온프레미스 앱에서 Cloud IAP 사용 설정

이 가이드에서는 Cloud IAP 커넥터를 배포하여 Google Cloud Platform(GCP) 외부의 HTTP 기반 온프레미스 앱을 Cloud Identity-Aware Proxy(Cloud IAP)로 보호하는 방법을 설명합니다.

Cloud IAP에서 온프레미스 앱을 보호하는 방법에 대한 자세한 내용은 온프레미스 앱용 Cloud IAP 개요를 참조하세요.

시작하기 전에

시작하기 전에 다음이 필요합니다.

  • Google Cloud SDK를 설치합니다.
  • DNS 호스트 이름을 통해 액세스할 수 있으며 HTTPS 트래픽을 수락하는 HTTP 기반 온프레미스 앱. 각 온프레미스 앱에는 자체 Cloud IAP 인스턴스가 필요합니다.
  • 앱을 공개적으로 액세스할 수 없는 경우 Cloud Interconnect를 사용하여 설정된, GCP 및 온프레미스 앱의 사이트 간 VPN
  • GCP 프로젝트에 대한 소유자 역할이 부여된 Cloud ID 구성원
  • 결제 및 다음 API가 사용 설정된 GCP 프로젝트
  • GCP로 가는 트래픽의 수신 지점으로 사용할 DNS 호스트 이름. 예를 들면 다음과 같습니다. www.hr-domain.com
  • 온프레미스 앱의 DNS 호스트 이름. 예를 들면 다음과 같습니다. hr-internal.domain.com
  • GCP로 가는 트래픽의 수신 지점으로 사용되는 DNS 호스트 이름의 SSL 또는 TLS 인증서. 기존 자체 관리형 또는 Google 관리 인증서를 사용할 수 있습니다. 인증서가 없는 경우 Let's Encrypt를 사용하여 만드세요.

Cloud IAP 커넥터 배포 만들기

Cloud IAP 커넥터는 Cloud IAP에 의해 인증 및 승인된 요청을 온프레미스 앱으로 전달하는 데 필요한 리소스 및 라우팅 규칙을 만드는 Cloud Deployment Manager 템플릿입니다. 다음 섹션에서는 Cloud IAP 커넥터를 구성하고 배포하는 과정을 안내합니다.

권한 설정

Cloud IAP 커넥터를 배포하려면 GCP 프로젝트의 Google API 서비스 에이전트 계정에 Kubernetes Engine 관리자 역할이 필요합니다. 이 서비스 계정을 통해 Cloud Deployment Manager는 Google Kubernetes Engine(GKE) 클러스터와 그 안에서 실행되는 모든 리소스를 만들 수 있습니다.

Google API 서비스 에이전트 계정에 Kubernetes Engine 관리자 역할을 부여하려면 다음 안내를 따르세요.

  1. Cloud IAM 페이지로 이동합니다.
    Cloud IAM 페이지로 이동
  2. 구성원 수정 버튼 을 클릭하여 PROJECT_NUMBER@cloudservices.gserviceaccount.com 구성원의 권한을 편집합니다.
  3. 다른 역할 추가를 클릭하고 역할 드롭다운에서 Kubernetes > Kubernetes Engine 관리자를 선택합니다.
  4. 저장을 클릭합니다.

이제 Google API 서비스 에이전트 계정은 프로젝트에 대한 편집자Kubernetes Engine 관리자 역할을 보유합니다.

SSL 인증서 리소스 만들기

Cloud IAP 커넥터의 HTTP(S) 부하 분산기 프록시를 구성할 때 새 SSL 인증서 리소스가 필요합니다.

gcloud 명령줄 도구에서 SSL 또는 TLS 인증서와 비공개 키를 사용하여 새 SSL 인증서 리소스를 만들려면 다음 안내를 따르세요.

  1. compute ssl-certificates create를 사용하여 새 SSL 인증서 리소스를 만듭니다.

    gcloud compute ssl-certificates create CERTIFICATE_NAME --private-key=PRIVATE_KEY_FILE.pem
    --certificate=CERTIFICATE_FILE.pem
    
  2. 선택사항으로, 새 SSL 인증서 리소스를 사용할 수 있는지 확인합니다.

    1. 부하 분산 페이지로 이동합니다.
      부하 분산 페이지로 이동
    2. 부하 분산기 목록 아래에 있는 고급 메뉴를 클릭합니다.
    3. 인증서를 클릭합니다.

Cloud IAP 커넥터 다운로드 및 구성

배포 요구 사항에 맞도록 Cloud IAP 커넥터의 구성 가능한 Cloud Deployment Manager 템플릿을 업데이트해야 합니다. 템플릿을 다운로드 및 구성하려면 다음 안내를 따르세요.

