연결 테스트 개요

컬렉션을 사용해 정리하기 내 환경설정을 기준으로 콘텐츠를 저장하고 분류하세요.

연결 테스트는 네트워크 엔드포인트 간 연결을 확인할 수 있게 해주는 진단 도구입니다. 구성을 분석하고 경우에 따라 엔드포인트 간에 실시간 데이터 영역 분석을 수행합니다. 엔드포인트란 VM, Google Kubernetes Engine(GKE) 클러스터, 부하 분산기 전달 규칙, 인터넷 IP 주소와 같은 네트워크 트래픽의 소스 또는 대상을 의미합니다.

연결 테스트는 네트워크 구성을 분석하기 위해 Virtual Private Cloud(VPC) 네트워크, Cloud VPN 터널 또는 VLAN 연결을 통해 패킷의 예상 전달 경로를 시뮬레이션합니다. 연결 테스트는 VPC 네트워크의 리소스에 대한 예상 인바운드 전달 경로를 시뮬레이션할 수도 있습니다.

일부 연결 시나리오의 경우 연결 테스트는 실시간 데이터 영역 분석도 수행합니다. 이 기능은 데이터 영역을 통해 패킷을 전송하여 연결을 검증하고 지연 시간 및 패킷 손실에 대한 기준 진단을 제공합니다. 경로가 이 기능을 지원하는 경우 실행하는 각 테스트에는 실시간 데이터 영역 분석 결과가 포함됩니다.

연결 테스트에 사용되는 API는 Network Management API입니다. 자세한 내용은 API 문서를 참조하세요.

연결 테스트를 사용하는 이유

연결 테스트를 사용하면 다음과 같은 네트워크 연결 문제를 해결할 수 있습니다.

  • 의도하지 않은 일관성이 없는 구성
  • 네트워크 구성 변경 또는 마이그레이션으로 인해 사용되지 않는 구성
  • 다양한 네트워크 서비스 및 기능의 구성 오류

연결 테스트는 Google 관리 서비스를 테스트할 때 VPC 네트워크 또는 서비스 리소스에 사용되는 Google 소유 VPC 네트워크에 문제가 있는지 확인하는 데도 도움이 됩니다.

연결 테스트에서 구성을 분석하는 방법

네트워크 구성을 분석할 경우 연결 테스트는 추상 상태 머신을 사용하여 VPC 네트워크가 패킷을 처리하는 방법을 모델링합니다. Google Cloud는 여러 논리적 단계로 패킷을 처리합니다.

구성 분석에서 다양한 VPC 네트워크 서비스와 기능을 지원하므로 VPC 네트워크 구성을 통과하는 테스트 패킷은 수많은 경로를 취할 수 있습니다.

다음 다이어그램에서는 구성 분석이 Compute Engine 가상 머신(VM) 인스턴스 두 개(왼쪽에 하나, 오른쪽에 하나) 간에 trace 트래픽을 시뮬레이션하는 방법의 모델을 보여줍니다.

Google Cloud 네트워크 및 리소스 구성에 따라 이 트래픽은 대상 VM 인스턴스에 도달하기 전에 Cloud VPN 터널, Google Cloud 부하 분산기 또는 피어링된 VPC 네트워크를 통과할 수 있습니다.

네트워크 추상 상태 머신
네트워크 추상 상태 머신

패킷이 전송되거나 삭제될 때까지 불연속 상태 사이의 제한된 단계 수는 유한 상태 머신으로 모델링됩니다. 이 유한 상태 머신은 한 번에 여러 유한 상태 중 정확히 한 곳에 있을 수 있으며 여러 후속 상태를 가질 수 있습니다.

예를 들어 경로 우선순위에 따라 연결 테스트가 여러 경로와 일치하는 경우 Google Cloud는 데이터 평면의 지정되지 않은 해싱 기능을 기반으로 여러 경로 중에서 경로를 선택할 수 있습니다.

정책 기반 경로가 구성된 경우 연결 테스트는 패킷을 내부 부하 분산기인 다음 홉으로 라우팅합니다.

