연결 테스트의 일반적인 사용 사례

연결 테스트에서는 트래픽이 네트워크 내 엔드포인트 간에 성공적으로 이동할 수 있는지 평가합니다. 이는 네트워크 구성을 분석하고 특정 사용 사례에서는 프로브 패킷을 전송하여 연결 가능성을 평가합니다.

이 페이지에서는 6가지 카테고리로 분류된 연결 테스트의 일반적인 사용 사례를 설명합니다.

  • 공유 VPC 및 VPC 네트워크 피어링을 사용하는 네트워크 등의 VPC(Virtual Private Cloud) 네트워크 내에서 테스트
  • Google 관리 서비스 테스트(미리보기)
  • 온프레미스 데이터 센터와 같이 VPC 네트워크에서 VPC가 아닌 네트워크로 테스트
  • Google Cloud 외부 네트워크부터 VPC 네트워크까지 테스트
  • Google Cloud 외부 네트워크부터 다른 Google Cloud 외부 네트워크까지 테스트
  • Google Cloud 부하 분산기 테스트

잘못된 구성 또는 일관성 없는 구성 감지는 이러한 시나리오에 대처하는 방법에 대해 설명합니다.

한 가상 머신(VM) 인스턴스에서 다른 가상 머신 인스턴스로 테스트의 사용 사례는 Google Cloud Console에서 제공되는 테스트 결과를 포함한 전체 엔드 투 엔드 테스트 시나리오를 설명합니다.

테스트 실행 방법에 대한 안내는 연결 테스트 실행을 참조하세요.

trace 다이어그램 범례

이 페이지의 trace 다이어그램은 다음 범례에 설명된 기호를 사용합니다.

기호 이름 의미
패킷 trace 다이어그램 범례: 회색 삼각형
회색 삼각형
체크포인트 연결 테스트가 구성을 확인하고 trace 패킷을 전달, 전송 또는 중단해야 하는지 결정하는 결정 지점입니다.
패킷 trace 다이어그램 범례: 파란색 직사각형
파란색 직사각형
VPC 네트워크에서 다음 홉(예: Cloud Load Balancing 프록시나 Cloud VPN 터널)으로 패킷을 전달하는 Google Cloud 리소스를 나타내는 trace 패킷의 전달 경로에서의 단계입니다.
패킷 trace 다이어그램 범례: 주황색 육각형
주황색 육각형
엔드포인트 trace 패킷의 소스 또는 대상

VPC 네트워크 내에서 테스트

연결 테스트의 일반적인 사용 사례는 동일한 VPC 네트워크나 피어링된 VPC 네트워크에서 Compute Engine 가상 머신(VM) 인스턴스 두 개 간에 테스트하는 것입니다. 이 유형의 테스트에서 연결 테스트는 구성 분석과 동적 확인을 모두 사용하여 연결 가능성을 평가합니다.

구성을 분석하도록 연결 테스트에서 trace 경로를 식별하고 평가합니다.

다음 다이어그램에서는 두 VM 인스턴스 간의 일반적인 trace 경로를 보여줍니다. Match routes 객체는 단일 VPC 네트워크 또는 피어링된 두 VPC 네트워크 간의 트래픽을 유도하는 경로를 나타낼 수 있습니다.

소스 VM에서 대상 VM까지 trace
소스 VM에서 대상 VM까지 trace

다음 단계에서는 trace 다이어그램의 각 점에 해당하는 체크포인트를 설명합니다. 각 체크포인트에서 검사가 실패할 수 있습니다. 쿼리 결과에서는 각 실패 이유를 보여줍니다. 테스트 상태 및 메시지의 전체 목록은 구성 분석 상태 참조를 확인하세요.

  1. 연결 테스트에서는 소스 VM이 지정된 소스 IP 주소로 이그레스 패킷을 보낼 수 있는지 또는 기본 내부 IP 주소로 보내도록 기본 설정되어 있는지 확인합니다. 그렇지 않은 경우 해당 VM에 IP 전달이 사용 설정되어 있어야 합니다.
  2. 연결 테스트는 VM 인스턴스를 오가는 시뮬레이션된 패킷이 이 인스턴스가 소유하지 않은 IP 주소를 사용하는 경우 스푸핑 검사를 수행합니다. VM이 소유한 IP 주소에는 모든 VM 내부 IP 주소와 보조 IP 주소가 포함됩니다.

    주소가 외부 주소라고도 하는 외부 트래픽에서 시작하는 주소이면 IP 주소에서 스푸핑 검사가 실패합니다.

