대역 외 통합 개요

규모에 맞게 워크로드의 네트워크 트래픽을 분석하려면 대역 외 네트워크 보안 통합 서비스인 패킷 미러링을 사용하면 됩니다. 패킷 미러링을 사용하면 서드 파티 가상 어플라이언스를 사용하여 네트워크 트래픽을 모니터링할 수 있습니다.

패킷 미러링은 방화벽 정책의 미러링 규칙에 지정된 필터링 기준에 따라 네트워크 트래픽을 클론합니다. 미러링된 트래픽은 딥 패킷 검사를 위해 서드 파티 가상 어플라이언스 배포에 전송됩니다.

패킷 미러링은 IP 페이로드와 헤더를 포함한 모든 패킷 데이터를 캡처합니다. 미러링된 네트워크 트래픽을 분석하여 네트워크 및 애플리케이션 성능을 모니터링하고 네트워크의 위협을 감지할 수 있습니다.

패킷 미러링은 리전 배포를 지원하는 영역 서비스입니다. 하지만 미러링 배포의 소비자와 프로듀서가 다른 영역에 있는 경우 영역 간 트래픽에 요금이 청구됩니다. 미러링 배포의 안정성을 높이려면 미러링 소스와 동일한 영역에 별도의 프로듀서 배포를 만드는 것이 좋습니다. 이렇게 하면 영역 간 트래픽 요금을 최소화하고 미러링 설정의 전반적인 안정성을 개선할 수 있습니다.

대역 외 통합 사용의 이점

대역 외 통합은 다음과 같은 이점을 제공합니다.

  • 세부적인 트래픽 일치 기능: 세부적인 트래픽 일치 기능을 사용하면 방화벽 정책의 일부로 미러링 규칙을 지정할 수 있습니다. 이렇게 하면 미러링 규칙을 정의할 때 전역 네트워크 방화벽 정책을 사용할 수 있습니다. 이러한 규칙을 사용하면 소스 또는 대상 IP 주소, 프로토콜, 대상 포트 범위 등 다양한 기준에 따라 특정 트래픽을 미러링할 수 있습니다. 미러링 규칙에 대한 자세한 내용은 미러링 규칙을 참고하세요.

  • 제외 필터: 미러링 규칙에서 DO_NOT_MIRROR 작업을 사용하여 제외 필터를 정의할 수 있습니다. 이를 통해 미러링 규칙 내에서 특정 트래픽을 무시할 수 있습니다.

  • Geneve 캡슐화: 미러링된 트래픽은 Geneve를 사용하여 캡슐화됩니다. 이렇게 하면 검사를 위해 서드 파티 어플라이언스에 전송될 때 원래 패킷을 보존할 수 있습니다. 자세한 내용은 GENEVE 형식 이해를 참고하세요.

    geneve-encapsulation에는 원래 패킷 외에도 미러링 소스에 관한 정보가 포함됩니다. 심층 패킷 검사를 위해 미러링 엔드포인트 그룹으로 리디렉션된 각 패킷에 고유한 가상 프라이빗 클라우드 (VPC) 네트워크 식별자를 추가합니다. IP 주소 범위가 겹치는 VPC 네트워크가 여러 개 있는 경우 이 네트워크 식별자는 리디렉션된 각 패킷이 해당 VPC 네트워크에 올바르게 연결되도록 보장합니다.

  • 서비스형 수집기 미러링: 서드 파티 어플라이언스의 운영 관리를 중앙 집중화하면서 조직의 여러 애플리케이션 팀에 서비스로 제공할 수 있습니다. 이 중앙 집중식 어플라이언스 배포는 팀 구성 방식에 따라 다른 프로젝트 또는 다른 조직에 있을 수 있습니다.

대역 외 통합 배포 모델

대역 외 통합은 소비자-생산자 모델을 기반으로 하며, 소비자는 생산자가 제공하는 서비스를 소비합니다.

그림 1은 대역 외 통합 서비스의 대략적인 배포 아키텍처를 보여줍니다.

