다중 네트워크 인터페이스
이 페이지에서는 Compute Engine VM 인스턴스의 다중 네트워크 인터페이스에 대해 간략하게 설명합니다. 네트워크 인터페이스가 여러 개인 인스턴스를 다중 NIC 인스턴스라고 합니다.
인스턴스에는 항상 하나 이상의 가상 네트워크 인터페이스(vNIC)가 있습니다. 머신 유형에 따라 추가 네트워크 인터페이스를 구성할 수 있습니다.
사용 사례
멀티 NIC 인스턴스는 다음과 같은 시나리오에서 유용합니다.
별도의 VPC 네트워크에 있는 리소스에 연결: 멀티 NIC 인스턴스는 VPC 네트워크 피어링 또는 Network Connectivity Center를 통해 서로 연결되지 않은 다른 VPC 네트워크에 있는 리소스에 연결할 수 있습니다.
멀티 NIC 인스턴스의 각 인터페이스는 별도의 VPC 네트워크에 있으므로 각 인터페이스를 고유한 용도로 사용할 수 있습니다. 예를 들어 일부 인터페이스를 사용하여 프로덕션 트래픽을 전송하는 VPC 네트워크 간에 패킷을 라우팅하고 관리 또는 구성 목적으로 다른 인터페이스를 사용할 수 있습니다.
각 멀티 NIC 인스턴스의 게스트 OS 내에서 경로 정책과 로컬 경로 테이블을 구성해야 합니다.
VPC 네트워크 간의 패킷 라우팅: 멀티 NIC 인스턴스는 두 개 이상의 VPC 네트워크를 연결하는 경로의 다음 홉으로 사용될 수 있습니다.
멀티 NIC 인스턴스의 게스트 OS 내에서 실행되는 소프트웨어는 패킷 검사, 네트워크 주소 변환(NAT) 또는 기타 네트워크 보안 기능을 실행할 수 있습니다.
멀티 NIC 인스턴스를 사용하여 VPC 네트워크를 연결할 때는 각 VPC 네트워크에서 내부 패스 스루 네트워크 부하 분산기의 백엔드로 사용하여 멀티 NIC 인스턴스를 두 개 이상 구성하는 것이 좋습니다. 자세한 내용은 다음 홉으로의 내부 패스 스루 네트워크 부하 분산기 문서의 사용 사례를 참조하세요.
Private Service Connect 인터페이스를 사용하여 멀티 NIC 인스턴스를 사용하여 서로 다른 프로젝트의 서비스 프로듀서 및 소비자 네트워크를 연결할 수도 있습니다.
네트워크 인터페이스 유형
Google Cloud 는 다음 유형의 네트워크 인터페이스를 지원합니다.
vNICs: Compute Engine 인스턴스의 가상 네트워크 인터페이스입니다. 각 인스턴스에는 vNIC가 하나 이상 있어야 합니다. 일반 VPC 네트워크의 vNIC는
GVNIC,VIRTIO_NET또는IDPF일 수 있습니다. 인스턴스를 만들 때만 vNIC를 구성할 수 있습니다.Dynamic NIC(미리보기): 상위 vNIC의 하위 인터페이스입니다. 인스턴스를 만들 때 Dynamic NIC를 구성하거나 나중에 추가할 수 있습니다. 자세한 내용은 Dynamic NIC를 참조하세요.
RDMA 네트워크 인터페이스(MRDMA)가 포함된 머신 유형을 사용하여 멀티 NIC 인스턴스를 구성할 수도 있습니다. RDMA 네트워크 인터페이스는 RDMA 네트워크 프로필이 있는 VPC 네트워크에 연결해야 합니다. Dynamic NIC를 비롯한 기타 네트워크 인터페이스 유형은 RDMA 네트워크 프로필이 있는 VPC 네트워크에서 지원되지 않습니다.
사양
다음 사양은 네트워크 인터페이스가 여러 개인 인스턴스에 적용됩니다.
인스턴스 및 네트워크 인터페이스: 모든 인스턴스에는
nic0인터페이스가 있습니다. 네트워크 인터페이스의 최대 개수는 인스턴스의 머신 유형에 따라 다릅니다.- 각 인터페이스에는 연결된 스택 유형이 있으며, 이 스택 유형에 따라 지원되는 서브넷 스택 유형과 IP 주소 버전이 결정됩니다. 자세한 내용은 스택 유형 및 IP 주소를 참조하세요.
