Google Cloud Armor Enterprise 사용

이 가이드에서는 Google Cloud Armor Enterprise의 사용 안내를 제공합니다. Cloud Armor Enterprise에 대한 자세한 내용은 Google Cloud Armor Enterprise 개요를 참조하세요.

필수 IAM 권한

결제 계정을 Cloud Armor Enterprise로 구독하거나 구독의 자동 갱신 설정을 전환하려면 구독 중인 해당 결제 계정에 Identity and Access Management(IAM) 권한 billing.accounts.update가 있는 사용자여야 합니다.

Cloud Armor Enterprise 구독에 프로젝트를 등록하려면 Cloud Armor Enterprise에 등록하려는 현재 선택된 프로젝트에 대해 다음과 같은 IAM 권한이 있어야 합니다.

  • resourcemanager.projects.createBillingAssignment
  • resourcemanager.projects.update

결제 권한에 대한 자세한 내용은 Cloud Billing 액세스 제어 개요를 참조하세요.

Cloud Armor Enterprise 구독 및 프로젝트 등록

Cloud Armor Enterprise를 구독하고 현재 프로젝트를 등록하려면 다음 단계를 따르세요. Cloud Armor Enterprise 연간 및 Cloud Armor Enterprise 종량제의 등록 경로는 동일하지 않으며 일부 경로는 Google Cloud 콘솔 또는 Google Cloud CLI 전용입니다.

콘솔

Cloud Armor Enterprise 연간 구독

  1. Google Cloud 콘솔에서 Cloud Armor 서비스 등급 페이지로 이동합니다. 구독이 활성 상태라면 결제 계정에서 이미 구독하고 있는 것입니다.

    Cloud Armor 서비스 등급으로 이동

  2. Cloud Armor Enterprise 연간 창에서 구독 및 등록을 클릭합니다. 확인 대화상자가 표시됩니다.

Cloud Armor Enterprise 종량제에 등록

  1. Google Cloud 콘솔에서 Cloud Armor 서비스 등급 페이지로 이동합니다.

    Cloud Armor 서비스 등급으로 이동

  2. Cloud Armor Enterprise 종량제 창에서 등록을 클릭합니다.

gcloud

Cloud Armor Enterprise 연간 구독

Cloud Armor Enterprise 종량제에 등록

현재 프로젝트를 Cloud Armor Enterprise 종량제에 등록하려면 다음 gcloud 명령어를 사용합니다.

gcloud compute project-info update --cloud-armor-tier CA_ENTERPRISE_PAYGO

활성화에 최대 24시간이 걸릴 수 있으므로 최대한 빨리 Cloud Armor Enterprise에서 프로젝트를 등록하는 것이 좋습니다. 이 기간 동안 프로젝트를 계속 등록할 수 있습니다.

추가 프로젝트를 등록하려면 다음 단계를 수행하세요.

콘솔

Cloud Armor Enterprise 연간에 추가 프로젝트 등록

  1. Google Cloud 콘솔에서 Cloud Armor 서비스 등급 페이지로 이동합니다.

    Cloud Armor 서비스 등급으로 이동

  2. Cloud Armor Enterprise 연간 창에서 등록을 클릭합니다.

Cloud Armor Enterprise 종량제에 추가 프로젝트 등록

  1. Google Cloud 콘솔에서 Cloud Armor 서비스 등급 페이지로 이동합니다.

    Cloud Armor 서비스 등급으로 이동

  2. Cloud Armor Enterprise 종량제 창에서 등록을 클릭합니다.

gcloud

Cloud Armor Enterprise 연간에 추가 프로젝트 등록

Cloud Armor Enterprise 종량제에 추가 프로젝트 등록

다음 명령어를 사용하여 Cloud Armor Enterprise 종량제에 프로젝트를 등록합니다.

gcloud compute project-info update --cloud-armor-tier CA_ENTERPRISE_PAYGO

Cloud Armor Enterprise에서 프로젝트 삭제

Cloud Armor Enterprise에서 프로젝트를 삭제하기 전에 Cloud Armor Enterprise에서 다운그레이드를 숙지하는 것이 좋습니다. Cloud Armor Enterprise에서 프로젝트를 등록 해제한 후 변경사항이 적용되려면 최대 12시간이 걸릴 수 있습니다. 이 기간 동안 계속 다른 프로젝트를 등록 해제 또는 등록할 수 있습니다.

Cloud Armor Enterprise에서 프로젝트를 등록 해제하려면 다음 단계를 따르세요.

