Cloud Run으로 Binary Authorization 정책 구성

이 빠른 시작에서는 Binary Authorization 정책에서 Cloud Run으로 기본 규칙을 구성하고 테스트하는 방법을 보여줍니다.

이 빠른 시작에서는 Binary Authorization을 사용하여 Cloud Run 서비스의 배포를 제어합니다.

시작하기 전에

  1. Google Cloud 계정에 로그인합니다. Google Cloud를 처음 사용하는 경우 계정을 만들고 Google 제품의 실제 성능을 평가해 보세요. 신규 고객에게는 워크로드를 실행, 테스트, 배포하는 데 사용할 수 있는 $300의 무료 크레딧이 제공됩니다.

  2. Google Cloud Console의 프로젝트 선택기 페이지에서 Google Cloud 프로젝트를 선택하거나 만듭니다.

    프로젝트 선택기로 이동

  3. Google Cloud 프로젝트에 결제가 사용 설정되어 있는지 확인합니다.

  4. API Cloud Run, Artifact Registry, Binary Authorization 사용 설정

    API 사용 설정

  5. Google Cloud CLI를 설치합니다.

  6. gcloud CLI를 초기화하려면 다음 명령어를 실행합니다. 

    gcloud init
    7.

  7. Google Cloud Console의 프로젝트 선택기 페이지에서 Google Cloud 프로젝트를 선택하거나 만듭니다.

    프로젝트 선택기로 이동

  8. Google Cloud 프로젝트에 결제가 사용 설정되어 있는지 확인합니다.

  9. API Cloud Run, Artifact Registry, Binary Authorization 사용 설정

    API 사용 설정

  10. Google Cloud CLI를 설치합니다.

  11. gcloud CLI를 초기화하려면 다음 명령어를 실행합니다. 

    gcloud init
    12.

Binary Authorization이 사용 설정된 서비스 만들기

Binary Authorization이 사용 설정된 Cloud Run 서비스를 만들려면 다음을 수행합니다.

  1. Cloud Run으로 이동

  2. 서비스 만들기를 클릭하여 서비스 만들기 양식을 표시합니다.

    이미지

    표시된 양식에서 다음을 수행합니다.

    1. 개발 플랫폼으로 Cloud Run을 선택합니다.
    2. 서비스를 배치할 리전을 선택합니다.
    3. 서비스에 부여할 이름을 지정합니다(예: test-service).

    4. 다음을 클릭하여 서비스의 첫 번째 버전 구성 페이지로 이동합니다.

      양식에서 다음을 수행합니다.

      1. 기존 컨테이너 이미지에서 버전 1개 배포를 선택합니다.

      2. us-docker.pkg.dev/cloudrun/container/hello를 컨테이너 이미지로 사용합니다.

      3. 고급 설정 섹션을 확장합니다.

      4. 보안 탭을 클릭합니다.

      5. Binary Authorization으로 컨테이너 배포 확인 체크박스를 선택합니다.

        이미지

        기본적으로 Binary Authorization 정책은 모든 이미지 배포를 허용합니다.

      6. 다음을 클릭하여 서비스 트리거 방식 구성 페이지로 이동합니다.

        이미지

      7. 인증되지 않은 호출 허용을 선택하면 웹브라우저에서 결과를 열 수 있습니다.

      8. 만들기를 클릭하여 Cloud Run에 이미지를 배포하고 배포가 완료될 때까지 기다립니다.

      서비스가 배포됩니다. 버전에는 Binary Authorization 정책 시행이 적용됩니다.

모든 이미지를 거부하도록 Binary Authorization 정책 업데이트

Binary Authorization 정책에는 기본 규칙이 포함되어 있습니다. 이 규칙은 바로 전에 만든 Cloud Run 서비스의 배포를 제어합니다.

기본적으로 이 규칙은 모든 컨테이너 이미지의 배포를 허용합니다.

기본 정책을 보려면 다음을 수행합니다.

  1. Binary Authorization으로 이동

    기본 규칙을 보여주는 정책 탭 스크린샷

  2. 정책 수정을 클릭합니다.

  3. 프로젝트 기본 규칙에서 모든 이미지 허용 옵션이 선택됩니다.

    기본 규칙 유형을 선택하는 옵션 스크린샷

이제 다음을 수행하여 모든 이미지의 배포를 차단하도록 정책을 수정합니다.

  1. Google Cloud Console에서 Binary Authorization 페이지로 이동합니다.

    Binary Authorization으로 이동

  2. 정책 수정을 클릭합니다.

  3. 기본 규칙에서 모든 이미지 허용 안함을 선택합니다.

    기본 규칙 유형을 선택하는 옵션 스크린샷

  4. 정책 저장을 클릭합니다.

서비스 다시 배포

새 버전을 배포하여 업데이트된 정책을 테스트합니다.

이미지를 배포하려면 다음을 수행합니다.

  1. Cloud Run으로 이동

  2. 이 가이드의 앞부분에서 배포한 서비스 이름을 클릭합니다.

  3. 수정을 클릭하고 새 버전을 배포합니다.

  4. 배포를 클릭합니다.

다음과 비슷한 오류 메시지가 표시됩니다.

Service update rejected by Binary Authorization policy: Revision
REVISION uses unauthorized container image. Container image 'us-docker.pkg.dev/cloudrun/container/hello@SHA' is not authorized by policy. Denied by an ALWAYS_DENY admission rule

모든 이미지를 허용하도록 정책 재설정

모든 이미지를 허용하도록 정책을 재설정하려면 다음을 수행합니다.

  1. Google Cloud Console에서 Binary Authorization 페이지로 이동합니다.

    Binary Authorization으로 이동

  2. 정책 수정을 클릭합니다.

  3. 모든 이미지 허용을 선택합니다.

  4. 정책을 저장하려면 정책 저장을 클릭합니다.

이제 이미지를 배포할 수 있습니다.

삭제

이 페이지에서 사용한 리소스 비용이 Google Cloud 계정에 청구되지 않도록 하려면 다음 단계를 수행합니다.

Cloud Run에서 만든 서비스를 삭제하려면 다음을 수행합니다.

  1. Cloud Run으로 이동

  2. 서비스 목록에서 삭제할 서비스를 찾은 다음 체크박스를 클릭하여 선택합니다.

  3. 삭제를 클릭합니다. 이렇게 하면 서비스의 모든 버전이 삭제됩니다.

Binary Authorization을 사용 중지하려면 Binary Authorization 사용 중지를 참조하세요.

다음 단계