이전의 경우 연결 테스트 trace는 가능한 모든 경로를 반환하지만 Google Cloud가 경로를 반환하는 데 사용한 방법을 확인할 수 없습니다. 해당 메서드는 Google Cloud 내부에 있으며 변경될 수 있기 때문입니다.

Google 관리 서비스

Cloud SQL 및 Google Kubernetes Engine(GKE)과 같은 Google 관리 서비스는 Google이 소유하고 관리하는 프로젝트와 VPC 네트워크의 고객에게 리소스를 할당합니다. 고객은 이 리소스에 액세스할 권한이 없습니다.

연결 테스트 구성 분석은 계속해서 테스트를 실행하고 Google 관리 서비스에 대한 전반적인 연결 가능성 결과를 제공할 수 있지만 Google이 소유한 프로젝트에서 테스트된 리소스의 세부정보는 제공하지 않습니다.

다음 다이어그램에서는 구성 분석이 고객 VPC 네트워크의 VM 인스턴스에서 Google 소유 VPC 네트워크의 Cloud SQL 인스턴스까지의 trace 트래픽을 시뮬레이션하는 방법에 대한 모델을 보여줍니다. 이 예시에서 네트워크는 VPC 네트워크 피어링을 통해 연결됩니다.

두 VM 간의 표준 테스트와 비슷하게 논리적 단계에는 관련된 이그레스 방화벽 확인 및 경로 일치 단계가 포함됩니다. 테스트를 실행할 경우 연결 테스트 구성 분석은 이러한 단계의 세부정보를 제공합니다. 하지만 Google 소유 VPC 네트워크의 구성 분석에 대한 최종 논리 단계에서 분석은 전체 연결 가능성 결과만 제공합니다. 리소스를 볼 권한이 없기 때문에 연결 테스트는 Google 소유 프로젝트의 리소스에 대한 세부정보를 제공하지 않습니다.

자세한 내용은 Google 관리형 서비스의 연결 테스트를 참조하세요.

Google 관리 서비스의 네트워크 추상 상태 머신
Google 관리 서비스의 네트워크 추상 상태 머신

지원되는 구성

연결 테스트 구성 분석은 다음 섹션에 설명된 네트워크 구성 테스트를 지원합니다.

트래픽 흐름

  • VM 인스턴스와 인터넷 간
  • 두 VM 인스턴스 간
  • Google Cloud와 온프레미스 네트워크 간
  • Network Connectivity Center를 통해 연결된 두 온프레미스 네트워크 간

VPC 네트워킹 특징

다음 기능을 사용하는 리소스 간의 연결을 테스트할 수 있습니다.

Google Cloud 하이브리드 네트워킹 솔루션

다음과 같은 하이브리드 네트워킹 솔루션이 지원됩니다.

Network Connectivity Center

Network Connectivity Center가 지원됩니다.

Cloud NAT

Cloud NAT가 지원됩니다.

Cloud Load Balancing

  • 외부 HTTP(S) 부하 분산기, 네트워크 부하 분산기, 내부 HTTP(S) 부하 분산기, 내부 TCP/UDP 부하 분산기, 외부 TCP 프록시 부하 분산기, 외부 SSL 프록시 부하 분산기와 같은 Google Cloud 부하 분산기에 대한 연결이 지원됩니다.
  • 부하 분산기 IP 주소에 대한 연결이 지원됩니다.
  • Cloud Load Balancing 상태 확인의 백엔드에 대한 연결이 지원됩니다. 백엔드는 인스턴스 그룹이나 네트워크 엔드포인트 그룹(NEG)일 수 있습니다.
  • 내부 TCP/UDP 부하 분산기를 다음 홉으로 사용할 수 있습니다.

지원되지 않는 Cloud Load Balancing 기능은 지원되지 않는 구성 섹션을 참조하세요.

Google Kubernetes Engine(GKE)

  • GKE 노드와 GKE 제어 영역 간의 연결이 지원됩니다.
    • GKE 제어 영역의 비공개 IP 주소를 테스트할 때 연결 테스트 구성 분석은 패킷을 제어 영역으로 전달할 수 있는지 여부를 결정합니다. 여기에는 Google 소유 VPC 네트워크 내 구성 분석이 포함됩니다.
    • GKE 제어 영역의 공개 IP 주소를 테스트할 때 연결 테스트 구성 분석은 제어 영역이 실행되는 Google 소유 VPC 네트워크에 패킷을 전송할 수 있는지 여부를 결정합니다. 여기에는 Google 소유 VPC 네트워크 내 구성 분석은 포함되지 않습니다.
  • Cloud Load Balancing을 통한 GKE 서비스에 대한 연결이 지원됩니다.
  • VPC 기반 클러스터에서 GKE pod에 대한 연결이 지원됩니다.

