이 페이지는 IAP(Identity-Aware Proxy)로 Google Kubernetes Engine(GKE) 인스턴스를 보호하는 방법을 설명합니다.
Google Cloud에 없는 리소스를 보호하려면 온프레미스 앱 및 리소스 보호를 참고하세요.
개요
IAP는 GKE용 인그레스를 통해 통합됩니다. 이 통합을 통해 VPN을 사용하지 않고 직원의 리소스 수준 액세스를 제어할 수 있습니다.
GKE 클러스터에서 들어오는 트래픽은 Cloud Load Balancing의 구성요소인 HTTP(S) 부하 분산에 의해 처리됩니다. HTTP(S) 부하 분산기는 일반적으로 Kubernetes 인그레스 컨트롤러로 구성됩니다. 인그레스 컨트롤러는 하나 이상의 서비스 객체와 연결된 Kubernetes 인그레스 객체에서 구성 정보를 가져옵니다. 각 서비스 객체는 들어오는 요청을 특정 Pod 및 포트로 보내기 위해 사용되는 라우팅 정보를 포함합니다.
Kubernetes 버전 1.10.5-gke.3부터는 서비스를 BackendConfig 객체와 연결하여 부하 분산기에 대한 구성을 추가할 수 있습니다. BackendConfig는 kubernetes/ingress-gce 저장소에 정의된 CRD(커스텀 리소스 정의)입니다.
Kubernetes Ingress 컨트롤러는 BackendConfig에서 구성 정보를 읽고 그에 따라 부하 분산기를 설정합니다. BackendConfig는 Cloud Load Balancing과 관련된 구성 정보를 갖고 있으며, 이를 통해 개발자가 각 HTTP(S) 부하 분산 백엔드 서비스에 대해 별도의 구성을 정의할 수 있습니다.
시작하기 전에
GKE용 IAP를 사용 설정하려면 다음이 필요합니다.
- 결제가 사용 설정된 Google Cloud 콘솔 프로젝트가 있어야 합니다.
- HTTPS 부하 분산기로 제공된 하나 이상의 GKE 인스턴스 그룹. 부하 분산기는 GKE 클러스터에서 Ingress 객체를 만들 때 자동으로 생성됩니다.
- HTTPS용 Ingress 만들기에 대해 자세히 알아보세요.
- 부하 분산기 주소에 등록된 도메인 이름
- 모든 요청에 ID가 포함되었는지 확인하기 위한 애플리케이션 코드
- 사용자의 ID 가져오기에 대해 자세히 알아보세요.
IAP는 Google 관리 OAuth 클라이언트를 사용하여 사용자를 인증합니다. 조직 내 사용자만 IAP가 사용 설정된 애플리케이션에 액세스할 수 있습니다. 조직 외부 사용자에게 액세스를 허용하려면 외부 애플리케이션에 IAP 사용 설정을 참조하세요.
IAP 사용 설정
다음 단계
- 액세스 수준을 적용하여 더욱 다양한 컨텍스트 규칙 설정하기
- Cloud 감사 로그 사용 설정의 액세스 요청을 참조하기
- IAP 자세히 알아보기
- GKE에서 Cloud CDN 설정 방법을 알아봅니다.
- GKE를 위한 Cloud Armor 구성 방법을 알아봅니다.
- BackendConfig 리소스에 대해 자세히 알아봅니다.