이 가이드는 IAP 커넥터를 배포하여 IAP(Identity-Aware Proxy)로 Google Cloud 외부의 HTTP 또는 HTTPS 기반 온프레미스 앱을 보호하는 방법을 설명합니다.
시작하기 전에
시작하기 전에 다음이 필요합니다.
- HTTP 또는 HTTPS 기반 온프레미스 앱.
- Cloud ID 구성원이 Google 클라우드 프로젝트에서 소유자 역할을 부여했습니다.
- Google API 서비스 에이전트에 소유자 역할을 부여했습니다.
- 결제가 사용 설정된 Google Cloud 프로젝트.
- BeyondCorp Enterprise 라이선스.
- Google Cloud 트래픽의 인그레스 지점으로 사용할 외부 URL. 예를 들면
www.hr-domain.com
입니다. - Google Cloud로 유입되는 트래픽의 인그레스 지점으로 사용되는 DNS 호스트 이름의 SSL 또는 TLS 인증서입니다. 기존 자체 관리형 인증서 또는 Google 관리형 인증서를 사용할 수 있습니다. 인증서가 없는 경우 Let's Encrypt를 사용하여 만드세요.
- VPC 서비스 제어가 사용 설정된 경우 VM 서비스 계정에서 프로젝트 278958399328의 gce-mesh 버킷으로의
cp
작업에 대한 이그레스 정책이 있는 VPC 네트워크입니다. 이는 VPC 네트워크에 gce-mesh 버킷에서 Envoy 바이너리 파일을 검색할 수 있는 권한을 부여합니다. VPC 서비스 제어가 사용 설정되지 않은 경우 기본적으로 권한이 부여됩니다. 다음 단계를 완료하여 외부 IP를 사용 중지합니다.
- 구성에서 체크박스를 선택하여 IAP 커넥터에 사용되는 VPC 서브넷에서 비공개 Google 액세스를 사용 설정합니다. 자세한 내용은 비공개 Google 액세스를 참조하세요.
- VPC 네트워크의 방화벽 구성에 따라 VM에서 Google API 및 서비스에 사용되는 IP 주소로의 액세스가 허용되는지 확인합니다. 기본적으로는 암시적으로 허용되지만 사용자가 명시적으로 변경할 수 있습니다. IP 범위를 찾는 방법에 대한 자세한 내용은 기본 도메인의 IP 주소를 참조하세요.
온프레미스 앱의 커넥터 배포
IAP 관리자 페이지로 이동하세요.
온프렘 커넥터 설정을 클릭하여 온프레미스 앱의 커넥터 배포 설정을 시작합니다.
API 사용 설정을 클릭하여 필수 API가 로드되었는지 확인합니다.
배포에서 Google 관리형 인증서 또는 개발자가 관리하는 인증서를 사용할지 여부를 선택하고, 배포용 네트워크 및 서브넷을 선택하거나, 새 인증서를 만들도록 선택한 후 다음을 선택합니다.
추가하려는 온프레미스 앱의 세부정보를 입력합니다.
- Google Cloud로 전송되는 요청의 외부 URL입니다. 이 URL은 트래픽이 환경으로 진입하는 지점입니다.
- 앱의 이름입니다. 또한 부하 분산기 뒤의 새 백엔드 서비스의 이름으로도 사용됩니다.
온프렘 엔드포인트 유형과 세부정보:
- 정규화된 도메인 이름(FQDN): 커넥터가 트래픽을 전달해야 하는 도메인입니다.
- IP 주소: IAP 커넥터를 배포해야 하는 하나 이상의 영역(예:
us-central1-a
). 각각에 대해 사용자가 승인되고 인증된 후 IAP가 트래픽을 라우팅하는 온프레미스 앱의 내부 대상 IPv4 주소입니다.
온프렘 엔드포인트에서 사용하는 프로토콜입니다.
온프렘 엔드포인트에서 사용하는 포트 번호입니다(예: HTTPS의 경우 443, HTTP의 경우 80).
완료를 클릭하여 앱의 세부정보를 저장합니다. 원하는 경우 배포에 대한 추가 온프레미스 앱을 정의할 수 있습니다.
준비가 되면 제출을 클릭하여 정의한 앱의 배포를 시작합니다.
배포가 완료되면 온프렘 커넥터 앱이 HTTP 리소스 테이블에 표시되고 IAP를 사용 설정할 수 있습니다.
Google이 인증서를 자동 생성하고 관리하도록 선택하면 인증서가 프로비저닝되는 데 몇 분 정도 걸릴 수 있습니다. Cloud Load Balancing 세부정보 페이지에서 상태를 확인할 수 있습니다. 상태에 대한 자세한 내용은 문제 해결 페이지를 참조하세요.
온프레미스 앱의 커넥터 관리
- 온프렘 커넥터 설정을 클릭하면 언제든지 배포에 더 많은 앱을 추가할 수 있습니다.
전체 배포를 삭제하여 온프레미스 커넥터를 삭제할 수 있습니다.
Deployment Manager 페이지로 이동합니다.
배포 목록에서 'on-prem-app-deployment' 배포 옆의 체크박스를 선택합니다.
페이지 상단에서 삭제를 클릭합니다.
온프렘 커넥터 설정에서 삭제 버튼을 클릭하여 개별 앱을 삭제할 수 있습니다. 온프레미스 커넥터에는 앱이 하나 이상 포함되어야 합니다. 모든 앱을 삭제하려면 전체 배포를 삭제하세요.
다음 단계
- 액세스 수준을 적용하여 더욱 다양한 컨텍스트 규칙 설정하기
- Cloud 감사 로그 사용 설정의 액세스 요청을 참조하기
- IAP 자세히 알아보기