지원되지 않는 GKE 기능은 지원되지 않는 구성 섹션을 참조하세요.

기타 Google Cloud 제품 및 서비스

다음과 같은 Google Cloud 제품 또는 서비스가 지원됩니다.

  • Cloud SQL 인스턴스는 지원됩니다.
    • Cloud SQL 인스턴스의 비공개 IP 주소를 테스트할 경우 구성 분석은 패킷이 인스턴스에 전송될 수 있는지 여부를 확인합니다. 여기에는 Google 소유 VPC 네트워크 내의 구성 분석이 포함됩니다.
    • Cloud SQL 인스턴스의 공개 IP 주소를 테스트할 경우 구성 분석은 패킷이 인스턴스가 실행되는 Google 소유 VPC 네트워크에 전송될 수 있는지 여부를 확인합니다. 여기에는 Google 소유 VPC 네트워크 내 구성 분석은 포함되지 않습니다.
  • Cloud Functions(1세대)가 지원됩니다.
  • Cloud Run 버전이 지원됩니다.
  • App Engine 표준 환경이 지원됩니다.

지원되지 않는 구성

연결 테스트 구성 분석에서는 다음 네트워크 구성을 테스트할 수 없습니다.

  • 외부 HTTP(S) 부하 분산기 IP 주소에 대한 연결을 추적할 때는 Google Cloud Armor 정책을 고려하거나 사용하지 않습니다.
  • GKE 네트워크 정책 연결 테스트는 GKE 클러스터 내의 IP 주소에 대한 연결을 추적할 때 네트워크 정책을 포함하지 않습니다.
  • Cloud Storage 버킷을 사용하는 외부 HTTP(S) 부하 분산기는 지원되지 않습니다.
  • Cloud Functions(2세대)는 지원되지 않습니다. 그러나 기본 Cloud Run 버전의 연결 테스트를 만들어 Cloud Functions(2세대)를 테스트할 수 있습니다. Cloud Run 버전은 Cloud 함수가 배포될 때마다 생성됩니다.
  • App Engine 가변형 환경은 지원되지 않습니다.
  • Cloud Run 작업은 지원되지 않습니다. 자세한 내용은 서비스 및 작업: 코드 실행을 위한 두 가지 방법을 참조하세요.
  • 방화벽을 위한 Resource Manager 태그는 지원되지 않습니다. 연결 테스트에서는 VM 인스턴스에 연결된 보안 태그를 분석하지 않습니다.
  • 리전 네트워크 방화벽 정책은 지원되지 않습니다.

연결 테스트에서 실시간 데이터 영역을 분석하는 방법

실시간 데이터 영역 분석 기능은 소스 엔드포인트에서 대상으로 trace 패킷을 여러 개 전송하여 연결을 테스트합니다. 실시간 데이터 영역 분석 결과에는 전송된 프로브 수, 대상에 성공적으로 연결된 프로브 수, 연결 가능성 상태가 표시됩니다. 이 상태는 다음 표의 설명대로 성공적으로 전송된 프로브 수에 따라 결정됩니다.

상태 대상에 도달한 프로브 수
연결 가능 최소 95% 이상
연결할 수 없음 없음
부분적으로 연결 가능 0 초과, 95% 미만

동적 확인은 성공적으로 전송된 패킷 수 표시 이외에 중앙값과 95번째 백분위수 단방향 지연 시간 정보를 표시합니다.

실시간 데이터 영역 분석은 구성 분석에 의존하지 않습니다. 대신 실시간 데이터 영역 분석은 연결 상태에 대한 독립적인 평가를 제공합니다.

구성 분석과 실시간 데이터 영역 분석 결과 간에 명백한 불일치가 발견되면 연결 테스트 문제 해결을 참조하세요.

