자동 Envoy 배포를 사용하는 Compute Engine VM 설정 옵션

이 가이드에서는 자동 Envoy 배포를 위한 추가 옵션 및 작업에 대한 정보를 제공합니다.

추가 인스턴스 템플릿 만들기 옵션

자동 Envoy 프록시 배포를 위한 인스턴스 템플릿을 만들 때 다음 매개변수를 사용하여 배포의 일부 측면과 프록시 동작을 정의할 수 있습니다.

매개변수 값 및 설명 필수 또는 선택사항
--service-proxy enabled
VM에 서비스 프록시 및 에이전트를 설치하고 구성할지 여부를 제어합니다.		 서비스 프록시를 자동으로 배포하고 구성하려면 필수 항목입니다. 이 설정을 생략하면 서비스 프록시가 설치 또는 구성되지 않습니다.
--service-proxy:serving-ports 세미콜론으로 구분된 포트 목록.
애플리케이션/워크로드가 작동하는 포트입니다. 서비스 프록시가 인바운드 트래픽을 가로채서 localhost의 지정된 제공 포트로 이를 전달합니다.		 선택사항
이 플래그를 생략하면 서비스 프록시가 워크로드의 아웃바운드 트래픽만 처리합니다. 인바운드 트래픽은 서비스 프록시로 처리되지 않습니다.
--service-proxy:proxy-port 단일 포트
서비스 프록시가 리슨하는 포트입니다. VM이 트래픽을 가로채고 이 포트로 리디렉션하여 서비스 프록시가 처리하도록 합니다. 		선택사항.
이 플래그를 생략하면 기본값은 15001입니다.
--service-proxy:network 유효한 VPC 네트워크의 이름입니다.
서비스 프록시의 제어 영역에서 서비스 프록시의 동적 구성을 생성하는 데 사용되는 Google Cloud VPC 네트워크입니다.		 VM이 둘 이상의 네트워크에 있는 경우 필요합니다. 이 경우가 아니면 선택사항입니다.
이 플래그를 생략하면 VM 인스턴스 템플릿을 만드는 동안 --network 매개변수를 사용하여 지정된 값이 사용됩니다.
--service-proxy:tracing ON 또는 OFF
서비스 프록시가 분산 추적 정보를 생성하도록 사용 설정합니다. ON로 설정하면 서비스 프록시의 제어 영역이 요청 ID 기반 추적을 사용 설정하는 구성을 생성합니다.
자세한 내용은 Envoy 프록시용 generate_request_id 문서를 참조하세요.		 선택사항.
이 플래그를 생략하면 추적이 사용 설정되지 않습니다.
--service-proxy:access-log 제어 영역에 의해 서비스 프록시로 전송되는 액세스 로그의 파일 경로입니다. 모든 수신 및 발신 요청은 이 파일에 기록됩니다.
자세한 내용은 Envoy 프록시의 파일 액세스 로그 문서를 참조하세요. 		선택사항. 기본값은 없습니다. 파일 경로를 지정하지 않으면 로그가 생성되지 않습니다.
--service-proxy:intercept-all-outbound-traffic(미리보기) 서비스 프록시에서 모든 나가는 트래픽 가로채기를 사용 설정하고 외부 호스트로 리디렉션합니다. 이 옵션에 gcloud beta를 사용합니다. 선택사항.
--service-proxy:exclude-outbound-ip-ranges(미리보기) 안에 큰따옴표(")로 지정되어 세미콜론(;)으로 구분된 IP 주소 또는 CIDR 범위 목록이며, 리디렉션에서 제외됩니다. intercept-all-outbound-traffic 플래그가 설정된 경우에만 적용됩니다. 이 옵션에 gcloud beta를 사용합니다.

예를 들면 다음과 같습니다.

exclude-outbound-ip-ranges="8.8.8.8;129.168.10.0/24"		 선택사항.
--service-proxy:exclude-outbound-port-ranges(미리보기) 안에 큰따옴표(")로 지정되어 세미콜론(;)으로 구분된 포트 또는 포트 범위 목록이며, 리디렉션에서 제외됩니다. intercept-all-outbound-traffic 플래그가 설정된 경우에만 적용됩니다. 이 옵션에 gcloud beta를 사용합니다.

