연결 테스트 개요

연결 테스트는 네트워크 엔드포인트 간 연결을 확인할 수 있게 해주는 진단 도구입니다. 구성을 분석하고 경우에 따라 엔드포인트 간에 실시간 데이터 영역 분석을 수행합니다. 엔드포인트란 VM, Google Kubernetes Engine(GKE) 클러스터, 부하 분산기 전달 규칙, 인터넷 IP 주소와 같은 네트워크 트래픽의 소스 또는 대상을 의미합니다.

연결 테스트는 네트워크 구성을 분석하기 위해 Virtual Private Cloud(VPC) 네트워크, Cloud VPN 터널 또는 VLAN 연결을 통해 패킷의 예상 전달 경로를 시뮬레이션합니다. 연결 테스트는 VPC 네트워크의 리소스에 대한 예상 인바운드 전달 경로를 시뮬레이션할 수도 있습니다.

일부 연결 시나리오의 경우 연결 테스트는 실시간 데이터 영역 분석도 수행합니다. 이 기능은 데이터 영역을 통해 패킷을 전송하여 연결을 검증하고 지연 시간 및 패킷 손실에 대한 기준 진단을 제공합니다. 경로가 이 기능을 지원하는 경우 실행하는 각 테스트에는 실시간 데이터 영역 분석 결과가 포함됩니다.

다양한 시나리오에 대한 테스트를 만들고 실행하는 방법을 알아보려면 연결 테스트 만들기 및 실행을 참고하세요.

연결 테스트에 사용되는 API는 Network Management API입니다. 자세한 내용은 API 참고 리소스를 참조하세요.

연결 테스트를 사용하는 이유

연결 테스트를 사용하면 다음과 같은 네트워크 연결 문제를 해결할 수 있습니다.

• 의도하지 않은 일관성이 없는 구성
• 네트워크 구성 변경 또는 마이그레이션으로 인해 사용되지 않는 구성
• 다양한 네트워크 서비스 및 기능의 구성 오류

연결 테스트는 Google 관리형 서비스를 테스트할 때 VPC 네트워크 또는 서비스 리소스에 사용되는 Google 소유 VPC 네트워크에 문제가 있는지 확인하는 데도 도움이 됩니다.

연결 테스트에서 구성을 분석하는 방법

네트워크 구성을 분석할 경우 연결 테스트는 추상 상태 머신을 사용하여 VPC 네트워크가 패킷을 처리하는 방법을 모델링합니다.Google Cloud 에서는 여러 논리적 단계로 패킷을 처리합니다.

분석은 수많은 경로를 취할 수 있음

구성 분석에서 다양한 VPC 네트워크 서비스와 기능을 지원하므로 VPC 네트워크 구성을 통과하는 테스트 패킷은 수많은 경로를 취할 수 있습니다.

다음 다이어그램에서는 구성 분석이 Compute Engine 인스턴스 두 개(왼쪽에 하나, 오른쪽에 하나) 간에 trace 트래픽을 시뮬레이션하는 방법의 모델을 보여줍니다.

분석은 네트워크 인프라에 따라 달라짐

Google Cloud 네트워크 및 리소스 구성에 따라 이 트래픽은 대상 Compute Engine 인스턴스에 도달하기 전에 Cloud VPN 터널, VPC 네트워크, Google Cloud 부하 분산기 또는 피어링된 VPC 네트워크를 통과할 수 있습니다.

분석은 수많은 유한 상태 중 하나를 따름

패킷이 전송되거나 삭제될 때까지 불연속 상태 사이의 제한된 단계 수는 유한 상태 머신으로 모델링됩니다. 이 유한 상태 머신은 한 번에 여러 유한 상태 중 정확히 한 곳에 있을 수 있으며 여러 후속 상태를 가질 수 있습니다.

예를 들어 경로 우선순위에 따라 연결 테스트가 여러 경로와 일치하는 경우 Google Cloud 는 데이터 평면의 지정되지 않은 해싱 기능을 기반으로 여러 경로 중에서 경로를 선택할 수 있습니다. 정책 기반 경로가 구성된 경우 연결 테스트는 패킷을 내부 부하 분산기인 다음 홉으로 라우팅합니다.