지원되는 구성

실시간 데이터 영역 분석에서는 다음과 같은 네트워크 구성을 지원합니다.

트래픽 흐름

VPC 네트워킹 특징

다음 기능을 사용하는 리소스 간의 연결을 동적으로 확인할 수 있습니다.

지원되지 않는 구성

명시적으로 지원된다고 나열되지 않은 모든 구성은 지원되지 않습니다. 또한 이그레스 방화벽 규칙에 의해 연결이 차단된 구성도 지원되지 않습니다.

특정 테스트에서 라이브 데이터 영역 분석 기능이 실행되지 않으면 N/A 또는 -마지막 패킷 전송 결과 필드에 표시됩니다.

고려사항

연결 테스트 사용 여부를 결정할 때 다음 고려사항을 평가합니다.

연결 테스트에서 수행하는 구성 분석은 전적으로 Google Cloud 리소스의 구성 정보를 기반으로 하며 VPC 네트워크의 데이터 영역 실제 조건과 상태를 나타내지 않을 수 있습니다.

연결 테스트는 Cloud VPN 터널 상태 및 Cloud Router의 동적 경로와 같은 일부 동적 구성 정보를 얻지만 Google 내부 프로덕션 인프라 및 데이터 영역 구성요소의 상태를 액세스하거나 유지하지 않습니다.

연결 테스트의 Packet could be delivered 상태는 트래픽이 데이터 영역을 통과할 수 있음을 보증하지 않습니다. 테스트 목적은 트래픽 손실을 일으킬 수 있는 구성 문제를 확인하는 것입니다.

지원되는 경로의 경우 라이브 데이터 영역 분석 결과는 전송된 패킷이 대상에 도착하는지 여부를 테스트하여 구성 분석 결과를 보완합니다.

연결 테스트에 Google Cloud 외부 네트워크에 대한 지식이 없음

외부 네트워크는 다음과 같이 정의됩니다.

  • 데이터 센터 또는 하드웨어 기기 및 소프트웨어 애플리케이션을 운영하는 기타 시설에 상주하는 온프레미스 네트워크
  • 리소스를 실행하는 기타 클라우드 제공업체
  • VPC 네트워크로 트래픽을 전송하는 인터넷의 호스트

연결 테스트는 방화벽 연결을 추적하지 않음

VPC 방화벽에 대한 연결 추적은 신규 및 기존 연결에 대한 정보를 저장하고 해당 정보를 기반으로 후속 트래픽을 허용하거나 제한할 수 있습니다.

방화벽 연결 테이블이 VM 인스턴스의 데이터 영역에 있고 이 테이블에 액세스할 수 없으므로 연결 테스트 구성 분석은 방화벽 연결 추적을 지원하지 않습니다. 그러나 연결 테스트가 아웃바운드 연결을 시작하는 한 일반적으로 인그레스 방화벽 규칙에 의해 거부되는 반환 연결을 허용하여 구성 분석을 시뮬레이션할 수 있습니다.

실시간 데이터 영역 분석에서는 방화벽 연결 추적 테스트를 지원하지 않습니다.

연결 테스트는 전달 동작을 수정하도록 구성된 VM 인스턴스를 테스트할 수 없음

연결 테스트는 데이터 영역에서 라우터, 방화벽, NAT 게이트웨이, VPN 등으로 작동하도록 구성된 VM 인스턴스를 테스트할 수 없습니다. 이 유형의 구성으로 인해 VM 인스턴스에서 실행 중인 환경을 평가하기가 어렵습니다. 또한 실시간 데이터 영역 분석에서는 이 테스트 시나리오를 지원하지 않습니다.

연결 테스트 결과 시간은 다를 수 있음

연결 테스트 결과를 가져오는 데 30초에서 최대 10분이 걸릴 수 있습니다. 테스트에 걸리는 시간은 VPC 네트워크 구성 크기 및 사용하는 Google Cloud 리소스 수에 따라 달라집니다.

다음 표는 쿼리에서 샘플 구성에 대해 테스트를 실행하는 모든 사용자에게 예상되는 응답 시간을 보여줍니다. 이 구성에는 VM 인스턴스, Cloud VPN 터널, Google Cloud 부하 분산기가 포함됩니다.