예를 들면 다음과 같습니다.

exclude-outbound-port-ranges="81;8080-8090"		 선택사항.
--service-proxy:scope(미리보기) scope 옵션은 Gateway 리소스에 대한 논리적 구성 경계를 정의합니다. VM이 시작되면 서비스 프록시가 Traffic Director와 통신하여 이 범위 이름의 게이트웨이에 연결된 경로에 해당하는 라우팅 정보를 검색합니다. scope가 지정된 경우 네트워크 값이 무시됩니다. scopemesh 값은 동시에 지정할 수 없습니다. 이 옵션에 gcloud beta를 사용합니다. 선택사항.
--service-proxy:mesh(미리보기) mesh 옵션은 Mesh 리소스에 대한 논리적 구성 경계를 정의합니다. VM이 시작되면 서비스 프록시가 Traffic Director와 통신하여 이 메시 이름의 Mesh에 연결된 경로에 해당하는 라우팅 정보를 검색합니다. mesh가 지정된 경우 네트워크 값이 무시됩니다. scopemesh 값은 동시에 지정할 수 없습니다. 이 옵션에 gcloud beta를 사용합니다. 선택사항.
--service-proxy:project-number(미리보기) project-number 옵션은 MeshGateway 리소스가 생성되는 프로젝트를 지정합니다. 지정하지 않으면 인스턴스가 있는 프로젝트가 사용됩니다. 이것은 새 서비스 경로 지정 API에만 적용됩니다. 선택사항.
--service-proxy-labels key=value 형식의 키/값 쌍입니다.
서비스 프록시에 적용할 수 있는 라벨입니다. 이러한 내용은 Envoy 프록시의 부트스트랩 메타데이터에 반영됩니다. 라벨은 프록시 메타데이터로 설정하려는 모든 key=value 쌍일 수 있습니다 (예: 구성 필터링과 함께 사용). 애플리케이션 및 버전 라벨에 이러한 플래그를 사용할 수 있습니다(예: app=review 또는 version=canary). 둘을 함께 사용할 수도 있습니다. 		선택사항.

예를 들어 다음 gcloud 명령어는 proxy-it이라는 인스턴스 템플릿을 만듭니다. 이 템플릿으로 생성된 인스턴스에는 Envoy 프록시와 서비스 프록시 에이전트가 설치되어 있습니다.

gcloud compute instance-templates create proxy-it \
    --service-proxy enabled

다음 예시에서 인스턴스 템플릿을 proxy-it이라고 하며, Envoy 프록시 및 서비스 프록시 에이전트가 설치되고 제공 포트 및 프록시 포트가 설정되고 추적이 사용 설정되어 있으며 라벨이 정의됩니다.

gcloud compute instance-templates create proxy-it \
  --service-proxy enabled,serving-ports=8080,proxy-port=15001,tracing=ON \
  --service-proxy-labels version=canary

다음 다이어그램은 제공 포트를 8080으로 지정하는 경우의 트래픽 흐름을 보여줍니다. 포트 8080에 대한 인바운드 TCP 연결은 iptable에 의해 가로채기를 당하여 Envoy 프록시로 리디렉션된 다음 TCP 포트 8080에서 리슨하는 VM의 애플리케이션으로 전달됩니다. 또한 다음 사항도 적용됩니다.

  • Traffic Director에 구성된 서비스 VIP의 모든 아웃바운드 연결은 netfilter를 구성하는 iptable에 의해 가로채기를 당합니다. netfilter는 네트워크 스택을 통과하는 해당 트래픽이 가로채기를 당하고 Envoy 프록시로 리디렉션되도록 합니다. 그러면 Traffic Director가 구성한 방식에 따라 트래픽이 부하 분산됩니다.
  • 다른 모든 인바운드 연결은 iptables에 의해 가로채기를 당하지 않으며 VM에 직접 전달됩니다.
  • 외부 엔드포인트에 대한 모든 연결은 중단 없이 외부 IP 주소로 직접 전달됩니다.
  • 모든 UDP 트래픽은 iptable에 의해 중단되지 않고 대상으로 직접 전달됩니다.

다음 다이어그램을 참조하세요.

Traffic Director를 사용한 트래픽 분산(확대하려면 클릭)
Traffic Director를 사용한 트래픽 분산(확대하려면 클릭)

다이어그램의 트래픽 흐름은 다음과 같습니다.

