기와 동일한 리전 내의 엔드포인트로만 트래픽을 라우팅할 수 있습니다. 내부 HTTP(S) 부하 분산기의 구성요소는 하이브리드 연결이 구성된 것과 동일한 리전에서 구성되어야 합니다. 내부 HTTP(S) 부하 분산은 전역 액세스를 지원하지 않으므로 부하 분산기에 액세스하는 클라이언트도 동일한 리전에 있어야 합니다.

예를 들어 Cloud VPN 게이트웨이 또는 Cloud Interconnect VLAN 연결이 us-central1에서 구성된 경우 내부 HTTP(S) 부하 분산기(백엔드 서비스, 하이브리드 NEG, 전달 규칙 등)에 필요한 리소스는 us-central1 리전에 생성되어야 합니다. 부하 분산기에 액세스하는 클라이언트도 us-central1 리전에 있어야 합니다.

네트워크 연결 요구사항

하이브리드 부하 분산 배포를 구성하기 전에 먼저 다음 리소스를 설정해야 합니다.

  • Google Cloud VPC 네트워크 Google Cloud 내에서 구성된 VPC 네트워크 이 네트워크는 하이브리드 부하 분산 리소스(전달 규칙, 대상 프록시, 백엔드 서비스 등)가 생성될 네트워크입니다. 온프레미스, 기타 클라우드, Google Cloud 서브넷 IP 주소 및 IP 주소 범위가 겹치면 안 됩니다. 서브넷 경로는 IP 주소가 겹칠 때 원격 연결보다 우선 적용됩니다.
  • 하이브리드 연결 Google Cloud와 온프레미스 또는 기타 클라우드 환경은 Cloud Router와 함께 Cloud Interconnect VLAN 연결 또는 Cloud VPN 터널을 사용하는 하이브리드 연결을 통해 연결되어야 합니다. 고가용성 연결을 사용하는 것이 좋습니다. 전역 동적 라우팅으로 사용 설정된 Cloud Router는 BGP를 통해 특정 엔드포인트를 확인하고 Google Cloud VPC 네트워크에 프로그래밍합니다. 리전별 동적 라우팅은 지원되지 않습니다. 정적 경로도 지원되지 않습니다.

    Cloud Interconnect/Cloud VPN 및 Cloud Router는 하이브리드 부하 분산 배포에 사용하려는 것과 동일한 VPC 네트워크에 구성되어 있어야 합니다. 또한 Cloud Router는 온프레미스 환경에 다음 경로를 공지해야 합니다.
    • Google의 상태 확인 프로브에서 사용되는 범위: 35.191.0.0/16130.211.0.0/22.
    • 내부 HTTP(S) 부하 분산의 경우에만 리전의 프록시 전용 서브넷의 범위입니다.
  • 온프렘 또는 다른 클라우드의 네트워크 엔드포인트(IP:Port) 온프레미스 또는 다른 클라우드 환경 내에서 구성되고 Cloud Interconnect 또는 Cloud VPN을 통해 라우팅할 수 있는 하나 이상의 IP:Port 네트워크 엔드포인트 IP 엔드포인트에 여러 경로가 있는 경우 라우팅은 VPC 경로 개요Cloud Router 개요에 설명된 동작을 따릅니다.
  • 온프렘 또는 다른 클라우드의 방화벽 규칙. 온프렘 또는 다른 클라우드 환경에서 다음 방화벽 규칙을 만들어야 합니다.
    • 인그레스 허용 방화벽 규칙은 Google의 상태 확인 프로브에서 엔드포인트로의 트래픽을 허용합니다. 외부 HTTP(S) 부하 분산기, 내부 HTTP(S) 부하 분산기, TCP 프록시 부하 분산기, SSL 프록시 부하 분산기의 경우 허용되는 범위는 35.191.0.0/16130.211.0.0/22입니다. 이러한 범위는 Cloud Router가 온프레미스 네트워크에 공지해야 합니다. 자세한 내용은 프로브 IP 범위 및 방화벽 규칙을 참조하세요.
    • 인그레스 허용 방화벽 규칙은 부하 분산되는 트래픽이 엔드포인트에 도달하도록 허용합니다.
    • 내부 HTTP(S) 부하 분산의 경우 리전의 프록시 전용 서브넷의 트래픽이 엔드포인트에 도달할 수 있도록 방화벽 규칙을 만들어야 합니다.

부하 분산기 구성요소

부하 분산기 유형에 따라 표준 또는 프리미엄 네트워크 서비스 등급을 사용하여 하이브리드 부하 분산 배포를 설정할 수 있습니다.