각 네트워크 인터페이스의 고유 네트워크: RDMA 네트워크 프로필로 생성된 VPC 네트워크를 제외하고 각 네트워크 인터페이스는 고유 VPC 네트워크의 서브넷을 사용해야 합니다.
RDMA 네트워크 프로필로 생성된 VPC 네트워크의 경우 각 RDMA NIC가 고유한 서브넷을 사용하는 한 다중 RDMA NIC가 동일한 VPC 네트워크를 사용할 수 있습니다.
네트워크 인터페이스가 네트워크와 서브넷을 사용하는 인스턴스를 만들려면 VPC 네트워크와 서브넷이 있어야 합니다. 네트워크 및 서브넷 만들기에 대한 자세한 내용은 VPC 네트워크 만들기 및 관리를 참조하세요.
인스턴스 및 서브넷의 프로젝트: 독립형 프로젝트의 멀티 NIC 인스턴스의 경우 각 네트워크 인터페이스는 인스턴스와 동일한 프로젝트에 있는 서브넷을 사용해야 합니다.
공유 VPC 호스트 또는 서비스 프로젝트의 인스턴스는 공유 VPC를 참조하세요.
Private Service Connect 인터페이스는 멀티 NIC 인스턴스가 서로 다른 프로젝트의 서브넷에 네트워크 인터페이스를 가질 수 있는 방법을 제공합니다. 자세한 내용은 네트워크 연결 정보를 참조하세요.
IP 전달, MTU, 라우팅 고려사항: 멀티 NIC 인스턴스에는 다음 인스턴스 및 인터페이스별 구성 옵션에 대한 신중한 계획이 필요합니다.
IP 전달 옵션은 인스턴스별로 구성할 수 있으며 모든 네트워크 인터페이스에 적용됩니다. 자세한 내용은 인스턴스에 IP 전달 사용 설정을 참고하세요.
각 네트워크 인터페이스는 연결된 VPC 네트워크의 MTU와 일치하는 고유한 최대 전송 단위(MTU)를 사용할 수 있습니다. 자세한 내용은 최대 전송 단위를 참조하세요.
각 인스턴스는 RFC 3442에 정의된 대로 DHCP 옵션 121을 사용하여 기본 경로를 수신합니다. 기본 경로는
nic0과 연결됩니다. 수동으로 달리 구성하지 않는 한 직접 연결된 서브넷을 제외한 모든 대상의 인스턴스에서 나가는 모든 트래픽은nic0의 기본 경로를 통해 나갑니다.Linux 시스템에서는
/etc/iproute2/rt_tables파일과ip rule및ip route명령어를 사용하여 게스트 OS 내에서 맞춤 규칙과 경로를 구성할 수 있습니다. 자세한 내용은 게스트 OS 문서를 참고하세요. 예시를 보려면 추가 인터페이스의 라우팅 구성 튜토리얼을 참조하세요.
Dynamic NIC
Dynamic NIC는 다음과 같은 시나리오에서 유용합니다.
기존 인스턴스에 네트워크 인터페이스를 추가하거나 기존 인스턴스에서 네트워크 인터페이스를 삭제해야 합니다. Dynamic NIC를 추가하거나 삭제할 때 인스턴스를 다시 시작하거나 다시 만들 필요가 없습니다.
네트워크 인터페이스가 더 필요합니다. Google Cloud 의 대부분의 머신 유형에서 최대 vNIC 수는 10개이지만 Dynamic NIC를 사용하여 최대 16개의 인터페이스를 구성할 수 있습니다. 자세한 내용은 인터페이스 최대 개수를 참조하세요.
vNIC가 하나만 있는 멀티 NIC Compute Engine 베어메탈 인스턴스를 구성해야 합니다.
Dynamic NIC의 속성
Dynamic NIC의 속성에 관한 다음 정보를 참조하세요.
Dynamic NIC는 IEEE 802.1Q 표준 패킷 형식을 사용하는 VLAN 인터페이스입니다. 다음 고려사항을 참조하세요.
- Dynamic NIC의 VLAN ID는 2~255 사이의 정수여야 합니다.
- Dynamic NIC의 VLAN ID는 상위 vNIC 내에서 고유해야 합니다. 하지만 다른 상위 vNIC에 속한 Dynamic NIC가 동일한 VLAN ID를 사용할 수 있습니다.
