App Engine 표준 환경에서 Django 실행

개발 환경 준비

샘플 앱 클론

Django 샘플 앱용 코드는 GitHub의 GoogleCloudPlatform/python-docs-samples 저장소에 있습니다.

1. ZIP 파일로 샘플을 다운로드하고 이를 추출하거나 저장소를 로컬 머신에 클론할 수 있습니다.

   git clone https://github.com/GoogleCloudPlatform/python-docs-samples.git
   

2. 샘플 코드가 있는 디렉토리로 이동합니다.

   Linux/macOS

   cd python-docs-samples/appengine/standard_python3/django
   

   Windows

   cd python-docs-samples\appengine\standard_python3\django
   

Python 설정 확인

이 튜토리얼에서는 Python을 사용하여 머신에서 샘플 애플리케이션을 실행합니다. 샘플 코드에는 종속 항목 설치도 필요합니다.

자세한 내용은 Python 개발 환경 가이드를 참조하세요.

1. Python 버전이 3.8 이상인지 확인합니다.

    python -V
   

   Python 3.8.0 이상이 표시되어야 합니다.

2. Python 가상 환경을 만들고 종속 항목을 설치합니다.

   Linux/macOS

   python -m venv venv
   source venv/bin/activate
   pip install --upgrade pip
   pip install -r requirements.txt
   

   Windows

   python -m venv venv
   venv\scripts\activate
   pip install --upgrade pip
   pip install -r requirements.txt
   

Cloud SQL 인증 프록시를 다운로드하여 로컬 머신에서 Cloud SQL에 연결

배포된 앱은 App Engine 표준 환경에 내장된 Cloud SQL 인증 프록시를 사용하여 Cloud SQL 인스턴스와 통신합니다. 하지만 앱을 로컬에서 테스트하려면 프록시의 로컬 사본을 개발 환경에 설치하여 사용해야 합니다. 자세한 내용은 Cloud SQL 인증 프록시 가이드를 참조하세요.

Cloud SQL 인증 프록시는 Cloud SQL API를 사용하여 SQL 인스턴스와 상호작용합니다. 이렇게 하려면 gcloud CLI를 통한 애플리케이션 인증이 필요합니다.

1. API에 대한 사용자 인증 정보를 인증하고 가져옵니다.

   gcloud auth application-default login
   

2. Cloud SQL 인증 프록시를 다운로드하여 로컬 머신에 설치합니다.

   Linux 64비트

   1. Cloud SQL 인증 프록시를 다운로드합니다.

      curl -o cloud-sql-proxy https://storage.googleapis.com/cloud-sql-connectors/cloud-sql-proxy/v2.13.0/cloud-sql-proxy.linux.amd64
      

   2. Cloud SQL 인증 프록시 실행 파일을 만듭니다.

      chmod +x cloud-sql-proxy
      

   Linux 32비트

   1. Cloud SQL 인증 프록시를 다운로드합니다.

      curl -o cloud-sql-proxy https://storage.googleapis.com/cloud-sql-connectors/cloud-sql-proxy/v2.13.0/cloud-sql-proxy.linux.386
      

   2. curl 명령어를 찾을 수 없으면 sudo apt install curl을 실행하고 다운로드 명령어를 반복합니다.
   3. Cloud SQL 인증 프록시 실행 파일을 만듭니다.

      chmod +x cloud-sql-proxy
      

   macOS 64비트

   1. Cloud SQL 인증 프록시를 다운로드합니다.

      curl -o cloud-sql-proxy https://storage.googleapis.com/cloud-sql-connectors/cloud-sql-proxy/v2.13.0/cloud-sql-proxy.darwin.amd64
      

   2. Cloud SQL 인증 프록시 실행 파일을 만듭니다.

      chmod +x cloud-sql-proxy
      

   Mac M1

   1. Cloud SQL 인증 프록시를 다운로드합니다.

        curl -o cloud-sql-proxy https://storage.googleapis.com/cloud-sql-connectors/cloud-sql-proxy/v2.13.0/cloud-sql-proxy.darwin.arm64
        

   2. Cloud SQL 인증 프록시 실행 파일을 만듭니다.

        chmod +x cloud-sql-proxy
        

   Windows 64비트

   https://storage.googleapis.com/cloud-sql-connectors/cloud-sql-proxy/v2.13.0/cloud-sql-proxy.x64.exe를 마우스 오른쪽 버튼으로 클릭하고 다른 이름으로 링크 저장을 선택하여 Cloud SQL 인증 프록시를 다운로드합니다. 파일 이름을 cloud-sql-proxy.exe로 바꿉니다.