  3. 소스에서 trace 패킷을 전송할 수 있는지 여부를 확인하기 위해 연결 테스트에서 적절한 이그레스 방화벽 규칙을 확인합니다. 이 프로세스의 일부로 연결 테스트는 존재하는 계층식 방화벽 정책 규칙을 평가하여 시작됩니다. 계층식 방화벽 정책 규칙과 VPC 방화벽 규칙이 연결에 미치는 영향에 대한 자세한 내용은 계층식 방화벽 정책 예시를 참조하세요.
  4. 연결 테스트는 라우팅 순서에 따라 대상 IP 주소의 경로를 찾습니다(일치). 대상 VM 인스턴스에 사용할 수 있는 다른 경로가 없으면 연결 테스트는 다음 홉과 함께 인터넷 게이트웨이로 기본 정적 경로를 사용합니다. 모든 VPC 네트워크는 제거하지 않는 한 이 기본 경로를 사용합니다.
  5. 연결 테스트는 네트워크의 인그레스 방화벽 규칙이 패킷이 대상 VM에 도달하도록 허용하는지 확인합니다. 다시 한 번 말하지만 연결 테스트는 존재하는 계층식 방화벽 정책 규칙을 평가하여 시작됩니다.
  6. 필요한 경우 연결 테스트는 두 번째 VM에 도착한 패킷에서 스푸핑 검사를 실행합니다.
  7. 연결 테스트는 대상 VM이 지정된 대상 IP 주소를 가진 패킷을 수신할 수 있는지 확인합니다. 이 주소가 외부 IP 주소인 경우 대상 VM에 IP 전달이 사용 설정되어 있어야 합니다. 외부 IP 주소는 VM에 속하지 않는 주소입니다.

Console

Google Cloud Console의 다음 스크린샷에서는 VM 간 테스트 결과를 보여줍니다.

구성 분석 결과는 패킷을 전송할 수 있음입니다(API 응답에서 이 라벨은 Deliver 최종 상태에 해당됨).

이 결과는 구성 분석이 소스 VM에서 대상 VM까지의 경로에서 모든 Google Cloud 리소스의 네트워크 연결을 검증했음을 보여줍니다. 이 경우 경로에는 VPC 방화벽 규칙 두 개가 포함되어 있습니다. default라는 이름의 VPC 방화벽 규칙과 이 VPC 네트워크용으로 생성된 규칙입니다.

또한 연결 테스트에서는 활성 프로브를 사용하여 대상 VM에 연결할 수 있는지 동적으로 확인합니다. 마지막 패킷 전송 결과 필드에 이 결과의 세부정보가 표시됩니다.

VM 간 trace에 대한 Cloud Console 스크린샷
VM 간 trace에 대한 Cloud Console 스크린샷

trace 경로에서 각 카드를 펼쳐 세부정보를 볼 수 있습니다.

다음 예시는 인그레스 방화벽 규칙 카드를 펼친 모습을 보여줍니다. 이 카드에는 VPC 네트워크에 대한 정보, 방화벽 규칙에 대해 구성된 작업(허용), 규칙 우선순위가 포함됩니다.

인그레스 방화벽 규칙 카드를 펼친 모습
인그레스 방화벽 규칙 카드를 펼친 모습

피어링된 VPC 네트워크가 다음 홉인 VPC 네트워크 경로가 trace에 포함된 경우 trace의 시작은 VM 인스턴스가 아니라 VPC 네트워크입니다. 이러한 유형의 trace는 개발자가 테스트하는 IP 주소가 VM 인스턴스가 아닌 네트워크 범위에서 가져오므로 네트워크 수준에서 방화벽 규칙과 경로의 유효성을 검사합니다.

피어링된 네트워크는 동일하거나 다른 프로젝트에 존재할 수 있습니다. 다음 trace 예시는 다른 프로젝트에서 피어링된 네트워크를 보여줍니다.

다른 프로젝트에서 액세스 가능한 피어링된 VPC 네트워크를 통한 VM 간 trace
다른 프로젝트에서 액세스 가능한 피어링된 VPC 네트워크를 통한 VM 간 trace

VPC 네트워크 테스트 실패

다음 표에는 VPC 네트워크 내 테스트에 대한 일반적인 실패가 나열되어 있습니다.

실패 유형 설명 trace 결과
방화벽 규칙에 의해 차단 소스 또는 대상 엔드포인트에서 출발하는 트래픽은 계층식 방화벽 정책 규칙이나 VPC 방화벽 규칙에서 차단합니다.
  • 계층식 방화벽 정책 규칙에서 연결을 차단하는 경우 trace에 정책 이름이 포함됩니다. 테스트를 실행하는 사용자에게 정책 세부정보를 볼 권한이 없을 수 있습니다. 이 상황에 대한 자세한 내용은 문제 해결을 참조하세요.
  • VPC 방화벽 규칙에서 연결을 차단하는 경우 trace에는 관련 인그레스 또는 이그레스 방화벽 규칙의 이름이 나열됩니다.
일치하는 경로 없음 대상 엔드포인트로의 경로를 찾을 수 없습니다.
  • 소스 및 대상 VM 인스턴스가 다른 VPC 네트워크에 있고 이 네트워크가 피어링되지 않으면 분석 결과는 패킷이 삭제될 수 있음입니다.
  • VM이 동일한 네트워크에 있지만 일치하는 경로를 찾을 수 없으면 트래픽은 기본 정적 경로에서 다음 기본 홉과 함께 인터넷 게이트웨이로 전송됩니다. 이 경우 트래픽은 대상 VM으로 전송되지 않으며 분석 결과는 패킷이 삭제될 수 있음입니다.
  • 인터넷 게이트웨이에 대한 경로가 없으면 분석 결과는 패킷이 삭제될 수 있음입니다.
인스턴스가 실행 중이 아님 대상 VM 인스턴스가 존재하지만 실행 중 상태가 아닙니다. 분석 결과는 패킷을 삭제할 수 있음입니다.
잘못된 다음 홉 VM 인스턴스에 대해 구성된 다음 홉이 더 이상 존재하지 않으며 해당 인스턴스에 대한 경로가 유효하지 않습니다. 분석 결과는 패킷을 삭제할 수 있음입니다.