Google Cloud 는 Dynamic NIC의 이름에
nicNUMBER.VLAN_ID형식을 사용합니다.nicNUMBER는 상위 vNIC의 이름입니다(예:nic0).VLAN_ID는 설정한 VLAN ID입니다(예:4).
Dynamic NIC 이름의 예는
nic0.4입니다.Dynamic NIC로 인스턴스를 만들거나 기존 인스턴스에 Dynamic NIC를 추가하려면 게스트 OS에서 해당 VLAN 인터페이스를 설치하고 관리하는 추가 단계가 필요합니다. 다음 방법 중 하나를 사용할 수 있습니다.
- Google 게스트 에이전트를 사용하여 Dynamic NIC의 자동 관리를 구성합니다.
- 게스트 OS를 수동으로 구성합니다.
자세한 내용은 Dynamic NIC용 게스트 OS 구성을 참조하세요.
Dynamic NIC는 상위 vNIC의 대역폭을 공유하며 상위 vNIC 내에는 트래픽 격리가 없습니다. 네트워크 인터페이스가 모든 대역폭을 소비하지 않도록 하려면 게스트 OS에서 애플리케이션별 트래픽 정책을 만들어 Linux 트래픽 제어(TC)를 사용하는 등 트래픽의 우선순위를 지정하거나 트래픽을 분산해야 합니다.
Dynamic NIC는 상위 vNIC와 동일한 수신 및 전송 큐를 공유합니다.
Dynamic NIC의 제한사항
Dynamic NIC의 제한사항은 다음과 같습니다.
Dynamic NIC는 생성된 후 다음 속성을 수정할 수 없습니다.
- Dynamic NIC가 속한 상위 vNIC입니다.
- Dynamic NIC의 VLAN ID입니다.
Dynamic NIC는 다음을 지원하지 않습니다.
- Google Cloud Armor의 고급 네트워크 DDoS 보호 및 네트워크 에지 보안 정책
- MIG의 인스턴스별 구성을 사용하여 IP 주소를 구성합니다.
- IPv6 전용 인터페이스(미리보기)
- 패킷 가로채기를 사용하는 기능(예: 방화벽 엔드포인트)
- Windows 운영체제(OS)
유형이
GVNIC인 상위 vNIC가 있는 Dynamic NIC에서는 일부 커스텀 MTU 크기에 따른 패킷 손실이 발생할 수 있습니다. 패킷 손실을 방지하려면 MTU 크기 1986바이트, 3986바이트, 5986바이트, 7986바이트를 사용하지 마세요.3세대 VM의 경우 VLAN ID가
255인 Dynamic NIC가 메타데이터 서버 IP 주소에 액세스할 수 없습니다. 메타데이터 서버에 액세스해야 하는 경우 다른 VLAN ID를 사용해야 합니다.3세대 VM의 경우 VLAN ID가 동일한 Dynamic NIC를 삭제하고 추가하면 서로 다른 VPC 네트워크에서 무단 액세스가 허용될 수 있습니다. 자세한 내용은 알려진 문제를 참조하세요.
스택 유형 및 IP 주소
vNIC를 만들 때 다음 인터페이스 스택 유형 중 하나를 지정합니다.
- IPv4 전용
- 이중 스택
IPv6 전용(미리보기)
다음 표에서는 각 인터페이스 스택 유형에 지원되는 서브넷 스택 유형과 IP 주소 세부정보를 설명합니다.
| 인터페이스 | IPv4 전용 서브넷 | 이중 스택 서브넷 | IPv6 전용 서브넷(프리뷰) | IP 주소 세부정보 |
|---|---|---|---|---|
| IPv4 전용(단일 스택) | IPv4 주소만 IPv4 주소 세부정보를 참고하세요. | |||
| IPv4 및 IPv6(이중 스택) | IPv4 및 IPv6 주소 모두. IPv4 주소 세부정보 및 IPv6 주소 세부정보를 참고하세요. | |||
| IPv6 전용(단일 스택)(프리뷰) | IPv6 주소만. IPv6 주소 세부정보를 참고하세요. |
네트워크 인터페이스 스택 유형 변경
다음과 같이 네트워크 인터페이스의 스택 유형을 변경할 수 있습니다.
인터페이스의 서브넷이 이중 스택 서브넷이거나 인스턴스를 중지하고 인터페이스를 이중 스택 서브넷에 할당하는 경우 IPv4 전용 인터페이스를 이중 스택으로 변환할 수 있습니다.