   Windows 32비트

   https://storage.googleapis.com/cloud-sql-connectors/cloud-sql-proxy/v2.13.0/cloud-sql-proxy.x86.exe를 마우스 오른쪽 버튼으로 클릭하고 다른 이름으로 링크 저장을 선택하여 Cloud SQL 인증 프록시를 다운로드합니다. 파일 이름을 cloud-sql-proxy.exe로 바꿉니다.

   Cloud SQL 인증 프록시 Docker 이미지

   Cloud SQL 인증 프록시에는 distroless, alpine, buster와 같은 서로 다른 컨테이너 이미지가 있습니다. 기본 Cloud SQL 인증 프록시 컨테이너 이미지는 셸이 없는 distroless를 사용합니다. 셸 또는 관련 도구가 필요하면 alpine 또는 buster를 기반으로 이미지를 다운로드합니다. 자세한 내용은 Cloud SQL 인증 프록시 컨테이너 이미지를 참조하세요.

   다음 명령어로 Docker를 사용하여 최신 이미지를 로컬 머신으로 가져올 수 있습니다.

   docker pull gcr.io/cloud-sql-connectors/cloud-sql-proxy:2.13.0
   

   기타 OS

   여기에 포함되지 않은 다른 운영체제의 경우 소스에서 Cloud SQL 인증 프록시를 컴파일하면 됩니다.

   다운로드한 파일을 PATH의 위치 또는 홈 디렉터리와 같이 일반적인 위치로 이동할 수 있습니다. 이 방법을 선택하는 경우 튜토리얼 뒷부분에서 Cloud SQL 인증 프록시를 시작하면 cloud_sql_proxy 명령어를 사용할 때 선택한 위치를 참조해야 합니다.

지원 서비스 만들기

이 튜토리얼에서는 여러 Google Cloud 서비스를 사용하여 배포된 Django 프로젝트를 지원하는 데이터베이스, 미디어 스토리지, 보안 비밀 스토리지를 제공합니다. 이러한 서비스는 특정 리전에 배포됩니다. 서비스 간 효율성을 높이려면 모든 서비스가 동일한 리전에 배포되어야 합니다. 가장 가까운 리전에 대한 자세한 내용은 리전별 제공 제품을 참조하세요.

PostgreSQL용 Cloud SQL 인스턴스 설정

Django는 여러 관계형 데이터베이스를 공식적으로 지원하지만 PostgreSQL을 가장 많이 지원합니다. PostgreSQL은 Cloud SQL에서 지원하므로 이 튜토리얼에서는 해당 유형의 데이터베이스를 사용합니다.

다음 섹션에서는 앱의 PostgreSQL 인스턴스, 데이터베이스 및 데이터베이스 사용자를 만드는 방법에 대해 설명합니다.

1. PostgreSQL 인스턴스를 만듭니다.

   콘솔

   1. Google Cloud 콘솔에서 Cloud SQL 인스턴스 페이지로 이동합니다.

      Cloud SQL 인스턴스 페이지로 이동

   2. 인스턴스 만들기를 클릭합니다.

   3. PostgreSQL을 클릭합니다.

   4. 인스턴스 ID 필드에 INSTANCE_NAME을 입력합니다.

   5. postgres 사용자의 비밀번호를 입력합니다.

   6. 다른 필드에는 기본값을 사용합니다.

   7. 만들기를 클릭합니다.

   인스턴스를 만들고 사용할 수 있도록 준비하는 데 몇 분 정도 소요됩니다.

   gcloud

   • PostgreSQL 인스턴스를 만듭니다.

     gcloud sql instances create INSTANCE_NAME \
         --project PROJECT_ID \
         --database-version POSTGRES_13 \
         --tier db-f1-micro \
         --region REGION
     

   다음을 바꿉니다.