Console

다음 스크린샷은 인그레스 계층식 방화벽 정책 규칙에서 연결을 차단하여 실패한 trace를 보여줍니다.

계층식 방화벽 정책 규칙에서 차단한 trace의 Cloud Console 스크린샷
계층식 방화벽 정책 규칙에서 차단한 trace의 Cloud Console 스크린샷

공유 VPC 네트워크 테스트 실패

공유 VPC 네트워크에서 호스트 프로젝트 또는 서비스 프로젝트에 대한 권한이 없으면 다음 표에 나열된 테스트 실패가 발생할 수 있습니다.

실패 유형 동작 trace 결과
호스트 프로젝트에만 해당하는 권한 대상 IP 주소가 있는 서비스 프로젝트에 대한 권한이 없으므로 trace를 실행할 수 없습니다. 구성 분석 결과는 구성 분석 중단됨입니다(API 응답에서 이 라벨은 Abort 최종 상태에 해당됨).
서비스 프로젝트에만 해당하는 권한

권한이 없으므로 Cloud Console에서 trace를 실행하거나 호스트 프로젝트 네트워크를 선택할 수 없습니다.

호스트 프로젝트는 네트워크 구성을 소유하므로 호스트 프로젝트의 VPC 방화벽 규칙, 네트워크 경로 또는 IP 주소에 대한 액세스 권한이 없으면 서비스 프로젝트의 리소스에 대한 trace를 진행할 수 없습니다.

연결 테스트에서는 패킷을 대상으로 전송할 수 있는지 여부를 확인할 수 없으므로 전체 연결 가능성 결과는 Undetermined입니다.

VPC 네트워크 피어링 네트워크의 테스트 실패

VPC 네트워크 피어링을 사용하는 경우 primary 네트워크에서 peered 네트워크의 Google Cloud 프로젝트에 대한 권한이 없으면 다음 표에 나열된 테스트 실패가 발생할 수 있습니다.

실패 유형 동작 trace 결과
피어링된 VPC 네트워크에서 프로젝트 구성에 대한 권한이 없습니다. 연결 테스트는 기본 네트워크 프로젝트의 구성만 추적할 수 있습니다. 구성 분석 결과는 패킷을 전송할 수 있음입니다. 이 결과는 패킷이 네트워크에서 액세스할 수 없는 네트워크로 전송됨을 나타냅니다. 이 경우 패킷이 피어링된 네트워크 게이트웨이로 전달되었습니다. API 응답에서 이 상태는 Forward에 해당됩니다.

다음 trace 경로는 피어링된 VPC 네트워크에 대한 이 실패를 보여줍니다.

다른 프로젝트에서 액세스할 수 없는 피어링된 VPC 네트워크를 통한 VM 간 trace
다른 프로젝트에서 액세스할 수 없는 피어링된 VPC 네트워크를 통한 VM 간 trace

Google 관리 서비스 테스트

Google Kubernetes Engine(GKE) 클러스터 마스터 또는 Cloud SQL 인스턴스와 같은 Google 관리 서비스의 경로에서 연결 테스트 구성 분석을 가져올 수 있습니다. 이러한 리소스가 있는 Google 소유 프로젝트에 액세스할 수 있는 권한이 없는 경우에도 연결 테스트는 프로젝트의 VPC 네트워크 구성을 분석하고 전체 연결 가능성 결과를 제공할 수 있습니다. 연결 테스트는 Google 소유 프로젝트 내에서 분석에 사용되는 구성 세부정보를 제공하지 않습니다.

기본적으로 연결 테스트는 Google 관리 서비스 엔드포인트의 비공개 IP 주소와 네트워크와 Google 소유 네트워크 간의 VPC 네트워크 피어링 연결을 사용하여 테스트 실행을 시도합니다. 엔드포인트에 비공개 IP 주소가 없으면 연결 테스트는 공개 IP 주소를 사용합니다. 연결 테스트는 패킷이 엔드포인트에 도달할 수 있는지 여부를 분석합니다. 여기에는 엔드포인트에 대한 Google 소유 VPC 네트워크 내의 구성 분석이 포함됩니다. 연결 테스트에서 프로젝트 내 구성 문제를 감지하면 분석은 Google 소유 네트워크에 연결하기 전에 중지됩니다.