대역 외 통합 서비스의 상위 수준 배포 아키텍처
그림 1. 대역 외 통합 서비스의 상위 수준 배포 아키텍처 (확대하려면 클릭)

프로듀서 구성요소

프로듀서 VPC 네트워크에는 소비자 네트워크에서 Geneve로 캡슐화된 패킷을 수신할 수 있는 부하 분산된 수집기 인스턴스 집합이 포함되어 있습니다. 인스턴스 그룹의 인스턴스를 수집기 인스턴스라고도 합니다.

수집기 인스턴스를 지정할 때 내부 패스 스루 네트워크 부하 분산기와 연결된 전달 규칙의 이름을 입력합니다.그러면 Google Cloud에서 미러링된 트래픽을 수집기 인스턴스로 전달합니다. 패킷 미러링을 위한 내부 부하 분산기는 패킷 미러링에 적용할 전달 규칙을 구성해야 한다는 점을 제외하고 다른 내부 부하 분산기와 유사합니다. 부하 분산기로 전송된 트래픽 중 미러링되지 않은 트래픽은 모두 삭제됩니다.

미러링 배포 그룹 및 미러링 배포

미러링 배포는 수집기 인스턴스의 프런트엔드 역할을 하는 내부 패스 스루 네트워크 부하 분산기의 전달 규칙을 가리키는 영역 리소스입니다. 이러한 미러링 배포는 더 쉬운 사용과 관리를 위해 프로젝트 내의 여러 위치에 걸쳐 미러링 배포 그룹으로 추가 그룹화됩니다.

소비자 네트워크의 미러링 엔드포인트 그룹은 미러링된 트래픽을 해당 미러링 배포 그룹으로 전송합니다. 그러면 미러링 배포 그룹이 검사를 위해 미러링 소스와 동일한 영역에 있는 미러링 배포로 트래픽을 전송합니다.

배포 그룹 및 배포에 대한 자세한 내용은 미러링 배포 그룹 개요미러링 배포 개요를 참고하세요.

소비자 구성요소

미러링된 소스는 미러링 규칙에서 타겟, 소스, 대상 매개변수를 사용하여 선택할 수 있는 Compute Engine 가상 머신 (VM) 인스턴스입니다. 소스 유형을 하나 이상 지정할 수 있고, 인스턴스가 최소 1개의 유형과 일치하면 미러링됩니다.

패킷 미러링은 패킷 미러링 정책이 적용되는 네트워크 내 인스턴스의 네트워크 인터페이스에서 트래픽을 수집합니다. 인스턴스에 여러 네트워크 인터페이스가 있는 경우에는 적용 가능한 또 다른 정책이 구성되어 있지 않는 한 다른 인터페이스는 미러링되지 않습니다.

다음 섹션에서는 소비자 네트워크의 구성요소를 다룹니다.

미러링 엔드포인트 그룹

미러링 엔드포인트 그룹은 소비자 측의 프로젝트 수준 리소스로, 프로듀서의 미러링 배포 그룹에 직접 해당합니다. 개별 VPC 네트워크를 미러링 엔드포인트 그룹에 연결하여 트래픽 미러링을 사용 설정할 수 있습니다.

보안 관리자가 소유한 프로젝트에 미러링 엔드포인트 그룹을 만드는 것이 좋습니다. 미러링 엔드포인트 그룹 연결을 만들려면 보안 관리자가 이 프로젝트 또는 네트워크 관리자에게 미러링 엔드포인트 관리자 역할(roles/networksecurity.mirroringAdmin) 및 미러링 엔드포인트 네트워크 관리자 역할(roles/networksecurity.mirroringEndpointNetworkAdmin)을 제공해야 합니다.

엔드포인트 그룹 미러링에 대한 자세한 내용은 엔드포인트 그룹 미러링 개요를 참고하세요.

미러링 엔드포인트 그룹 연결

미러링 엔드포인트 그룹 연결은 트래픽을 미러링하여 검사를 위해 프로듀서 배포 그룹으로 전송해야 하는 소비자 VPC 네트워크를 지정합니다.