   • INSTANCE_NAME: Cloud SQL 인스턴스 이름
   • PROJECT_ID: Google Cloud 프로젝트 ID
   • REGION: Google Cloud 리전

   인스턴스를 만들고 사용할 수 있도록 준비하는 데 몇 분 정도 소요됩니다.

2. 생성된 인스턴스 내에서 데이터베이스를 생성합니다.

   콘솔

   1. 인스턴스 페이지에서 데이터베이스 탭으로 이동합니다.
   2. 데이터베이스 만들기를 클릭합니다.
   3. 데이터베이스 이름 대화상자에 DATABASE_NAME을 입력합니다.
   4. 만들기를 클릭합니다.

   gcloud

   • 최근에 만든 인스턴스 내에 데이터베이스를 만듭니다.

     gcloud sql databases create DATABASE_NAME \
         --instance INSTANCE_NAME
     

     DATABASE_NAME을 인스턴스 내부의 데이터베이스 이름으로 바꿉니다.

3. 데이터베이스 사용자를 만듭니다.

   콘솔

   1. 인스턴스 페이지에서 사용자 탭으로 이동합니다.
   2. 사용자 계정 추가를 클릭합니다.
   3. '기본 제공 인증' 아래 인스턴스에 사용자 계정 추가 대화상자에서 다음을 수행합니다.
   4. 사용자 이름 DATABASE_USERNAME을 입력합니다.
   5. 비밀번호 DATABASE_PASSWORD를 입력합니다.
   6. 추가를 클릭합니다.

   gcloud

   • 최근에 만든 인스턴스 내에 사용자를 만듭니다.

     gcloud sql users create DATABASE_USERNAME \
         --instance INSTANCE_NAME \
         --password DATABASE_PASSWORD
     

     PASSWORD를 안전한 비밀번호로 바꿉니다.

Secret Manager에 보안 비밀 값 저장

이제 지원 서비스가 구성되었으므로 Django에는 이러한 서비스에 대한 정보가 필요합니다. 이 튜토리얼에서는 이러한 값을 Django 소스 코드에 직접 입력하는 대신 Secret Manager를 사용하여 이 정보를 안전하게 저장합니다.

Secret Manager 보안 비밀로 Django 환경 파일 만들기

Django를 시작하는 데 필요한 설정은 보안 적용된 env 파일에 저장합니다. 샘플 앱에서는 Secret Manager API를 사용하여 보안 비밀 값을 검색하고, django-environ 패키지를 사용하여 값을 Django 환경에 로드합니다. 보안 비밀은 App Engine 표준에서 액세스할 수 있도록 구성됩니다.

1. 데이터베이스 연결 문자열, 미디어 버킷 이름, 새 SECRET_KEY 값을 정의하여 .env라는 파일을 만듭니다.

   echo DATABASE_URL=postgres://DATABASE_USERNAME:DATABASE_PASSWORD@//cloudsql/PROJECT_ID:REGION:INSTANCE_NAME/DATABASE_NAME > .env
   echo GS_BUCKET_NAME=PROJECT_ID_MEDIA_BUCKET >> .env
   echo SECRET_KEY=$(cat /dev/urandom | LC_ALL=C tr -dc '[:alpha:]'| fold -w 50 | head -n1) >> .env
   

2. Secret Manager에 보안 비밀을 저장합니다.

   콘솔

   1. Google Cloud 콘솔에서 Secret Manager 페이지로 이동합니다.

      Secret Manager 페이지로 이동

   2. 보안 비밀 만들기를 클릭합니다.

   3. 이름 필드에 django_settings를 입력합니다.

   4. 보안 비밀 값 대화상자에 .env 파일의 콘텐츠를 붙여넣습니다.

   5. 보안 비밀 만들기를 클릭합니다.