다음 다이어그램은 GKE 노드와 마스터 간 테스트를 예로 들어 Google 관리 서비스에 대한 연결을 테스트할 때의 trace 경로를 보여줍니다.

소스 GKE 노드에서 대상 GKE 마스터로의 trace
소스 GKE 노드에서 대상 GKE 마스터로의 trace

Cloud SQL에서 VM

이 섹션에서는 Cloud SQL 인스턴스에서 VM으로의 테스트 예시를 설명합니다.

샘플 입력

다음 표는 Cloud SQL 인스턴스의 테스트에 대한 입력 값 예시를 보여줍니다. 성공적인 테스트 출력을 보려면 다음 섹션으로 진행하세요.

입력 매개변수 입력 값
프로토콜 TCP
소스 Cloud SQL 인스턴스 instance-1
소스 프로젝트 my-project
대상 VM vm-1
대상 포트 80

성공적인 테스트

이 섹션에서는 Cloud SQL 인스턴스의 성공적인 테스트 결과 예시를 제공합니다.

Console

다음 Cloud Console 스크린샷은 Reachable의 전반적인 결과를 나타내는 Cloud SQL 인스턴스의 trace를 보여줍니다.

이 결과는 연결 테스트에서 소스 Cloud SQL 인스턴스와 대상 VM 간의 네트워크 연결을 검증했음을 보여줍니다. 여기에는 Cloud SQL 인스턴스가 실행되는 Google 소유 프로젝트 내부의 구성 분석이 포함됩니다. 리소스를 볼 권한이 없기 때문에 trace는 Google 소유 프로젝트의 리소스에 대한 세부정보를 제공하지 않습니다.

Cloud SQL과 VM 간 trace를 보여주는 Cloud Console 스크린샷
Cloud SQL 인스턴스와 VM 간 trace를 보여주는 Cloud Console 스크린샷

GKE 노드에서 GKE 클러스터 마스터

이 섹션에서는 Google Kubernetes Engine(GKE) 노드에서 GKE 클러스터 마스터로의 테스트 예시를 설명합니다.

샘플 테스트 입력

다음 표는 GKE 마스터의 테스트에 입력할 값의 예시를 보여줍니다. 성공적인 테스트 출력을 보려면 다음 섹션으로 진행하세요.

입력 매개변수 입력 값
프로토콜 TCP
소스 GKE 노드 gke-cluster-1-node-1
소스 프로젝트 my-project
대상 GKE 클러스터 마스터 projects/myproject/locations/us-central1/clusters/cluster-1
대상 포트 443

성공적인 테스트

이 섹션에서는 성공적인 GKE 마스터 테스트의 결과 예시를 제공합니다.

Console

다음 Cloud Console 스크린샷은 Reachable의 전반적인 결과를 나타내는 대상 GKE 마스터의 trace를 보여줍니다.

이 결과는 연결 테스트에서 소스 GKE 노드와 대상 GKE 마스터 간의 네트워크 연결을 검증했음을 보여줍니다. 여기에는 마스터가 실행되는 Google 소유 프로젝트 내의 리소스 구성 분석이 포함됩니다. 리소스를 볼 권한이 없기 때문에 trace는 Google 소유 프로젝트의 리소스에 대한 세부정보를 제공하지 않습니다.

GKE 노드와 마스터 간 trace를 보여주는 Cloud Console 스크린샷
GKE 노드와 마스터 간 trace를 보여주는 Cloud Console 스크린샷

공개 IP 주소를 통해 GKE 노드에서 GKE 마스터

다음 표는 공개 IP 주소를 통해 GKE 마스터의 테스트에 입력할 값의 예시를 보여줍니다. 성공적인 테스트 출력을 보려면 다음 섹션으로 진행하세요.

샘플 테스트 입력

입력 매개변수 입력 값
프로토콜 TCP
소스 GKE 노드 gke-cluster-1-node-1
소스 프로젝트 my-project
대상 IP 주소 104.1.1.1
대상 포트 443

성공적인 테스트

이 섹션에서는 공개 IP 주소를 통한 성공적인 GKE 마스터 테스트의 예시를 설명합니다.

Console

다음 Cloud Console 스크린샷은 Reachable의 전반적인 결과를 나타내는 GKE 마스터의 공개 IP 주소에 대한 trace를 보여줍니다.

이 결과는 연결 테스트에서 GKE 마스터가 아닌 GKE 마스터가 실행되는 네트워크와 GKE 노드 간의 네트워크 연결을 검증했음을 보여줍니다. 공개 IP 주소를 통해 테스트할 때 연결 테스트는 마스터가 실행되는 Google 소유 프로젝트 내의 리소스 구성을 분석하지 않습니다.

