외부 패스스루 네트워크 부하 분산기는 부하 분산기와 동일한 리전에 있는 백엔드(인스턴스 그룹 또는 네트워크 엔드포인트 그룹(NEG)) 사이에 외부 트래픽을 배포하는 리전별 Layer 4 부하 분산기입니다. 이러한 백엔드는 리전 및 프로젝트가 동일해야 하지만 VPC 네트워크가 다를 수 있습니다.
TCP, UDP, ESP, GRE, ICMP, ICMPv6 트래픽에 대해 외부 패스 스루 네트워크 부하 분산기를 구성할 수 있습니다.
외부 패스 스루 네트워크 부하 분산기는 다음 항목에서 트래픽을 수신할 수 있습니다.
- 인터넷의 모든 클라이언트
- 외부 IP가 있는 Google Cloud VM
- Cloud NAT 또는 인스턴스 기반 NAT를 통해 인터넷에 액세스할 수 있는 Google Cloud VM
외부 패스 스루 네트워크 부하 분산기의 특징은 다음과 같습니다.
- 외부 패스 스루 네트워크 부하 분산기는 Andromeda 가상 네트워킹 및 Google Maglev를 사용하여 구현된 관리형 서비스입니다.
- 외부 패스 스루 네트워크 부하 분산기의 범위는 리전별로 달라집니다. 즉, 부하 분산기가 여러 리전을 포함할 수 없습니다. 단일 리전 내에서 부하 분산기가 모든 영역을 서비스합니다.
- 외부 패스 스루 네트워크 부하 분산기는 프록시가 아닙니다.
- 백엔드 VM은 패킷의 소스 및 대상 IP 주소, 프로토콜, 프로토콜이 포트 기반인 경우 소스 및 대상 포트가 변경되지 않은 상태로 부하 분산된 패킷을 수신합니다.
- 부하 분산된 연결은 백엔드 VM에 의해 종료됩니다.
- 백엔드 VM의 응답은 부하 분산기를 통하지 않고 클라이언트에 직접 전달됩니다. 업계에서는 이를 직접 서버 반환(DSR)이라 합니다.
다음 다이어그램은 전달 규칙의 IP 주소가 120.1.1.1인 외부 패스 스루 네트워크 부하 분산기를 보여줍니다. 외부 패스 스루 네트워크 부하 분산기는 백엔드가 동일한 리전에 있는 us-central1 리전에서 구성됩니다.
외부 패스 스루 네트워크 부하 분산기는 기본적으로 리전이며 구성된 프런트엔드와 동일한 리전에서 백엔드만 지원합니다. 그러나 부하 분산기의 IP 주소가 프리미엄 등급 또는 표준 등급인지 여부에 관계없이 외부 패스 스루 네트워크 부하 분산기로의 패킷은 인터넷의 모든 곳에서 계속 전송될 수 있습니다. 부하 분산기의 IP 주소가 프리미엄 등급인 경우 패킷이 클라이언트에서 가장 가까운 Google 에지 피어링 지점으로 송수신하는 인텐트로 Google의 고품질 전역 백본을 순회합니다. 부하 분산기의 IP 주소가 표준 등급인 경우 트래픽은 부하 분산기가 구성된 Google Cloud 리전에서 가장 가까운 피어링 지점에서 Google 네트워크로 송수신됩니다.
다음 다이어그램에서 트래픽은 싱가포르의 사용자로부터 us-central1(전달 규칙 IP 주소 120.1.1.1)의 외부 패스 스루 네트워크 부하 분산기로 라우팅됩니다.
다음 다이어그램에서 트래픽은 아이오와의 사용자로부터 us-central1의 외부 패스 스루 네트워크 부하 분산기(전달 규칙 IP 주소 120.1.1.1)로 라우팅됩니다.
사용 사례
다음과 같은 경우 외부 패스 스루 네트워크 부하 분산기를 사용합니다.
- TCP 이외의 트래픽 부하를 분산해야 하거나 다른 부하 분산기에서 지원하지 않는 TCP 포트의 부하를 분산해야 합니다.
- SSL 트래픽이 부하 분산기가 아닌 백엔드에서 복호화될 수 있습니다. 외부 패스 스루 네트워크 부하 분산기는 이 태스크를 수행할 수 없습니다. 백엔드에서 SSL 트래픽을 복호화하면 VM에 더 큰 CPU 부담이 발생합니다.
