부하 분산을 위한 웹 성능 및 웹 보호 개선

이 가이드에서는 Cloud CDN 및 Google Cloud Armor를 기존 외부 HTTP(S) 부하 분산기 배포에 추가하는 가치를 간략하게 설명합니다. 외부 HTTP(S) 부하 분산기와 함께 Cloud CDN 및 Google Cloud Armor를 사용 설정하기 위한 기본 안내가 포함되어 있습니다.

Cloud CDN으로 웹 성능 향상

외부 HTTP(S) 부하 분산기를 사용하면 요청 클라이언트에 더 가까운 Google 글로벌 에지에 HTTP(S) 연결을 설정하고 QUIC, HTTP/2, TLS 1.3 등의 최신 프로토콜을 사용하여 연결을 협상함으로써 왕복 횟수를 줄이고 처리량을 향상시키면서 웹 성능이 향상됩니다. 또한 Google Cloud는 출처에 대한 영구 연결을 사용하여 각 클라이언트 연결의 오버헤드를 줄입니다. Google의 에지 위치가 글로벌 비공개 백본 네트워크에 연결되어 Google Cloud에서 라우팅을 최적화하고 클라이언트, Google 에지, 백엔드 간의 지연 시간을 줄일 수 있습니다. 외부 HTTP(S) 부하 분산기 배포의 일부로 Cloud CDN을 사용 설정하여 성능을 더욱 개선하고 서비스 비용을 절감할 수 있습니다.

Cloud CDN이란 무엇인가요?

Cloud CDN(Content Delivery Network)은 Google의 전 세계에 분산된 에지 접속 지점을 사용하여 사용자와 가까운 위치에 부하 분산 콘텐츠의 사본을 캐시합니다.

Cloud CDN으로 웹 성능을 향상시킬 수 있는 방법

Cloud CDN이 성능을 개선하는 방법에는 여러 가지가 있습니다.

요청을 줄여 백엔드 인프라 오프로드 및 확장

Cloud CDN 캐시에서 제공하는 요청은 부하 분산기가 이미지, 동영상, 자바스크립트 또는 스타일시트와 같은 정적 요소에 대한 요청을 백엔드 인프라로 보낼 필요가 없음을 의미합니다. 이렇게 하면 정상적인 작업 중에 부하를 줄일 수 있을 뿐만 아니라 Google의 에지 인프라가 백엔드 제공 인프라의 부하를 늘리지 않고도 요청 급증을 처리할 수 있습니다. 이를 통해 백엔드 인프라가 대화형 웹 환경을 위한 동적 HTML과 같은 사용자별 응답을 생성하는 데 집중할 수 있습니다.

에지에서 정적 애셋 제공

Google의 글로벌 에지에서 캐시된 요청을 전송하므로 클라이언트 요청에 대한 응답 시간을 줄일 수 있습니다. 이미지, 동영상, 자바스크립트, 스타일시트와 같은 웹 환경의 정적 요소는 요청을 백엔드 시스템으로 전달하고 응답 및 데이터 전송을 기다릴 필요 없이 즉시 제공할 수 있습니다.

이그레스 및 백엔드 인프라 비용 절감

외부 HTTP(S) 부하 분산기와 함께 Cloud CDN을 사용하면 백엔드로 들어오는 트래픽이 감소되어 백엔드 인프라 비용을 줄일 수 있습니다. 또한 Google 에지에서 전송되므로 정적 콘텐츠를 전달하는 주기 수를 줄일 수 있습니다. Cloud CDN 트래픽은 보다 저렴한 이그레스 비용으로 청구되므로 추가적인 비용 억제 효과가 있습니다.

외부 HTTP(S) 부하 분산기에 Cloud CDN 사용 설정

기존 외부 HTTP(S) 부하 분산기에 대해 또는 새 부하 분산기 설정 시 Cloud CDN을 사용 설정할 수 있습니다.

외부 HTTP(S) 부하 분산기 설정 도중 Cloud CDN 사용 설정

백엔드 구성 중에 Cloud CDN 사용 설정 체크박스를 선택합니다. 자세한 내용은 Cloud CDN 안내 가이드를 참조하세요.

기존 외부 HTTP(S) 부하 분산기에 Cloud CDN 사용 설정

기존 외부 HTTP(S) 부하 분산기 구성의 부하 분산기 세부정보 화면에서 수정 을 클릭하여 부하 분산기를 수정할 수 있습니다.

그런 다음 백엔드 구성 섹션에서 Cloud CDN 사용 설정 체크박스를 선택할 수 있습니다. gcloud 명령어를 포함한 자세한 안내는 Cloud CDN 안내 가이드를 참조하세요.

Google Cloud Armor로 웹 보호 개선

외부 HTTP(S) 부하 분산기를 사용하면 Google의 글로벌 에지에 HTTP(S) 연결을 설정하여 이 프로세스를 처리할 필요가 없도록 백엔드 인프라를 오프로드함으로써 웹 보호 수단을 제공합니다. 외부 HTTP(S) 부하 분산기의 일부로 Google Cloud Armor를 사용 설정하면 인프라와 애플리케이션 공격에 대한 가시성과 제어가 강화됩니다.