공개 IP 주소를 통한 GKE 노드와 마스터 간 trace를 보여주는 Cloud Console 스크린샷
공개 IP 주소를 통한 GKE 노드와 마스터 간 trace를 보여주는 Cloud Console 스크린샷

Google 관리 서비스 테스트 실패

Google 관리 서비스를 테스트할 때 패킷이 서비스 내부에서 삭제되었다는 오류 메시지(예: DROPPED_INSIDE_GKE_SERVICE 또는 DROPPED_INSIDE_CLOUD_SQL_SERVICE)로 인해 테스트가 실패할 수 있습니다. 이 메시지는 서비스를 호스팅하는 Google 소유 프로젝트의 구성 문제를 나타낼 수 있습니다. 예를 들면 다음과 같습니다.

  • 동일한 클러스터에서 GKE 마스터와 GKE 노드 간(두 방향 모두)의 연결을 테스트했습니다.
  • 소스와 대상이 모두 동일한 리전에 있는 네트워크에 연결된 Cloud SQL 인스턴스에 대한 VPC 네트워크의 연결을 테스트했습니다.

앞에 나열된 사례에서 앞에서 언급한 오류 메시지가 표시되면 지원팀에 문의하세요. 그렇지 않으면 오류 메시지에 잘못된 입력이 표시될 수 있습니다. 존재하는 엔드포인트를 대상으로 테스트 중이고 Google 소유 프로젝트의 관리형 리소스에 연결해야 하는지 확인합니다. 예를 들어 GKE 노드에서 GKE 마스터로 테스트하는 경우 노드가 존재하고 마스터에 연결할 수 있는지 확인합니다.

샘플 테스트 입력: VM에서 다른 리전의 Cloud SQL 인스턴스

다음 표에서는 VM이 Cloud SQL 인스턴스와 다른 리전에 있는 경우 VM에서 Cloud SQL 인스턴스로의 테스트에 입력할 값의 예시를 보여줍니다. 실패한 테스트의 출력을 보려면 다음 섹션으로 진행하세요.

입력 매개변수 입력 값
프로토콜 TCP
소스 VM instance-1
이 VM은 Cloud SQL 인스턴스와 다른 리전에 있습니다.
소스 프로젝트 my-project
대상 Cloud SQL 인스턴스 vm-1
대상 포트 5432

실패한 테스트

이 섹션에서는 실패한 Cloud SQL 인스턴스 테스트의 예시를 설명합니다.

Console

다음 Cloud Console 스크린샷은 Unreachable의 전반적인 결과를 나타내는 대상 Cloud SQL 인스턴스의 trace를 보여줍니다.

실패한 VM에서 Cloud SQL로의 trace를 보여주는 Cloud Console 스크린샷
실패한 VM에서 Cloud SQL로의 trace를 보여주는 Cloud Console 스크린샷

VPC 네트워크부터 Google Cloud 외부 네트워크까지 테스트

연결 테스트 구성 분석을 사용하여 Cloud VPN이나 Cloud Interconnect를 통해 VPC 네트워크에서 Google Cloud 외부 네트워크로의 연결을 테스트할 수 있습니다. 일반적으로 Google Cloud 외부 네트워크는 온프레미스 네트워크 또는 다른 클라우드 제공업체의 네트워크입니다.

구성 분석은 피어 네트워크에 있는 라우터나 VPN 게이트웨이의 외부 IP 주소만 기준으로 네트워크 경로를 평가합니다.

다음 예시에서는 정적 라우팅을 사용하는 기본 VPN 터널을 통한 VPC 네트워크의 VM1에서 온프레미스 네트워크의 VM2까지의 trace를 보여줍니다.

정적 경로를 사용하여 Cloud VPN 터널을 통한 패킷 trace
정적 경로를 사용하여 Cloud VPN 터널을 통한 패킷 trace

일치하는 대상 IP 주소의 정적 또는 동적 경로가 피어 네트워크에 있으면 구성 분석은 경로 우선순위에 따라 경로를 비교하고 확인합니다.

인터넷 게이트웨이가 다음 홉인 모든 대상에는 기본 정적 경로가 있습니다. 이 기본 경로를 제거하거나 수정하지 않는 한 연결 테스트는 이 기본 경로와 비교할 수 있습니다.

기본 정적 경로가 존재하지 않고 대상에 대한 다른 유효한 경로가 없으면 trace는 최종 상태 Drop을 반환합니다.

정적 라우팅을 사용하여 Google Cloud 외부 네트워크까지의 경로 trace
정적 라우팅을 사용하여 Google Cloud 외부 네트워크까지의 경로 trace


동적 라우팅을 사용하여 Google Cloud 외부 네트워크까지의 경로 trace
동적 라우팅을 사용하여 Google Cloud 외부 네트워크까지의 경로 trace

Google Cloud 외부 네트워크부터 VPC 네트워크까지 테스트

구성 분석은 패킷이 VPC 네트워크에 도달할 수 있게 되면 VPC 네트워크가 온프레미스 네트워크에서 인바운드 패킷을 수신할 수 있는지 확인합니다. 또한 분석은 VPC 네트워크 구성이 이 패킷을 의도한 대상으로 전송할 수 있는지도 확인합니다. 구성 분석에 패킷을 전송할 수 있음이 표시됩니다(API 응답에서 최종 상태는 Forward). 대상이 연결 가능한 것으로 간주됩니다.