미러링 엔드포인트 그룹은 미러링된 트래픽을 프로듀서 네트워크의 해당 배포 그룹으로 전송합니다. 하지만 미러링된 트래픽을 검사해야 하는 소비자 VPC 네트워크를 지정하려면 VPC 네트워크와 미러링 엔드포인트 그룹 간에 연결을 만듭니다.

미러링 엔드포인트 그룹 연결을 만든 후 방화벽 정책 미러링 규칙에 따라 연결된 VPC 네트워크에서 미러링할 패킷이 결정됩니다. 미러링 엔드포인트 그룹 연결이 생성되지 않으면 미러링 규칙이 무시되고 패킷이 검사를 위해 배포 그룹으로 전송되지 않습니다.

엔드포인트 그룹 연결에 대한 자세한 내용은 미러링 엔드포인트 그룹 연결 만들기 및 관리를 참고하세요.

방화벽 정책 및 규칙

소비자 VPC 네트워크에서 네트워크 방화벽 정책을 사용하여 미러링하고 검사할 트래픽을 선택합니다. 방화벽 정책에는 다음 규칙이 포함됩니다.

  • 방화벽 정책 규칙: 소비자 VM 간 데이터 패킷의 인그레스 또는 이그레스를 허용하거나 거부합니다. 방화벽 정책 규칙에는 다음 작업 중 하나가 있을 수 있습니다.

    • ALLOW: 트래픽을 허용하고 우선순위가 낮은 다른 방화벽 정책 규칙의 평가를 중지합니다.
    • DENY: 트래픽을 허용하지 않고 우선순위가 낮은 다른 방화벽 정책 규칙의 평가를 중지합니다.
    • GOTO_NEXT: 규칙 평가 프로세스를 계속 진행합니다.

방화벽 정책 규칙에 대한 자세한 내용은 방화벽 정책 규칙 개요를 참고하세요.

  • 미러링 규칙: 인그레스 또는 이그레스 데이터 패킷이 미러링되는지 여부를 결정합니다. 미러링 규칙에는 다음 작업 중 하나가 있을 수 있습니다.

    • MIRROR: 트래픽 흐름의 미러링을 허용하고 우선순위가 낮은 다른 미러링 규칙의 평가를 중지합니다.
    • DO_NOT_MIRROR: 트래픽 흐름의 미러링을 허용하지 않고 우선순위가 낮은 다른 미러링 규칙의 평가를 중지합니다. DO_NOT_MIRROR 작업을 사용하여 미러링할 필요가 없는 트래픽 흐름을 세부적으로 필터링합니다.

    • GOTO_NEXT: 연결 평가를 하위 수준에 위임하는 데 사용할 수 있는 작업입니다. 미러링 규칙은 다음 조건 중 하나가 충족되는 경우 후속 규칙의 처리를 허용합니다.

      • 작업이 goto_next이면 평가가 다음 규칙으로 진행됩니다. 따라서 여러 goto_next 규칙은 서로의 동작에 영향을 미치지 않습니다.
      • 수신 트래픽이 기존 규칙과 일치하지 않으면 시스템은 기본적으로 goto_next 작업을 실행합니다. 이는 현재 정책 수준에서 관련 작업을 찾지 못했으므로 평가가 다음 하위 수준으로 진행됨을 의미합니다.

미러링 규칙의 정책 및 규칙 평가 순서

전역 네트워크 방화벽 정책에 미러링 규칙을 추가할 수 있습니다. 방화벽 정책 규칙과 마찬가지로 미러링 규칙은 우선순위의 내림차순으로 평가되며 0이 가장 높은 우선순위를 갖습니다. 방화벽 정책 내의 각 미러링 규칙에는 고유한 우선순위가 있어야 합니다. 트래픽 흐름이 미러링 규칙과 일치하면 대역 외 통합이 패킷을 미러링하고 우선순위가 낮은 미러링 규칙의 평가는 건너뜁니다.

방화벽 정책에 미러링 규칙이 구성된 경우 규칙이 평가되는 순서는 VM으로 들어오거나 VM에서 나가는 트래픽의 방향을 기반으로 합니다.