이중 스택 인터페이스를 IPv4 전용으로 변환할 수 있습니다.
IPv6 전용 인터페이스의 스택 유형은 변경할 수 없습니다. IPv6 전용 인터페이스(미리보기)는 인스턴스를 만들 때만 지원됩니다.
IPv4 주소 세부정보
각 IPv4 전용 또는 이중 스택 네트워크 인터페이스는 기본 내부 IPv4 주소를 수신합니다. 각 인터페이스는 선택적으로 별칭 IP 범위와 외부 IPv4 주소를 지원합니다. 다음은 IPv4 사양 및 요구사항입니다.
기본 내부 IPv4 주소: Compute Engine이 인터페이스의 서브넷에 있는 기본 IPv4 주소 범위에서 네트워크 인터페이스에 기본 내부 IPv4 주소를 할당합니다. 기본 내부 IPv4 주소는 DHCP에서 할당합니다.
고정 내부 IPv4 주소를 구성하거나 커스텀 임시 내부 IPv4 주소를 지정하여 할당할 기본 내부 IPv4 주소를 제어할 수 있습니다.
VPC 네트워크 내에서 각 VM 네트워크 인터페이스의 기본 내부 IPv4 주소는 고유합니다.
별칭 IP 범위: 선택적으로 인터페이스에 하나 이상의 별칭 IP 범위를 할당할 수 있습니다. 각 별칭 IP 범위는 인터페이스 서브넷의 기본 IPv4 주소 범위 또는 보조 IPv4 주소 범위에서 가져올 수 있습니다.
- VPC 네트워크 내에서 각 인터페이스의 별칭 IP 범위는 고유해야 합니다.
외부 IPv4 주소: 원하는 경우 인터페이스에 임시 또는 예약된 외부 IPv4 주소를 할당할 수 있습니다. Google Cloud 는 각 외부 IPv4 주소의 고유성을 보장합니다.
IPv6 주소 세부정보
Compute Engine은 각 이중 스택 또는 IPv6 전용 네트워크 인터페이스(프리뷰)에 인터페이스 서브넷의 /64 IPv6 주소 범위에서 /96 IPv6 주소 범위를 할당합니다.
/96IPv6 주소 범위가 내부인지 외부인지 여부는 인터페이스 서브넷의 IPv6 액세스 유형에 따라 다릅니다. Google Cloud 는 각 내부 및 외부 IPv6 주소 범위의 고유성을 보장합니다. 자세한 내용은 IPv6 사양을 참조하세요.- 인스턴스에 내부 IPv6 주소 범위와 외부 IPv6 주소 범위가 모두 필요한 경우 이중 스택 인터페이스 2개, IPv6 전용 인터페이스 2개 또는 이중 스택 인터페이스 1개와 IPv6 전용 인터페이스 1개를 구성해야 합니다. 한 인터페이스에서 사용하는 서브넷에는 외부 IPv6 주소 범위가 있어야 하고 다른 인터페이스에서 사용하는 서브넷에는 내부 IPv6 주소 범위가 있어야 합니다.
첫 번째 IPv6 주소(
/128)는 DHCP에 의해 인터페이스에 구성됩니다. 자세한 내용은 IPv6 주소 할당을 참조하세요.고정 내부 또는 외부 IPv6 주소 범위를 구성하여, 할당할
/96IPv6 주소 범위를 제어할 수 있습니다. 내부 IPv6 주소의 경우 커스텀 임시 내부 IPv6 주소를 지정할 수 있습니다.
IPv6 주소를 사용하여 인스턴스를 여러 네트워크에 연결하는 경우 google-guest-agent 버전 20220603.00 이상을 설치하세요. 자세한 내용은 보조 인터페이스의 IPv6 주소에 연결할 수 없음을 참조하세요.
네트워크 인터페이스의 최대 개수
대부분의 머신 유형에서 인스턴스에 연결할 수 있는 네트워크 인터페이스의 최대 개수는 다음 표에 설명된 대로 vCPU 수에 따라 확장됩니다.
다음은 머신별 예외입니다.
Compute Engine 베어메탈 인스턴스는 단일 vNIC를 지원합니다.
최대 vNIC 수는 A3, A4, A4X와 같은 일부 가속기 최적화 머신 유형에 따라 다릅니다. 자세한 내용은 가속기 최적화 머신 계열을 참조하세요.