콘솔

Cloud Armor Enterprise 연간에서 프로젝트 등록 해제

  1. Google Cloud 콘솔에서 Cloud Armor 서비스 등급 페이지로 이동합니다.

    Cloud Armor 서비스 등급으로 이동

  2. Standard 창에서 등록을 클릭합니다.

Cloud Armor Enterprise 종량제에서 프로젝트 등록 해제

  1. Google Cloud 콘솔에서 Cloud Armor 서비스 등급 페이지로 이동합니다.

    Cloud Armor 서비스 등급으로 이동

  2. Standard 창에서 등록을 클릭합니다.

gcloud

Cloud Armor Enterprise 연간에서 프로젝트 등록 해제

Google Cloud CLI를 사용하여 Cloud Armor Enterprise 연간에서 프로젝트를 등록 해제할 수 없습니다. 대신 Google Cloud 콘솔을 사용해야 합니다.

Cloud Armor Enterprise 종량제에서 프로젝트 등록 해제

gcloud compute project-info update --cloud-armor-tier CA_STANDARD

등록 등급 확인 또는 변경

다음 섹션에 따라 현재 Cloud Armor Enterprise 등록 등급을 보거나 Cloud Armor Enterprise 연간에서 Cloud Armor Enterprise 종량제로 등록을 변경하거나 Cloud Armor Enterprise 종량제에서 Cloud Armor Enterprise 연간으로 등록을 변경할 수 있습니다.

현재 Cloud Armor Enterprise 등록 등급 보기

다음 안내에 따라 현재 Cloud Armor Enterprise 등록 등급을 확인합니다.

콘솔

  1. Google Cloud 콘솔에서 Cloud Armor 서비스 등급 페이지로 이동합니다.

    Cloud Armor 서비스 등급으로 이동

  2. Cloud Armor Enterprise 연간 및 Cloud Armor Enterprise 종량제를 포함하여 사용 가능한 Cloud Armor Enterprise 서비스 등급이 표시됩니다. 현재 Cloud Armor Enterprise 등록 등급이 강조 표시되고 프로젝트 필드에 '등록됨' 상태가 표시됩니다.

gcloud

현재 Cloud Armor Enterprise 등록 등급을 보려면 다음 gcloud 명령어를 사용합니다.

gcloud compute project-info describe

등록에 적용되는 백엔드 서비스 및 백엔드 버킷 수 보기

Cloud Armor Enterprise에 등록된 각 프로젝트는 Cloud Armor Enterprise 페이지에 적용되는 백엔드 서비스 및 백엔드 버킷 수가 표시됩니다. 표시되는 숫자는 등록에 적용되는 총 백엔드 서비스 및 백엔드 버킷 수입니다.

프로젝트가 기본 등급인 Cloud Armor Enterprise Standard에 등록된 경우 이 수가 표시되지 않습니다.

Cloud Armor Enterprise 연간에서 Cloud Armor Enterprise 종량제로 등록 변경

Cloud Armor Enterprise 연간에서 Cloud Armor Enterprise 종량제로 등록을 변경하려면 다음 단계를 따르세요.

  1. Cloud Armor Enterprise 연간에서 프로젝트를 등록 해제합니다.
  2. Cloud Armor Enterprise 종량제에 등록합니다.

Cloud Armor Enterprise 종량제에서 Cloud Armor Enterprise 연간으로 등록 변경

Cloud Armor Enterprise 종량제에서 Cloud Armor Enterprise 연간으로 등록을 변경하려면 다음 단계를 따르세요.

  1. Cloud Armor Enterprise 종량제에서 프로젝트를 등록 해제합니다.
  2. Cloud Armor Enterprise 연간에 등록합니다.

Cloud Armor Enterprise 연간에서 결제 계정 구독 취소

Cloud Armor Enterprise 연간 구독은 자동으로 갱신되는 1년 약정입니다. 1년 약정 기간이 종료될 때 갱신되지 않도록 하려면 자동 갱신을 사용 중지해야 합니다. 자동 갱신이 사용 중지된 후 현재 1년 구독 기간이 종료되면 Cloud Armor Enterprise 연간 구독이 갱신되지 않으며 Cloud Armor Enterprise 연간에 등록된 결제 계정의 모든 프로젝트가 Cloud Armor Enterprise Standard로 되돌아갑니다.

Cloud Armor Enterprise 연간 자동 갱신을 취소하려면 다음 단계를 수행하세요.

콘솔

  1. 구독한 결제 계정에 로그인한 채로 Google Cloud 콘솔에서 Cloud Armor 서비스 등급 페이지로 이동합니다.

    Cloud Armor 서비스 등급으로 이동

  2. 자동 갱신(사용 중지)을 클릭합니다. 현재 구독이 만료되면 Cloud Armor Enterprise 구독은 갱신되지 않습니다. 이때 Cloud Armor Enterprise에 등록된 프로젝트는 더 이상 등록되지 않습니다. Cloud Armor Enterprise Standard에서 제공되는 DDoS 보호는 계속 받습니다.

