관리형 트래픽 분류 구성

이 페이지에서는 관리형 트래픽 분류를 구성하여 나가는 패킷에서 차별화된 서비스 필드 코드 포인트 (DSCP) 비트의 할당을 자동화하는 방법을 설명합니다.

관리형 트래픽 분류를 구성하려면 트래픽 분류 규칙의 컨테이너 역할을 하는 네트워크 정책 리소스를 만듭니다. 이러한 규칙은 Cloud Interconnect에 나가는 패킷을 표시하는 방법을 알려줍니다. 다음 섹션에서는 네트워크 정책과 트래픽 분류 규칙이 함께 작동하는 방식을 설명합니다.

네트워크 정책

네트워크 정책은 트래픽 분류 규칙 모음을 보유할 수 있는 컨테이너입니다. 새 네트워크 정책을 만들 때 정책을 적용할 리전을 지정합니다. 그런 다음 정책에 규칙을 추가한 후 하나 이상의 VPC 네트워크와 연결합니다. 그러면 Cloud Interconnect가 지정된 리전의 연결된 각 네트워크 내 모든 가상 머신 인스턴스에 규칙을 적용합니다. 또는 보안 태그를 사용하여 각 네트워크의 일부 인스턴스에만 규칙을 적용할 수 있습니다.

리전별로 각 VPC 네트워크에 하나의 네트워크 정책만 연결할 수 있습니다. 즉, 서로 다른 리전의 여러 네트워크 정책을 하나의 VPC 네트워크와 연결하거나 동일한 리전의 여러 네트워크 정책을 서로 다른 VPC 네트워크와 연결할 수 있습니다.

트래픽 분류 규칙

트래픽 분류 규칙에는 세 가지 구성요소가 있습니다.

  • 우선순위: 네트워크 정책의 규칙이 평가되는 순서를 결정하는 숫자
  • 일치 조건: 규칙이 적용되는 패킷을 결정하는 값
  • 규칙 작업: 일치 조건과 일치하는 패킷에 실행되는 작업입니다. 트래픽 분류 규칙에는 APPLY_TRAFFIC_CLASSIFICATION 작업만 사용할 수 있습니다.

다음 섹션에서는 각 규칙 구성요소를 자세히 설명합니다.

규칙 평가 순서

패킷에 대해 규칙이 평가되는 순서는 가장 낮은 숫자부터 가장 높은 숫자까지 규칙 우선순위에 따라 결정됩니다. 가장 낮은 숫자 값이 할당된 규칙은 논리적 우선순위가 가장 높으며 논리적 우선순위가 낮은 규칙보다 먼저 평가됩니다. 즉, 최소 숫자 우선순위인 0을 가진 규칙이 항상 먼저 평가됩니다.

우선순위가 같은 규칙을 두 개 이상 구성할 수 없습니다. 각 규칙 우선순위를 0~2147483646 사이의 숫자로 설정해야 합니다. 우선순위 값 2147483647(INT-MAX라고도 함)은 네트워크 정책의 기본 규칙에 예약되어 있습니다. 기본 규칙을 삭제할 수는 없지만 수정할 수 있습니다.

우선순위 번호에는 차이가 있을 수 있습니다. 이러한 간격을 통해 나중에 나머지 규칙에 영향을 주지 않고 규칙을 추가하거나 삭제할 수 있습니다. 예를 들어 1, 2, 3, 4, 5, 9, 12, 16은 나중에 6~8, 10~11, 13~15의 규칙을 추가할 수 있는 유효한 일련의 우선순위 번호입니다. 우선순위 값이 7, 10, 14인 규칙을 추가하면 원래 규칙을 수정하지 않아도 실행 순서가 변경됩니다.

일치 조건

일치 조건은 규칙의 작업이 적용되려면 패킷이 일치해야 하는 기준을 설명하는 표현식입니다. 찾으려는 속성에 따라 트래픽 분류 규칙과 함께 다음 카테고리의 일치 조건을 사용할 수 있습니다.

