사설 VPC ALB에 대한 사설 DNS 레코드 등록하기

버전 4.15 이상에서는 다음 선택적 어노테이션을 사용하여 사용자 지정 DNS instance 를 제공하는 자체 DNS zone 를 비공개 VPC ALB에 연결할 수 있습니다. 이를 위해서는 두 가지 선택적 어노테이션을 모두 설정해야 합니다. 지정하지 않으면 이 로드 밸런서의 A 속성에 대한 DNS hostname 레코드가 공용 DNS 영역 lb.appdomain.cloud 에 추가됩니다.

service.kubernetes.io/ibm-load-balancer-cloud-provider-vpc-private-dns-instance-crn: "private-dns-crn"

이 부하 분산 장치와 연결할 DNS instance. 지정된 인스턴스는 IAM 정책에 따라 다른 지역 또는 계정에 있을 수 있습니다. 가능한 값입니다: 9 ≤ 길이 ≤ 512

service.kubernetes.io/ibm-load-balancer-cloud-provider-vpc-private-dns-zone-id: "dns-zone-id"

이 부하 분산 장치와 연결할 DNS zone. 지정된 영역은 IAM 정책에 따라 다른 지역 또는 계정에 있을 수 있습니다. 가능한 값: 1 ≤ 길이 ≤ 128, 값은 정규식 ^[1]*[a-z0-9]$와 일치해야 합니다

이 기능을 사용하려면 사전 요구 사항으로 다음을 수행해야 합니다:

• 로드밸런서에 바인딩할 수 있는 DNS 영역 만들기
• VPC LB와 DNS Services 간에 서비스 간 인증을 사용하도록 설정합니다
• 영역의 허용된 네트워크에 클러스터의 VPC를 추가합니다

자세한 내용은 애플리케이션 로드 밸런서를 IBM Cloud DNS Services 및 VPC를 DNS 영역에 허용된 네트워크로 추가하기 문서를 참조하세요.

예:

apiVersion: v1
kind: Service
metadata:
  name: myloadbalancer
  annotations:
    service.kubernetes.io/ibm-load-balancer-cloud-provider-vpc-lb-name: "my-load-balancer"
    service.kubernetes.io/ibm-load-balancer-cloud-provider-ip-type: "private"
    service.kubernetes.io/ibm-load-balancer-cloud-provider-vpc-private-dns-instance-crn: "crn:v1:bluemix:public:dns-svcs:global:a/bb1b52262f7441a586f49068482f1e60:f761b566-030a-4696-8649-cc9d09889e88::"
    service.kubernetes.io/ibm-load-balancer-cloud-provider-vpc-private-dns-zone-id: "d66662cc-aa23-4fe1-9987-858487a61f45"
spec:
  type: LoadBalancer
status:
  loadBalancer:
    ingress:
    - ip: 169.60.115.164
...

필수 주석 및 사양

service.kubernetes.io/ibm-load-balancer-cloud-provider-enable-features: "alb"

어노테이션을 사용하여 VPC ALB를 생성합니다. service.kubernetes.io/ibm-load-balancer-cloud-provider-enable-features 을 포함하지 않으면 기본적으로 VPC ALB가 프로비저닝됩니다.

service.kubernetes.io/ibm-load-balancer-cloud-provider-ip-type: "private"

(비공개 VPC ALB에 필요) 공개 또는 비공개 요청을 수락하는 서비스를 지정하는 주석입니다. 이 어노테이션이 포함되지 않으면 공개 VPC ALB가 생성됩니다.

externalTrafficPolicy

Cluster 을 지정하여 앱 파드가 포함된 워커 노드로 요청을 전달합니다. 이 작업자 노드는 다른 영역에 있을 수 있습니다. 기본적으로 이 어노테이션은 Cluster 로 설정되어 있습니다.

수신 트래픽이 다른 노드로 포워딩되지 않도록 하려면 Local 을 지정하세요. 이 옵션은 HTTP 상태 확인도 구성합니다.

VPC ALB에 원래 클라이언트 소스 IP를 사용하려면 service.kubernetes.io/ibm-load-balancer-cloud-provider-enable-features: "proxy-protocol" 어노테이션을 사용하여 PROXY 프로토콜을 활성화해야 합니다.