언제든지 결제 계정을 Cloud Armor Enterprise 연간으로 다시 구독할 수 있습니다. 이렇게 하려면 Cloud Armor Enterprise 가격 책정 모델 및 추가 기능을 활용할 프로젝트를 다시 등록해야 합니다.

DDoS 응답 지원 케이스 열기

DDoS 응답 지원에 참여하려면 Google Cloud 콘솔을 통해 지원 케이스를 엽니다. 자격요건을 충족하는 경우 지원, 분류, 잠재적 완화를 위해 케이스가 Google Cloud Armor DDoS 응답팀에 에스컬레이션됩니다.

DDoS 응답 케이스를 열려면 다음 단계를 완료합니다.

  1. Google Cloud 콘솔에서 지원 페이지로 이동합니다.

    지원 페이지로 이동

  2. DDoS 응답 케이스를 열려는 프로젝트를 선택합니다.

  3. 케이스를 선택합니다.

  4. 케이스 작성을 클릭합니다.

  5. 케이스가 DDoS 응답 케이스임을 지정합니다.

  6. 필수 입력란을 작성하고 양식을 제출합니다.

DDoS 청구 보호 이용

DDoS 청구 보호 클레임을 제출하려면 프로젝트가 Cloud Armor Enterprise 연간에 등록되어야 하며 다음 정보를 준비해야 합니다.

  • 대상 프로젝트와 연결된 결제 계정
  • 대상 리소스가 포함된 프로젝트의 프로젝트 번호
  • 대상 리소스의 인터넷 연결 IP 주소
  • 공격이 시작된 시간
  • 공격이 종료된 시간
  • 영향을 받는 서비스의 정상적인 트래픽 양
  • 영향을 받는 서비스의 공격 볼륨

Google Cloud Console을 통해 채팅을 시작하거나 결제 지원팀에 문의할 수 있습니다. Cloud Billing 지원팀에 문의하는 방법에 대한 자세한 내용은 Cloud Billing 지원팀에 문의하는 방법을 참조하세요.

교차 프로젝트 참조 요구사항

교차 프로젝트 서비스 참조를 사용하고 Cloud Armor Enterprise 가격 책정을 활용하려면 프런트엔드 및 백엔드 서비스 프로젝트가 모두 Cloud Armor Enterprise 연간에 등록되어야 합니다.

적용 대상 공격

외부 패스 스루 네트워크 부하 분산기, 프로토콜 전달, 공개 IP 주소(VM)의 경우 공격은 (Google Cloud Armor 약관 및 제한사항에 설명된 바와 같이) 공격 시작 시 공격을 받은 엔드포인트가 있는 리전에 고급 DDoS 보호가 사용 설정된 경우에만 적용 대상 공격으로 간주됩니다.

Threat Intelligence 사용

Threat Intelligence를 사용하려면 허용하거나 차단할 카테고리를 기준으로 피드 이름을 제공하여 evaluateThreatIntelligence 일치 표현식을 사용하여 보안 정책을 구성합니다. Threat Intelligence가 IP 주소를 잘못 차단하는 경우 IP 주소를 제외 목록에 추가하여 트래픽을 허용할 수 있습니다.

Cloud Armor Enterprise 문제 해결

이 섹션에서는 Cloud Armor Enterprise의 문제를 해결하는 데 도움이 되는 정보를 제공합니다.

Cloud Armor Enterprise 연간을 구독했지만 요금은 계속 사용한 만큼만 지불됨

Cloud Armor Enterprise를 구독했지만 사용한 만큼만 지불 방식으로 요금이 계속 청구될 경우 Cloud Armor Enterprise에 프로젝트를 등록했는지 확인합니다.

Subscribe 버튼을 사용할 수 없음

Subscribe 버튼을 사용할 수 없어 Cloud Armor Enterprise 연간을 구독할 수 없는 경우 다음을 수행하세요.

  • 구독하려는 사용자에게 충분한 IAM 권한이 있는지 확인합니다.
    • 사용자는 결제 계정 수준에서 구독할 수 있는 billing.accounts.update 권한이 있어야 합니다.
    • 사용자는 등급에 개별 프로젝트를 등록 또는 등록 해제하기 위한 resourcemanager.projects.createBillingAssignmentresourcemanager.projects.update 권한이 있어야 합니다.

결제 불일치

이러한 문제 해결 팁으로도 문제가 해결되지 않으면 Google Cloud Billing 지원팀에 문의하세요.

다음 단계