  • IP 주소 범위: 패킷의 소스 또는 대상 IP 주소 범위와 일치합니다. 각 규칙에는 최대 5,000개의 클래스 없는 도메인 간 라우팅 (CIDR) IP 주소 범위가 포함될 수 있으며, 이 범위는 모두 IPv4이거나 모두 IPv6여야 합니다. IPv4 및 IPv6 주소 범위를 모두 일치시켜야 하는 경우 규칙을 두 개 이상 만들어야 합니다.

  • 포트 및 프로토콜: 패킷의 대상 포트 또는 포트, 인터넷 프로토콜 (IP) 번호 또는 다음 프로토콜 문자열 중 하나와 일치합니다.

    • tcp
    • udp
    • icmp
    • esp
    • ah
    • ipip
    • sctp

    UDP, TCP 또는 SCTP 프로토콜을 사용하는 경우에만 대상 포트를 기준으로 일치시킬 수 있습니다.

  • 대상 태그: 대상에 지정된 보안 태그가 있는 수신 패킷과 일치합니다. 보안 태그에 대한 자세한 내용은 태그 개요를 참고하세요.

이러한 일치 조건의 일부 또는 전부를 결합하여 더 세부적인 일치를 달성할 수 있습니다.

규칙 작업

규칙 작업은 패킷이 규칙의 일치 조건과 일치할 때 수행되는 작업입니다. 각 패킷에는 하나의 작업만 적용되며 작업이 적용되면 더 많은 규칙이 평가되지 않습니다. 트래픽 분류 규칙에는 APPLY_TRAFFIC_CLASSIFICATION 작업만 있을 수 있습니다.

APPLY_TRAFFIC_CLASSIFICATION 작업은 지정된 트래픽 클래스를 IP 패킷에 적용합니다. 트래픽 클래스에 따라 DSCP 값이 자동으로 할당되는지 아니면 맞춤 값이 할당되는지 선택합니다. 트래픽 클래스를 기반으로 한 자동 할당은 다음과 같습니다.

트래픽 클래스 DSCP 값
TC1 7 (000111)
TC2 15 (001111)
TC3 23 (010111)
TC4 31 (011111)
TC5 47 (101111)
TC6 63 (111111)

맞춤 DSCP 값은 0~63의 값을 가질 수 있습니다.

네트워크 정책 구성

다음 절차에서는 네트워크 정책을 만들고 리전에 할당하는 방법을 설명합니다.

콘솔

  1. Google Cloud 콘솔에서 트래픽 분류 탭으로 이동합니다.

    트래픽 분류로 이동

  2. 정책 만들기를 클릭합니다.

  3. 이름 필드에 네트워크 정책의 이름을 입력합니다.

  4. 리전 목록 상자에서 네트워크 정책을 적용할 리전을 선택합니다.

  5. 만들기를 클릭합니다.

gcloud 

gcloud compute network-policies create NETWORK_POLICY_NAME \
  --region REGION

다음을 바꿉니다.

  • NETWORK_POLICY_NAME: 네트워크 정책에 지정할 이름
  • REGION: 네트워크 정책을 적용할 리전

트래픽 분류 규칙 구성

다음 섹션에서는 트래픽 분류 규칙을 만들고 기존 네트워크 정책에 연결하는 방법을 설명합니다.

대상 IP 주소 범위를 사용하여 패킷 일치

다음 절차를 사용하여 대상 IP 주소 범위를 기반으로 패킷과 일치하는 규칙을 만듭니다.

콘솔

  1. Google Cloud 콘솔에서 트래픽 분류 탭으로 이동합니다.

    트래픽 분류로 이동

  2. 규칙을 추가할 네트워크 정책의 이름을 클릭합니다.

  3. 규칙 만들기를 클릭합니다.

  4. 이름 필드에 규칙 이름을 입력합니다.