  1. Cloud IAP 커넥터 GitHub 저장소를 복제하여 Cloud IAP 커넥터 Cloud Deployment Manager 템플릿을 다운로드합니다.

  2. 복제된 저장소 폴더를 열고 iap-connector.yaml 파일에서 필수 필드를 업데이트합니다. 라우팅 규칙에 대한 자세한 내용은 온프레미스 앱용 Cloud IAP 개요를 참조하세요.

         resources:
         - name: iap-connector
           type: iap-connector.py
           properties:
             zone: ZONE
             serviceAccountName: PROJECT_NUMBER@cloudservices.gserviceaccount.com
             routing:
             - name: BACKEND_SERVICE_NAME
               mapping:
               - name: host
                 source: SOURCE
                 destination: DESTINATION_URL
             tls:
             - CERTIFICATE_NAME
    
    필수 필드:

    • serviceAccountName: Kubernetes Engine 관리자 역할이 부여된 Google API 서비스 에이전트 계정의 이름
    • source : GCP로 오는 요청의 URL. 트래픽이 환경으로 진입하는 지점입니다.
    • destination: 사용자가 승인 및 인증된 후 Cloud IAP가 트래픽을 라우팅하는 온프레미스 앱의 URL
    • tls: SSL 인증서 리소스의 이름
    • routing name: HTTP(S) 부하 분산기 뒤의 새 백엔드 서비스의 이름

    선택 필드:

    • zone: Cloud IAP 커넥터가 배포되는 리전. 기본적으로 영역(zone)은 us-central1-a입니다.
    • initialNodeCount: 클러스터에 적합한 초기 노드의 수. 기본적으로 초기 노드 수는 3입니다.
    • imageVersion: 실행할 Ambassador 이미지 버전. 기본적으로 이미지 버전은 0.39.0입니다.
    • replicas: Ambassador 배포의 초기 복제본 수. 기본적으로 복제본의 수는 3입니다.

    Cloud IAP 커넥터 사양을 보려면 iap-connector.py.schema 파일을 참조하세요.

  3. 업데이트된 iap-connector.yaml 파일을 저장합니다.

Cloud IAP 커넥터 배포

  1. 다음 gcloud 명령어를 실행하여 Cloud IAP 커넥터를 배포합니다.

    gcloud deployment-manager deployments create NAME_OF_DEPLOYMENT --config=iap-connector.yaml
    
  2. 선택사항으로, GCP Console에서 배포를 모니터링합니다.

    1. Cloud Deployment Manager 페이지로 이동합니다.
      Cloud Deployment Manager 페이지로 이동
    2. 배포 이름을 선택하여 배포 상태를 확인합니다. 배포가 완료되려면 몇 분이 소요될 수 있습니다.
  3. 선택사항으로, Google Kubernetes Engine 클러스터를 만든 경우 클러스터의 상태를 보려면 Kubernetes 클러스터 페이지로 이동합니다.
    Kubernetes 클러스터 페이지로 이동

  4. 배포에서 Cloud Load Balancing HTTP(S) 부하 분산기를 생성됩니다. 도메인 관리자 내의 DNS 리소스 레코드를 업데이트하여 소스 도메인을 부하 분산기의 공개 IPv4 주소와 연결합니다.

    공개 IPv4 주소를 구하려면 다음 안내를 따르세요.

    1. 부하 분산 페이지로 이동합니다.
      부하 분산 페이지로 이동
    2. 생성된 부하 분산기 리소스의 이름을 클릭합니다.

      IPv4 주소는 프런트엔드 아래에 있으며 인증서 이름과 연결됩니다.

이제 앱으로 가는 웹 요청 트래픽이 Cloud IAP 커넥터에서 온프레미스 앱으로 전달됩니다.

OAuth 동의 화면 구성

프로젝트의 OAuth 동의 화면을 구성하지 않은 경우 이를 구성해야 합니다. OAuth 동의 화면에는 이메일 주소와 제품 이름이 필요합니다.
  1. OAuth 동의 화면으로 이동합니다.
    동의 화면 구성
  2. 지원 이메일 아래에서 공개 연락처로 표시할 이메일 주소를 선택합니다. 이 주소는 개발자의 이메일 주소 또는 개발자가 소유하는 Google 그룹이어야 합니다.
  3. 표시하려는 애플리케이션 이름을 입력합니다.
  4. 원하는 선택적인 세부정보를 추가합니다.
  5. 저장을 클릭합니다.

제품 이름 또는 이메일 주소와 같은 OAuth 동의 화면의 정보를 나중에 변경하려면, 위 단계를 반복하여 동의 화면을 구성합니다.

