자동 Envoy 배포 옵션 가이드

이 가이드에서는 자동 Envoy 배포를 위한 추가 옵션 및 작업에 대한 정보를 제공합니다.

추가 인스턴스 템플릿 만들기 옵션

자동 Envoy 프록시 배포를 위한 인스턴스 템플릿을 만들 때 다음 매개변수를 사용하여 배포의 일부 측면과 프록시 동작을 정의할 수 있습니다.

매개변수 값 및 설명 필수 또는 선택사항
--service-proxy enabled
VM에 서비스 프록시 및 에이전트를 설치하고 구성할지 여부를 제어합니다.
서비스 프록시를 자동으로 배포하고 구성하는 경우 필요합니다. 이 설정을 생략하면 서비스 프록시가 설치 또는 구성되지 않습니다.
--service-proxy:serving-ports 세미콜론으로 구분된 포트 목록.
애플리케이션/워크로드가 작동하는 포트입니다. 서비스 프록시가 인바운드 트래픽을 가로채서 localhost의 지정된 제공 포트로 이를 전달합니다.
선택사항
이 플래그를 생략하면 서비스 프록시가 워크로드의 아웃바운드 트래픽만 처리합니다. 인바운드 트래픽은 서비스 프록시에서 처리되지 않습니다.
--service-proxy:proxy-port 단일 포트.
서비스 프록시가 리슨하는 포트. VM은 트래픽을 가로채서 서비스 프록시가 처리할 수 있도록 이 포트로 리디렉션합니다.
선택사항.
이 플래그를 생략하면 기본값은 15001입니다.
--service-proxy:network 유효한 VPC 네트워크의 이름.
서비스 프록시의 제어 영역에서 서비스 프록시의 동적 구성을 생성하기 위해 사용하는 Google Cloud VPC 네트워크.
VM이 둘 이상의 네트워크에 있는 경우 필요합니다. 이 경우가 아니면 선택사항입니다.
이 플래그를 생략하면 VM 인스턴스 템플릿을 만드는 동안 --network 매개변수를 사용하여 지정된 값이 사용됩니다.
--service-proxy:tracing ON 또는 OFF
서비스 프록시가 분산 추적 정보를 생성하도록 합니다. ON으로 설정하면 서비스 프록시의 제어 영역이 요청 ID 기반 추적을 사용 설정하는 구성을 생성합니다.
자세한 내용은 Envoy 프록시의 generate_request_id 문서를 참조하세요.
선택사항.
이 플래그를 생략하면 추적이 사용 설정되지 않습니다.
--service-proxy:access-log 제어 영역에서 서비스 프록시로 전송되는 액세스 로그의 파일 경로. 모든 수신 및 발신 요청이 이 파일에 기록됩니다.
자세한 내용은 Envoy 프록시의 파일 액세스 로그 문서를 참조하세요.
선택사항. 기본값이 없습니다. 파일 경로를 지정하지 않으면 로그가 생성되지 않습니다.
--service-proxy-labels key=value형식의 키/값 쌍.
서비스 프록시에 적용할 수 있는 라벨. 이는 Envoy 프록시의 부트스트랩 메타데이터에 반영됩니다. 라벨은 프록시 메타데이터로 설정하려는 모든 key=value 쌍일 수 있습니다(예시: 구성 필터링에 사용하는 경우). 애플리케이션 및 버전 라벨에 이러한 플래그를 사용할 수 있습니다(예시: app=review 또는 version=canary). 둘을 함께 사용할 수도 있습니다.
선택사항.

예를 들어 다음의 gcloud 명령어는 proxy-it이라는 인스턴스 템플릿을 만듭니다. 이 템플릿에서 생성된 인스턴스에는 Envoy 프록시 및 서비스 프록시 에이전트가 설치되어 있습니다.

gcloud beta compute instance-templates create proxy-it \
    --service-proxy enabled

다음 예시에서 인스턴스 템플릿을 proxy-it이라고 하며, Envoy 프록시 및 서비스 프록시 에이전트가 설치되고 제공 포트 및 프록시 포트가 설정되고 추적이 사용 설정되어 있으며 라벨이 정의됩니다.

gcloud beta compute instance-templates create proxy-it \
  --service-proxy enabled,serving-ports=8080,proxy-port=15001,tracing=ON \
  --service-proxy-labels version=canary

다음 다이어그램은 제공 포트를 8080으로 지정하는 경우의 트래픽 흐름을 보여줍니다. 포트 8080에 대한 인바운드 TCP 연결은 iptable에 의해 가로채기를 당하여 Envoy 프록시로 리디렉션된 다음 TCP 포트 8080에서 리슨하는 VM의 애플리케이션으로 전달됩니다. 또한 다음 사항도 적용됩니다.

  • Traffic Director에 구성된 서비스 VIP의 모든 아웃바운드 연결은 netfilter를 구성하는 iptable에 의해 가로채기를 당합니다. Netfilter는 네트워크 스택을 통과하는 해당 트래픽을 가로채서 Envoy 프록시로 리디렉션합니다. 그러면 Traffic Director가 구성된 방식에 따라 트래픽이 부하 분산됩니다.
  • 다른 모든 인바운드 연결은 iptables에 의해 가로채기를 당하지 않으며 VM에 직접 전달됩니다.
  • 외부 엔드포인트에 대한 모든 연결은 중단 없이 외부 IP 주소로 직접 전달됩니다.
  • 모든 UDP 트래픽은 iptable에 의해 중단되지 않고 대상으로 직접 전달됩니다.