VPC 네트워크가 Cloud Router를 통해 온프레미스 네트워크와 피어링하면 VPC 네트워크는 피어링된 온프레미스 네트워크에서 하나 이상의 동적 경로를 수신합니다. 동시에 VPC 네트워크는 피어링된 온프레미스 네트워크까지의 자체 경로를 공지합니다.

연결 테스트에는 온프레미스 네트워크 구성에 대한 액세스 권한이 없기 때문에 온프레미스 라우터에서 올바른 경로 및 방화벽 규칙의 구성을 확인할 수 없습니다. 따라서 온프레미스 네트워크에서 VPC 네트워크로 전송되는 트래픽은 항상 연결 테스트 구성 분석에서 유효한 것으로 간주됩니다.

하지만 연결 테스트에서 VPC 구성이 패킷을 Google Cloud의 대상으로 전달할 수 있는지 여부를 평가할 수 있습니다. 연결 가능성을 평가하도록 다음 Google Cloud 리소스를 평가합니다.

  • VPC 네트워크의 인그레스 방화벽 규칙
  • Cloud Router가 온프레미스(피어) 네트워크에 공지하는 VPC 네트워크의 IP 주소에 대한 공지 경로

샘플 테스트 입력

다음 표에서는 이전 섹션에서 설명한 Google Cloud 부하 분산기의 테스트에 입력할 값의 예시를 보여줍니다. 성공적인 테스트 출력을 보려면 다음 섹션으로 진행하세요.

입력 매개변수 입력 값
프로토콜 TCP
온프레미스 IP 주소 샘플 10.0.29.2
Google Cloud에서 사용되는 IP 주소입니다 체크박스 온프레미스 IP 소스 주소를 지정할 때 이 체크박스를 선택 취소합니다.

성공적인 온프레미스 네트워크 테스트

이 섹션에서는 온프레미스 네트워크에서 VPC 네트워크까지의 성공적인 테스트 예시를 설명합니다.

Console

다음 테스트 결과는 온프레미스 IP 주소에서 VM 인스턴스까지 Cloud VPN을 통한 연결을 평가합니다. 또한 경계 게이트웨이 프로토콜(BGP) 세션, 경로, VPC 방화벽 규칙도 평가합니다.

온프레미스부터 Google Cloud까지의 성공적인 테스트를 위한 출력 예시
온프레미스부터 Google Cloud까지의 성공적인 테스트를 위한 출력 예시

2개의 Google Cloud 외부 네트워크 간 테스트

연결 테스트 구성 분석을 사용하여 Network Connectivity Center를 통해 연결된 2개의 Google Cloud 외부 네트워크 간의 연결 가능성을 평가할 수 있습니다. 이 컨텍스트에서 Google Cloud 외부 네트워크는 일반적으로 온프레미스 데이터 센터 또는 지사입니다.

연결 테스트에는 온프레미스 네트워크 구성에 대한 액세스 권한이 없기 때문에 온프레미스 라우터에서 경로 및 방화벽 규칙의 구성을 확인할 수 없습니다. 따라서 온프레미스 네트워크에서 VPC 네트워크로의 트래픽은 항상 연결 테스트 구성 분석에서 유효한 것으로 간주되며 Google Cloud 내의 구성만 확인됩니다.

구성 분석은 Network Connectivity Center 스포크와 연결된 Cloud Router에서 온프레미스 네트워크 범위를 학습합니다. 온프레미스 네트워크 간 연결에 영향을 줄 수 있는 VPC 네트워크 내의 구성 문제를 식별할 수 있습니다.

모든 Network Connectivity Center 스포크 유형은 Cloud Router를 사용하여 BGP 세션을 통해 경로를 교환합니다. 예를 들면 다음과 같습니다.

  • 라우터 어플라이언스 스포크: Cloud Router와 라우터 어플라이언스 인스턴스가 동일한 리전에 있으면 서로 경로를 교환합니다.
  • Cloud VPN 및 VLAN 연결 스포크: Cloud Router가 온프레미스 네트워크의 라우터와 BGP 경로를 교환합니다.

Network Connectivity Center에 대한 자세한 내용은 Network Connectivity Center 개요를 참조하세요.