Cloud IAP 액세스 설정

  1. Identity-Aware Proxy 페이지로 이동합니다.
    Identity-Aware Proxy 페이지로 이동
  2. Cloud IAP로 보호하려는 프로젝트를 선택합니다.
  3. 구성원을 추가하려는 리소스 옆에 있는 체크박스를 선택합니다.
  4. 오른쪽 패널에서 구성원 추가를 클릭합니다.
  5. 표시된 구성원 추가 대화상자에서 프로젝트에 대한 IAP 보안 웹 앱 사용자 역할이 있어야 하는 그룹 또는 개별 사용자의 이메일 주소를 입력합니다.

    다음 계정 종류가 구성원이 될 수 있습니다.

    • Google 계정: user@gmail.com
    • Google 그룹스: admins@googlegroups.com
    • 서비스 계정: server@example.gserviceaccount.com
    • G Suite 도메인: example.com

    액세스 권한이 있는 Google 계정을 추가해야 합니다.

  6. 역할 드롭다운 목록에서 Cloud IAP > IAP 보안 웹 앱 사용자를 선택합니다.
  7. 저장을 클릭합니다.

Cloud IAP 사용

  1. Identity-Aware Proxy 페이지의 리소스 아래에서 Cloud IAP 커넥터 배포의 이름을 찾습니다. Cloud IAP를 사용하려면 IAP 열에서 끄기를 클릭합니다.
  2. IAP 사용 창이 표시되면 이 창에서 온프렘 앱에 액세스하는 데 사용될 외부 DNS 호스트 이름(URI)을 입력합니다.
  3. 사용을 클릭하여 Cloud IAP에서 보호할 온프렘 앱을 확인합니다. Cloud IAP를 사용 설정한 후에는 부하 분산기에 대한 모든 연결에 로그인 사용자 인증 정보가 필요하고, 프로젝트에서 IAP 보안 웹 앱 사용자 역할이 있는 계정에만 액세스 권한이 부여됩니다. Cloud IAP가 사용 설정되고 잠금이 발생할 때까지 약 10분의 지연이 발생할 수 있습니다.
  4. 온프레미스 앱의 내부 URL로 이동하여 Cloud IAP가 사용 설정되었는지 확인합니다. 인증 프롬프트가 나타나면 Cloud IAP가 사용 설정된 것입니다.

온프레미스 앱으로 가는 모든 트래픽은 이제 Cloud IAP에 의해 인증 및 승인됩니다.

아웃바운드 트래픽 보안

배포된 Cloud IAP 커넥터는 온프레미스 백엔드로 요청을 전달합니다. Cloud IAP 커넥터에는 Cloud IAM 액세스 정책이 시행되므로 백엔드로 가는 모든 요청이 Cloud IAP에 의해 인증 및 승인되었는지 확인하세요.

다음 방법을 사용하여 아웃바운드 트래픽이 Cloud IAP 커넥터를 거쳤는지 확인하세요.

  • 요청에서 Cloud IAP 서명 헤더를 확인합니다. Cloud IAP에 의해 인증 및 승인된 요청에는 Cloud IAP 서명 JWT 헤더가 첨부됩니다.
  • 백엔드 액세스를 Cloud IAP 커넥터에서 오는 특정 IP 주소 범위로 제한합니다. 이를 위해서는 온프레미스 앱에서 적절한 방화벽 규칙을 설정하면 됩니다.

Cloud IAP 커넥터 배포 업데이트

다음과 같은 프로세스를 사용하여 Cloud IAP 커넥터의 라우팅 규칙을 업데이트하고 배포된 GKE 클러스터로 푸시할 수 있습니다. 자세한 내용은 배포 업데이트를 참조하세요.

  1. 새 라우팅 매개변수로 iap-connector.yaml 파일을 업데이트합니다.
  2. 다음 gcloud 명령어를 실행합니다.

    gcloud deployment-manager deployments update NAME_OF_DEPLOYMENT
    

Cloud IAP 커넥터 배포 삭제

Cloud IAP 커넥터 배포를 삭제하면 Cloud IAP가 사용 중지되고 앱에는 액세스 인증 시스템이 없는 상태가 됩니다. 라우팅 규칙을 포함하여 배포에 의해 생성된 모든 리소스가 삭제됩니다.

Cloud IAP 커넥터 배포를 삭제하려면 다음 안내를 따르세요.

  1. Cloud Deployment Manager 페이지로 이동합니다.
    Cloud Deployment Manager 페이지로 이동
  2. 배포 목록에서 Cloud IAP 배포 옆의 체크박스를 선택합니다.
  3. 페이지 상단에서 삭제를 클릭합니다.

삭제한 Cloud IAP 커넥터 배포를 다시 만들어야 하는 경우 원본 구성 파일을 사용하면 됩니다. 다시 만들어진 배포는 새 배포로 간주되며 새 리소스를 사용합니다.

이 페이지가 도움이 되었나요? 평가를 부탁드립니다.

다음에 대한 의견 보내기...

Identity-Aware Proxy 문서