자동 Envoy 배포를 사용하는 Compute Engine VM 설정 옵션

이 가이드에서는 자동 Envoy 배포를 위한 추가 옵션 및 작업에 대한 정보를 제공합니다.

추가 인스턴스 템플릿 만들기 옵션

자동 Envoy 프록시 배포를 위한 인스턴스 템플릿을 만들 때 다음 매개변수를 사용하여 배포의 일부 측면과 프록시 동작을 정의할 수 있습니다.

예를 들어 다음 gcloud 명령어는 proxy-it이라는 인스턴스 템플릿을 만듭니다. 이 템플릿으로 생성된 인스턴스에는 Envoy 프록시와 서비스 프록시 에이전트가 설치되어 있습니다.

gcloud compute instance-templates create proxy-it \
    --service-proxy enabled

다음 예시에서 인스턴스 템플릿을 proxy-it이라고 하며, Envoy 프록시 및 서비스 프록시 에이전트가 설치되고 제공 포트 및 프록시 포트가 설정되고 추적이 사용 설정되어 있으며 라벨이 정의됩니다.

gcloud compute instance-templates create proxy-it \
  --service-proxy enabled,serving-ports=8080,proxy-port=15001,tracing=ON \
  --service-proxy-labels version=canary

다음 다이어그램은 제공 포트를 8080으로 지정하는 경우의 트래픽 흐름을 보여줍니다. 포트 8080에 대한 인바운드 TCP 연결은 iptable에 의해 가로채기를 당하여 Envoy 프록시로 리디렉션된 다음 TCP 포트 8080에서 리슨하는 VM의 애플리케이션으로 전달됩니다. 또한 다음 사항도 적용됩니다.

• Cloud Service Mesh에 구성된 서비스 VIP의 모든 아웃바운드 연결은 netfilter를 구성하는 iptable에 의해 가로채기를 당합니다. netfilter는 네트워크 스택을 통과하는 해당 트래픽이 가로채기를 당하고 Envoy 프록시로 리디렉션되도록 합니다. 그러면 Cloud Service Mesh가 구성된 방식에 따라 트래픽이 부하 분산됩니다.
• 다른 모든 인바운드 연결은 iptables에 의해 가로채기를 당하지 않으며 VM에 직접 전달됩니다.
• 외부 엔드포인트에 대한 모든 연결은 중단 없이 외부 IP 주소로 직접 전달됩니다.
• 모든 UDP 트래픽은 iptable에 의해 중단되지 않고 대상으로 직접 전달됩니다.

다음 다이어그램을 참조하세요.

다이어그램의 트래픽 흐름은 다음과 같습니다.

1. 대상 포트 80이 있는 인바운드 트래픽은 가로채기를 당하고 포트에서 리슨하는 서비스로 직접 라우팅되지 않습니다.
2. 대상 포트 8080이 있는 인바운드 트래픽은 가로채기를 당하고 Envoy 리스너 포트로 리디렉션됩니다.
3. Envoy는 (2)에서 localhost 포트 8080에서 리슨하는 서비스 2로 트래픽을 전달합니다.
4. Cloud Service Mesh 전달 규칙 VIP 및 포트를 대상으로 하는 아웃바운드 트래픽은 가로채기를 당하고 Envoy 리스너 포트로 리디렉션됩니다.
5. Envoy는 트래픽을 (4)에서 대상 Cloud Service Mesh 백엔드 서비스 백엔드의 엔드포인트로 전달합니다.
6. Cloud Service Mesh VIP 및 포트를 대상으로 하는 아웃바운드 트래픽이며 가로채기를 당하지 않으며 외부 서비스로 직접 라우팅됩니다.

라벨 사용

Cloud Service Mesh 메타데이터 필터링에 사용할 라벨을 지정하거나 Envoy 프록시에 대한 액세스 로깅을 사용 설정하려면 --service-proxy-labels 또는 --service-proxy access-log 파라미터를 사용합니다.

예를 들면 다음과 같습니다.

gcloud compute instance-templates create td-vm-template-auto \
   --service-proxy enabled,access-log=/var/log/envoy/access.log,network=default \
   --service-proxy-labels myapp=review,version=canary

Envoy 프록시는 VM의 서비스에 대한 상태 확인 포트를 가로챌 수 있습니다. 이렇게 하면 상태 확인 프로브가 애플리케이션과 Envoy 프록시에 대해 보고합니다. Envoy 프록시가 올바르게 실행되지 않으면 트래픽이 VM으로 전달되지 않습니다. 예를 들면 다음과 같습니다.

gcloud compute instance-templates create td-vm-template-auto \
  --service-proxy=enabled,serving-ports="80;8080"

관리형 인스턴스 그룹 업데이트 프로세스 사용

Envoy 프록시 구성을 위해 자동화된 프로세스를 사용한 경우 관리형 인스턴스 그룹 업데이트 프로세스를 사용하여 관리형 인스턴스 그룹을 업데이트할 수 있습니다. 이 프로세스를 사용하여 다음을 수행할 수 있습니다.

• 서비스 프록시 구성요소를 기존 관리형 인스턴스 그룹에 추가하고 Cloud Service Mesh 네트워크에 등록합니다.
• VM에서 서비스 프록시 구성요소를 업데이트합니다.

순차적 업데이트를 수행하기 전에 다음을 수행합니다.

1. 백엔드 서비스의 연결 드레이닝 값을 최소 30초로 설정합니다.
2. 업데이터를 호출할 때 --min-ready 매개변수를 3분 이상의 값으로 설정합니다. --min-ready 매개변수를 사용하면 VM이 업데이트된 후 관리형 인스턴스 그룹이 대기하다가 다음 VM 업데이트를 진행할 수 있습니다. 이 매개변수가 없으면 새로 만든 VM이 Envoy 및 서비스 프록시 에이전트를 완전히 부팅할 시간이 없으며 업데이트가 너무 빨리 진행됩니다.

관리형 인스턴스 그룹에서 순차적 업데이트를 수행하려면 다음 단계를 따르세요.

1. 위에서 설명한 대로 서비스 프록시 정보로 새 인스턴스 템플릿을 만듭니다. 서비스 프록시 정보를 포함하고 있고 목표가 프록시 소프트웨어의 가장 최신인 안정적인 버전으로 업데이트하는 것일 경우 인스턴스 템플릿의 원래 버전이 업데이트에 사용될 수 있습니다.
2. 관리형 인스턴스 그룹의 순차적 업데이트를 수행합니다. REPLACE가 업데이터가 수행해야 하는 최소 작업으로 설정되어 있는지 확인합니다. 인스턴스 그룹이 최신 버전의 프록시 소프트웨어를 설치하고 인스턴스 템플릿에 지정된 대로 구성합니다.

업데이트 처리를 사용하여 관리형 인스턴스 그룹에서 서비스 프록시 구성요소를 삭제할 수도 있습니다.

1. --service-proxy 플래그를 지정하지 않고 새 인스턴스 템플릿을 만듭니다.

2. 관리형 인스턴스 그룹 업데이트 프로세스를 사용하여 순차적 업데이트를 수행합니다.

이렇게 하면 VM에서 Envoy 프록시가 삭제됩니다. 관리형 인스턴스 그룹이 백엔드 서비스에 연결된 유일한 MIG인 경우 Cloud Service Mesh를 설정할 때 만든 Cloud Service Mesh 구성을 삭제하고자 할 수 있습니다.