이 페이지에서는 Cloud Run 서비스 및 작업에 대한 맞춤 제약조건을 만들고 프로젝트 수준에서 적용하는 방법을 자세히 설명합니다. 커스텀 조직 정책에 대한 자세한 내용은 커스텀 조직 정책 만들기 및 관리를 참고하세요.
Google Cloud 조직 정책을 사용하면 조직 리소스를 중앙에서 프로그래매틱 방식으로 제어할 수 있습니다. 조직 정책 관리자는 Google Cloud 리소스 계층 구조에서 Google Cloud 리소스 및 이러한 리소스의 하위 요소에 적용되는 제약조건이라는 제한사항 집합인 조직 정책을 정의할 수 있습니다. 또한, 조직, 폴더, 프로젝트 수준에서 조직 정책을 시행하는 것이 가능합니다.
조직 정책은 다양한 Google Cloud 서비스에 대한 사전 정의된 제약조건을 제공합니다. 그러나 조직 정책에서 제한되는 특정 필드를 더욱 세부적으로 맞춤설정 가능한 방식으로 제어하려면 커스텀 조직 정책도 만들면 됩니다.
이점
Cloud Run을 사용하면 Cloud Run Admin API의 대부분의 사용자 구성 필드를 사용하여 원하는 수만큼 맞춤 제약 조건을 작성할 수 있습니다. 예를 들어 서비스가 내부로 설정되도록 지정하거나 GA 외 출시 단계를 방지하는 맞춤 제약 조건을 만들 수 있습니다.
적용되면 맞춤 제약 조건을 적용하는 정책을 위반하는 요청에는 gcloud CLI 및 Cloud Run 로그에 오류 메시지가 표시됩니다. 오류 메시지에는 제약 조건 ID와 위반된 맞춤 제약 조건에 관한 설명이 포함됩니다.
정책 상속
기본적으로 조직 정책은 정책을 적용하는 리소스의 하위 요소에 상속됩니다. 예를 들어 폴더에 정책을 적용하면 Google Cloud가 폴더의 모든 프로젝트에 정책을 적용합니다. 이 동작 및 이를 변경하는 방법에 대한 자세한 내용은 계층 구조 평가 규칙을 참조하세요.
가격 책정
사전 정의된 조직 정책과 커스텀 조직 정책을 포함한 조직 정책 서비스는 무료로 제공됩니다.
제한사항
- Cloud Run 맞춤 제약 조건은 Cloud Run Admin API v1 필드 사양을 사용하여 지정해야 합니다.
- 라벨 및 최상위 필드는 지원되지 않습니다.
시작하기 전에
- 조직 ID를 알고 있어야 합니다.
필요한 역할
조직 정책을 관리하는 데 필요한 권한을 얻으려면 관리자에게 조직 리소스에 대한 조직 정책 관리자(roles/orgpolicy.policyAdmin) IAM 역할을 요청하세요.
역할 부여에 대한 자세한 내용은 프로젝트, 폴더, 조직에 대한 액세스 관리를 참조하세요.
이 사전 정의된 역할에는 조직 정책을 관리하는 데 필요한 권한이 포함되어 있습니다. 필요한 정확한 권한을 보려면 필수 권한 섹션을 펼치세요.
필수 권한
조직 정책을 관리하려면 다음 권한이 필요합니다.
-
orgpolicy.constraints.list -
orgpolicy.policies.create -
orgpolicy.policies.delete -
orgpolicy.policies.list -
orgpolicy.policies.update -
orgpolicy.policy.get -
orgpolicy.policy.set
커스텀 역할이나 다른 사전 정의된 역할을 사용하여 이 권한을 부여받을 수도 있습니다.
커스텀 제약조건 만들기
커스텀 제약조건은 조직 정책을 적용하는 서비스에서 지원되는 리소스, 메서드, 조건, 작업을 사용하여 YAML 파일에서 정의됩니다. 커스텀 제약조건의 조건은 Common Expression Language(CEL)를 사용하여 정의됩니다. CEL을 사용해서 커스텀 제약 조건에서 조건을 빌드하는 방법은 커스텀 제약 조건 만들기 및 관리의 CEL 섹션을 참조하세요.
Cloud Run 커스텀 제약조건에 대해 YAML 파일을 만들려면 다음 예시를 참고하세요.
name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes:
- run.googleapis.com/Service
methodTypes:
- CREATE
- UPDATE
condition: "CONDITION"
actionType: ACTION
displayName: DISPLAY_NAME
description: DESCRIPTION
다음을 바꿉니다.