라우터 어플라이언스를 통해 2개의 Google Cloud 외부 네트워크 간 테스트

다음 예시에서 연결 테스트는 한 온프레미스 네트워크에서 다른 온프레미스 네트워크로 시뮬레이션된 패킷을 추적합니다. 패킷은 첫 번째 온프레미스 네트워크에 연결된 라우터 어플라이언스 스포크의 VPC 네트워크로 들어갑니다. 이때 패킷은 두 번째 온프레미스 네트워크에 연결된 라우터 어플라이언스 스포크와 연결된 Cloud Router가 공지한 동적 경로를 따릅니다. 패킷이 두 번째 라우터 어플라이언스 인스턴스에서 온프레미스 네트워크에 연결됩니다.

샘플 입력

다음 표에서는 온프레미스 네트워크의 IP 주소에서 테스트의 입력 값 예시를 보여줍니다. 성공적인 테스트 출력을 보려면 다음 섹션으로 진행하세요.

입력 매개변수 입력 값
프로토콜 TCP
소스 엔드포인트 IP 주소 192.168.1.1
Google Cloud에서 사용되는 IP 주소입니다 체크박스 온프레미스 IP 소스 주소를 지정할 때 이 체크박스를 선택 취소합니다.
대상 엔드포인트 IP 주소 172.16.1.1
Google Cloud에서 사용되는 IP 주소입니다 체크박스 온프레미스 IP 대상 주소를 지정할 때 이 체크박스를 선택 취소합니다.

온프레미스 네트워크에서 다른 온프레미스 네트워크로의 성공적인 테스트

이 섹션에서는 라우터 어플라이언스 스포크를 통해 하나의 온프레미스 네트워크에서 다른 온프레미스 네트워크로의 성공적인 테스트 예시를 설명합니다.

Console

다음 테스트 결과는 두 라우터 어플라이언스 인스턴스를 통해 온프레미스 네트워크에서 다른 온프레미스 네트워크로의 연결을 평가합니다. BGP 세션, 경로, VPC 방화벽 규칙도 평가합니다.

온프레미스에서 온프레미스로의 성공적인 테스트를 위한 출력 예시
온프레미스에서 온프레미스로의 성공적인 테스트를 위한 출력 예시

Cloud VPN 및 Cloud Interconnect를 통해 Google Cloud 외부의 두 네트워크 간 테스트

다음 예시에서 연결 테스트는 한 온프레미스 네트워크에서 다른 온프레미스 네트워크로 시뮬레이션된 패킷을 추적합니다. 패킷은 VPN 게이트웨이를 통해 VPC 네트워크에 들어갑니다. 패킷이 Interconnect 연결을 통해 다른 온프레미스 네트워크에 도달합니다.

샘플 입력

다음 표에서는 온프레미스 네트워크의 IP 주소에서 테스트의 입력 값 예시를 보여줍니다. 성공적인 테스트 출력을 보려면 다음 섹션으로 진행하세요.

입력 매개변수 입력 값
프로토콜 TCP
소스 엔드포인트 IP 주소 10.0.0.1
Google Cloud에서 사용되는 IP 주소입니다 체크박스 온프레미스 IP 소스 주소를 지정할 때 이 체크박스를 선택 취소합니다.
대상 엔드포인트 IP 주소 10.240.0.1
Google Cloud에서 사용되는 IP 주소입니다 체크박스 온프레미스 IP 대상 주소를 지정할 때 이 체크박스를 선택 취소합니다.
대상 포트 80

온프레미스 네트워크에서 다른 온프레미스 네트워크로의 테스트 예시

이 섹션에서는 VPN 및 VLAN 연결 스포크를 통해 하나의 온프레미스 네트워크에서 다른 온프레미스 네트워크로의 테스트 예시를 설명합니다.

Console

다음 테스트 결과는 VPN 및 VLAN 연결 스포크를 통해 온프레미스 네트워크에서 다른 온프레미스 네트워크로의 연결을 평가합니다.

온프레미스에서 온프레미스로의 성공적인 테스트를 위한 출력 예시
VPN 및 VLAN 연결 스포크를 통해 온프레미스에서 온프레미스로의 성공적인 테스트를 위한 출력 예시

Google Cloud 부하 분산기 테스트

연결 테스트 구성 분석에서는 모든 유형의 Google Cloud 부하 분산기에 시뮬레이션된 패킷을 추적할 수 있습니다.

외부 HTTP(S) 부하 분산기의 trace 경로는 TCP 프록시 부하 분산기와 SSL 프록시 부하 분산기에도 적용됩니다. 자세한 내용은 Cloud Load Balancing 개요를 참조하세요.

다음 예시에서 연결 테스트는 외부 HTTP(S) 부하 분산기를 위해 외부 호스트에서 VIP로 시뮬레이션된 패킷을 추적합니다. 외부 호스트에서 시작되는 TCP 연결은 외부 HTTP(S) 부하 분산기의 프록시에서 종료됩니다. 그런 다음 외부 HTTP(S) 부하 분산기가 부하 분산기 백엔드로 작동하는 VM에 대한 새 TCP 연결을 시작합니다.