  • 인그레스의 경우 트래픽이 먼저 방화벽 정책 규칙 평가 순서에 따라 평가됩니다.

    • 방화벽 규칙에서 인그레스 트래픽을 허용하면 미러링 규칙에 따라 트래픽이 평가됩니다. 미러링 규칙의 작업에 따라 트래픽이 미러링되거나 미러링되지 않습니다.
    • 방화벽 규칙에서 인그레스 트래픽을 허용하지 않으면 트래픽이 미러링 규칙에 따라 평가되지 않으며 방화벽 규칙에 의해 차단된 트래픽 패킷이 삭제되고 미러링되지 않습니다.

  • 이그레스 사례에서는 먼저 미러링 규칙에 대해 트래픽이 평가됩니다. 미러링 규칙에 지정된 작업에 따라 트래픽이 미러링되거나 미러링되지 않으며, 그런 다음 트래픽이 이그레스 방화벽 정책 규칙 평가 순서에 따라 평가됩니다.

보안 프로필 및 보안 프로필 그룹

미러링 규칙은 보안 프로필 그룹 내의 보안 프로필을 참조하여 미러링된 트래픽의 심층 패킷 검사를 구현합니다. 미러링 규칙과 일치하는 트래픽은 미러링 규칙의 보안 프로필에서 참조하는 미러링 엔드포인트 그룹으로 미러링됩니다. 서드 파티 검사를 위해 미러링 엔드포인트 그룹을 가리키는 맞춤 보안 프로필이 포함된 보안 프로필 그룹을 만들어야 합니다. 미러링 규칙을 만들 때 --security-profile-group 플래그를 사용하여 보안 프로필 그룹을 규칙과 연결합니다. 보안 프로필과 보안 프로필 그룹은 모두 조직 수준 리소스입니다.

보안 프로필 및 보안 프로필 그룹에 대한 자세한 내용은 보안 프로필 개요보안 프로필 그룹 개요를 참고하세요.

대역 외 통합 작동 방식

대역 외 통합은 패킷 미러링 기술을 사용하여 소비자 VPC 네트워크에서 트래픽 데이터를 복사하고 미러링 엔드포인트 그룹을 통해 프로듀서 VPC 네트워크로 전송합니다. 패킷 미러링은 다음 순서로 트래픽을 처리합니다.

  1. 네트워크 방화벽 정책은 네트워크의 VM과 주고받는 트래픽에 적용됩니다.
  2. 정책 내 미러링 규칙과 일치하는 트래픽이 미러링되고 미러링된 패킷은 Geneve를 사용하여 캡슐화되어 원래 패킷이 보존됩니다.
  3. 네트워크 방화벽 정책에 지정된 보안 프로필 그룹의 보안 프로필에 따라 미러링된 트래픽이 미러링 엔드포인트 그룹으로 전송됩니다.
  4. 미러링 엔드포인트 그룹은 딥 패킷 검사를 위해 대상 미러링 배포 그룹 내의 해당 미러링 배포로 패킷을 안전하게 전송합니다.
  5. 프로듀서의 미러링 배포 그룹의 내부 패스 스루 부하 분산기는 부하 분산기의 백엔드로 구성된 서드 파티 가상 어플라이언스에 패킷 흐름을 분산합니다.
  6. 백엔드 서드 파티 가상 어플라이언스는 패킷을 처리하여 딥 패킷 검사를 실행합니다.

사양

다음 섹션에서는 대역 외 통합의 사양을 설명합니다.