   6. 로컬 파일을 삭제하여 로컬 설정 재정의를 방지합니다.

   gcloud

   1. .env 파일의 값으로 새 보안 비밀 django_settings를 만듭니다.

      gcloud secrets create django_settings --data-file .env
      

   2. 보안 비밀 생성을 확인하려면 다음을 확인합니다.

      gcloud secrets describe django_settings
      
      gcloud secrets versions access latest --secret django_settings
      

   3. 로컬 파일을 삭제하여 로컬 설정 재정의를 방지합니다.

      rm .env
      

3. 보안 비밀에 대한 액세스 구성

   콘솔

   1. 권한 탭을 클릭합니다.
   2. 추가를 클릭합니다.
   3. 새 구성원 필드에 PROJECT_ID@appspot.gserviceaccount.com을 입력하고 Enter를 누릅니다.
   4. 역할 드롭다운 메뉴에서 Secret Manager 보안 비밀 접근자를 선택합니다.
   5. 저장을 클릭합니다.

   gcloud

   1. App Engine 표준 서비스 계정에 보안 비밀에 대한 액세스 권한을 부여합니다.

      gcloud secrets add-iam-policy-binding django_settings \
          --member serviceAccount:PROJECT_ID@appspot.gserviceaccount.com \
          --role roles/secretmanager.secretAccessor
      

로컬 컴퓨터에서 앱 실행

지원 서비스가 구성되었으면 이제 컴퓨터에서 앱을 실행할 수 있습니다. 이 설정을 사용하면 로컬 개발, 수퍼유저 만들기, 데이터베이스 마이그레이션 적용을 수행할 수 있습니다.

1. 별도의 터미널에서 Cloud SQL 인증 프록시를 시작합니다.

   Linux/macOS

   ./cloud-sql-proxy PROJECT_ID:REGION:INSTANCE_NAME
   

   Windows

   cloud-sql-proxy.exe PROJECT_ID:REGION:INSTANCE_NAME
   

   이 단계에서는 로컬 테스트를 위해 로컬 컴퓨터에서 Cloud SQL 인스턴스로 연결을 설정합니다. 앱을 로컬에서 테스트하는 동안 Cloud SQL 인증 프록시를 계속 실행합니다. 별도의 터미널에서 이 프로세스를 실행하면 프로세스가 실행되는 동안 작업을 계속할 수 있습니다.

2. 원래 터미널에서 프로젝트 ID를 로컬로 설정합니다(Secret Manager API에서 사용).

   Linux/macOS

   export GOOGLE_CLOUD_PROJECT=PROJECT_ID
   

   Windows

   set GOOGLE_CLOUD_PROJECT=PROJECT_ID
   

3. Cloud SQL 인증 프록시를 사용 중임을 나타내는 환경 변수를 설정합니다(이 값은 코드에서 인식됨).

   Linux/macOS

   export USE_CLOUD_SQL_AUTH_PROXY=true
   

   Windows

   set USE_CLOUD_SQL_AUTH_PROXY=true
   

4. Django 마이그레이션을 실행하여 모델과 애셋을 설정합니다.

   python manage.py makemigrations
   python manage.py makemigrations polls
   python manage.py migrate
   python manage.py collectstatic
   

5. Django 웹 서버를 시작합니다.

   python manage.py runserver 8080
   

6. 브라우저에서 http://localhost:8080으로 이동합니다.

   Cloud Shell에 있는 경우 웹 미리보기 버튼을 클릭하고 포트 8080에서 미리보기를 선택합니다.

   페이지에 다음 텍스트가 표시됩니다. 'Hello, world. You're at the polls index.' 컴퓨터에서 실행되는 Django 웹 서버는 샘플 앱 페이지를 전송합니다.

7. Ctrl/Cmd+C를 눌러서 로컬 웹 서버를 중지합니다.

Django 관리 콘솔 사용

Django의 관리 콘솔에 로그인하려면 수퍼유저를 만들어야 합니다. 데이터베이스에 로컬로 액세스할 수 있으므로 관리 명령어를 실행할 수 있습니다.

1. 수퍼유저를 만듭니다. 사용자 이름, 이메일, 비밀번호를 입력하라는 메시지가 표시됩니다.

   python manage.py createsuperuser
   

2. 로컬 웹 서버를 시작합니다.

   python manage.py runserver
   

3. 브라우저에서 http://localhost:8000/admin으로 이동합니다.