- 백엔드 VM의 SSL 인증서를 자체 관리할 수 있습니다. Google 관리형 SSL 인증서는 외부 애플리케이션 부하 분산기와 외부 프록시 네트워크 부하 분산기에만 사용할 수 있습니다.
- 프록시 해제된 상태의 원래 패킷을 전달해야 합니다. 예를 들어 클라이언트 소스 IP를 보존해야 하는 경우가 이에 해당합니다.
- 패스 스루 부하 분산기를 사용하는 기존 설정이 있으며 이 설정을 변경하지 않고 마이그레이션하려 합니다.
- 외부 패스 스루 네트워크 부하 분산기에는 고급 네트워크 DDoS 보호가 필요합니다. 자세한 내용은 Google Cloud Armor를 사용하여 고급 네트워크 DDoS 보호 구성을 참조하세요.
GKE 애플리케이션을 위한 부하 분산
GKE에서 애플리케이션을 빌드할 때는 GKE 사용자를 대신해서 Google Cloud 부하 분산기를 배포하는 기본 제공되는 GKE 서비스 컨트롤러를 사용하는 것이 좋습니다. 수명 주기가 GKE에 의해 완전히 자동화되고 제어된다는 점을 제외하면 이 독립형 부하 분산 아키텍처와 동일합니다.
관련 GKE 문서:
아키텍처
외부 패스 스루 네트워크 부하 분산기의 아키텍처는 백엔드 서비스 기반 외부 패스 스루 네트워크 부하 분산기를 사용하는지, 대상 풀 기반 외부 패스 스루 네트워크 부하 분산기를 사용하는지에 따라 다릅니다.
백엔드 서비스 기반 외부 패스 스루 네트워크 부하 분산기
부하 분산기의 동작 및 백엔드에 트래픽을 배포하는 방법을 정의하는 리전별 백엔드 서비스를 사용하여 외부 패스 스루 네트워크 부하 분산기를 만들 수 있습니다.
백엔드 서비스 기반의 외부 패스 스루 네트워크 부하 분산기는 IPv4 및 IPv6 트래픽, 다중 프로토콜(TCP, UDP, ESP, GRE, ICMP, ICMPv6), 관리형 및 비관리형 인스턴스 그룹 백엔드, GCE_VM_IP 엔드포인트를 사용하는 영역별 NEG 백엔드(다중 네트워크 인터페이스 지원 포함), 미세 조정된 트래픽 배포 제어(연결 추적, 연결 드레이닝, 트래픽 조정, 가중 부하 분산, 장애 조치 정책)을 지원하며, 배포 중인 트래픽 유형(TCP, SSL, HTTP, HTTPS, HTTP/2)과 일치하는 기존 방식 이외의 상태 점검을 사용할 수 있게 해줍니다.
아키텍처 세부정보는 리전 백엔드 서비스를 사용하는 외부 패스 스루 네트워크 부하 분산기를 참조하세요.
기존 대상 풀 기반 외부 패스 스루 네트워크 부하 분산기를 전환하여 백엔드 서비스를 사용할 수도 있습니다. 사용에 대한 안내는 외부 패스 스루 네트워크 부하 분산기를 대상 풀에서 백엔드 서비스로 전환을 참조하세요.
대상 풀 기반 외부 패스 스루 네트워크 부하 분산기
대상 풀은 Google Cloud의 외부 패스 스루 네트워크 부하 분산기에서 지원되는 레거시 백엔드입니다. 대상 풀은 부하 분산기에서 들어오는 트래픽을 수신할 인스턴스 그룹을 정의합니다.
대상 풀 기반 외부 패스 스루 네트워크 부하 분산기는 TCP 또는 UDP 트래픽을 지원합니다. 대상 풀 기반 외부 패스 스루 네트워크 부하 분산기의 전달 규칙은 외부 IPv4 주소만 지원합니다.
아키텍처 세부정보는 대상 풀 백엔드가 있는 외부 패스 스루 네트워크 부하 분산기를 참조하세요.
외부 패스 스루 네트워크 부하 분산기와 다른 Google Cloud 부하 분산기 비교
Google Cloud 부하 분산기의 차이점에 대한 자세한 내용은 다음 문서를 참조하세요.