외부 HTTP(S) 부하 분산기의 일반적인 trace 경로 및 다이어그램 범례
외부 HTTP(S) 부하 분산기까지의 일반적인 trace 경로

다음 trace 경로에서 연결 테스트 구성 분석은 부하 분산기 백엔드 3개에 가능한 경로 하나씩 trace 3개를 제공합니다. 연결 테스트는 실시간 데이터 영역이 아닌 구성만 확인하므로 이를 수행합니다.

외부 HTTP(S) 부하 분산기까지의 패킷 trace
외부 HTTP(S) 부하 분산기에 대한 패킷 trace(다이어그램 범례 참조)

샘플 테스트 입력

다음 표에서는 이전 섹션에서 설명한 외부 HTTP(S) 부하 분산기의 테스트에 입력할 값의 예시를 보여줍니다. 성공적인 테스트 출력을 보려면 다음 섹션으로 진행하세요.

입력 매개변수 입력 값
대상 프로토콜 TCP
대상 포트 80
외부 소스 IP 주소 샘플(표시되지 않음) 62.35.1.1
부하 분산기의 외부 IP 주소 203.0.113.99
대상 프로젝트 myproject

성공적인 부하 분산기 테스트

이 섹션에서는 앞에서 설명한 성공적인 외부 HTTP(S) 부하 분산기 테스트의 예시를 설명합니다.

실제 데이터 영역에서 부하 분산 알고리즘은 각 백엔드 연결에 대한 VM 인스턴스를 선택합니다. 이 예시에는 부하 분산기 백엔드가 세 개 있기 때문에 결과 화면에서 trace 선택 메뉴를 사용 설정하면 보려는 trace를 선택할 수 있습니다.

Console

다음의 성공적인 테스트 결과는 외부 HTTP(S) 부하 분산기에 대한 다음 Google Cloud 리소스가 모두 올바르게 구성되었는지 확인합니다.

  • 전달 규칙
  • 부하 분산기가 백엔드에 상태 확인을 성공적으로 보내는 기능을 포함한 부하 분산기 백엔드
  • 프록시 연결
  • VPC 방화벽 규칙

이 결과는 외부 IP 주소에서 시뮬레이션된 패킷이 백엔드 VM 인스턴스에 성공적으로 연결할 수 있음을 보여줍니다.

세 백엔드 모두에 대한 trace의 자세한 예시는 잘못된 구성 또는 일관성 없는 구성 감지를 참조하십시오.

성공적인 외부 HTTP(S) 부하 분산기 테스트를 위한 출력 예시
성공적인 외부 HTTP(S) 부하 분산기 테스트를 위한 출력 예시

외부 HTTP(S) 부하 분산기의 네트워크 경로에서 Google Cloud 리소스를 검토할 권한이 없는 경우에도 Cloud Console에 성공적인 결과를 포함한 결과가 표시됩니다. 하지만 테스트된 각 리소스의 카드에는 'PROJECT_NAME에서 리소스를 볼 수 있는 권한이 없습니다.'라는 메시지가 표시됩니다.

상태 확인을 위한 방화벽 규칙이 누락된 테스트

부하 분산기 trace는 앞에서 설명한 것과 동일한 많은 Google Cloud 리소스 구성을 확인합니다. 그러나 다음 부하 분산기 리소스가 잘못 구성되면 분석에 패킷을 삭제할 수 없음이 표시됩니다(trace의 최종 상태는 Drop).

Console

다음 테스트 결과는 VPC 네트워크의 인그레스 방화벽 규칙이 부하 분산기 백엔드에 대한 상태 확인을 허용하지 않으므로 부하 분산기에서 백엔드를 사용할 수 없음을 보여줍니다.

누락된 방화벽 규칙에 대한 출력 예시
누락된 방화벽 규칙의 출력 예시

유효하지 않은 VPC 방화벽 규칙 외에도 다음 문제는 연결 테스트가 Google Cloud 부하 분산기에서 감지하는 일반적인 구성 문제입니다.

이러한 문제를 해결하려면 다음 표에 설명된 해결책을 사용하세요.

구성 문제 해결책
입력 매개변수가 부하 분산기의 전달 규칙에서 정의한 프로토콜 또는 포트와 일치하지 않습니다. 테스트를 실행하기 전에 입력 매개변수가 전달 규칙에서 정의한 프로토콜이나 포트와 일치하도록 변경합니다.
부하 분산기의 전달 규칙에 백엔드가 구성되어 있지 않습니다. 테스트를 실행하기 전에 부하 분산기의 백엔드를 구성하세요.
부하 분산기에 잘못되거나 일관성이 없는 구성이 있습니다. 테스트를 실행하기 전에 잘못되거나 일관성이 없는 구성을 수정합니다.
내부 TCP/UDP 부하 분산기는 리전 서비스이므로 일치하지 않는 리전이 있는 내부 TCP/UDP 부하 분산기에는 트래픽이 도달하지 못합니다. 테스트를 실행하기 전에 부하 분산기 구성요소가 동일한 리전에 위치하도록 구성합니다.

다음 단계