쿼리 당 응답 시간
프로젝트 규모 Google Clpud 리소스 수 응답 지연 시간
소규모 프로젝트 50개 미만 모든 사용자 쿼리 중 95%에 60초
중간 규모 프로젝트 50개 이상, 5,000개 미만 모든 사용자 쿼리 중 95%에 120초
대규모 프로젝트 5,000개 이상 모든 사용자 쿼리 중 95%에 600초

실시간 데이터 영역 분석은 지속적인 모니터링을 위한 것이 아님

실시간 데이터 영역 분석은 진단 목적으로 네트워크 연결 확인을 한 번 수행합니다. 연결 및 패킷 손실을 지속적으로 모니터링하려면 성능 대시보드를 사용하세요.

실시간 데이터 영역 분석에서 여러 trace를 테스트하지 않음

경로가 확정적이지 않은 경우에는 실시간 데이터 영역 분석이 지원되지 않습니다.

연결 가능성 정의

방화벽 및 경로와 같은 네트워크 구성에 따라 서로 간의 트래픽 전송이 허용되는 경우 다른 엔드포인트에서 리소스에 연결될 수 있습니다. 예를 들어 네트워크 구성에 따라 VM1이 VM2로 패킷을 전송할 수 있으면 VM2가 VM1에서 연결될 수 있다라고 말합니다.

연결 테스트는 특정 소스에서 특정 대상으로 연결할 수 있는지를 측정합니다. VM1이 VM2에 연결할 수 있다고 해서 VM3도 VM2에 연결할 수 있다고는 말할 수 없습니다.

연결 테스트는 단방향성 연결 가능성을 측정합니다. VM1이 VM2에 연결할 수 있다고 해서 VM2도 VM1에 연결할 수 있지는 않습니다. 방화벽 규칙이 한 방향의 트래픽을 허용하고 다른 방향은 허용하지 않을 수 있습니다.

연결 테스트는 특정 프로토콜 및 대상 포트에 대한 연결 가능성을 측정합니다. VM1이 tcp:443에서 VM2에 연결할 수 있다고 해서 tcp:80에서도 연결이 가능한 것은 아닙니다.

연결 테스트는 소스에서 대상으로의 패킷 전달에 영향을 줄 수 있는 Google Cloud VPC 네트워크 구성만 테스트합니다. 대상에서 실행되는 서버가 적합한지, 운영체제 방화벽 규칙이 트래픽을 차단하는지, 바이러스 페이로드가 포함된 패킷을 보안 소프트웨어가 차단하는지 등은 확인되지 않습니다.

연결 가능성이라는 개념은 그래프 이론에서 시작되었습니다. 개념적으로 네트워크의 전체 연결 가능성 그래프에는 노드로서의 모든 엔드포인트 및 소스 노드에서 대상 노드로의 연결 가능성을 나타내는 방향성 에지가 포함됩니다.

연결 가능성 분석은 네트워크 연결 가능성을 결정하기 위해 수행할 수 있는 분석 본문을 설명하는 보다 일반적인 용어입니다. 연결 가능성 분석의 사용 사례 중 하나가 연결 테스트입니다. 이 경우 연결은 네트워크 연결 상태를 나타냅니다.

네트워크 전달 경로의 모든 단계에서 연결 가능성 분석은 기본 네트워크 구성에 대한 결과를 테스트하고 제공합니다. 예를 들어 연결 테스트는 Google Cloud 방화벽 규칙과 시뮬레이션된 테스트 패킷에 적용되는 경로를 분석합니다.

연결 테스트 작동 방식

연결 테스트에는 구성 분석과 실시간 데이터 영역 분석이라는 두 가지 주요 구성요소가 있습니다. 이 섹션에서는 이 두 가지 유형의 분석 작동 방식에 대해 설명합니다.

구성 분석 작동 방식

이 섹션에서는 연결 테스트 및 구성요소의 작동 방식을 설명합니다.

