App Engine 방화벽 이해

방화벽은 네트워크 트래픽의 허용 여부를 결정합니다. 방화벽은 수신 트래픽(인그레스), 발신 트래픽(이그레스) 또는 둘 다에 적용할 수 있습니다. App Engine의 경우 App Engine 방화벽은 앱 또는 서비스로 라우팅되는 수신 트래픽에만 적용됩니다.

개요

App Engine 방화벽은 다음을 포함한 앱에 대한 모든 유형의 요청을 확인합니다.

• 앱의 appspot.com 주소 또는 커스텀 도메인으로 라우팅되는 일반 웹 트래픽
• Cloud Load Balancing에서 수신되는 요청
• Compute Engine 가상 머신(VM) 및 Cloud Tasks와 같은 내부 소스에서 발생한 트래픽

앱이 다른 네트워킹 서비스 또는 제품을 사용하도록 구성된 경우 App Engine 방화벽과 다른 제품의 방화벽 또는 보안 설정에서 수신되는 트래픽을 제어할 규칙을 만들어야 할 수 있습니다. 이 가이드에서는 App Engine 방화벽의 일반적인 동작과 특수한 사용 사례에 대해 자세히 설명합니다.

App Engine 방화벽 규칙

Google Cloud 콘솔, Google Cloud CLI 또는 Admin API로 지정된 IP 범위를 허용하거나 차단하는 규칙을 설정하여 App Engine 방화벽 규칙을 구성할 수 있습니다.

기본적으로는 규칙과 일치하지 않는 모든 요청이 앱에 액세스할 수 있습니다. 특정 규칙과 일치하지 않는 요청을 모두 차단해야 하는 경우(기본적으로 허용되는 내부 서비스의 요청은 제외) default 규칙의 작업을 deny로 변경합니다.

방화벽 기능

App Engine 표준 환경에서 App Engine 방화벽은 특정 내부 트래픽이 방화벽을 우회하도록 허용할 수 있습니다. 즉, default 규칙을 deny로 설정하면 App Engine 표준 환경을 대상으로 하는 특정 서비스의 요청이 차단되지 않습니다. 이는 앱 자체 구성에서 요청되거나 동일한 앱에서 전송되는 모든 유형의 트래픽입니다. 이러한 방식으로 방화벽 규칙을 우회하는 요청은 다음과 같습니다.

• 준비 요청
• App Engine HTTP를 사용하는 Cloud Scheduler 작업(App Engine Cron 포함)
• Cloud Tasks의 App Engine 작업(App Engine 태스크 큐 포함)

App Engine 표준 환경과 1세대 런타임에 번들로 제공되는 서비스를 사용하는 앱의 경우 기존 Mail API의 알림도 방화벽을 우회합니다.

서비스의 수신 요청 허용

다음 표에는 일반적인 서비스에 대한 IP 범위와 App Engine 방화벽 동작이 나와 있습니다. 사용하는 IP 범위는 수신 요청이 App Engine 표준 환경 또는 가변형 환경에서 실행되는 버전으로 전달되는지에 따라 달라집니다.

서비스	App Engine 표준 환경으로 전송된 요청의 IP 범위	App Engine 가변형 환경으로 전송된 요청의 IP 범위
App Engine 크론	0.1.0.1/32 또는 0.1.0.2/32, 거부로 설정된 경우 기본 방화벽 규칙 우회	0.1.0.1/32 또는 0.1.0.2/32
외부 IP 주소가 있는 Compute Engine 인스턴스	인스턴스의 외부 IP 주소	인스턴스의 외부 IP 주소
외부 IP 주소를 사용하지 않는 Compute Engine 인스턴스	0.0.0.0/32	0.0.0.0/32
아웃바운드 연결에 Cloud NAT를 사용하는 외부 IP 주소가 없는 Compute Engine 인스턴스	0.0.0.0/32	0.0.0.0/32
Cloud Tasks에서 App Engine HTTP 및 App Engine 작업을 사용하는 Cloud Scheduler 작업(App Engine 태스크 큐 포함)	0.1.0.2/32, 거부로 설정된 경우 기본 방화벽 규칙 우회	0.1.0.2/32
Cloud Storage 또는 Blobstore	0.1.0.30/32	해당 없음
URL 가져오기	0.1.0.40/32	0.1.0.40/32
워밍 요청	0.1.0.3/32, 거부로 설정된 경우 기본 방화벽 규칙 우회	해당 없음

사용 사례에 따라 App Engine 방화벽 규칙을 구성할 때 다음과 같은 추가 안내가 적용될 수 있습니다.