최대 인터페이스 개수
다음 표에서 인스턴스 하나에 네트워크 인터페이스 몇 개를 연결할 수 있는지 확인하세요.
| vCPU 개수 | 최대 vNIC 개수 | 최대 Dynamic NIC 개수 | 네트워크 인터페이스의 최대 개수 (vNIC + Dynamic NIC) |
|---|---|---|---|
| 2 이하 | 2 | 1 | 2 |
| 4 | 4 | 3 | 4 |
| 6 | 6 | 5 | 6 |
| 8 | 8 | 7 | 8 |
| 10 | 10 | 9 | 10 |
| 12 | 10 | 10 | 11 |
| 14 | 10 | 11 | 12 |
| 16 | 10 | 12 | 13 |
| 18 | 10 | 13 | 14 |
| 20 | 10 | 14 | 15 |
| 22 이상 | 10 | 15 | 16 |
참조 수식
다음 표에는 인스턴스의 최대 네트워크 인터페이스 개수를 계산하는 데 사용되는 수식이 나와 있습니다. 공식은 vCPU 개수에 따라 달라집니다.
| vCPU 개수(X) | 최대 vNIC 개수 | 최대 Dynamic NIC 개수 | 네트워크 인터페이스의 최대 개수 (vNIC + Dynamic NIC) |
|---|---|---|---|
X=1 |
2 |
1 |
2 |
2 ≤ X ≤ 10 |
X |
(X-1) |
X |
X ≥ 12 |
10 |
min(15, (X-10)/2 + 9) |
min(16, (X-10)/2 + 10) |
Dynamic NIC의 분포 예
Dynamic NIC를 vNIC에 균등하게 분배하지 않아도 됩니다. 하지만 Dynamic NIC가 상위 vNIC의 대역폭을 공유하므로 균등한 분배가 필요할 수 있습니다.
인스턴스에는 vNIC가 하나 이상 있어야 합니다. 예를 들어 vCPU가 2개인 인스턴스는 다음 구성 중 하나를 사용할 수 있습니다.
- vNIC 1개
- vNIC 2개
- vNIC 1개 및 Dynamic NIC 1개
다음 표에는 지정된 vCPU 수에 대해 최대 네트워크 인터페이스 개수를 사용하는 동시에 vNIC에 Dynamic NIC를 균등하게 분배하는 구성의 예가 나와 있습니다.
vCPU 2개, NIC 2개
다음 표에서는 vNIC 개수가 지정되었을 때 사용할 수 있는 Dynamic NIC 개수를 보여주는 2개의 vCPU가 있는 인스턴스의 예를 제공합니다.
| vCPU 개수 | vNIC 개수 | vNIC당 Dynamic NIC 개수 | 총 네트워크 인터페이스 개수(vNIC + Dynamic NIC) |
|---|---|---|---|
| 2 | 1 | 1 | 2 |
| 2 | 0 |
vCPU 4개, NIC 4개
다음 표에서는 vNIC 개수에 따라 사용할 수 있는 Dynamic NIC 개수를 보여주는 4개의 vCPU가 있는 인스턴스의 예를 제공합니다.
| vCPU 개수 | vNIC 개수 | vNIC당 Dynamic NIC 개수 | 총 네트워크 인터페이스 개수(vNIC + Dynamic NIC) |
|---|---|---|---|
| 4 | 1 | 3 | 4 |
| 2 | 1 | ||
| 4 | 0 |
vCPU 8개, NIC 8개
다음 표에서는 vNIC 개수에 따라 사용할 수 있는 Dynamic NIC 개수를 보여주는 8개 vCPU가 있는 인스턴스의 예를 제공합니다.
| vCPU 개수 | vNIC 개수 | vNIC당 Dynamic NIC 개수 | 총 네트워크 인터페이스 개수(vNIC + Dynamic NIC) |
|---|---|---|---|
| 8 | 1 | 7 | 8 |
| 2 | 3 | ||
| 4 | 1 | ||
| 8 | 0 |
vCPU 14개, NIC 12개
다음 표에서는 vNIC 개수에 따라 사용할 수 있는 Dynamic NIC 개수를 보여주는 12개 vCPU가 있는 인스턴스의 예를 제공합니다.