연결 테스트에서는 이상적인 구성 모델과 비교하여 테스트 경로의 Google Cloud 리소스를 평가하는 연결 가능성 분석을 수행합니다. 패킷을 보내 데이터 영역 상태를 확인하고 지원되는 구성에 대한 기준 정보를 제공하는 실시간 데이터 영역 분석 기능으로 강화됩니다. 동적 확인 작동 방식에 대한 자세한 내용은 실시간 데이터 영역 분석 작동 방식을 참조하세요.

네트워크 관리자는 분석 결과에 영향을 줄 수 있는 여러 가지 구성을 제어할 수 있지만 일부 예외가 적용됩니다. 예를 들어 Cloud SQL 인스턴스와 같은 Google 관리형 서비스를 호스팅하는 VPC 네트워크는 제어할 수 없습니다. 또한 권한 제한으로 인해 네트워크에 영향을 주는 계층식 방화벽 정책 규칙울 제어할 권한이 없을 수 있습니다.

연결 테스트를 실행할 때 특정 매개변수 집합을 입력하면 네트워크 trace 또는 쿼리 형식으로 형식이 지정된 결과가 수신됩니다. 테스트 네트워크에 여러 가능한 경로가 있는 경우 연결 테스트는 trace를 두 개 이상 생성합니다. 예를 들어 대상 엔드포인트가 백엔드가 여러 개 있는 Google Cloud 부하 분산기인 경우입니다.

  • 일치는 연결 테스트에서 시뮬레이션된 패킷이 테스트 경로까지 계속 이동할 수 있도록 허용하는 Google Cloud 구성을 찾았음을 의미합니다.
  • 일치하는 구성 없음은 연결 테스트에서 일치하는 구성을 찾을 수 없음을 의미합니다. 따라서 구성이 존재하지 않습니다.
  • 거부된 일치는 연결 테스트에서 시뮬레이션된 테스트 패킷을 삭제해야 하는 Google Cloud 구성을 찾았음을 의미합니다.

연결 테스트 구성요소

연결 테스트는 구성 분석에 필요한 다른 모든 테스트 하위 구성요소가 포함된 최상위 구성요소입니다. 이러한 구성요소는 다음과 같습니다.

  • 소스 및 대상 엔드포인트
  • 구성 분석에서 결정하는 전반적인 연결 가능성 결과를 포함하여 테스트 및 trace의 연결 가능성 세부정보
  • 각각 1개 이상의 단계를 포함하는 1개 이상의 trace
  • 각 단계의 상태

각 테스트의 이름은 고유해야 하고 각 단계에는 상태 및 관련된 Info 메타데이터가 있습니다. 예를 들어 단계가 경로를 확인하면 RouteInfo 메타데이터가 해당 단계에 포함됩니다.

다음 다이어그램은 두 Compute Engine VM 인스턴스 간의 테스트를 보여줍니다. 테스트 구성요소에 대한 설명은 다음 섹션을 참조하세요.

VM 간 trace의 상태 머신
VM 간 trace의 상태 머신

소스 및 대상 엔드포인트

연결 테스트 구성 분석은 소스 포트가 없는 5튜플 패킷 헤더를 지원합니다. 이는 소스 포트가 Google Cloud 네트워크 구성의 리소스 검증에 사용되지 않기 때문입니다. 따라서 테스트를 실행할 때 이를 제공할 필요가 없습니다.

패킷 헤더에는 다음 구성요소가 포함됩니다.

  • 네트워크 프로토콜
  • 다음 중 하나로 구성된 소스 엔드포인트:
    • 소스 IP 주소
    • VM 인스턴스 이름
    • GKE 제어 영역의 클러스터 이름
    • Cloud SQL 인스턴스 이름
  • 다음 중 하나와 포트 번호로 구성된 대상 엔드포인트:
    • 대상 IP 주소
    • VM 인스턴스 이름
    • GKE 제어 영역의 클러스터 이름
    • Cloud SQL 인스턴스 이름

네트워크 위치를 고유하게 식별하기 위해 Google Cloud 또는 Google Cloud 이외의 네트워크 유형, 또는 네트워크 유형과 IP 주소 또는 VM 인스턴스 이름의 조합을 지정할 수도 있습니다.

VM, IP 주소, Google 관리 서비스에는 다음과 같은 네트워킹 프로토콜이 지원됩니다.