하이브리드 부하 분산기에는 백엔드 서비스만 위한 특수 구성이 필요합니다. 프런트엔드 구성은 다른 부하 분산기와 동일합니다. 또한 내부 HTTP(S) 부하 분산기에는 Envoy 프록시를 대신 실행하는 프록시 전용 서브넷이 필요합니다.

프런트엔드 구성

하이브리드 부하 분산에는 특별한 프런트엔드 구성이 필요하지 않습니다. 전달 규칙은 IP 주소, 포트, 프로토콜별로 트래픽을 대상 프록시로 라우팅하는 데 사용됩니다. 그런 다음 대상 프록시는 클라이언트의 연결을 종료합니다.

URL 맵은 HTTP(S) 부하 분산기에서 적절한 백엔드 서비스로의 URL 기반 요청 라우팅을 설정하는 데 사용됩니다.

이러한 각 구성요소에 대한 자세한 내용은 특정 부하 분산기 개요의 아키텍처 섹션을 참조하세요.

백엔드 서비스

백엔드 서비스는 부하 분산기에 구성 정보를 제공합니다. 부하 분산기는 백엔드 서비스의 정보를 사용하여 수신 트래픽을 하나 이상의 연결된 백엔드로 보냅니다.

하이브리드 부하 분산 배포를 설정하려면 부하 분산기를 Google Cloud 내부와 Google Cloud 외부에 있는 백엔드로 구성합니다.

  • Google Cloud 이외의 백엔드(온프렘 또는 기타 클라우드)

    Google의 하이브리드 연결 제품(Cloud VPN 또는 Cloud Interconnect)을 사용하여 연결할 수 있으며 유효한 IP:Port 조합으로 연결할 수 있는 대상 부하 분산기의 엔드포인트로 구성할 수 있습니다.

    다음과 같이 Google Cloud 이외의 백엔드를 구성합니다.

    1. Google Cloud 네트워크가 아닌 각 엔드포인트의 IP:Port 조합을 하이브리드 연결 네트워크 엔드포인트 그룹(NEG)에 추가합니다. 하이브리드 연결(Cloud VPN 또는 Cloud Interconnect)을 사용하여 Google Cloud에서 이 IP 주소와 포트에 연결할 수 있는지 확인합니다. 하이브리드 연결 NEG의 경우 네트워크 엔드포인트 유형NON_GCP_PRIVATE_IP_PORT로 설정합니다.
    2. NEG를 만드는 동안 Google Cloud와 온프레미스 또는 다른 클라우드 환경 사이의 지리적 거리를 최소화하는 Google Cloud 영역을 지정합니다. 예를 들어 독일 프랑크푸르트의 온프레미스 환경에서 서비스를 호스팅하는 경우 NEG를 만들 때 europe-west3-a Google Cloud 영역을 지정할 수 있습니다.
    3. 이 하이브리드 연결 NEG를 백엔드 서비스의 백엔드로 추가합니다.

      하이브리드 연결 NEG에는 Google Cloud 외부 엔드포인트만 포함되어야 합니다. 하이브리드 NEG에 내부 TCP/UDP 부하 분산기의 전달 규칙 IP 주소와 같은 Google Cloud VPC 네트워크 내의 리소스 엔드포인트가 포함된 경우 트래픽이 삭제될 수 있습니다. 다음 섹션의 안내에 따라 Google Cloud 엔드포인트를 구성합니다.

  • Google Cloud 백엔드

    다음과 같이 Google Cloud 엔드포인트를 구성합니다.

    1. Google Cloud 백엔드를 위한 별도의 백엔드 서비스를 만듭니다.
    2. 하이브리드 연결을 설정한 동일한 리전 내에서 여러 백엔드(GCE_VM_IP_PORT 영역 NEG 또는 인스턴스 그룹)를 구성합니다.

추가로 고려해야 할 사항

  • 각 하이브리드 연결 NEG는 동일한 유형(NON_GCP_PRIVATE_IP_PORT)의 네트워크 엔드포인트만 포함할 수 있습니다.

  • 지원되는 백엔드 조합:

    • 전역 외부 HTTP(S) 부하 분산기의 경우 단일 백엔드 서비스를 사용하여 Google Cloud 기반 백엔드(GCE_VM_IP_PORT 엔드포인트가 있는 영역별 NEG 사용)와 온프레미스 또는 다른 클라우드 백엔드(NON_GCP_PRIVATE_IP_PORT 엔드포인트에서 하이브리드 연결 NEG 사용)를 모두 참조할 수 있습니다. 다른 혼합 백엔드 유형 조합은 허용되지 않습니다.
    • 내부 HTTP 부하 분산기의 경우 백엔드 서비스와 연결된 모든 NEG는 동일한 유형이어야 합니다. Google Cloud에 백엔드가 있으면 별도의 백엔드 서비스를 만들어야 합니다. 이는 Google Cloud 기반 백엔드에서 다른 유형의 백엔드(예: 인스턴스 그룹 또는 영역별 NEG)를 사용하기 때문입니다.
  • 백엔드 서비스의 부하 분산 스킴은 전역 외부 HTTP(S) 부하 분산기의 경우 EXTERNAL_MANAGED, 전역 외부 HTTP(S) 부하 분산기(기본), TCP 프록시 부하 분산기, SSL 프록시 부하 분산기의 경우 EXTERNAL 또는 내부 HTTP(S) 부하 분산기의 경우 INTERNAL_MANAGED여야 합니다. INTERNAL_SELF_MANAGED하이브리드 연결 NEG를 사용한 Traffic Director 멀티 환경 배포에서 지원됩니다.