일반 사양

  • 모든 레이어 4 프로토콜은 패킷 미러링에서 지원됩니다.
  • 공급자 측에서 IAM 권한을 만들어 공급자의 배포 그룹에 연결할 수 있는 소비자를 제어할 수 있습니다.
  • 프로듀서 및 소비자 프로젝트가 동일한 조직에 있는 것이 좋습니다. 하지만 서로 다른 조직에 있을 수도 있습니다.
  • 프로듀서와 소비자를 동일한 VPC 네트워크에 구성하면 미러링 루프가 발생하므로 동일한 VPC 네트워크에 구성하지 마세요.
  • 미러링 배포 그룹에서 Geneve로 캡슐화된 패킷 (UDP:6081)을 허용하도록 프로듀서의 VPC 네트워크에서 방화벽 정책 규칙을 구성해야 합니다. 또한 내부 패스 스루 네트워크 부하 분산기의 상태 점검 프로브도 허용하도록 방화벽 정책 규칙을 구성해야 합니다. 자세한 내용은 전역 네트워크 방화벽 정책 및 규칙 사용을 참고하세요.
  • 대역 외 통합은 교차 영역 미러링을 지원합니다. 프로듀서 측에서 내부 부하 분산기 백엔드의 영역을 선택하여 교차 영역 또는 동일 영역 미러링을 구성할 수 있습니다.
  • 방화벽 규칙과 마찬가지로 미러링 규칙은 세션 기반입니다. 미러링 규칙은 세션 이니시에이터에 따라 미러링해야 하는 세션을 지정합니다. 미러링된 세션의 경우 수신 및 발신 트래픽의 모든 패킷이 미러링됩니다.
  • 패킷 미러링을 위한 내부 부하 분산기는 --is_mirroring_collector 플래그를 지정하여 패킷 미러링에 적용할 전달 규칙을 구성해야 한다는 점을 제외하고 다른 내부 부하 분산기와 유사합니다. 부하 분산기로 전송된 트래픽 중 미러링되지 않은 트래픽은 모두 삭제됩니다. 패킷 미러링을 위한 내부 패스 스루 네트워크 부하 분산기를 구성하는 방법에 대한 자세한 내용은 패킷 미러링을 위한 부하 분산기 만들기를 참고하세요.

트래픽 미러링

  • 패킷 미러링은 미러링 규칙이 포함된 네트워크 방화벽 정책이 적용되는 VPC 네트워크에 연결된 VM의 네트워크 인터페이스에서만 트래픽 데이터를 수집합니다. 인스턴스에 네트워크 인터페이스가 여러 개 있는 경우 각 네트워크 인터페이스에 별도의 네트워크 방화벽 정책을 구성해야 합니다.
  • 미러링 트래픽은 미러링된 인스턴스의 대역폭을 사용합니다. 예를 들어 미러링된 인스턴스에서 1Gbps의 인그레스 트래픽과 1Gbps의 이그레스 트래픽이 발생하면 총 인스턴스 트래픽은 인그레스 1Gbps, 이그레스 3Gbps (1Gbps의 일반 이그레스 트래픽과 2Gbps의 미러링된 이그레스 트래픽)가 됩니다. 수집되는 트래픽을 제한하려면 필터를 사용하세요.
  • 동일한 Google Kubernetes Engine 노드에서 포드 간 전달되는 트래픽을 미러링하려면 클러스터에 노드 내 공개 상태를 사용 설정해야 합니다.

필터링

  • 미러링 규칙을 사용하여 IPv4 및 IPv6 트래픽 모두에 대해 미러링된 인스턴스의 트래픽을 필터링할 수 있습니다.
  • 미러링 규칙을 사용하면 미러링되는 트래픽의 양을 줄일 수 있으므로 필요한 트래픽만 미러링하여 대역폭 소비를 제한할 수 있습니다.
  • 프로토콜, 클래스 없는 도메인 간 라우팅 (CIDR) 범위 (IPv4, IPv6 또는 둘 다), 트래픽 방향 (인그레스 전용, 이그레스 전용 또는 둘 다)에 따라 트래픽을 수집하도록 미러링 규칙을 구성할 수 있습니다.

방화벽 규칙 로깅

방화벽 규칙 로깅은 미러링된 패킷을 로깅하지 않습니다. 프로듀서 VM이 방화벽 규칙 로깅이 사용 설정된 서브넷에 있는 경우 미러링된 VM의 트래픽을 포함하여 프로듀서 VM으로 직접 전송되는 트래픽이 로깅됩니다. 따라서 원래 대상 IPv4 또는 IPv6 주소가 프로듀서 VM의 IPv4 또는 IPv6 주소와 일치하면 흐름이 로깅됩니다. 방화벽 규칙 로깅에 대한 자세한 내용은 방화벽 규칙 로깅 사용을 참고하세요.