| vCPU 개수 | vNIC 개수 | vNIC당 Dynamic NIC 개수 | 총 네트워크 인터페이스 개수(vNIC + Dynamic NIC) |
|---|---|---|---|
| 14 | 1 | 11 | 12 |
| 2 | 5 | ||
| 4 | 2 | ||
| 6 | 1 |
vCPU 22개, NIC 16개
다음 표에서는 vNIC 개수에 따라 사용할 수 있는 Dynamic NIC 개수를 보여주는 22개 vCPU가 있는 인스턴스의 예를 제공합니다.
| vCPU 개수 | vNIC 개수 | vNIC당 Dynamic NIC 개수 | 총 네트워크 인터페이스 개수(vNIC + Dynamic NIC) |
|---|---|---|---|
| 22 | 1 | 15 | 16 |
| 2 | 7 | ||
| 4 | 3 | ||
| 8 | 1 |
제품 상호작용
이 섹션에서는 멀티 NIC 인스턴스와 Google Cloud의 다른 제품 및 기능 간의 상호작용을 설명합니다.
공유 VPC
Private Service Connect 인터페이스를 제외하고 공유 VPC 호스트 또는 서비스 프로젝트의 멀티 NIC 인스턴스의 서브넷과 프로젝트 관계는 다음과 같습니다.
공유 VPC 호스트 프로젝트에 있는 멀티 NIC 인스턴스의 각 네트워크 인터페이스는 호스트 프로젝트의 공유 VPC 네트워크 서브넷을 사용해야 합니다.
공유 VPC 서비스 프로젝트에 있는 멀티 NIC 인스턴스의 각 네트워크 인터페이스는 다음 중 하나를 사용할 수 있습니다.
- 서비스 프로젝트의 VPC 네트워크 서브넷입니다.
- 호스트 프로젝트의 공유 VPC 네트워크의 서브넷입니다.
공유 VPC에 대한 자세한 내용은 다음을 참고하세요.
Compute Engine 내부 DNS
Compute Engine은 인스턴스의 nic0 네트워크 인터페이스의 기본 내부 IPv4 주소에 대해서만 내부 DNS 이름 A 및 PTR 레코드를 만듭니다. Compute Engine은 nic0과 다른 네트워크 인터페이스와 연결된 IPv4 또는 IPv6 주소의 내부 DNS 레코드를 생성하지 않습니다.
자세한 내용은 Compute Engine 내부 DNS를 참고하세요.
정적 경로
네트워크 태그를 사용하여 정적 경로의 범위를 특정 인스턴스로 지정할 수 있습니다. 네트워크 태그가 인스턴스와 연결되면 태그가 인스턴스의 모든 네트워크 인터페이스에 적용됩니다. 따라서 인스턴스에 네트워크 태그를 추가하거나 인스턴스에서 네트워크 태그를 삭제하면 인스턴스의 모든 네트워크 인터페이스에 적용되는 정적 경로가 변경될 수 있습니다.
부하 분산기
인스턴스 그룹 백엔드와 영역별 NEG 백엔드에는 다음과 같이 연결된 VPC 네트워크가 각각 있습니다.
관리형 인스턴스 그룹(MIG)의 경우 인스턴스 그룹의 VPC 네트워크는 인스턴스 템플릿의
nic0인터페이스에 할당된 VPC 네트워크입니다.비관리형 인스턴스 그룹의 경우 인스턴스 그룹의 VPC 네트워크는 사용자가 비관리형 인스턴스 그룹에 추가하는 첫 번째 인스턴스의
nic0네트워크 인터페이스에 사용되는 VPC 네트워크입니다.
다음 표에는 모든 네트워크 인터페이스에 연결 또는 요청을 분산하는 기능을 지원하는 백엔드가 나와 있습니다.