선택적 주석 및 사양

service.kubernetes.io/ibm-load-balancer-cloud-provider-vpc-lb-name

VPC 부하 분산 장치를 영구적으로 사용할 수 있도록 고유 이름을 포함하세요. 영구 VPC 로드 밸런서는 소속된 클러스터가 삭제되어도 삭제되지 않습니다. 자세한 내용은 퍼시스턴트 VPC 로드 밸런서 를 참조하세요. 이 어노테이션은 로드 밸런서를 생성할 때만 설정할 수 있습니다. 업데이트 작업에는 사용할 수 없습니다.

service.kubernetes.io/ibm-load-balancer-cloud-provider-enable-features: "proxy-protocol"

프록시 프로토콜을 사용으로 설정하십시오. 로드 밸런서는 요청 헤더의 클라이언트 IP 주소, 프록시 서버 IP 주소 및 두 포트 번호를 포함한 클라이언트 연결 정보를 백엔드 앱에 전달합니다. 백엔드 앱이 PROXY 프로토콜을 허용하도록 구성되어야 합니다. 예를 들어 다음 단계에 따라 PROXY 프로토콜을 수락하도록 NGINX 앱을 구성할 수 있습니다.

service.kubernetes.io/ibm-load-balancer-cloud-provider-zone

클러스터가 연결된 VPC 구역을 지정하는 어노테이션입니다. 이 주석에서 영역을 지정하면 두 가지 프로세스가 발생합니다: (1) 작업자 노드가 연결된 해당 영역의 동일한 서브넷에 VPC ALB가 배포되고, (2) 이 영역에 있는 클러스터의 작업자 노드만 VPC ALB로부터 트래픽을 수신하도록 구성됩니다. 특정 구역에 로드 밸런서를 배치하려면 로드 밸런서를 작성하는 이 어노테이션을 지정해야 합니다. 나중에 이 어노테이션을 다른 영역으로 변경하면 수신 및 백엔드 워커 노드가 새 영역과 일치하도록 자동으로 업데이트됩니다. dedicated: edge 레이블이 워커 노드에 설정되어 있고 이 어노테이션을 지정하면 지정된 영역의 에지 노드만 트래픽을 수신하도록 구성됩니다. 다른 구역의 에지 노드 및 지정된 구역의 에지가 아닌 노드는 로드 밸런서에서 트래픽을 수신하지 않습니다. 구역을 보려면 ibmcloud ks zone ls --provider vpc-gen2를 실행하십시오.

service.kubernetes.io/ibm-load-balancer-cloud-provider-vpc-subnets

어노테이션 - VPC ALB 서비스가 배포할 하나 이상의 서브넷을 지정하는 주석입니다. 지정된 경우 이 어노테이션은 service.kubernetes.io/ibm-load-balancer-cloud-provider-zone 어노테이션보다 우선합니다. 이 주석이 없으면 클러스터가 단일 영역 영역에서 다중 영역으로 또는 그 반대로 업데이트되는 경우 클러스터의 영역과 일치하도록 VPC ALB가 배포하는 서브넷이 자동으로 업데이트됩니다. 동일한 VPC에서 클러스터가 연결된 서브넷과 다른 서브넷을 지정할 수 있다는 점을 참고하십시오. 이 경우 VPC ALB는 동일한 VPC의 다른 서브넷에 배치되지만 VPC ALB는 여전히 동일한 구역에 있는 클러스터 서브넷의 작업자 노드에 트래픽을 라우팅할 수 있습니다. 모든 리소스 그룹의 서브넷을 보려면 ibmcloud oc subnets --provider vpc-gen2 --vpc-id <vpc> --zone <zone>을 실행하십시오. 이 어노테이션은 기존 VPC ALB에 추가하거나 수정할 수 있습니다.

service.kubernetes.io/ibm-load-balancer-cloud-provider-vpc-node-selector

작업자 노드 레이블 선택기를 지정하는 어노테이션입니다. 레이블 선택기 키를 지정하여 클러스터의 특정 워커 노드가 트래픽을 수신하도록 구성할 수 있습니다. 주석에는 하나의 레이블 선택자만 포함할 수 있으며, 선택자는 "key=value" 형식으로 지정해야 합니다. 이 어노테이션이 지정되지 않으면 클러스터의 모든 작업자 노드가 VPC ALB로부터 트래픽을 수신하도록 구성됩니다. 이 어노테이션은 service.kubernetes.io/ibm-load-balancer-cloud-provider-zone 어노테이션보다 우선하며, 워커 노드의 dedicated: edge 레이블은 무시됩니다. 특정 영역으로 트래픽을 제한하려면 이 어노테이션을 사용하여 해당 영역의 워커 노드를 지정할 수 있습니다. 클러스터 워커 노드에 새 레이블을 설정한다고 해서 자동으로 트래픽을 수신하도록 워커 노드가 구성되는 것은 아니며, 새로 레이블이 지정된 워커 노드가 트래픽을 수신하려면 VPC ALB를 다시 만들거나 업데이트해야 합니다.