사용 사례

다음 섹션에서는 실제 시나리오를 통해 패킷 미러링을 사용하는 이유에 대해 설명합니다.

엔터프라이즈 보안

보안 및 네트워크 엔지니어링팀은 보안 침해 및 침입을 나타낼 수 있는 모든 이상 동작과 위협을 포착해야 합니다. 따라서 의심스러운 흐름을 종합적으로 검사하기 위해 모든 트래픽을 미러링합니다. 공격은 여러 패킷에 걸쳐 발생할 수 있기 때문에 보안팀은 흐름별로 모든 패킷을 가져올 수 있어야 합니다.

예를 들어 다음 보안 도구를 사용하려면 여러 패킷을 캡처해야 합니다.

  • 침입 감지 시스템(IDS) 도구를 사용하여 영구적 위협을 감지하려면 여러 패킷으로 구성된 단일 흐름을 서명과 일치시킬 수 있어야 합니다.

  • 딥 패킷 검사 엔진은 패킷 페이로드를 검사하여 프로토콜에서 이상이 있는 부분을 감지합니다.

  • PCI 규정 준수 및 기타 규제 관련 사용 사례에 대한 네트워크 증거를 수집하려면 대부분의 패킷을 조사해야 합니다. 패킷 미러링은 간헐적 통신이나 통신을 시도했지만 실패한 경우와 같이 다양한 공격 벡터를 캡처하는 솔루션을 제공합니다.

애플리케이션 성능 모니터링

네트워크 엔지니어는 미러링된 트래픽을 사용하여 애플리케이션 및 데이터베이스팀에서 보고한 성능 문제를 해결할 수 있습니다. 네트워킹 문제를 확인하기 위해 네트워크 엔지니어는 애플리케이션 로그를 사용하는 대신 전송 중인 데이터를 확인할 수 있습니다.

예를 들어 네트워크 엔지니어는 패킷 미러링의 데이터를 사용하여 다음 작업을 수행할 수 있습니다.

  • 패킷 손실이나 TCP 재설정과 같은 문제를 보다 신속하게 찾아 해결할 수 있도록 프로토콜과 동작을 분석합니다.

  • 원격 데스크톱, VoIP, 기타 대화형 애플리케이션에서 트래픽 패턴을 실시간으로 분석합니다. 네트워크 엔지니어는 여러 패킷 재전송 또는 예상보다 많은 재연결 횟수 등 애플리케이션의 사용자 경험에 영향을 미치는 문제를 검색할 수 있습니다.

보안 감사

필요한 경우 감사를 위해 네트워크 관련 증거를 수집하고 보존할 수 있습니다.

VPC 패킷 미러링과 네트워크 보안 통합 패킷 미러링 비교

다음 표에는 VPC 패킷 미러링과 네트워크 보안 통합 패킷 미러링의 차이점이 요약되어 있습니다.

속성 VPC 패킷 미러링 네트워크 보안 통합 패킷 미러링
캡슐화 패킷이 캡슐화 없이 미러링됩니다. 패킷이 Geneve로 캡슐화됩니다.
미러링 규칙 시맨틱스 미러링 규칙은 패킷별로 평가됩니다. VPC 패킷 미러링 정책은 세션의 한쪽만 미러링하도록 지정할 수 있습니다. 미러링은 세션 기반입니다. 또한 미러링 규칙에서 mirror 또는 do-not-mirror의 두 옵션 중 하나를 지정할 수 있습니다. 이 옵션을 사용하면 미러링할 트래픽 또는 미러링하지 않을 트래픽을 선택할 수 있습니다.
미러링 규칙 필터 미러링 규칙은 소스 (src) 및 대상 (dst) IP 주소와 프로토콜을 기준으로 필터링을 지원합니다. VPC 패킷 미러링과 동일하며 대상 포트 범위가 추가되었습니다.
서드 파티 어플라이언스 지원
계층식 방화벽 정책에서 지원
리전 네트워크 방화벽 정책에서 지원
전역 네트워크 방화벽 정책에서 지원

