네트워크 분석기를 사용하면 예상대로 작동하지 않는 구성을 감지할 수 있습니다. 이러한 잘못된 구성은 일부 설정 오류 또는 다른 변경으로 인한 회귀로 인해 발생할 수 있습니다. 서로 다른 팀이 이러한 잘못된 구성의 영향을 받는 서비스를 소유하는 경우 이러한 문제를 해결하기가 어려울 수 있습니다. 이러한 실패가 발생했을 때 이를 발견하고 근본 원인을 파악하면 더 빠르게 문제를 해결하고 서로 다른 팀 간에 효과적으로 커뮤니케이션하는 데 도움이 됩니다.
방화벽 차단으로 인한 구성 오류
Google Cloud 서비스를 차단하는 방화벽 구성 오류는 초기 설정 중에 또는 이후에 발생할 수 있습니다.
초기 설정 중
Google Cloud 서비스가 작동하지 못하도록 차단하는 일반적인 방화벽 오류는 다음과 같습니다.
- 방화벽 구성이 누락되었습니다. 예를 들어 부하 분산기의 상태 점검 방화벽이 구성되지 않았습니다.
- 오류가 있는 구성을 유발하는 수동 구성 프로세스에 오타가 있습니다.
- VM 태그가 누락되어 구성이 일관되지 않습니다. 예를 들어 예상 대상 VM 태그로 방화벽 규칙을 구성했지만 일부 백엔드 VM이 특정 태그와 연결되어 있지 않습니다.
초기 설정 후
의도치 않은 방화벽 구성 변경으로 인해 제대로 작동하는 서비스가 중단될 수 있습니다. 예를 들어 의도치 않게 GKE 또는 Cloud SQL 서비스에 대한 연결을 차단하는 우선순위가 더 높은 방화벽 거부 규칙을 만들 수 있습니다.
시나리오: 부하 분산기의 상태 점검 방화벽이 구성되지 않음
이 예시에서 네트워크 분석기는 상태 점검 방화벽이 구성되지 않음 유형의 부하 분산기 통계 카테고리에 속하는 통계를 보고합니다. 통계 세부정보 페이지는 부하 분산기가 구성된 네트워크의 묵시적 인그레스 거부 규칙을 보여줍니다. 인그레스 거부 규칙은 상태 점검 범위를 차단합니다. 이는 부하 분산기의 백엔드에 상태 점검 범위를 허용하도록 구성된 방화벽 규칙이 없음을 나타냅니다.
상태 점검 범위가 부하 분산기 백엔드에 액세스하도록 명시적으로 허용하도록 상태 점검 방화벽 규칙을 구성합니다.
시나리오: 방화벽 규칙에 의해 차단된 GKE 노드와 제어 영역 간의 연결
이 예시에서 영역 연결을 제어하는 GKE 노드 유형의 GKE 노드 연결 통계 카테고리에 속하는 통계가 생성됩니다.
통계 세부정보 페이지는 GKE 노드에서 클러스터의 제어 영역으로의 연결을 거부하는 방화벽 규칙이 있음을 보여줍니다. 이 문제는 거부 규칙으로 인해 발생합니다. 이 규칙을 삭제하거나 더 높은 우선순위를 설정하여 문제를 해결하세요.
시나리오: 방화벽 규칙에 의해 차단된 GKE 제어 영역과 노드 간의 연결
이 예시에서는 GKE 제어 영역과 노드 간의 연결 유형의 GKE 제어 영역 연결 통계 카테고리에 속하는 통계가 생성됩니다.
이 통계 세부정보 페이지는 GKE 제어 영역에서 클러스터의 노드로의 연결을 거부하는 방화벽 규칙을 보여줍니다.
라우팅 구성 오류
다음 홉이 잘못된 경로는 일부 또는 전체 트래픽 손실을 초래할 수 있습니다. 이러한 손실은 실행 중이 아니거나 삭제된 다음 홉 VM에 대한 경로가 있기 때문일 수 있습니다.
의도하지 않은 라우팅 변경을 일으킬 수 있는 구성 변경 사항의 시나리오는 다음과 같습니다.
- 동적 경로와 겹치는 IP 주소 범위로 새 서브넷을 추가하면 동적 경로가 섀도 처리되고 이로 인해 트래픽이 중단될 수 있습니다.
- VPN을 통해 새로운 기본 경로를 추가하면 네트워크 성능에 영향을 주는 용량 병목 현상이 발생할 수 있습니다.
시나리오: 다음 홉의 VM이 삭제됨
이 예시에서는 VM이 삭제됨 유형과 함께 잘못된 다음 홉이 있는 경로 카테고리의 통계가 표시됩니다.
통계 세부정보 페이지에는 이 경로의 다음 홉 VM이 삭제되었으므로 이 경로가 잘못된 것으로 보고됩니다.
경로를 삭제하거나 경로의 다음 홉으로 사용할 새 VM 인스턴스를 만듭니다. 이 통계를 발생시킬 수 있는 구성 변경사항이 통계 세부정보 페이지에 표시됩니다. 링크를 클릭하여 Cloud Logging 페이지로 이동하고 변경한 사용자, 변경 시간과 같은 구성 세부정보를 확인합니다.
시나리오: 동적 경로가 섀도 처리됨
이 예시에서는 피어링 서브넷 경로에 의해 섀도 처리됨 유형의 섀도 처리된 동적 경로 통계 카테고리에 속하는 통계가 생성됩니다.
이 통계 세부정보 페이지는 다음 홉 피어링 네트워크 동적 경로를 사용하여 네트워크 피어에서 학습한 가져온 동적 경로가 섀도 처리 중임을 보여줍니다. 동적 경로의 IP 주소 범위는 새 서브넷 경로와 겹치므로 완전히 섀도 처리됩니다. 이 IP 주소 범위에 대한 피어링 네트워크로 이동하는 트래픽은 VPC 네트워크의 서브넷으로 전달됩니다.
시나리오: 누락된 네트워크 피어링으로 인해 Cloud SQL 인스턴스에 대한 연결이 차단됨
이 예시에서는 라우팅 문제로 차단된 Cloud SQL 인스턴스에 연결 유형의 Cloud SQL 연결 통계 카테고리에 속하는 통계가 표시됩니다.
통계 페이지에서는 네트워크 피어링이 누락되어 Cloud SQL 인스턴스에 대한 연결이 차단되었음을 보여줍니다.