service.kubernetes.io/ibm-load-balancer-cloud-provider-vpc-health-check-protocol

Kubernetes 로드밸런서 서비스와 연결된 VPC 로드밸런서 리소스에 대한 상태 확인 프로토콜입니다. 사용 가능한 옵션은 http, https 또는 tcp 입니다. 일반적으로 VPC LB 상태 확인 프로토콜은 Kubernetes 로드 밸런서 서비스 사양의 externalTrafficPolicy 설정 값에 따라 결정되지만 이 주석은 해당 논리를 재정의합니다. 이 주석은 Kubernetes, 특히 kube-proxy가 externalTrafficPolicy 의 다양한 설정과 관련하여 동작하는 방식을 변경하지 않습니다.

service.kubernetes.io/ibm-load-balancer-cloud-provider-vpc-health-check-port

상태 확인에 사용되는 TCP 포트입니다. 이 주석은 ibm-load-balancer-cloud-provider-vpc-health-check-protocol 도 지정된 경우에만 적용됩니다.

클러스터에서 기본값으로 보안 이 실행되지 않는 경우, 적용되는 VPC 보안 그룹을 다음과 같이 수정해야 할 수 있습니다. 클러스터에서 기본적으로 보안을 실행하는 경우 이러한 변경 사항이 자동으로 적용됩니다.

• 지정된 TCP 포트가 Kubernetes 노드 포트 범위(30,000-32,767)를 벗어난 경우, 클러스터 워커 노드에 적용된 VPC 보안 그룹이 modified 여야 포트의 인바운드 트래픽을 허용할 수 있습니다.

• 이 어노테이션이 VPC ALB와 연결된 Kubernetes 로드밸런서 서비스에 적용되는 경우, 지정된 TCP 포트로의 아웃바운드 트래픽을 허용하려면 VPC ALB에 할당된 보안 그룹의 아웃바운드 규칙이 modified 여야 합니다.

service.kubernetes.io/ibm-load-balancer-cloud-provider-vpc-health-check-path

HTTP 및 HTTP 상태 확인을 위한 상태 확인 URL 경로입니다. 이 주석은 ibm-load-balancer-cloud-provider-vpc-health-check-protocol 이 http 또는 https 으로 설정된 경우에만 적용됩니다. URL 경로는 원본 양식 요청 대상의 형식이어야 합니다. 이 어노테이션을 지정하지 않고 ibm-load-balancer-cloud-provider-vpc-health-check-protocol 어노테이션이 http 또는 https 로 설정되어 있으면 기본값인 / 이 적용됩니다.

service.kubernetes.io/ibm-load-balancer-cloud-provider-vpc-health-check-delay

상태 확인 시도 사이에 대기할 시간(초)입니다. 기본적으로 이 값은 5 로 설정되어 있으며 최소 2 에서 최대 60 입니다. 이 값은 기본적으로 ibm-load-balancer-cloud-provider-vpc-health-check-timeout 로 설정된 2 값보다 커야 합니다.

service.kubernetes.io/ibm-load-balancer-cloud-provider-vpc-health-check-timeout

상태 확인에 대한 응답을 기다리는 시간(초)입니다. 기본적으로 이 값은 2 로 설정되어 있으며 최소 1 에서 최대 59 입니다. 이 값은 기본적으로 ibm-load-balancer-cloud-provider-vpc-health-check-delay 로 설정된 5 보다 작아야 합니다.

service.kubernetes.io/ibm-load-balancer-cloud-provider-vpc-health-check-retries

VPC 로드 밸런서에 대한 최대 상태 확인 재시도 횟수입니다. 기본적으로 이 값은 2 로 설정되어 있으며 최소 1 에서 최대 10 입니다.

service.kubernetes.io/ibm-load-balancer-cloud-provider-vpc-idle-connection-timeout

리스너의 유휴 연결 제한시간(초 단위)입니다. 기본 유휴 시간 제한은 계정 설정에 따라 다릅니다. 일반적으로 이 값은 50 입니다. 그러나 일부 허용 목록에 있는 계정의 경우 시간 초과 설정이 더 큽니다. 어노테이션을 설정하지 않으면 로드 밸런서는 계정의 시간 초과 설정을 사용합니다. 이 어노테이션을 설정하여 명시적으로 시간 초과를 지정할 수 있습니다. 최소값은 50입니다. 최대값은 7200 입니다.

service.kubernetes.io/ibm-load-balancer-cloud-provider-dns-name: "example-ingress-domain.<region>.containers.appdomain.cloud"

버전 4.17 이상.

