온프레미스 앱에 IAP 사용 설정

이 가이드는 IAP 커넥터를 배포하여 IAP(Identity-Aware Proxy)로 Google Cloud 외부의 HTTP 기반 온프레미스 앱을 보호하는 방법을 설명합니다.

IAP가 온프레미스 앱 및 리소스를 보호하는 방법에 대한 자세한 내용은 온프레미스 앱용 IAP 개요를 참조하세요.

시작하기 전에

시작하기 전에 다음이 필요합니다.

  • Google Cloud SDK를 설치합니다.
  • DNS 호스트 이름을 통해 액세스할 수 있으며 HTTPS 트래픽을 수락하는 HTTP 기반 온프레미스 앱. 앱에는 자체 IAP 인스턴스도 있어야 합니다.
  • 앱에 공개적으로 액세스할 수 없는 경우 Cloud Interconnect를 사용하여 Google Cloud와 온프레미스 앱 사이의 연결을 설정합니다.
  • Cloud ID 구성원이 Google 클라우드 프로젝트에서 소유자 역할을 부여했습니다.
  • 결제가 사용 설정된의 Google Cloud 프로젝트.
  • Google Cloud 트래픽의 인그레스 지점으로 사용할 DNS 호스트 이름입니다. 예를 들면 www.hr-domain.com입니다.
  • 온프레미스 앱의 DNS 호스트 이름입니다. 예를 들면 hr-internal.domain.com입니다.
  • Google Cloud로 유입되는 트래픽의 인그레스 지점으로 사용되는 DNS 호스트 이름의 SSL 또는 TLS 인증서입니다. 기존 자체 관리형 인증서 또는 Google 관리형 인증서를 사용할 수 있습니다. 인증서가 없는 경우 Let's Encrypt를 사용하여 만드세요.

필요한 API 사용 설정

IAP 커넥터를 구성하려면 다음 API를 사용 설정해야 합니다.

  1. Compute Engine API를 사용 설정합니다.

    Compute Engine API 사용 설정

  2. Google Kubernetes Engine API를 사용 설정합니다.

    Google Kubernetes Engine API 사용 설정

  3. Cloud Deployment Manager API V2를 사용 설정합니다.

    Cloud Deployment Manager API V2 사용 설정

IAP 커넥터 배포 만들기

IAP 커넥터Deployment Manager 템플릿입니다. 배포되면 템플릿은 IAP 인증 및 승인 요청을 온프레미스 앱에 전달하는 데 필요한 리소스 및 라우팅 규칙을 생성합니다. 다음 섹션에서는 IAP 커넥터 구성 및 배포 과정을 안내합니다.

권한 설정

IAP 커넥터를 배포하려면 Google Cloud 프로젝트의 Google API 서비스 에이전트 계정에 Kubernetes Engine 관리자 역할이 필요합니다. 이 서비스 계정을 사용하면 Deployment Manager가 Google Kubernetes Engine(GKE) 클러스터와 클러스터에서 실행되는 모든 리소스를 만들 수 있습니다.

Google API 서비스 에이전트 계정에서 Kubernetes Engine 관리자 역할을 부여하려면 다음 안내를 따르세요.

  1. IAM 페이지로 이동합니다.
    IAM 페이지로 이동
  2. 구성원 수정 을 클릭하여 PROJECT_NUMBER@cloudservices.gserviceaccount.com 구성원의 권한을 편집하세요.
  3. 다른 역할 추가를 클릭하고 역할 드롭다운에서 Kubernetes > Kubernetes Engine 관리자를 선택합니다.
  4. 저장을 클릭합니다.

이제 Google API 서비스 에이전트 계정은 프로젝트에 대한 편집자Kubernetes Engine 관리자 역할을 보유합니다.

SSL 인증서 리소스 만들기

IAP 커넥터의 HTTP(S) 부하 분산기 프록시를 구성할 때 새로운 SSL 인증서 리소스가 필요합니다.

SSL 또는 TLS 인증서와 비공개 키를 사용하여 gcloud 명령줄 도구에서 SSL 인증서 리소스를 만들려면 다음 안내를 따르세요.

  1. compute ssl-certificates create를 사용하여 SSL 인증서 리소스를 만듭니다.

    gcloud compute ssl-certificates create CERTIFICATE_NAME --private-key=PRIVATE_KEY_FILE.pem
    --certificate=CERTIFICATE_FILE.pem
    
  2. 선택사항으로, 새 SSL 인증서 리소스를 사용할 수 있는지 확인합니다.

    1. 부하 분산 페이지로 이동합니다.
      부하 분산 페이지로 이동
    2. 부하 분산기 목록 아래에 있는 고급 메뉴를 클릭합니다.
    3. 인증서를 클릭합니다.