이전의 경우 연결 테스트 trace는 가능한 모든 경로를 반환하지만 Google Cloud 가 경로를 반환하는 데 사용한 방법을 확인할 수 없습니다. 해당 메서드는 Google Cloud내부에 있으며 변경될 수 있기 때문입니다.

Google 관리 서비스

Cloud SQL 및 Google Kubernetes Engine(GKE)과 같은 Google 관리형 서비스는 Google이 소유하고 관리하는 프로젝트와 VPC 네트워크의 고객에게 리소스를 할당합니다. 고객은 이러한 리소스에 액세스할 권한이 없습니다.

연결 테스트 구성 분석은 계속해서 테스트를 실행하고 Google 관리형 서비스에 대한 전반적인 연결 가능성 결과를 제공할 수 있지만 Google이 소유한 프로젝트에서 테스트된 리소스의 세부정보는 제공하지 않습니다.

다음 다이어그램에서는 구성 분석이 고객 VPC 네크워크의 Compute Engine 인스턴스에서 Google 소유 VPC 네트워크의 Cloud SQL 인스턴스까지의 trace 트래픽을 시뮬레이션하는 방법에 대한 모델을 보여줍니다. 이 예시에서 네트워크는 VPC 네트워크 피어링을 통해 연결됩니다.

두 Compute Engine 인스턴스 간의 표준 테스트와 비슷하게 논리적 단계에는 관련 이그레스 방화벽 규칙 확인 및 경로 일치 단계가 포함됩니다. 테스트를 실행할 경우 연결 테스트 구성 분석은 이러한 단계의 세부정보를 제공합니다. 하지만 Google 소유 VPC 네트워크의 구성 분석에 대한 최종 논리 단계에서 분석은 전체 연결 가능성 결과만 제공합니다. 리소스를 볼 권한이 없으므로 연결 테스트는 Google 소유 프로젝트의 리소스에 대한 세부정보를 제공하지 않습니다.

자세한 내용은 Google 관리형 서비스의 연결 테스트를 참조하세요.

지원되는 구성

연결 테스트 구성 분석은 다음 섹션에 설명된 네트워크 구성 테스트를 지원합니다.

소스 엔드포인트

연결 테스트 구성 분석은 다음 소스 엔드포인트를 지원합니다.

• Compute Engine 인스턴스
• Cloud Run 버전
• Cloud Run Functions(1세대)
• App Engine 표준 환경
• Cloud SQL 인스턴스
• GKE 컨트롤 플레인
• 인터넷 IP 주소
• 온프레미스 네트워크의 IP 주소
• Compute Engine 인스턴스의 IP 주소
• Cloud SQL 인스턴스의 IP 주소
• GKE 컨트롤 플레인의 IP 주소
• Virtual Private Cloud 네트워크에서 할당되지 않은 IP 주소

대상 엔드포인트

연결 테스트 구성 분석은 다음 대상 엔드포인트를 지원합니다.

• Compute Engine 인스턴스
• Cloud SQL 인스턴스
• GKE 컨트롤 플레인
• 외부 및 내부 애플리케이션 부하 분산기
• 외부 및 내부 프록시 네트워크 부하 분산기
• 외부 및 내부 패스 스루 네트워크 부하 분산기
• Private Service Connect 엔드포인트
• Memorystore for Redis Cluster
• Memorystore for Redis 인스턴스
• 인터넷 IP 주소
• 온프레미스 네트워크의 IP 주소
• 전달 규칙의 IP 주소
• Compute Engine 인스턴스의 IP 주소
• Cloud SQL 인스턴스의 IP 주소
• GKE 컨트롤 플레인의 IP 주소
• Memorystore for Redis Cluster의 IP 주소
• Memorystore for Redis 인스턴스의 IP 주소

Google Cloud 네트워킹 기능

다음 기능을 사용하는 리소스 간의 연결을 테스트할 수 있습니다(해당하는 경우 IPv4 및 IPv6 둘 다 지원됨).