4. createsuperuser를 실행할 때 사용한 사용자 이름과 비밀번호를 사용하여 관리 사이트에 로그인합니다.

App Engine 표준 환경에 앱 배포

모든 지원 서비스가 설정되고 애플리케이션이 로컬에서 테스트되었으므로 이제 App Engine 표준에 앱을 배포할 수 있습니다.

1. app.yaml의 설명대로 앱을 배포하고 새로 배포된 버전을 기본 버전으로 설정하여 모든 새 트래픽을 제공하도록 하는 다음 명령어를 실행하여 앱을 업로드합니다.

   gcloud app deploy

2. 메시지가 표시되면 '예'를 입력하여 설정을 확인합니다.
3. 업데이트가 완료되었다는 메시지가 표시될 때까지 기다립니다.
4. app.yaml을 열고 배포된 URL로 APPENGINE_URL 값을 업데이트합니다.

   ...
   env_variables:
       APPENGINE_URL: https://PROJECT_ID.uc.r.appspot.com
   

5. 구성 변경사항을 업로드합니다.

   gcloud app deploy

배포된 앱 실행

앱이 배포되었으며 이제 액세스할 수 있습니다.

• 배포된 웹사이트 열기

  gcloud app browse
  

• 또는 URL을 표시하고 수동으로 엽니다.

  gcloud app describe --format "value(defaultHostname)"
  

요청은 App Engine 표준 환경에서 실행되는 웹 서버에서 처리됩니다.

애플리케이션 업데이트

애플리케이션을 업데이트하려면 코드를 변경한 후 gcloud app deploy 명령어를 다시 실행합니다.

배포 시 앱의 새 버전을 생성되고 기본 버전으로 승격됩니다. 앱의 이전 버전은 유지됩니다. 이러한 모든 앱 버전은 청구 가능한 리소스입니다. 비용을 줄이려면 기본 버전 이외의 앱 버전을 삭제합니다.

프로덕션 구성

이제 Django 배포가 작동하고 있지만 애플리케이션을 프로덕션에 즉시 사용할 수 있도록 추가 단계를 수행할 수 있습니다.

디버깅 사용 중지

mysite/settings.py의 DEBUG 변수가 False로 설정되었는지 확인합니다. 이렇게 하면 사용자에게 자세한 오류 페이지가 표시되지 않아 구성에 관한 정보가 유출될 수 있습니다.

데이터베이스 사용자 권한 제한

Cloud SQL을 사용하여 생성된 모든 사용자는 cloudsqlsuperuser 역할과 연결된 권한(CREATEROLE, CREATEDB, LOGIN)이 부여됩니다.

Django 데이터베이스 사용자가 이러한 권한을 갖지 않도록 하려면 PostgreSQL에서 수동으로 사용자를 생성합니다. psql 대화형 터미널이 설치되어 있거나 이 도구가 사전 설치된 Cloud Shell을 사용해야 합니다.

코드 이해하기

샘플 애플리케이션

Django 샘플 앱은 표준 Django 도구를 사용하여 생성되었습니다. 다음 명령어는 프로젝트와 설문조사 앱을 만듭니다.

django-admin startproject mysite
python manage.py startapp polls

기본 보기, 모델 및 경로 구성이 첫 번째 Django 앱 작성(1부 및2부 참조)에서 복사되었습니다.

Secret Manager의 보안 비밀

settings.py 파일에는 Secret Manager Python API를 사용하여 명명된 보안 비밀의 최신 버전을 검색하고 이를 환경에 가져오는 코드가 포함됩니다(django-environ 사용).

env = environ.Env(DEBUG=(bool, False))
env_file = os.path.join(BASE_DIR, ".env")

if os.path.isfile(env_file):
    # Use a local secret file, if provided

    env.read_env(env_file)
# ...
elif os.environ.get("GOOGLE_CLOUD_PROJECT", None):
    # Pull secrets from Secret Manager
    project_id = os.environ.get("GOOGLE_CLOUD_PROJECT")

    client = secretmanager.SecretManagerServiceClient()
    settings_name = os.environ.get("SETTINGS_NAME", "django_settings")
    name = f"projects/{project_id}/secrets/{settings_name}/versions/latest"
    payload = client.access_secret_version(name=name).payload.data.decode("UTF-8")

    env.read_env(io.StringIO(payload))
else:
    raise Exception("No local .env or GOOGLE_CLOUD_PROJECT detected. No secrets found.")