  5. 우선순위 필드에 규칙 평가 순서에 사용할 숫자 우선순위를 입력합니다.

  6. 클래스 목록 상자에서 이 패킷을 할당할 트래픽 클래스를 선택합니다.

  7. DSCP 값 필드에서 자동 또는 지정됨을 선택합니다. 지정됨을 선택한 경우 DSCP 값을 입력합니다.

  8. 대상 필터 필드에서 IP 주소 프로토콜과 범위를 지정합니다.

    • IP 유형 목록 상자에서 IP 주소 프로토콜을 선택합니다.
    • IP 범위 필드에 대상 IP 주소 범위를 하나 이상 입력합니다.

  9. 만들기를 클릭합니다.

gcloud

DSCP를 자동으로 할당하는 트래픽 분류 규칙을 만들려면 다음 명령어를 사용합니다.

gcloud compute network-policies traffic-classification-rules create PRIORITY \
  --action APPLY_TRAFFIC_CLASSIFICATION \
  --traffic-class TRAFFIC_CLASS \
  --dscp-mode AUTO \
  --network-policy NETWORK_POLICY_NAME \
  --dest-ip-ranges DESTINATION_RANGES

다음을 바꿉니다.

  • PRIORITY: 규칙 평가 순서에 사용될 숫자 우선순위
  • TRAFFIC_CLASS: 이 패킷을 할당할 트래픽 클래스
  • NETWORK_POLICY_NAME: 이 규칙을 추가할 네트워크 정책의 이름입니다.
  • DESTINATION_RANGES: 일치시키려는 대상 IP 주소 범위의 쉼표로 구분된 목록

맞춤 DSCP 값을 할당하는 트래픽 분류 규칙을 만들려면 다음 명령어를 사용합니다.

gcloud compute network-policies traffic-classification-rules create PRIORITY \
  --action APPLY_TRAFFIC_CLASSIFICATION \
  --traffic-class TRAFFIC_CLASS \
  --dscp-mode CUSTOM \
  --dscp-value DSCP_VALUE \
  --network-policy NETWORK_POLICY_NAME \
  --dest-ip-ranges DESTINATION_RANGES

다음을 바꿉니다.

  • PRIORITY: 규칙 평가 순서에 사용될 숫자 우선순위
  • TRAFFIC_CLASS: 일치하는 패킷을 할당할 트래픽 클래스
  • DSCP_VALUE: 일치하는 패킷에 부여하려는 맞춤 DSCP 값
  • NETWORK_POLICY_NAME: 이 규칙을 추가할 네트워크 정책의 이름입니다.
  • DESTINATION_RANGES: 일치시키려는 대상 IP 주소 범위의 쉼표로 구분된 목록

포트 또는 프로토콜을 사용하여 패킷 일치

다음 절차에 따라 포트 또는 프로토콜을 기반으로 패킷과 일치하는 규칙을 만듭니다.

콘솔

  1. Google Cloud 콘솔에서 트래픽 분류 탭으로 이동합니다.

    트래픽 분류로 이동

  2. 규칙을 추가할 네트워크 정책의 이름을 클릭합니다.

  3. 규칙 만들기를 클릭합니다.

  4. 이름 필드에 규칙 이름을 입력합니다.

  5. 우선순위 필드에 규칙 평가 순서에 사용할 숫자 우선순위를 입력합니다.

  6. 클래스 목록 상자에서 이 패킷을 할당할 트래픽 클래스를 선택합니다.

  7. DSCP 값 필드에서 자동 또는 지정됨을 선택합니다. 지정됨을 선택한 경우 DSCP 값을 입력합니다.

  8. 대상 필터 필드에서 IP 주소 프로토콜과 범위를 지정합니다.

    • IP 유형 목록 상자에서 IP 주소 프로토콜을 선택합니다.
    • IP 범위 필드에 대상 IP 주소 범위를 하나 이상 입력합니다.

  9. 프로토콜 및 포트 필드에서 지정된 프로토콜 및 포트를 선택합니다.