IAP 커넥터 다운로드 및 구성

배포 요구사항에 맞게 IAP 커넥터의 구성 가능한 Deployment Manager 템플릿을 업데이트해야 합니다. 템플릿을 다운로드 및 구성하려면 다음 안내를 따르세요.

  1. IAP 커넥터 GitHub 저장소를 클론하여 IAP 커넥터 Deployment Manager 템플릿을 다운로드합니다.

  2. 복제된 저장소의 폴더를 열고 iap-connector.yaml 파일에서 필수 필드를 업데이트합니다. 라우팅 규칙에 대한 자세한 내용은 온프레미스 앱용 IAP 개요를 참조하세요.

         resources:
         - name: iap-connector
           type: iap-connector.py
           properties:
             zone: ZONE
             serviceAccountName: PROJECT_NUMBER@cloudservices.gserviceaccount.com
             routing:
             - name: BACKEND_SERVICE_NAME
               mapping:
               - name: host
                 source: SOURCE
                 destination: DESTINATION_URL
             tls:
             - CERTIFICATE_NAME
    
    필수 필드:

    • zone: IAP 커넥터가 배포된 영역입니다. 예: us-central1-a
    • serviceAccountName: Kubernetes Engine 관리자 역할이 부여된 Google API 서비스 에이전트 계정의 이름
    • routing.mapping.source: Google Cloud로 들어오는 요청의 URL입니다. 이 URL은 트래픽이 환경으로 진입하는 지점입니다.
    • routing.mapping.destination: 사용자가 승인되고 인증된 후 IAP가 트래픽을 라우팅하는 온프레미스 앱의 URL입니다. IAP는 TLS를 사용하여 트래픽을 이 URL로 라우팅하며 호스팅된 애플리케이션은 HTTPS 엔드포인트를 제공하려면 필요합니다.
    • tls: SSL 인증서 리소스의 이름
    • routing.name: HTTP(S) 부하 분산기 뒤의 새 백엔드 서비스의 이름

    선택 필드:

    • initialNodeCount: 클러스터에 적합한 초기 노드의 수. 기본적으로 초기 노드 수는 3입니다.
    • imageVersion: 실행할 Ambassador 이미지 버전. 기본적으로 이미지 버전은 0.39.0입니다.
    • replicas: Ambassador 배포의 초기 복제본 수. 기본적으로 복제본의 수는 3입니다.

    IAP 커넥터 사양을 보려면 iap-connector.py.schema 파일을 참조하세요.

  3. 업데이트된 iap-connector.yaml 파일을 저장합니다.

IAP 커넥터 배포

  1. 다음 gcloud 명령어를 실행하여 IAP 커넥터와 Google Kubernetes Engine 클러스터를 배포합니다.

    gcloud deployment-manager deployments create NAME_OF_DEPLOYMENT --config=iap-connector.yaml
    
  2. 원하는 경우 Google Cloud Console에서 배포를 모니터링합니다.

    1. Deployment Manager 페이지로 이동합니다.
      Deployment Manager 페이지로 이동
    2. 배포 이름을 선택하여 배포 상태를 확인합니다. 최근에 IAP 커넥터를 배포한 경우 배포가 완료될 때까지 몇 분 정도 기다려야 상태를 볼 수 있습니다.
  3. 선택적으로 Kubernetes 클러스터 페이지로 이동하여 Google Kubernetes Engine 클러스터의 상태를 확인합니다.
    Kubernetes 클러스터 페이지로 이동

  4. 배포에서 Cloud Load Balancing HTTP(S) 부하 분산기를 생성됩니다. 도메인 관리자 내의 DNS 리소스 레코드를 업데이트하여 소스 도메인을 부하 분산기의 공개 IPv4 주소와 연결합니다.

    공개 IPv4 주소를 구하려면 다음 안내를 따르세요.

    1. 부하 분산 페이지로 이동합니다.
      부하 분산 페이지로 이동
    2. 생성된 부하 분산기 리소스의 이름을 클릭합니다.

      IPv4 주소는 프런트엔드 아래에 있으며 인증서 이름과 연결됩니다.

이제 앱으로 가는 웹 요청 트래픽이 IAP 커넥터에서 온프레미스 앱으로 전달됩니다.

OAuth 동의 화면 구성

프로젝트의 OAuth 동의 화면을 구성하지 않은 경우 구성해야 합니다. OAuth 동의 화면에는 이메일 주소와 제품 이름이 필요합니다.