로드밸런서의 IP 주소를 지정된 접속 도메인 에 등록합니다. 지정한 도메인이 존재하지 않으면 내부 IBM 관리 공급업체(akamai)를 사용하는 도메인이 만들어집니다. 새 도메인을 만들려면 클러스터에 있는 도메인뿐만 아니라 모든 기존 도메인에서 고유한 이름이어야 합니다. 로드 밸런서 서비스를 삭제하면 도메인에서 IP 주소가 제거됩니다. 그러나 주석을 제거해도 도메인에서 IP 주소가 제거되지는 않습니다.

service.kubernetes.io/ibm-load-balancer-cloud-provider-vpc-private-dns-instance-crn: "private-dns-crn"

버전 4.15 이상.

이 부하 분산 장치와 연결할 DNS instance. 자세한 내용은 비공개 DNS 레코드 등록하기 를 참조하세요.

service.kubernetes.io/ibm-load-balancer-cloud-provider-vpc-private-dns-zone-id: "dns-zone-id"

버전 4.15 이상.

이 부하 분산 장치와 연결할 DNS zone. 자세한 내용은 비공개 DNS 레코드 등록하기 를 참조하세요.

service.kubernetes.io/ibm-load-balancer-cloud-provider-vpc-member-quota

로드밸런서가 라우팅하는 영역당 작업자 노드 수입니다. 기본값은 8입니다. 3개의 영역에 워커 노드가 있는 클러스터의 경우, 이렇게 하면 로드 밸런서가 총 24개의 워커 노드로 라우팅하게 됩니다. 로드 밸런서가 라우팅하는 모든 영역의 총 작업자 노드 수는 50개를 초과할 수 없습니다. 클러스터의 워커 노드가 모든 영역에 걸쳐 50개 미만인 경우, 0을 지정하여 영역의 모든 워커 노드로 라우팅합니다.

service.kubernetes.io/ibm-load-balancer-cloud-provider-vpc-security-group

버전 1.30 이상.

VPC 부하 분산 장치에 추가할 고객 관리형 보안 그룹입니다. IBM 보안 그룹을 사용하지 않으려면 사용자가 소유하고 관리하는 보안 그룹을 지정하세요. 이 옵션은 IBM 보안 그룹을 제거하고 사용자가 지정한 보안 그룹으로 대체합니다. 기존 로드 밸런서에서 주석을 제거하면 추가한 보안 그룹이 IBM 보안 그룹으로 대체됩니다. 이 주석은 언제든지 추가하거나 제거할 수 있습니다. 보안 그룹을 관리하고 최신 상태로 유지할 책임은 회원님에게 있습니다.

service.kubernetes.io/ibm-load-balancer-cloud-provider-vpc-allow-outbound-traffic

기본적으로 보안 설정 을 실행하는 클러스터에 사용할 수 있습니다. 지정한 외부 포트와 연결된 ALB의 각 IP 주소에 대해 보안 그룹을 만드는 주석입니다. 이러한 규칙은 클러스터 보안 그룹에 생성되며 VPC ALB IP 주소가 변경되면 자동으로 업데이트됩니다. 쉼표로 구분된 목록에 유효한 외부 포트를 지정합니다(예: 80,443). 이 예에서 각 외부 포트 값과 연결된 각 공개 ALB에 두 개의 IP 주소가 있는 경우 IP 주소당 하나의 아웃바운드 규칙이 생성되어 총 4개의 새 규칙이 만들어집니다. 이 주석은 언제든지 추가하거나 제거할 수 있습니다.

selector

앱 배치 YAML의 spec.template.metadata.labels 섹션에서 사용한 레이블 키(<selector_key>) 및 값(<selector_value>)입니다. 이 사용자 정의 레이블은 앱이 실행되는 모든 팟(Pod)을 식별하여 로드 밸런싱에 포함시킵니다.

port

서비스가 청취하는 포트입니다.

targetPort

서비스가 트래픽을 지정하는 대상 포트입니다. 파드에서 실행 중인 애플리케이션은 이 대상 포트에서 들어오는 TCP 트래픽을 수신 대기 중이어야 합니다. 대상 포트는 애플리케이션 포드에서 실행 중인 이미지에 정적으로 정의되는 경우가 많습니다. 파드에 구성된 대상 포트는 서비스의 노드 포트와 다르며 VPC LB에 구성된 외부 포트와도 다를 수 있습니다.