• App Engine 표준 또는 가변형 환경으로 전송되는 새로 생성되거나 업데이트된 App Engine 크론 작업의 요청은 0.1.0.2에서 가져옵니다. 이전 gcloud 버전(326.0.0 이전)에서 생성된 크론 작업의 경우 0.1.0.1에서 크론 요청이 발생합니다. App Engine Cron Service의 요청을 식별하는 방법에 대한 자세한 내용은 크론 요청 유효성 검사를 참조하세요.
• 앱이 Cloud Load Balancing과 상호작용하거나 VPC 네트워크에 연결되어 있는 경우, 아래의 다른 제품 또는 서비스와 상호작용 섹션을 참조하세요.

App Engine 표준 예시

표준 환경에서 실행되는 앱에는 frontend_service 및 backend_service의 두 가지 서비스가 있습니다. frontend_service는 Cloud Tasks를 App Engine HTTP와 함께 사용하여 backend_service에 메시지를 보냅니다. default 방화벽 규칙은 deny로 구성된 경우에도 Cloud Tasks 요청을 허용하므로 Cloud Tasks에 대한 방화벽 규칙을 만들 필요가 없습니다.

하지만 앱에 대한 액세스를 제한하고 Cloud Tasks 요청을 명시적으로 차단하려면 IP 범위 0.1.0.2/32에 대한 deny 방화벽 규칙을 만드세요.

App Engine 가변형 예시

가변형 환경에서 실행되는 앱에는 frontend_service 및 backend_service의 두 가지 서비스가 있으며 기본적으로 트래픽을 거부하도록 구성된 방화벽이 있습니다. frontend_service는 Cloud Tasks를 App Engine HTTP와 함께 사용하여 backend_service에 메시지를 보냅니다. default 방화벽 규칙은 Cloud Tasks 요청을 거부하므로 0.1.0.2/32에 대한 allow 방화벽 규칙을 만들어야 합니다.

다른 제품 또는 서비스와 상호작용

Cloud Load Balancing

Cloud Load Balancing 및 서버리스 NEG를 사용하는 경우 다음 사항에 유의하세요.

• 부하 분산기는 App Engine 방화벽 규칙을 간섭하거나 상호작용하지 않습니다. App Engine 규칙은 서버리스 NEG가 트래픽을 App Engine으로 전송할 때까지 평가되지 않습니다.

• 앱이 부하 분산기(및 사용하는 경우 VPC)에서 전송되는 요청만 수신하도록 인그레스 제어를 사용하는 것이 좋습니다. 그렇지 않으면 사용자가 앱의 App Engine URL을 사용하여 부하 분산기를 통해 전달되는 부하 분산기, Cloud Armor 보안 정책, SSL 인증서, 비공개 키를 우회할 수 있습니다.

• 인그레스 제어가 internal-and-cloud-load-balancing 트래픽을 수신하도록 설정된 경우 기본 App Engine 방화벽 규칙은 그대로 두고(allow) Google Cloud Armor 웹 애플리케이션 방화벽(WAF) 규칙을 사용합니다.

캐시된 콘텐츠에 대한 액세스 방지

App Engine 방화벽은 웹 프록시, 브라우저와 같이 콘텐츠를 캐시하는 메커니즘의 뒤에 위치해 있습니다. 캐시된 콘텐츠는 만료될 때까지 특정 URL에서 공개적으로 제공되며, 새 방화벽 규칙을 만든 후에도 액세스 가능합니다.

정적 콘텐츠의 기본 만료 시간 변경 또는 정적 콘텐츠의 캐싱 방지에 대한 자세한 내용은 캐시 만료를 참조하세요.

Cache-Control과 Expires HTTP 응답 헤더를 사용하면 앱 코드의 동적 콘텐츠 출력이 캐시되지 않습니다. 캐싱을 제어하는 방법을 비롯해 이러한 HTTP 헤더에 대한 자세한 내용은 캐싱 방지를 참조하세요.

다음 단계

방화벽 만들기의 안내에 따라 App Engine 방화벽 규칙을 구성하는 방법을 알아보세요.