  1. OAuth 동의 화면으로 이동합니다.
    동의 화면 구성
  2. 지원 이메일 아래에서 공개 연락처로 표시할 이메일 주소를 선택합니다. 이 이메일 주소는 개발자의 이메일 주소 또는 개발자가 소유하는 Google 그룹이어야 합니다.
  3. 표시하려는 애플리케이션 이름을 입력합니다.
  4. 원하는 선택적인 세부정보를 추가합니다.
  5. 저장을 클릭합니다.

나중에 제품 이름 또는 이메일 주소와 같은 OAuth 동의 화면의 정보를 변경하려면 앞의 단계를 반복하여 동의 화면을 구성합니다.

IAP 액세스 설정

  1. Identity-Aware Proxy 페이지로 이동합니다.
    IAP(Identity-Aware Proxy) 페이지로 이동
  2. IAP로 보호하려는 프로젝트를 선택합니다.
  3. 구성원을 추가하려는 리소스 옆에 있는 체크박스를 선택합니다.
  4. 오른쪽 패널에서 구성원 추가를 클릭합니다.
  5. 표시된 구성원 추가 대화상자에서 프로젝트에 대한 IAP 보안 웹 앱 사용자 역할이 있어야 하는 그룹 또는 개별 사용자의 이메일 주소를 입력합니다.

    다음 계정 종류가 구성원이 될 수 있습니다.

    • Google 계정: user@gmail.com
    • Google Groups: admins@googlegroups.com
    • 서비스 계정: server@example.gserviceaccount.com
    • G Suite 도메인: example.com

    액세스 권한이 있는 Google 계정을 추가해야 합니다.

  6. 역할 드롭다운 목록에서 Cloud IAP > IAP 보안 웹 앱 사용자를 선택합니다.
  7. 저장을 클릭합니다.

IAP 사용 설정 중

  1. IAP(Identity-Aware Proxy) 페이지의 HTTPS 리소스에서 IAP 커넥터 배포 이름을 찾으세요. IAP를 사용하려면
  2. 표시되는 IAP 사용 창에서 사용을 클릭하여 IAP가 온프레미스 앱을 보호할 것임을 확인하세요. IAP를 사용하면 부하 분산기의 모든 연결에 로그인 사용자 인증 정보가 필요합니다. 프로젝트에서 IAP 보안 웹 앱 사용자 역할이 있는 계정만 액세스할 수 있습니다.
  3. 온프레미스 앱의 내부 URL로 이동하여 IAP가 사용 설정되어 있는지 확인합니다. 인증 프롬프트가 나타나면 IAP가 사용 설정된 것입니다.

IAP는 이제 온프레미스 앱에 대한 모든 트래픽을 인증하고 승인합니다.

아웃바운드 트래픽 보안

배포된 IAP 커넥터는 온프레미스 백엔드로 요청을 전달합니다. IAP 커넥터에서 IAM 액세스 정책이 시행되므로 백엔드로 가는 모든 요청이 IAP에서 인증 및 승인되었는지 확인하세요.

아웃바운드 트래픽이 IAP 커넥터를 통과했는지 확인하려면 IAP 서명 헤더에 대한 요청을 확인하세요. IAP에서 인증 및 승인된 요청에는 IAP 서명 JWT 헤더가 첨부됩니다.

IAP 커넥터 배포 업데이트

다음과 같은 프로세스를 사용하여 IAP 커넥터의 라우팅 규칙을 업데이트하고 배포된 GKE 클러스터로 푸시할 수 있습니다. 자세한 내용은 배포 업데이트를 참조하세요.

  1. 새 라우팅 매개변수로 iap-connector.yaml 파일을 업데이트합니다.
  2. 다음 gcloud 명령어를 실행합니다.

    gcloud deployment-manager deployments update NAME_OF_DEPLOYMENT
    

IAP 커넥터 배포 삭제

IAP 커넥터 배포를 삭제하면 IAP가 사용 중지되고 앱에는 액세스 인증 시스템이 없는 상태가 됩니다. 라우팅 규칙을 포함하여 배포에 의해 생성된 모든 리소스가 삭제됩니다.

IAP 커넥터 배포를 삭제하려면 다음 안내를 따르세요.

  1. Deployment Manager 페이지로 이동합니다.
    Deployment Manager 페이지로 이동
  2. 배포 목록에서 IAP 배포 옆에 있는 체크박스를 선택하세요.
  3. 페이지 상단에서 삭제를 클릭합니다.

삭제한 IAP 커넥터 배포를 다시 만들어야 하는 경우 원래 구성 파일을 사용할 수 있습니다. 다시 만들어진 배포는 새 배포로 간주되며 새 리소스를 사용합니다.