  • TCP
  • UDP
  • ICMP
  • ESP
  • AH
  • SCTP
  • IPIP

서버리스 VPC 액세스 커넥터는 다음과 같은 네트워킹 프로토콜을 지원합니다.

  • TCP
  • UDP

TCP 또는 UDP 프로토콜의 대상 포트가 지원됩니다. 포트를 지정하지 않으면 기본 설정은 포트 80입니다.

trace, 단계, 상태

구성 분석에는 trace가 하나 이상 포함됩니다. 각 trace는 테스트에서 하나의 고유한 시뮬레이션된 패킷 전달 경로를 나타냅니다.

  • 각 trace에는 여러 단계가 순서대로 포함되어 있습니다.
  • 각 단계에는 연결 테스트에서 해당 단계를 확인하는 Google Cloud 구성과 관련된 상태가 포함됩니다.
  • 상태는 최종이 아닌 상태와 최종 상태로 분류됩니다.
최종이 아닌 상태

최종이 아닌 상태는 VM 인스턴스, 엔드포인트, 방화벽 규칙, 경로, Google Cloud 부하 분산기와 같은 테스트 경로의 각 Google Cloud 리소스에 대한 구성 확인을 나타냅니다.

다음과 같은 4가지의 최종이 아닌 상태가 있습니다.

  • 초기
  • 구성 확인
  • 전달
  • 전환

자세한 내용은 구성 분석 상태를 참조하세요.

최종 상태

각 trace는 trace의 마지막 단계인 최종 상태로 끝나야 합니다.

다음과 같은 4가지의 최종 상태가 있습니다.

  • Drop
  • Abort
  • Forward
  • Deliver

각 상태에는 관련된 이유가 있습니다. 자세한 내용은 각 최종 상태의 세부정보를 참조하세요.

전체적인 연결 가능성 결과

또한 구성 분석은 Reachable, Unreachable, Ambiguous 또는 Undetermined 값 중 하나를 취할 수 있는 전체 연결 가능성 결과를 제공합니다.

전체 연결 가능성 결과를 아는 것이 모니터링 또는 자동화 설정에 도움이 될 수 있습니다.

자세한 내용은 전체 연결 가능성 결과를 참조하세요.

스푸핑 검사

연결 테스트는 VM 인스턴스를 오가는 시뮬레이션된 패킷이 이 인스턴스가 소유하지 않은 IP 주소를 사용하는 경우 스푸핑 검사를 수행합니다. VM이 소유한 IP 주소에는 모든 VM 내부 IP 주소와 보조 IP 주소가 포함됩니다.

주소가 외부 주소라고도 하는 외부 트래픽에서 시작하는 주소이면 IP 주소에서 스푸핑 검사가 실패합니다.

메타데이터

각 상태에는 Info 필드 형식으로 연결된 메타데이터가 있을 수 있습니다. 예를 들어 InstanceInfo에는 이름 및 IP 주소를 포함하여 VM 인스턴스에 대한 세부정보가 포함됩니다.

구성 분석은 테스트 자체의 메타데이터와 테스트 각 단계의 메타데이터를 제공합니다.

실시간 데이터 영역 분석 작동 방식

실시간 데이터 영역 분석에 사용되는 프로브 메커니즘은 게스트 OS를 포함하지 않으며 사용자에게 완전 투명하게 처리됩니다. 프로브는 소스 엔드포인트를 대신하여 네트워크에 삽입되고 대상 엔드포인트로 전송되기 직전에 삭제됩니다. 프로브는 일반 네트워크 결제, 원격 분석 측정항목, 흐름 로그에서 제외됩니다.

VPC 서비스 제어 지원(미리보기)

VPC 서비스 제어는 데이터 무단 반출 위험을 줄이기 위해 연결 테스트에 추가 보안을 제공할 수 있습니다. VPC 서비스 제어를 사용하면 서비스 경계에 프로젝트를 추가하여 외부 요청으로부터 리소스와 서비스를 보호할 수 있습니다.

서비스 경계에 대한 자세한 내용은 VPC 서비스 제어 문서의 서비스 경계 세부정보 및 구성 페이지를 참조하세요.

다음 단계