프록시 네트워크 부하 분산기 개요

프록시 네트워크 부하 분산기는 Google Cloud 가상 프라이빗 클라우드(VPC) 네트워크 또는 다른 클라우드 환경의 백엔드로 TCP 트래픽을 배포하는 레이어 4 리버스 프록시 부하 분산기입니다. 트래픽은 부하 분산 레이어에서 종료된 후 TCP를 통해 사용 가능한 가장 가까운 백엔드로 전달됩니다.

프록시 네트워크 부하 분산기는 SSL 유무에 관계없이 TCP 트래픽 전용입니다. HTTP(S) 트래픽의 경우 대신 애플리케이션 부하 분산기를 사용하는 것이 좋습니다.

프록시 네트워크 부하 분산기는 다음 기능을 지원합니다.

  • 외부 부하 분산기의 TLS/SSL 오프로드 전역 외부 프록시 네트워크 부하 분산기 또는 기본 프록시 네트워크 부하 분산기를 사용하여 SSL 프록시를 사용해서 부하 분산 레이어에서 TLS를 오프로드할 수 있습니다.
  • 모든 포트 지원. 이러한 부하 분산기는 1~65,535 사이의 유효한 포트를 허용합니다. 자세한 내용은 포트 사양을 참조하세요.
  • 포트 다시 매핑. 부하 분산기의 전달 규칙에서 사용하는 포트는 백엔드에 연결할 때 사용되는 포트와 일치하지 않아도 됩니다. 예를 들어 전달 규칙에서는 TCP 포트 80을 사용하는 반면 백엔드에 대한 연결에서는 TCP 포트 8080을 사용할 수 있습니다.
  • 원본 소스 IP 주소 릴레이. PROXY 프로토콜을 사용하여 클라이언트의 소스 IP 주소와 포트 정보를 부하 분산기 백엔드로 릴레이할 수 있습니다.

다음 다이어그램은 샘플 프록시 네트워크 부하 분산기 아키텍처를 보여줍니다.

프록시 네트워크 부하 분산기 아키텍처
프록시 네트워크 부하 분산기 아키텍처

프록시 네트워크 부하 분산기는 다음 배포 모드로 사용할 수 있습니다.

  • 외부 프록시 네트워크 부하 분산기: 인터넷의 클라이언트에서 들어오는 트래픽을 부하 분산합니다. 아키텍처 세부정보는 외부 프록시 네트워크 부하 분산기 아키텍처를 참조하세요.

    배포 모드 네트워크 서비스 등급 부하 분산 스키마 IP 주소 프런트엔드 포트
    전역 외부 프리미엄 등급 EXTERNAL_MANAGED IPv4
    IPv6    		 1~65535 중 정확히 하나의 포트를 참조할 수 있습니다.
    기본

    프리미엄 등급의 경우 전역

    표준 등급의 경우 리전

    		 외부 IPv4
    IPv6(프리미엄 등급 필요)
    리전 외부 프리미엄 또는 표준 등급 EXTERNAL_MANAGED IPv4

  • 내부 프록시 네트워크 부하 분산기: VPC 네트워크 또는 VPC 네트워크에 연결된 네트워크 내에서 트래픽을 부하 분산합니다. 아키텍처 세부정보는 내부 프록시 네트워크 부하 분산기 아키텍처를 참조하세요.

    배포 모드 네트워크 서비스 등급 부하 분산 스키마 IP 주소 프런트엔드 포트
    리전 내부 프리미엄 등급 INTERNAL_MANAGED IPv4 1~65535 중 정확히 하나의 포트를 참조할 수 있습니다.
    교차 리전 내부 프리미엄 등급 INTERNAL_MANAGED IPv4

부하 분산 스키마는 부하 분산기의 전달 규칙백엔드 서비스의 속성이며 내부 또는 외부 트래픽에 부하 분산기를 사용할 수 있는지 여부를 나타냅니다. 부하 분산 스키마에서 *_MANAGED라는 용어는 부하 분산기가 Google 프런트 엔드(GFE)에서 관리형 서비스로 구현되거나 오픈소스 Envoy 프록시에서 관리형 서비스로 구현된 것입니다. *_MANAGED인 부하 분산 스키마에서 요청이 GFE 또는 Envoy 프록시로 라우팅됩니다.

외부 프록시 네트워크 부하 분산기

외부 프록시 네트워크 부하 분산기는 인터넷에서 유입되는 트래픽을 Google Cloud VPC 네트워크, 온프레미스 또는 기타 클라우드 환경의 백엔드로 배포합니다. 이러한 부하 분산기는 전역, 리전 또는 기본 모드 중 하나로 배포할 수 있습니다.

외부 프록시 네트워크 부하 분산기는 다음 기능을 지원합니다.

  • IPv6 종료. 외부 부하 분산기는 클라이언트 트래픽에 IPv4 주소와 IPv6 주소를 모두 지원합니다. 클라이언트 IPv6 요청은 부하 분산 레이어에서 종료된 후 IPv4를 통해 백엔드로 프록시 처리됩니다.

  • TLS/SSL 오프로드. 전역 외부 프록시 네트워크 부하 분산기 또는 기본 프록시 네트워크 부하 분산기를 사용하여 SSL 프록시를 사용해서 부하 분산 레이어에서 TLS를 오프로드할 수 있습니다. 새 연결은 SSL(권장) 또는 TCP를 사용하여 가장 가까운 사용 가능한 백엔드로 전달됩니다. 배포의 다음 측면을 구성할 수 있습니다.