다음 다이어그램을 참조하세요.

Traffic Director를 사용한 트래픽 분산(확대하려면 클릭)
Traffic Director를 사용한 트래픽 분산(확대하려면 클릭)

다이어그램의 트래픽 흐름은 다음과 같습니다.

  1. 대상 포트 80이 있는 인바운드 트래픽은 가로채기를 당하고 포트에서 리슨하는 서비스로 직접 라우팅됩니다.
  2. 대상 포트 8080이 있는 인바운드 트래픽이 가로채기를 당하고 Envoy 리스너 포트로 리디렉션됩니다.
  3. Envoy는 (2)에서 localhost 포트 8080에서 리슨하는 서비스 2로 트래픽을 전달합니다.
  4. Traffic Director 전달 규칙 VIP 및 포트를 대상으로 하는 아웃바운드 트래픽은 가로채기를 당하고 Envoy 리스너 포트로 리디렉션됩니다.
  5. Envoy는 트래픽을 (4)에서 대상 Traffic Director 백엔드 서비스 백엔드의 엔드포인트로 전달합니다.
  6. Traffic Director VIP 및 포트를 대상으로 하는 아웃바운드 트래픽이며 가로채기를 당하지 않으며 외부 서비스로 직접 라우팅됩니다.

라벨 사용

Traffic Director 메타데이터 필터링에 사용할 라벨을 지정하거나 Envoy 프록시에 대한 액세스 로깅을 사용 설정하려면 --service-proxy-labels 또는 --service-proxy access-log 매개변수를 사용합니다.

예를 들면 다음과 같습니다.

gcloud compute instance-templates create td-vm-template-auto \
   --service-proxy enabled,access-log=/var/log/envoy/access.log,network=default \
   --service-proxy-labels myapp=review,version=canary

Envoy 프록시는 VM의 서비스에 대한 상태 확인 포트를 가로챌 수 있습니다. 이렇게 하면 상태 확인 프로브가 애플리케이션 및 Envoy 프록시에 대해 보고합니다. Envoy 프록시가 올바르게 실행되지 않으면 트래픽이 VM으로 전달되지 않습니다. 예를 들면 다음과 같습니다.

gcloud compute instance-templates create td-vm-template-auto \
  --service-proxy=enabled,serving-ports="80;8080"

관리형 인스턴스 그룹 업데이트 프로세스 사용

자동화된 프로세스를 사용하여 Envoy 프록시를 구성하는 경우 관리형 인스턴스 그룹 업데이트 프로세스를 사용하여 관리형 인스턴스 그룹을 업데이트할 수 있습니다. 이 프로세스를 사용하여 다음을 수행할 수 있습니다.

  • 서비스 프록시 구성요소를 기존 관리형 인스턴스 그룹에 추가하고 Traffic Director 네트워크에 등록합니다.
  • VM에서 서비스 프록시 구성요소를 업데이트합니다.

순차적 업데이트를 수행하기 전에 다음을 수행합니다.

  1. 백엔드 서비스의 연결 드레이닝을 최소 30초 값으로 설정합니다.
  2. 업데이터를 호출할 때 --min-ready 매개변수를 3분 이상의 값으로 설정합니다. --min-ready 매개변수를 사용하면 VM이 업데이트된 후 관리형 인스턴스 그룹이 대기하다가 다음 VM 업데이트를 진행할 수 있습니다. 이 매개변수가 없으면 새로 만든 VM이 Envoy 및 서비스 프록시 에이전트를 완전히 부팅할 시간이 없으며 업데이트가 너무 빨리 진행됩니다.

관리형 인스턴스 그룹에서 순차적 업데이트를 수행하려면 다음 단계를 따르세요.

  1. 위에서 설명한 대로 서비스 프록시 정보로 새 인스턴스 템플릿을 만듭니다. 안정적인 최신 버전의 프록시 소프트웨어로 업데이트하려는 경우 인스턴스 템플릿의 원래 버전에 서비스 프록시 정보가 포함되어 있으면 이 원래 버전을 업데이트에 사용할 수 있습니다.
  2. 관리형 인스턴스 그룹의 순차적 업데이트를 수행합니다. 업데이터에서 수행해야 하는 최소 작업으로 REPLACE를 설정해야 합니다. 인스턴스 그룹이 최신 버전의 프록시 소프트웨어를 설치하고 인스턴스 템플릿에 지정된 대로 구성합니다.

업데이트 프로세스를 사용하여 관리형 인스턴스 그룹에서 서비스 프록시 구성요소를 삭제할 수도 있습니다.

  1. --service-proxy 플래그를 지정하지 않고 새 인스턴스 템플릿을 만듭니다.

  2. 관리형 인스턴스 그룹 업데이트 프로세스를 사용하여 순차적 업데이트를 수행합니다.

이렇게 하면 VM에서 Envoy 프록시가 삭제됩니다. 관리형 인스턴스 그룹이 백엔드 서비스에 연결된 유일한 MIG인 경우, Traffic Director를 설정할 때 만든 Traffic Director 구성을 삭제하는 것이 좋습니다.