보안 비밀은 구성해야 하는 다양한 보안 비밀의 수를 줄이기 위해 여러 보안 비밀 값을 저장하는 데 사용되었습니다.

CSRF 구성

Django에는 교차 사이트 요청 위조(CSRF)에 대한 보호 기능이 내장되어 있습니다. Django 4.0부터, 작동 방식에 대한 변경사항은 호스팅된 URL을 Django에게 알리는 것이 중요함을 의미합니다. 이렇게 하면 데이터를 제출하는 사용자에게 최상의 보호를 제공할 수 있습니다.

settings.py 파일에 앱의 URL을 환경 변수로 제공합니다. 이 값은 Django가 관련 설정에 사용하는 값입니다.

# SECURITY WARNING: It's recommended that you use this when
# running in production. The URL will be known once you first deploy
# to App Engine. This code takes the URL and converts it to both these settings formats.
APPENGINE_URL = env("APPENGINE_URL", default=None)
if APPENGINE_URL:
    # Ensure a scheme is present in the URL before it's processed.
    if not urlparse(APPENGINE_URL).scheme:
        APPENGINE_URL = f"https://{APPENGINE_URL}"

    ALLOWED_HOSTS = [urlparse(APPENGINE_URL).netloc]
    CSRF_TRUSTED_ORIGINS = [APPENGINE_URL]
    SECURE_SSL_REDIRECT = True
else:
    ALLOWED_HOSTS = ["*"]

로컬 보안 비밀 재정의

로컬 파일 시스템에서 .env 파일이 발견되면 Secret Manager의 값 대신 사용됩니다. .env 파일을 로컬에서 만들면 로컬 테스트(예: SQLite 데이터베이스에 대한 로컬 개발 또는 기타 로컬 설정)에 도움이 될 수 있습니다.

데이터베이스 연결

settings.py 파일에는 SQL 데이터베이스의 구성이 포함되어 있습니다. django-environ의 env.db() 도우미를 사용하여 DATABASE_URL에 설정된 연결 문자열을 DATABASES 설정에 로드합니다.

애플리케이션을 로컬에서 실행하고 Cloud SQL 인증 프록시를 사용하여 호스팅된 데이터베이스에 액세스하는 경우 USE_CLOUD_SQL_AUTH_PROXY 플래그가 프록시를 사용하도록 데이터베이스 설정을 조정합니다.

# Use django-environ to parse the connection string
DATABASES = {"default": env.db()}

# If the flag as been set, configure to use proxy
if os.getenv("USE_CLOUD_SQL_AUTH_PROXY", None):
    DATABASES["default"]["HOST"] = "127.0.0.1"
    DATABASES["default"]["PORT"] = 5432

호스팅된 정적 콘텐츠

app.yaml 파일에는 App Engine 배포를 위한 구성 정보가 포함되어 있습니다. 이 app.yaml 파일은 App Engine이 static/ 디렉터리에서 정적 파일을 제공하도록 지정합니다.

runtime: python39

env_variables:
  # This setting is used in settings.py to configure your ALLOWED_HOSTS
  # APPENGINE_URL: PROJECT_ID.uc.r.appspot.com

handlers:
# This configures Google App Engine to serve the files in the app's static
# directory.
- url: /static
  static_dir: static/

# This handler routes all requests not caught above to your main app. It is
# required when static routes are defined, but can be omitted (along with
# the entire handlers section) when there are no static files defined.
- url: /.*
  script: auto

DEBUG가 사용 설정된 상태로 앱을 로컬로 실행하면 다음 파일이 Django에서 로컬로 제공됩니다.

from django.conf import settings
from django.conf.urls.static import static
from django.contrib import admin
from django.urls import include, path

urlpatterns = [
    path("", include("polls.urls")),
    path("admin/", admin.site.urls),
] + static(settings.STATIC_URL, document_root=settings.STATIC_ROOT)