  10. 일치시키려는 각 프로토콜을 선택하고 포트 필드에 포트를 입력합니다.

  11. (선택사항) 목록에 없는 프로토콜을 일치시키려면 기타 프로토콜 체크박스를 선택한 다음 쉼표로 구분된 프로토콜 목록을 입력합니다.

  12. 만들기를 클릭합니다.

gcloud

DSCP를 자동으로 할당하는 트래픽 분류 규칙을 만들려면 다음 명령어를 사용합니다.

gcloud compute network-policies traffic-classification-rules create PRIORITY \
  --action APPLY_TRAFFIC_CLASSIFICATION \
  --traffic-class TRAFFIC_CLASS \
  --dscp-mode AUTO \
  --network-policy NETWORK_POLICY_NAME \
  --layer4-configs PROTOCOLS

다음을 바꿉니다.

  • PRIORITY: 규칙 평가 순서에 사용될 숫자 우선순위
  • TRAFFIC_CLASS: 이 패킷을 할당할 트래픽 클래스
  • NETWORK_POLICY_NAME: 이 규칙을 추가할 네트워크 정책의 이름입니다.
  • PROTOCOLS: 일치시키려는 프로토콜의 쉼표로 구분된 목록입니다. 각 프로토콜과 함께 포트 또는 포트 범위를 지정하려면 다음 형식을 사용하세요.
    • 포트 1개: protocol:port 예를 들면 tcp:80입니다.
    • 포트 범위: protocol:port1-port2 예를 들면 tcp:20000-25000입니다.

맞춤 DSCP 값을 할당하는 트래픽 분류 규칙을 만들려면 다음 명령어를 사용합니다.

gcloud compute network-policies traffic-classification-rules create PRIORITY \
  --action APPLY_TRAFFIC_CLASSIFICATION \
  --traffic-class TRAFFIC_CLASS \
  --dscp-mode CUSTOM \
  --dscp-value DSCP_VALUE \
  --network-policy NETWORK_POLICY_NAME \
  --layer4-configs PROTOCOLS

다음을 바꿉니다.

  • PRIORITY: 규칙 평가 순서에 사용될 숫자 우선순위
  • TRAFFIC_CLASS: 일치하는 패킷을 할당할 트래픽 클래스
  • DSCP_VALUE: 일치하는 패킷에 부여하려는 맞춤 DSCP 값
  • NETWORK_POLICY_NAME: 이 규칙을 추가할 네트워크 정책의 이름입니다.
  • PROTOCOLS: 일치시키려는 프로토콜의 쉼표로 구분된 목록입니다. 각 프로토콜과 함께 포트 또는 포트 범위를 지정하려면 다음 형식을 사용하세요.
    • 포트 1개: protocol:port 예를 들면 tcp:80입니다.
    • 포트 범위: protocol:port1-port2 예를 들면 tcp:20000-25000입니다.

태그를 사용하여 패킷 일치

다음 절차에 따라 대상 보안 태그를 기반으로 패킷과 일치하는 규칙을 만듭니다. 보안 태그를 구성하려면 태그 만들기 및 관리를 참고하세요.

콘솔

  1. Google Cloud 콘솔에서 트래픽 분류 탭으로 이동합니다.

    트래픽 분류로 이동

  2. 규칙을 추가할 네트워크 정책의 이름을 클릭합니다.

  3. 규칙 만들기를 클릭합니다.

  4. 이름 필드에 규칙 이름을 입력합니다.

  5. 우선순위 필드에 규칙 평가 순서에 사용할 숫자 우선순위를 입력합니다.

  6. 클래스 목록 상자에서 이 패킷을 할당할 트래픽 클래스를 선택합니다.

  7. DSCP 값 필드에서 자동 또는 지정됨을 선택합니다. 지정됨을 선택한 경우 DSCP 값을 입력합니다.

  8. 타겟 필드에서 보안 태그를 선택합니다.

