이 튜토리얼에서는 인증서 관리자를 사용하여 자체 관리형 인증서를 리전 외부 애플리케이션 부하 분산기 또는 리전 내부 애플리케이션 부하 분산기에 배포하는 방법을 설명합니다.
리전 외부 애플리케이션 부하 분산기나 리전 내부 애플리케이션 부하 분산기에 인증서를 배포하려면 인증서를 대상 프록시에 직접 연결합니다. 전역 외부 애플리케이션 부하 분산기에 인증서를 배포하려면 인증서 맵을 만들고 대상 프록시에 맵을 연결합니다. 자세한 내용은 자체 관리형 인증서 배포를 참조하세요.
목표
이 튜토리얼에서는 다음을 수행하는 방법을 보여줍니다.
- 인증서 관리자에 자체 관리형 인증서 업로드
- 대상 HTTPS 프록시를 사용하여 인증서를 리전 외부 애플리케이션 부하 분산기나 리전 내부 애플리케이션 부하 분산기에 배포합니다.
인증서 배포 프로세스에 대한 자세한 내용은 배포 개요를 참조하세요.
시작하기 전에
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
이 튜토리얼의 태스크를 완료하려면 다음 역할이 부여되었는지 확인하세요.
- 인증서 관리자 소유자: 인증서 관리자 리소스를 만들고 관리하는 데 필요합니다.
- Compute 부하 분산기 관리자 또는 Compute 네트워크 관리자: HTTPS 대상 프록시를 만들고 관리하는 데 필요합니다.
자세한 내용은 다음을 참조하세요.
- 인증서 관리자의 역할 및 권한
- Compute Engine의 Compute Engine IAM 역할 및 권한
부하 분산기 만들기
인증서를 배포하려는 부하 분산기를 만듭니다.
- 리전 외부 애플리케이션 부하 분산기를 만들려면 VM 인스턴스 그룹 백엔드가 있는 리전 외부 애플리케이션 부하 분산기 설정을 참조하세요.
- 리전 내부 애플리케이션 부하 분산기를 만들려면 VM 인스턴스 그룹 백엔드로 리전 내부 애플리케이션 부하 분산기 설정을 참조하세요.
이 튜토리얼의 나머지 부분에서는 부하 분산기의 백엔드, 상태 확인, 백엔드 서비스, URL 맵을 이미 구성했다고 가정합니다. URL 맵 이름은 이 튜토리얼의 후반부에서 필요하므로 URL 맵 이름을 기록해 둡니다.
인증서 요청 및 유효성 검사
자체 관리형 인증서를 요청하고 유효성을 검사하려면 다음을 수행합니다.
신뢰할 수 있는 서드 파티 인증 기관(CA)을 사용하여 관련 키와 함께 인증서를 발급합니다.
인증서가 올바르게 연결되었고 신뢰할 수 있는 루트 인증서인지 확인합니다.
다음 PEM 인코딩 파일을 준비합니다.
- 인증서 파일(CRT)
- 해당 비공개 키 파일(KEY)
인증서를 요청하고 유효성을 검사하는 방법에 대한 자세한 내용은 비공개 키 및 인증서 만들기를 참조하세요.
인증서 관리자에 자체 관리형 인증서 업로드
콘솔
Google Cloud 콘솔에서 인증서 관리자 페이지로 이동합니다.
표시되는 페이지에서 인증서 탭을 선택합니다.
인증서 추가를 클릭합니다.
인증서 이름을 입력합니다.
이 이름은 프로젝트에서 고유해야 합니다.
(선택사항) 인증서의 설명을 입력합니다. 설명은 나중에 특정 인증서를 식별하는 데 도움이 됩니다.
위치에 리전을 선택합니다.
리전 목록에서 리전을 선택합니다.
인증서 유형에서 자체 관리형 인증서 만들기를 선택합니다.
인증서 필드에서 다음 중 하나를 수행합니다.
- 업로드 버튼을 클릭하고 PEM 형식의 인증서 파일을 선택합니다.
- PEM 형식 인증서의 내용을 복사하여 붙여넣습니다. 내용은
-----BEGIN CERTIFICATE-----
로 시작하고-----END CERTIFICATE-----
로 끝나야 합니다.
비공개 키 인증서 필드에서 다음 중 하나를 수행하세요.
- 업로드 버튼을 클릭하고 비공개 키를 선택합니다. 비공개 키는 PEM 형식이어야 하며 암호로 보호되지 않습니다.
- PEM 형식의 비공개 키 내용을 복사하여 붙여넣습니다. 비공개 키는
-----BEGIN PRIVATE KEY-----
로 시작하고-----END PRIVATE KEY-----
로 끝나야 합니다.
인증서에 연결할 라벨을 지정합니다. 필요한 경우 두 개 이상의 라벨을 추가할 수 있습니다. 라벨을 추가하려면 add_box 라벨 추가 버튼을 클릭하고 라벨에
key
및value
를 지정합니다.만들기를 클릭합니다. 새 인증서가 인증서 목록에 표시되는지 확인합니다.
gcloud
인증서를 인증서 관리자에 업로드하려면 다음 명령어를 실행합니다.
gcloud certificate-manager certificates create CERTIFICATE_NAME
--certificate-file="CERTIFICATE_FILE"
--private-key-file="PRIVATE_KEY_FILE"
--location="REGION"
다음을 바꿉니다.
CERTIFICATE_NAME
: 인증서의 고유한 이름CERTIFICATE_FILE
: CRT 인증서 파일의 경로 및 파일 이름PRIVATE_KEY_FILE
: KEY 비공개 키 파일의 경로 및 파일 이름REGION
: 대상 Google Cloud 리전
부하 분산기에 자체 관리형 인증서 배포
자체 관리형 인증서를 배포하려면 HTTPS 대상 프록시를 만들고 여기에 인증서를 연결합니다.
HTTPS 대상 프록시 만들기
HTTPS 대상 프록시를 만들고 인증서를 연결하려면 다음 명령어를 실행합니다.
gcloud compute target-https-proxies create PROXY_NAME \ --url-map=URL_MAP \ --region=REGION \ --certificate-manager-certificates=CERTIFICATE_NAME
다음을 바꿉니다.
PROXY_NAME
: 프록시의 고유한 이름URL_MAP
: URL 맵의 이름. 부하 분산기를 만들 때 URL 맵을 만들었습니다.REGION
: HTTPS 대상 프록시를 만들 리전CERTIFICATE_NAME
: 인증서의 이름
대상 프록시가 생성되었는지 확인하려면 다음 명령어를 실행합니다.
gcloud compute list target-https-proxies
전달 규칙 만들기
전달 규칙을 설정하고 부하 분산기 설정을 완료합니다.
- 리전 외부 애플리케이션 부하 분산기를 사용하는 경우 VM 인스턴스 그룹 백엔드가 있는 리전 외부 애플리케이션 부하 분산기 설정을 참조하세요.
- 리전 내부 애플리케이션 부하 분산기를 사용하는 경우 VM 인스턴스 그룹 백엔드가 있는 리전 내부 애플리케이션 부하 분산기 설정을 참조하세요.
삭제
이 튜토리얼의 변경사항을 되돌리려면 업로드된 인증서를 삭제합니다.
gcloud certificate-manager certificates delete CERTIFICATE_NAME
CERTIFICATE_NAME
을 대상 인증서의 이름으로 바꿉니다.