• VPC 네트워크
• VPC 네트워크 피어링
• 공유 VPC
• 비공개 Google 액세스
• Cloud Load Balancing
• 별칭 IP 범위
• 비공개로 사용되는 공개 IPv4 주소
• 네트워크 인터페이스가 여러 개인 Compute Engine 인스턴스
• VPC 라우팅
• VPC 방화벽 규칙
• 리전 네트워크 방화벽 정책
• 계층식 방화벽 정책 및 전역 네트워크 방화벽 정책
• 방화벽을 위한 Resource Manager 태그(여러 네트워크 인터페이스가 있는 Compute Engine 인스턴스에 연결된 경우 포함)
• 정책 기반 경로
• Private Service Connect
• 다중 네트워크 인터페이스가 있는 인스턴스를 포함하여 IPv6 주소가 있는 인스턴스
• Network Connectivity Center용 하이브리드 스포크 및 VPC 스포크
• Public NAT 및 Private NAT
• Cloud VPN
• Cloud Interconnect
• BGP 및 정적 경로를 사용하는 동적 경로를 포함한 Cloud Router

Cloud Load Balancing 고려사항

Cloud Load Balancing의 경우 연결 테스트 구성 분석은 다음 기능을 지원합니다.

• 부하 분산기 IP 주소에 대한 연결 테스트
• Cloud Load Balancing 상태 확인의 백엔드에 대한 연결 확인
• 내부 TCP/UDP 부하 분산기를 다음 홉으로 사용할 수 있음

지원되지 않는 Cloud Load Balancing 기능은 지원되지 않는 구성 섹션을 참조하세요.

연결 테스트에서 부하 분산기의 백엔드를 분석하는 방법에 관한 자세한 내용은 부하 분산기 테스트의 trace 수를 참조하세요.

Google Kubernetes Engine 고려사항

GKE의 경우 연결 테스트 구성 분석은 다음 기능을 지원합니다.

• GKE 노드와 GKE 컨트롤 플레인 간의 연결
• Cloud Load Balancing을 통한 GKE 서비스에 대한 연결

VPC 기반 클러스터에서 GKE 포드에 대한 연결이 지원됩니다. 하지만 GKE 네트워크 정책과 같은 일부 GKE 네트워킹 기능은 지원되지 않습니다.

지원되지 않는 GKE 기능은 지원되지 않는 구성 섹션을 참조하세요.

서버리스 엔드포인트 고려사항

서버리스 엔드포인트의 소스 IP 주소는 일반적으로 비결정적입니다. 각 테스트 실행에서 연결 테스트는 서버리스 엔드포인트에서 사용할 수 있는 주소 풀에서 임의의 IP 주소를 선택합니다. 서버리스 엔드포인트에 IP 주소가 할당되는 방식에 관한 일반적인 내용은 다음을 참조하세요.

• 외부 연결의 경우 IP 주소를 참조하세요.
• 서버리스 VPC 액세스 커넥터를 통한 연결은 가상 프라이빗 클라우드 네트워크로 서버리스 트래픽 전송을 참조하세요.
• 직접 VPC 이그레스를 통한 연결은 IP 주소 할당을 참조하세요. 이 연결 유형은 Cloud Run에서만 사용할 수 있습니다.

경우에 따라 직접 VPC 이그레스 및 서버리스 VPC 액세스 커넥터는 가상 프라이빗 클라우드 네트워크 대신 외부 연결을 통해 서버리스 엔드포인트의 트래픽을 라우팅하도록 구성됩니다.

지원되지 않는 서버리스 기능은 지원되지 않는 구성 섹션을 참조하세요.

지원되지 않는 구성

연결 테스트 구성 분석은 다음 네트워크 구성에 대한 테스트를 지원하지 않습니다.