  1. 대상 포트 80이 있는 인바운드 트래픽은 가로채기를 당하고 포트에서 리슨하는 서비스로 직접 라우팅됩니다.
  2. 대상 포트 8080이 있는 인바운드 트래픽이 가로채기를 당하고 Envoy 리스너 포트로 리디렉션됩니다.
  3. Envoy는 (2)에서 localhost 포트 8080에서 리슨하는 서비스 2로 트래픽을 전달합니다.
  4. Traffic Director 전달 규칙 VIP 및 포트를 대상으로 하는 아웃바운드 트래픽은 가로채기를 당하고 Envoy 리스너 포트로 리디렉션됩니다.
  5. Envoy는 트래픽을 (4)에서 대상 Traffic Director 백엔드 서비스 백엔드의 엔드포인트로 전달합니다.
  6. Traffic Director VIP 및 포트를 대상으로 하는 아웃바운드 트래픽이며 가로채기를 당하지 않으며 외부 서비스로 직접 라우팅됩니다.

라벨 사용

Traffic Director 메타데이터 필터링에 사용할 라벨을 지정하거나 Envoy 프록시에 대한 액세스 로깅을 사용 설정하려면 --service-proxy-labels 또는 --service-proxy access-log 매개변수를 사용합니다.

예를 들면 다음과 같습니다.

gcloud compute instance-templates create td-vm-template-auto \
   --service-proxy enabled,access-log=/var/log/envoy/access.log,network=default \
   --service-proxy-labels myapp=review,version=canary

Envoy 프록시는 VM의 서비스에 대한 상태 확인 포트를 가로챌 수 있습니다. 이렇게 하면 상태 확인 프로브가 애플리케이션과 Envoy 프록시에 대해 보고합니다. Envoy 프록시가 올바르게 실행되지 않으면 트래픽이 VM으로 전달되지 않습니다. 예를 들면 다음과 같습니다.

gcloud compute instance-templates create td-vm-template-auto \
  --service-proxy=enabled,serving-ports="80;8080"

관리형 인스턴스 그룹 업데이트 프로세스 사용

Envoy 프록시 구성을 위해 자동화된 프로세스를 사용한 경우 관리형 인스턴스 그룹 업데이트 프로세스를 사용하여 관리형 인스턴스 그룹을 업데이트할 수 있습니다. 이 프로세스를 사용하여 다음을 수행할 수 있습니다.

  • 서비스 프록시 구성요소를 기존 관리형 인스턴스 그룹에 추가하고 Traffic Director 네트워크에 등록합니다.
  • VM에서 서비스 프록시 구성요소를 업데이트합니다.

순차적 업데이트를 수행하기 전에 다음을 수행합니다.

  1. 백엔드 서비스의 연결 드레이닝 값을 최소 30초로 설정합니다.
  2. 업데이터를 호출할 때 --min-ready 매개변수를 3분 이상의 값으로 설정합니다. --min-ready 매개변수를 사용하면 VM이 업데이트된 후 관리형 인스턴스 그룹이 대기하다가 다음 VM 업데이트를 진행할 수 있습니다. 이 매개변수가 없으면 새로 만든 VM이 Envoy 및 서비스 프록시 에이전트를 완전히 부팅할 시간이 없으며 업데이트가 너무 빨리 진행됩니다.

관리형 인스턴스 그룹에서 순차적 업데이트를 수행하려면 다음 단계를 따르세요.

  1. 위에서 설명한 대로 서비스 프록시 정보로 새 인스턴스 템플릿을 만듭니다. 서비스 프록시 정보를 포함하고 있고 목표가 프록시 소프트웨어의 가장 최신인 안정적인 버전으로 업데이트하는 것일 경우 인스턴스 템플릿의 원래 버전이 업데이트에 사용될 수 있습니다.
  2. 관리형 인스턴스 그룹의 순차적 업데이트를 수행합니다. REPLACE업데이터가 수행해야 하는 최소 작업으로 설정되어 있는지 확인합니다. 인스턴스 그룹이 최신 버전의 프록시 소프트웨어를 설치하고 인스턴스 템플릿에 지정된 대로 구성합니다.

업데이트 처리를 사용하여 관리형 인스턴스 그룹에서 서비스 프록시 구성요소를 삭제할 수도 있습니다.

  1. --service-proxy 플래그를 지정하지 않고 새 인스턴스 템플릿을 만듭니다.

  2. 관리형 인스턴스 그룹 업데이트 프로세스를 사용하여 순차적 업데이트를 수행합니다.

이렇게 하면 VM에서 Envoy 프록시가 삭제됩니다. 관리형 인스턴스 그룹이 백엔드 서비스에 연결된 유일한 MIG인 경우 Traffic Director를 설정할 때 만든 Traffic Director 구성을 삭제하고자 할 수 있습니다.