VPC 및 네트워크 보안 통합 패킷 미러링 상호 운용성

워크로드 수준에서는 네트워크 보안 통합 패킷 미러링이 VPC 패킷 미러링보다 우선합니다. 워크로드에 네트워크 보안 통합 패킷 미러링 구성이 있는 경우 데이터 플레인은 기존 VPC 패킷 미러링 구성을 무시합니다. 이는 네트워크 보안 통합 패킷 미러링 구성이 워크로드에 암시적으로 적용되는 경우에도 적용됩니다.

예를 들어 기존 VPC 패킷 미러링 정책은 HTTP 및 ICMP 트래픽을 모두 미러링하도록 구성되어 있습니다. 고객이 HTTP를 미러링하는 미러링 규칙을 사용하여 네트워크 보안 통합 패킷 미러링 구성을 만들면 이 규칙은 전역 네트워크 방화벽 정책에서 사용 설정되고 프로젝트와 연결됩니다. 따라서 네트워크 보안 통합 패킷 미러링 구성이 VPC 패킷 미러링 정책보다 우선하며 패킷 처리 중에 다음 변경사항이 발생합니다.

  • HTTP 트래픽은 네트워크 보안 통합 패킷 미러링 구성에 따라 미러링됩니다. 즉, 모든 HTTP 트래픽이 딥 패킷 검사를 위해 지정된 대상으로 전송됩니다.
  • 데이터 영역은 모든 워크로드의 모든 VPC 패킷 미러링 구성을 무시합니다. 즉, VPC 패킷 미러링 정책에 구성된 ICMP 트래픽 미러링이 종료되고 ICMP 트래픽이 더 이상 미러링되지 않습니다.

이러한 동작 변화는 네트워크에 상당한 영향을 미칠 수 있습니다. 예를 들어 ICMP 트래픽 미러링을 사용하여 네트워크 문제를 해결하는 경우 네트워크 보안 통합 패킷 미러링 구성이 적용된 후에는 더 이상 그렇게 할 수 없습니다.

제한사항

  • 프로듀서 배포에 지원되는 유일한 내부 부하 분산기 유형은 인스턴스 그룹 백엔드가 있는 내부 패스 스루 네트워크 부하 분산기입니다. 즉, 네트워크 엔드포인트 그룹 (NEG) 백엔드 구성은 프로듀서 배포에 지원되지 않습니다.

  • 네트워크 패킷이 미러링 규칙과 일치하면 Compute Engine은 원래 패킷과 미러링된 패킷을 모두 더 느린 속도로 처리합니다. 패킷 처리 속도는 머신 유형, 패킷 크기, CPU 사용률에 따라 달라지며 VPC 네트워크 외부 이그레스 속도와 거의 비슷합니다. 미러링된 트래픽에 전체 네트워크 및 처리 속도가 필요한 경우 지원팀에 문의하여 대체 솔루션을 논의하세요.

  • 3세대 머신 계열 이상에서는 느린 경로의 비율이 높은 대역폭 네트워킹의 이점을 상쇄하므로 미러링을 사용 설정하지 않는 것이 좋습니다.

  • 리전 네트워크 방화벽 정책은 패킷 미러링을 지원하지 않습니다.

  • 각 내부 부하 분산기 전달 규칙은 단일 미러링 배포와만 연결할 수 있습니다. 미러링 배포는 내부 부하 분산기와 동일한 프로젝트에 있어야 하며 미러링 배포의 영역은 내부 부하 분산기의 리전 내에 있어야 합니다.

  • 미러링 규칙은 소스 보안 태그를 지원하지 않습니다.

  • VPC는 최대 하나의 미러링 엔드포인트 그룹 연결과 연결될 수 있습니다.

  • apply_security_profile_group 작업이 있는 방화벽 규칙과 일치하는 트래픽은 미러링되지 않습니다. 이 작업이 포함된 방화벽 규칙은 미러링 구성을 재정의합니다.

다음 단계