| 부하 분산기 | 인스턴스 그룹 | GCE_VM_IP NEG |
GCE_VM_IP_PORT NEG |
|---|---|---|---|
| 백엔드 서비스 기반 외부 패스 스루 네트워크 부하 분산기 백엔드 서비스가 VPC 네트워크에 연결되어 있지 않습니다. 자세한 내용은 백엔드 서비스 및 VPC 네트워크를 참고하세요. |
nic0만 해당 |
모든 NIC | 해당 사항 없음 |
| 내부 패스 스루 네트워크 부하 분산기 백엔드 서비스가 VPC 네트워크와 연결됩니다. 자세한 내용은 백엔드 서비스 네트워크 사양 및 백엔드 서비스 네트워크 규칙을 참고하세요. |
모든 NIC | 모든 NIC | 해당 사항 없음 |
| 외부 프록시 네트워크 부하 분산기 백엔드 서비스 및 네트워크 요구사항에 관한 자세한 내용은 백엔드 및 VPC 네트워크를 참고하세요. |
nic0만 해당 |
해당 사항 없음 | 모든 NIC |
| 내부 프록시 네트워크 부하 분산기 백엔드 서비스 및 네트워크 요구사항에 관한 자세한 내용은 백엔드 및 VPC 네트워크를 참고하세요. |
nic0만 해당 |
해당 사항 없음 | 모든 NIC |
| 외부 애플리케이션 부하 분산기 백엔드 서비스 및 네트워크 요구사항에 관한 자세한 내용은 백엔드 및 VPC 네트워크를 참고하세요. |
nic0만 해당 |
해당 사항 없음 | 모든 NIC |
| 내부 애플리케이션 부하 분산기 백엔드 서비스 및 네트워크 요구사항에 관한 자세한 내용은 백엔드 및 VPC 네트워크를 참고하세요. |
nic0만 해당 |
해당 사항 없음 | 모든 NIC |
대상 풀 기반 외부 패스 스루 네트워크 부하 분산기는 인스턴스 그룹 또는 NEG를 사용하지 않으며 nic0 네트워크 인터페이스로의 부하 분산만 지원합니다.
방화벽 규칙
계층식 방화벽 정책, 전역 네트워크 방화벽 정책, 리전 네트워크 방화벽 정책, VPC 방화벽 규칙의 방화벽 규칙 집합은 각 네트워크 인터페이스에 고유합니다. 각 네트워크에 멀티 NIC 인스턴스와 주고받는 트래픽을 허용할 적절한 방화벽 규칙이 있는지 확인합니다. 네트워크 인터페이스에 적용되는 방화벽 규칙과 각 규칙의 소스를 확인하려면 VM 인터페이스에 유효한 방화벽 규칙 가져오기를 참조하세요.
방화벽 규칙은 네트워크 태그 또는 보안 태그를 사용하여 특정 VM 인스턴스에 적용할 수 있으며, 이 두 태그는 인스턴스의 모든 네트워크 인터페이스에 적용됩니다. 자세한 내용은 보안 태그와 네트워크 태그 비교를 참조하세요.
알려진 문제
이 섹션에서는 Google Cloud에서 다중 네트워크 인터페이스를 사용하는 것과 관련된 알려진 문제를 설명합니다.
Dynamic NIC로 VLAN ID 재사용 시 방화벽 상호작용
3세대 VM의 경우 VLAN ID가 동일한 Dynamic NIC를 삭제하고 추가하면 서로 다른 VPC 네트워크에서 무단 액세스가 허용될 수 있습니다.
두 네트워크(network-1 및 network-2)와 VLAN ID A가 포함된 다음 시나리오를 고려해 보세요.
network-1에서 VLAN ID가A인 Dynamic NIC를 삭제합니다.- 10분간의 Cloud NGFW 연결 추적 기간 내에
network-2에서 동일한 VLAN IDA를 사용하여 새 Dynamic NIC를 만듭니다. network-2의 새 Dynamic NIC에서 시작된 트래픽이network-1에서 삭제된 Dynamic NIC에 의해 이전에 생성된 기존 연결 추적 항목과 일치할 수 있습니다.
이 경우 network-1에서 삭제된 Dynamic NIC에서 사용한 연결에 대해 항목이 생성된 Cloud NGFW 연결 추적 테이블의 항목과 일치하면 network-2의 새 Dynamic NIC에서 전송하거나 수신한 트래픽이 허용될 수 있습니다. 이 문제를 방지하려면 다음 해결 방법을 참조하세요.
해결 방법:
이 문제를 방지하려면 다음 중 한 가지를 따르세요.
- Dynamic NIC를 삭제한 후 새 Dynamic NIC를 만들 때 해당 VLAN ID를 재사용하지 마세요.
- Dynamic NIC를 삭제한 후 동일한 VLAN ID를 사용하는 새 Dynamic NIC를 만들려면 10분 이상 기다립니다.
연결 추적 및 방화벽 규칙에 대한 자세한 내용은 Cloud Next Generation Firewall 문서의 사양을 참조하세요.