• 지리적 위치 객체, 위협 인텔리전스 데이터, FQDN 객체가 있는 방화벽 정책 규칙은 지원되지 않습니다. 이러한 방화벽이 특정 트래픽 흐름에 영향을 줄 수 있는 경우 연결 테스트는 상응하는 경고를 반환합니다.
• FQDN을 대상으로 하는 인터넷 NEG 백엔드는 지원되지 않습니다. 하지만 IP 주소를 대상으로 하는 인터넷 NEG 백엔드는 지원됩니다.
• Cloud Service Mesh 부하 분산기(INTERNAL_SELF_MANAGED 전달 규칙 포함)는 지원되지 않습니다.
• 외부 애플리케이션 부하 분산기 IP 주소에 대한 연결을 추적할 때는 Google Cloud Armor 정책을 고려하거나 사용하지 않습니다.
• Compute Engine 인스턴스에 연결된 HA VPN 게이트웨이는 지원되지 않습니다.
• GKE 네트워크 정책 및 IP 마스커레이딩 구성은 GKE 클러스터 및 노드 내의 IP 주소에 대한 연결을 추적할 때 고려되거나 사용되지 않습니다.
• DNS 이름으로 정의된 Cloud SQL 외부 서버 복제본은 지원되지 않습니다. 하지만 IP 주소로 정의된 외부 서버 복제본은 지원됩니다.
• Cloud Run Functions(2세대)는 지원되지 않습니다. 그러나 기본 Cloud Run 버전에 대한 연결 테스트를 만들어 Cloud Run 함수(2세대)에서 연결을 테스트할 수 있습니다. Cloud Run 버전은 Cloud Run 함수가 배포될 때마다 생성됩니다.
• App Engine 가변형 환경은 지원되지 않습니다.
• Cloud Run 작업은 지원되지 않습니다. 자세한 내용은 서비스, 작업, 작업자 풀: 코드 실행을 위한 세 가지 방법을 참고하세요.

연결 테스트에서 실시간 데이터 영역을 분석하는 방법

실시간 데이터 영역 분석 기능은 소스 엔드포인트에서 대상으로 프로브 패킷을 여러 개 전송하여 연결을 테스트합니다. 대상 위치가 Google Cloud 리소스가 아닌 경우 소스 엔드포인트와 네트워크 에지 위치 간의 연결이 테스트됩니다.

실시간 데이터 영역 분석 결과에는 전송된 프로브 수, 대상에 성공적으로 연결된 프로브 수, 연결 가능성 상태가 표시됩니다. 이 상태는 다음 표의 설명대로 성공적으로 전송된 프로브 수에 따라 결정됩니다.

상태	대상에 도달한 프로브 수
연결 가능	최소 95% 이상
연결할 수 없음	없음
부분적으로 연결 가능	0 초과, 95% 미만

실시간 데이터 영역 분석은 성공적으로 전송된 패킷 수 표시 이외에 중앙값과 95번째 백분위수 단방향 지연 시간 정보를 표시합니다. 대상 위치가 인터넷 IP 주소인 경우 실시간 데이터 영역 분석은 프로브를 전송하고 트래픽이 라우팅될 수 있는 각 Google 네트워크 에지 라우터의 결과를 표시합니다.

제한사항

실시간 데이터 영역 분석에서 가능한 모든 네트워킹 경로를 다루지 않을 수 있습니다.

• 대상 엔드포인트가 여러 백엔드를 가진 Google Cloud 부하 분산기인 경우 각 실시간 데이터 영역 분석 프로브는 임의의 백엔드로 전송됩니다. 일부 백엔드는 여러 프로브로 테스트할 수 있지만 다른 백엔드는 전혀 테스트되지 않을 수 있습니다.
• 등가 멀티 경로(ECMP) 라우팅의 경우 각 실시간 데이터 영역 분석 프로브는 임의의 경로로 전달됩니다. 일부 라우팅 경로는 여러 프로브로 테스트할 수 있지만 다른 라우팅 경로는 전혀 테스트되지 않을 수 있습니다.
• 실시간 데이터 영역 분석 프로브 수는 기존 네트워킹 경로 수에 따라 달라지지 않으며, 가능한 각 경로를 테스트하기에 충분한 수의 실시간 데이터 영역 분석 프로브가 없을 수 있습니다.

구성 분석과 실시간 데이터 영역 분석 결과 간에 명백한 불일치가 발견되면 연결 테스트 문제 해결을 참조하세요.

지원되는 구성

실시간 데이터 영역 분석은 연결 테스트 구성 분석에서 테스트하는 구성의 하위 집합을 지원합니다.

소스 엔드포인트

실시간 데이터 영역 분석에서는 다음 소스 엔드포인트를 지원합니다.