  9. 태그 범위 선택을 클릭합니다. 새 창에서 범위(프로젝트, 폴더 또는 조직)를 선택합니다. 보안 태그를 지정합니다.

    1. 키 1 필드의 목록 상자에서 키를 선택합니다.
    2. 값 1 필드에서 목록 상자의 값을 선택합니다.
    3. 선택사항: 보안 태그를 더 추가하려면 태그 추가를 클릭한 다음 이전 두 단계를 반복합니다.

  10. 대상 필터 필드에서 IP 주소 프로토콜과 범위를 지정합니다.

    • IP 유형 목록 상자에서 IP 주소 프로토콜을 선택합니다.
    • IP 범위 필드에 대상 IP 주소 범위를 하나 이상 입력합니다.

  11. 만들기를 클릭합니다.

gcloud

DSCP를 자동으로 할당하는 트래픽 분류 규칙을 만들려면 다음 명령어를 사용합니다.

gcloud compute network-policies traffic-classification-rules create PRIORITY \
  --action APPLY_TRAFFIC_CLASSIFICATION \
  --traffic-class TRAFFIC_CLASS \
  --dscp-mode AUTO \
  --network-policy NETWORK_POLICY_NAME \
  --target-secure-tags TAG_KEY/TAG_VALUE

다음을 바꿉니다.

  • PRIORITY: 규칙 평가 순서에 사용될 숫자 우선순위
  • TRAFFIC_CLASS: 이 패킷을 할당할 트래픽 클래스
  • NETWORK_POLICY_NAME: 이 규칙을 추가할 네트워크 정책의 이름입니다.
  • TAG_KEY: 보안 태그 키
  • TAG_VALUE: 보안 태그 키에 할당할 값

맞춤 DSCP 값을 할당하는 트래픽 분류 규칙을 만들려면 다음 명령어를 사용합니다.

gcloud compute network-policies traffic-classification-rules create PRIORITY \
  --action APPLY_TRAFFIC_CLASSIFICATION \
  --traffic-class TRAFFIC_CLASS \
  --dscp-mode CUSTOM \
  --dscp-value DSCP_VALUE \
  --network-policy NETWORK_POLICY_NAME \
  --target-secure-tags TAG_KEY/TAG_VALUE

다음을 바꿉니다.

  • PRIORITY: 규칙 평가 순서에 사용될 숫자 우선순위
  • TRAFFIC_CLASS: 일치하는 패킷을 할당할 트래픽 클래스
  • DSCP_VALUE: 일치하는 패킷에 부여하려는 맞춤 DSCP 값
  • NETWORK_POLICY_NAME: 이 규칙을 추가할 네트워크 정책의 이름입니다.
  • TAG_KEY: 보안 태그 키
  • TAG_VALUE: 보안 태그 키에 할당할 값

네트워크와 네트워크 정책 연결

트래픽 분류 규칙을 네트워크 정책에 연결한 후 다음 절차에 따라 네트워크 정책을 하나 이상의 네트워크와 연결합니다.

콘솔

  1. Google Cloud 콘솔에서 트래픽 분류 탭으로 이동합니다.

    트래픽 분류로 이동

  2. 네트워크와 연결할 네트워크 정책의 이름을 클릭합니다.

  3. 연결 탭을 선택합니다.

  4. 연결 추가를 클릭합니다.

  5. 네트워크 정책을 연결할 각 네트워크의 체크박스를 선택합니다.

  6. 연결을 클릭합니다.

gcloud

다음 명령어를 사용하여 네트워크 정책을 각 네트워크와 연결합니다.

gcloud compute network-policies associations create \
  --network-policy NETWORK_POLICY_NAME \
  --network NETWORK_NAME

다음을 바꿉니다.

  • NETWORK_POLICY_NAME: 연결할 네트워크 정책의 이름
  • NETWORK_NAME: 네트워크 정책을 연결할 네트워크의 이름