Google Cloud Armor란 무엇인가요?

Google Cloud Armor는 외부 HTTP(S) 부하 분산기와 함께 작동하는 DDoS 및 애플리케이션 레이어 방어를 제공합니다. 공격에 대한 가시성을 제공하고 사전 구성된 커스텀 규칙을 배포하여 웹 애플리케이션 및 서비스에 대한 공격을 완화할 수 있습니다. 외부 HTTP(S) 부하 분산기와 마찬가지로 Google Cloud Armor는 Google 네트워크의 에지에서 제공되어 소스와 가까운 인프라 및 애플리케이션 공격을 방어하는 데 도움이 됩니다.

Google Cloud Armor로 웹 보호를 개선하는 방법

Google Cloud Armor에서 보호를 개선하는 방법에는 여러 가지가 있습니다.

대부분의 볼륨 DDoS 공격을 자동으로 차단

Google Cloud Armor는 외부 HTTP(S) 부하 분산기와 연동되어 네트워크 프로토콜 및 프로토콜 플러드(SYN, TCP, HTTP, ICMP) 및 증폭 공격(NTP, UDP, DNS)과 같은 볼륨 DDoS 공격을 자동으로 차단합니다. Google Cloud Armor는 원래 검색, Gmail, 지도와 같은 Google 자체 웹 서비스를 방어하기 위해 개발된 기술을 기반으로 합니다.

일반적인 애플리케이션 공격을 감지하고 완화하도록 사전 구성된 WAF 규칙 포함

Google Cloud Armor는 웹 인프라에 대한 SQL 삽입, 교차 사이트 스크립팅, 명령어 삽입 공격과 같은 일반적인 웹 공격을 감지하고 선택적으로 완화하는 데 도움이 되는 사전 구성된 웹 애플리케이션 방화벽(WAF) 규칙 라이브러리를 제공합니다.

지리적 소스, IP 주소 또는 IP 범위로 감지 및 차단

Google Cloud Armor는 Google의 지역-IP 데이터베이스를 활용하여 웹 인프라를 대상으로 하는 수신 요청의 지리적 리전을 식별하고 2문자 국가 코드를 기반으로 트래픽을 차단할 수 있게 해줍니다. 예를 들어 특정 국가 외부로 배송하지 않는 온라인 상거래 사이트는 일반적인 공격 트래픽 소스의 요청을 차단할 수 있습니다. 또한 Google Cloud Armor는 악성 요청을 만드는 특정 IP 주소 또는 IP 주소 범위를 빠르게 차단할 수 있습니다.

애플리케이션 레이어 HTTP(S) 공격을 모니터링하고 완화할 수 있는 가시성 제공

또한 Google Cloud Armor는 다양한 HTTP(S) 시맨틱스를 사용하여 수신 요청의 복잡한 패턴을 일치시킬 수 있는 커스텀 규칙 언어를 제공합니다. 여기에는 헤더, 쿠키, URL, 쿼리 문자열 요소, 사용자 에이전트 패턴, HTTP 메서드가 포함됩니다.

외부 HTTP(S) 부하 분산기에 Google Cloud Armor 사용 설정

보안 정책은 Google Cloud Armor 구성을 주도합니다. 이러한 정책은 기본 제공 규칙을 사용 설정하고 보호를 위한 커스텀 규칙을 지원합니다. Google Cloud Armor를 배포하려면 보안 정책을 만들고 규칙을 추가한 후 이 정책을 하나 이상의 HTTP(S) 부하 분산 백엔드 서비스에 연결해야 합니다. 각 규칙은 트래픽에서 감지할 매개변수, 트래픽이 이러한 매개변수와 일치하는 경우 실행할 작업, 정책 계층 구조에서 규칙의 위치를 결정하는 우선순위 값을 지정합니다.

Google Cloud Armor 보안 정책 만들기

상위 단계에서 외부 HTTP(S) 부하 분산기로 들어오는 트래픽을 허용 또는 거부하는 규칙을 사용 설정하도록 Google Cloud Armor 보안 정책을 구성하는 단계입니다.

  1. 네트워크 보안 - Google Cloud Armor 화면에서 Google Cloud Armor 보안 정책을 만듭니다.
  2. IP 목록, 커스텀 표현식 또는 사전 구성된 WAF 규칙(예: SQL 삽입 또는 교차 사이트 스크립팅)을 기반으로 정책에 규칙을 추가합니다.
  3. 액세스 권한을 제어할 외부 HTTP(S) 부하 분산기의 백엔드 서비스에 Google Cloud Armor 보안 정책을 연결합니다.
  4. 필요에 따라 Google Cloud Armor 보안 정책을 업데이트합니다.

자세한 안내는 Google Cloud Armor 안내 가이드를 참조하세요.

다음 단계