• Compute Engine 인스턴스
• 서버리스 VPC 액세스 커넥터로 구성되고 다음 리소스 중 하나와 연결된 서버리스 엔드포인트:
  • Cloud Run 버전
  • Cloud Run Functions(1세대)
  • App Engine 표준 환경
• Cloud SQL 인스턴스
• GKE 컨트롤 플레인

대상 엔드포인트

실시간 데이터 영역 분석은 다음 대상 엔드포인트를 지원합니다.

• Compute Engine 인스턴스
• 내부 패스 스루 네트워크 부하 분산기
• 생산자 내부 패스 스루 네트워크 부하 분산기가 있는 Private Service Connect
• 인터넷 IP 주소, 네트워크 에지 위치에 대해 테스트됨
• Cloud Interconnect용 VLAN 연결
• 다음 리소스 중 하나와 연결된 비공개 엔드포인트:
  • Cloud SQL 인스턴스
  • Memorystore for Redis Cluster
  • Memorystore for Redis 인스턴스
  • GKE 컨트롤 플레인

프로토콜

실시간 데이터 영역 분석은 TCP 및 UDP 프로토콜을 지원합니다.

Google Cloud 네트워킹 기능

실시간 데이터 영역 분석은 다음 기능을 지원합니다.

• VPC 네트워크
• VPC 네트워크 피어링
• 공유 VPC
• Network Connectivity Center의 VPC 스포크 및 하이브리드 스포크
• 별칭 IP 범위
• 외부 IP 주소
• 비공개로 사용되는 공개 IPv4 주소를 포함한 내부 IP 주소
• 네트워크 인터페이스가 여러 개인 Compute Engine 인스턴스
• VPC 라우팅
• NAT64를 제외한 Public NAT 및 Private NAT
• VPC 방화벽 규칙
• 계층식 방화벽 정책, 전역 네트워크 방화벽 정책, 리전 네트워크 방화벽 정책
• 여러 네트워크 인터페이스가 있는 Compute Engine 인스턴스에 연결된 경우를 비롯한 방화벽을 위한 보안 태그
• 정책 기반 경로
• 다중 네트워크 인터페이스가 있는 인스턴스를 포함하여 IPv6 주소가 있는 인스턴스

지원되지 않는 구성

실시간 데이터 영역 분석은 다음 네트워크 구성을 지원하지 않으며 실행되지 않습니다.

• Google Cloud 이외의 리소스를 소스 엔드포인트로 사용:
  • 인터넷 IP 주소
  • Cloud Interconnect, Cloud VPN, Network Connectivity Center 하이브리드 스포크를 통한 Google Cloud 로의 인바운드 트래픽
• VPC 네트워크의 할당되지 않은 IP 주소를 소스 엔드포인트로 사용
• 소스 및 대상 엔드포인트가 동일한 Compute Engine 인스턴스임
• 실행 중이 아닌 Compute Engine 인스턴스
• Google API 및 서비스
• 외부 및 내부 애플리케이션 부하 분산기
• 외부 및 내부 프록시 네트워크 부하 분산기
• 외부 패스 스루 네트워크 부하 분산기
• Cloud VPN
• NAT64

고려사항 및 제약조건

연결 테스트 사용 여부를 결정할 때 다음 고려사항을 평가합니다.

• 연결 테스트에서 수행하는 구성 분석은 전적으로 Google Cloud 리소스의 구성 정보를 기반으로 하며 VPC 네트워크의 데이터 영역 실제 조건과 상태를 나타내지 않을 수 있습니다.
• 연결 테스트는 Cloud VPN 터널 상태 및 Cloud Router의 동적 경로와 같은 일부 동적 구성 정보를 얻지만 Google 내부 프로덕션 인프라 및 데이터 영역 구성요소의 상태를 액세스하거나 유지하지 않습니다.
• 연결 테스트의 Packet could be delivered 상태는 트래픽이 데이터 영역을 통과할 수 있음을 보증하지 않습니다. 테스트 목적은 트래픽 손실을 일으킬 수 있는 구성 문제를 확인하는 것입니다.