  • 백엔드 서비스 프로토콜은 HTTP(S) 부하 분산기의 경우 HTTP, HTTPS 또는 HTTP2 중 하나이고 TCP 프록시 부하 분산기와 SSL 프록시 부하 분산기의 경우 TCP 또는 SSL여야 합니다. 각 부하 분산기에서 지원하는 백엔드 서비스 프로토콜 목록은 부하 분산기에서 백엔드로의 프로토콜을 참조하세요.

  • 백엔드의 분산 모드는 외부 및 내부 HTTP(S) 부하 분산의 경우 RATE, TCP/SSL 프록시 부하 분산의 경우 CONNECTION이어야 합니다. 분산 모드에 대한 자세한 내용은 백엔드 서비스 개요를 참조하세요.

  • 네트워크 엔드포인트를 더 추가하려면 백엔드 서비스에 연결된 백엔드를 업데이트합니다.

상태 확인

각 백엔드 서비스는 백엔드의 상태를 확인하는 상태 점검과 연결되어야 합니다. 상태 점검 프로브가 제대로 작동하려면 Google 프로브 IP 범위(130.211.0.0/2235.191.0.0/16)의 트래픽이 엔드포인트에 도달하도록 허용하는 방화벽 규칙을 만들어야 합니다.

Google Cloud 외부의 백엔드의 경우 온프레미스 및 기타 클라우드 네트워크에 방화벽 규칙을 만듭니다. 네트워크 관리자에게 문의하세요. 하이브리드 연결에 사용되는 Cloud Router는 Google의 상태 확인 프로브에서 사용하는 범위도 공지해야 합니다. 공지할 범위는 35.191.0.0/16130.211.0.0/22입니다.

Google Cloud 내의 백엔드의 경우 이 예시에 표시된 대로 Google Cloud에서 방화벽 규칙을 만듭니다.

제한사항

  • 하이브리드 연결 NEG는 Google Cloud Console에서 지원되지 않습니다. 하이브리드 연결 NEG를 생성, 삭제, 관리하려면 Google Cloud CLI 또는 REST API를 사용해야 합니다.
  • 하이브리드 연결에 사용되는 Cloud Router는 전역 동적 라우팅으로 사용 설정되어야 합니다. 리전별 동적 라우팅 및 정적 경로는 지원되지 않습니다.
  • 내부 HTTP(S) 부하 분산 및 하이브리드 연결은 동일한 리전에서 구성되어야 합니다. 서로 다른 리전에서 구성되면 백엔드가 정상으로 표시될 수 있지만 클라이언트의 요청은 백엔드로 전달되지 않습니다.
  • 부하 분산기에서 백엔드로의 암호화된 연결에 대한 고려사항은 여기에 설명되어 있습니다. 하이브리드 연결 NEG에 구성된 Google Cloud 이외의 백엔드 엔드포인트에도 적용됩니다.

    하이브리드 연결 구성의 보안 설정도 검토해야 합니다. 현재 HA Cloud VPN 연결은 기본적으로 암호화됩니다(IPSec). Cloud Interconnect 연결은 기본적으로 암호화되지 않습니다. 자세한 내용은 Google Cloud의 전송 중인 데이터 암호화 백서를 참조하세요.

로깅

하이브리드 NEG의 엔드포인트로 프록시된 요청은 다른 HTTP(S) 부하 분산 백엔드에 대한 요청이 로깅되는 것과 같은 방식으로 Cloud Logging에 로깅됩니다. 자세한 내용은 HTTP(S) 부하 분산 로깅 및 모니터링을 참조하세요.

부하 분산기에 Cloud CDN을 사용하면 캐시 적중도 로깅됩니다.

할당량

기존 네트워크 엔드포인트 그룹 할당량에서 허용하는 만큼 네트워크 엔드포인트로 하이브리드 NEG를 구성할 수 있습니다. 자세한 내용은 NEG 백엔드NEG당 엔드포인트를 참조하세요.

다음 단계