    • 백엔드 사용률 향상. 사용되는 암호의 CPU 효율성이 낮다면 SSL 처리 시 CPU가 집중적으로 소비될 수 있습니다. CPU 성능을 최대화하려면 ECDSA SSL 인증서, TLS 1.2를 사용하고 부하 분산기와 백엔드 인스턴스 간에 SSL용 ECDHE-ECDSA-AES128-GCM-SHA256 암호화 스위트를 우선적으로 사용하세요.
    • SSL 정책. SSL 정책을 사용하면 부하 분산기에서 클라이언트와 협상하는 SSL 기능을 제어할 수 있습니다.

  • Cloud Armor와 통합 Cloud Armor 보안 정책을 사용하여 DDoS 공격과 기타 표적 공격으로부터 인프라를 보호할 수 있습니다.

  • TLS가 종료되는 위치에 대한 지리적 제어. 클라이언트와 부하 분산기 간의 지연을 최소화하기 위해 부하 분산기는 전역으로 분산된 위치에서 TLS를 종료합니다. TLS가 종료되는 위치를 지리적으로 제어해야 하는 경우 표준 네트워크 등급을 사용하여 부하 분산기가 특정 리전에만 있는 백엔드에서 TLS를 종료하도록 할 수 있습니다. 자세한 내용은 표준 등급 구성을 참조하세요.

  • App Hub 지원. 리전 외부 프록시 네트워크 부하 분산기에서 사용하는 리소스는 App Hub 애플리케이션에서 서비스로 지정할 수 있습니다.

다음 다이어그램에서는 도시 A와 도시 B의 사용자가 보내는 SSL 트래픽이 부하 분산 레이어에서 종료되고 선택된 백엔드에 대한 별도의 연결이 설정됩니다.

SSL 종료를 사용하는 프록시 네트워크 부하 분산기
SSL 종료를 사용하는 프록시 네트워크 부하 분산기

자세한 내용은 외부 프록시 네트워크 부하 분산기 개요를 참조하세요.

내부 프록시 네트워크 부하 분산기

내부 프록시 네트워크 부하 분산기는 동일한 VPC 네트워크 또는 VPC 네트워크에 연결된 클라이언트에서만 액세스할 수 있는 내부 IP 주소로 TCP 서비스 트래픽을 실행하고 확장할 수 있게 해주는 Envoy 프록시 기반 리전별 레이어 4 부하 분산기입니다.

부하 분산기는 TCP 트래픽을Google Cloud, 온프레미스 또는 기타 클라우드 환경에 호스팅되는 백엔드에 배포합니다. 이러한 부하 분산기는 교차 리전 또는 리전별 모드 중 하나로 배포할 수 있습니다.

내부 프록시 네트워크 부하 분산기는 다음 기능을 지원합니다.

  • 지역 정책. 백엔드 인스턴스 그룹 또는 네트워크 엔드포인트 그룹 내에서 요청이 구성원 인스턴스 또는 엔드포인트에 배포되는 방식을 구성할 수 있습니다.
  • 전역 액세스. 전역 액세스가 사용 설정되면 모든 리전의 클라이언트가 부하 분산기에 액세스할 수 있습니다.
  • 연결된 네트워크에서 액세스. 클라이언트가 자체 Google CloudVPC 네트워크 이외의 네트워크에서 내부 부하 분산기에 액세스할 수 있습니다. 다른 네트워크는 VPC 네트워크 피어링, Cloud VPN 또는 Cloud Interconnect를 사용하여 부하 분산기의 VPC 네트워크에 연결되어야 합니다.
  • App Hub 지원. 리전 내부 프록시 네트워크 부하 분산기에서 사용하는 리소스는 App Hub 애플리케이션에서 서비스로 지정할 수 있습니다.

자세한 내용은 내부 프록시 네트워크 부하 분산기 개요를 참조하세요.

고가용성 및 교차 리전 장애 조치

여러 리전에서 교차 리전 내부 프록시 네트워크 부하 분산기를 설정하면 다음과 같은 이점을 얻을 수 있습니다.

  1. 특정 리전의 백엔드가 다운되면 트래픽이 다른 리전의 백엔드로 원활하게 장애 조치됩니다.

    교차 리전 장애 조치 배포 예시에서는 다음을 보여줍니다.

    • VPC 네트워크의 리전 A에 프런트엔드 VIP 주소가 있는 교차 리전 내부 프록시 네트워크 부하 분산기. 또한 클라이언트도 리전 A에 있습니다.
    • Google Cloud 리전 A 및 리전 B의 백엔드를 참조하는 전역 백엔드 서비스
    • 리전 A의 백엔드가 다운되면 트래픽이 리전 B로 장애 조치됩니다.
    교차 리전 장애 조치 배포를 사용하는 교차 리전 내부 프록시 네트워크 부하 분산기
    교차 리전 장애 조치 배포를 사용하는 교차 리전 내부 프록시 네트워크 부하 분산기(확대하려면 클릭)

  2. 또한 교차 리전 내부 프록시 네트워크 부하 분산기는 다른 리전의 프록시 및 백엔드에서 클라이언트로 트래픽을 제공함으로써 완전한 리전 서비스 중단으로부터 애플리케이션을 보호할 수 있습니다.

    고가용성 배포 예시에서는 다음을 보여줍니다.

    • VPC 네트워크의 리전 A 및 리전 B에 프런트엔드 VIP가 있는 교차 리전 내부 프록시 네트워크 부하 분산기입니다. 클라이언트는 리전 A에 있습니다.

    • 두 리전의 프런트엔드 VIP를 사용하여 부하 분산기를 액세스 가능하도록 만들 수 있습니다.

      고가용성 배포를 사용하는 교차 리전 내부 프록시 네트워크 부하 분산기
      고가용성 배포를 사용하는 교차 리전 내부 프록시 네트워크 부하 분산기(확대하려면 클릭)

고가용성 배포 설정 방법은 다음을 참조하세요.