지원되는 경로의 경우 라이브 데이터 영역 분석 결과는 전송된 패킷이 대상에 도착하는지 여부를 테스트하여 구성 분석 결과를 보완합니다.

연결 테스트에 Google Cloud외부 네트워크에 대한 지식이 없음

외부 네트워크는 다음과 같이 정의됩니다.

• 데이터 센터 또는 하드웨어 기기 및 소프트웨어 애플리케이션을 운영하는 기타 시설에 상주하는 온프레미스 네트워크
• 리소스를 실행하는 기타 클라우드 제공업체
• VPC 네트워크로 트래픽을 전송하는 인터넷의 호스트

연결 테스트는 방화벽 연결을 추적하지 않음

VPC 방화벽에 대한 연결 추적은 신규 및 기존 연결에 대한 정보를 저장하고 해당 정보를 기반으로 후속 트래픽을 허용하거나 제한할 수 있습니다.

방화벽 연결 테이블이 Compute Engine 인스턴스의 데이터 영역에 있고 이 테이블에 액세스할 수 없으므로 연결 테스트 구성 분석은 방화벽 연결 추적을 지원하지 않습니다. 그러나 연결 테스트가 아웃바운드 연결을 시작하는 한 일반적으로 인그레스 방화벽 규칙에 의해 거부되는 반환 연결을 허용하여 구성 분석을 시뮬레이션할 수 있습니다.

실시간 데이터 영역 분석에서는 방화벽 연결 추적 테스트를 지원하지 않습니다.

연결 테스트는 전달 동작을 수정하도록 구성된 Compute Engine 인스턴스를 테스트할 수 없음

연결 테스트는 데이터 영역에서 라우터, 방화벽, NAT 게이트웨이 또는 VPN으로 작동하도록 구성된 Compute Engine 인스턴스를 테스트할 수 없습니다. 이 유형의 구성으로 인해 Compute Engine 인스턴스에서 실행 중인 환경을 평가하기가 어렵습니다. 또한 실시간 데이터 영역 분석에서는 이 유형의 테스트 시나리오를 지원하지 않습니다.

연결 테스트 결과 시간은 다를 수 있음

연결 테스트 결과를 가져오는 데 30초에서 최대 10분이 걸릴 수 있습니다. 테스트에 걸리는 시간은 VPC 네트워크 구성의 크기와 사용하는 Google Cloud 리소스 수에 따라 다릅니다.

다음 표는 쿼리에서 샘플 구성에 대해 테스트를 실행하는 모든 사용자에게 예상되는 응답 시간을 보여줍니다. 이 구성에는 Compute Engine 인스턴스, Cloud VPN 터널, Google Cloud부하 분산기가 포함됩니다.

쿼리 당 응답 시간

프로젝트 규모	Google Cloud 리소스 수	응답 지연 시간
소규모 프로젝트	50개 미만	모든 사용자 쿼리 중 95%에 60초
중간 규모 프로젝트	50개 이상, 5,000개 미만	모든 사용자 쿼리 중 95%에 120초
대규모 프로젝트	5,000개 이상	모든 사용자 쿼리 중 95%에 600초

실시간 데이터 영역 분석은 지속적인 모니터링을 위한 것이 아님

실시간 데이터 영역 분석은 진단 목적으로 네트워크 연결 확인을 한 번 수행합니다. 연결 및 패킷 손실을 지속적으로 모니터링하려면 성능 대시보드를 사용하세요.

VPC 서비스 제어 지원

VPC 서비스 제어는 데이터 무단 반출 위험을 줄이기 위해 연결 테스트에 추가 보안을 제공할 수 있습니다. VPC 서비스 제어를 사용하면 서비스 경계에 프로젝트를 추가하여 외부 요청으로부터 리소스와 서비스를 보호할 수 있습니다.

서비스 경계에 대한 자세한 내용은 VPC 서비스 제어 문서의 서비스 경계 세부정보 및 구성 페이지를 참조하세요.

다음 단계

• 역할 및 권한

• 연결 테스트 만들기 및 실행

• 일반적인 테스트 시나리오

• 잘못되었거나 일관되지 않은 구성 감지

• ICMP 문제 식별 및 해결(튜토리얼)

• 연결 테스트 문제 해결