ORGANIZATION_ID: 조직 ID(예:123456789)CONSTRAINT_NAME: 새 커스텀 제약조건에 사용하려는 이름. 커스텀 제약조건은custom.으로 시작해야 하며 대문자, 소문자 또는 숫자만 포함할 수 있습니다(예: custom.ingressInternal). 이 필드의 최대 길이는 프리픽스를 제외하고 70자입니다(예:organizations/123456789/customConstraints/custom).CONDITION: 지원되는 서비스 리소스의 표현에 대해 작성된 CEL 조건. 이 필드의 최대 길이는 1000자(영문 기준)입니다. 조건 예시: "'run.googleapis.com/ingress' in resource.metadata.annotations && resource.metadata.annotations['run.googleapis.com/ingress'] == 'internal'".ACTION:condition이 충족될 때 수행할 작업.ALLOW또는DENY일 수 있습니다.DISPLAY_NAME: 제약조건에 대한 사용자 친화적인 이름. 이 필드의 최대 길이는 200자(영문 기준)입니다.DESCRIPTION: 정책을 위반할 때 오류 메시지로 표시할 제약조건에 대한 사용자 친화적인 설명(예: '인그레스를 내부로 설정해야 함'). 이 필드의 최대 길이는 2,000자(영문 기준)입니다.
커스텀 제약조건을 만드는 방법에 대한 자세한 내용은 커스텀 제약조건 정의를 참조하세요.
커스텀 제약조건 설정
새 커스텀 제약조건의 YAML 파일을 만든 후에는 조직에서 조직 정책에 사용할 수 있도록 설정해야 합니다. 커스텀 제약조건을 설정하려면gcloud org-policies set-custom-constraint 명령어를 사용합니다.
gcloud org-policies set-custom-constraint CONSTRAINT_PATH
CONSTRAINT_PATH를 커스텀 제약조건 파일의 전체 경로로 바꿉니다. 예를 들면 /home/user/customconstraint.yaml입니다.
완료되면 Google Cloud 조직 정책 목록에서 조직 정책으로 커스텀 제약조건을 사용할 수 있습니다.
커스텀 제약조건이 존재하는지 확인하려면 gcloud org-policies list-custom-constraints 명령어를 사용합니다.
gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID
ORGANIZATION_ID를 조직 리소스 ID로 바꿉니다.
자세한 내용은 조직 정책 보기를 참조하세요.
커스텀 제약조건 적용
불리언 제약조건을 참조하는 조직 정책을 만들고 해당 조직 정책을 Google Cloud 리소스에 적용하여 불리언 제약조건을 적용할 수 있습니다.콘솔
- Google Cloud 콘솔에서 조직 정책 페이지로 이동합니다.
- 프로젝트 선택 도구에서 조직 정책을 설정할 프로젝트를 선택합니다.
- 조직 정책 페이지의 목록에서 제약조건을 선택하여 해당 제약조건의 정책 세부정보 페이지를 봅니다.
- 이 리소스의 조직 정책을 구성하려면 정책 관리를 클릭합니다.
- 정책 수정 페이지에서 상위 정책 재정의를 선택합니다.
- 규칙 추가를 클릭합니다.
- 시행 섹션에서 이 조직 정책 시행을 사용 설정할지 여부를 선택합니다.
- 선택사항: 태그로 조직 정책을 조건부로 만들려면 조건 추가를 클릭합니다. 조건부 규칙을 조직 정책에 추가하면 비조건부 규칙을 최소 하나 이상 추가해야 합니다. 그렇지 않으면 정책을 저장할 수 없습니다. 자세한 내용은 태그를 사용하여 조직 정책 설정을 참조하세요.
- 커스텀 제약조건인 경우 변경사항 테스트를 클릭하여 이 조직 정책의 효과를 시뮬레이션할 수 있습니다. 자세한 내용은 정책 시뮬레이터로 조직 정책 변경사항 테스트를 참조하세요.
- 조직 정책을 완료하고 적용하려면 정책 설정을 클릭합니다. 정책이 적용되는 데 최대 15분이 소요됩니다.
gcloud
불리언 제약조건을 시행하는 조직 정책을 만들려면 제약조건을 참조하는 정책 YAML 파일을 만듭니다.
name: projects/PROJECT_ID/policies/CONSTRAINT_NAME spec: rules: - enforce: true
다음을 바꿉니다.
-
PROJECT_ID: 제약조건을 시행할 프로젝트 -
CONSTRAINT_NAME: 커스텀 제약조건에 대해 정의된 이름. 예를 들면custom.ingressInternal입니다.
제약조건이 포함된 조직 정책을 시행하려면 다음 명령어를 실행합니다.
gcloud org-policies set-policy POLICY_PATH
POLICY_PATH를 조직 정책 YAML 파일의 전체 경로로 바꿉니다. 정책이 적용되는 데 최대 15분이 소요됩니다.
커스텀 제약조건 테스트
인그레스 설정을 제한하는 예시를 테스트하려면 인그레스가 all로 설정된 프로젝트에 Cloud Run 서비스를 배포해 보세요.
gcloud run deploy org-policy-test \
--project=PROJECT_ID \
--region=REGION_ID \
--ingress=all
출력은 다음과 같습니다.
Operation denied by custom org policies: ["customConstraints/custom.ingressConstraint": "Require ingress to be set to internal."]
일반적인 사용 사례의 커스텀 조직 정책 예시
다음 표에는 Cloud Run 서비스 및 작업에 유용할 수 있는 맞춤 제약조건의 예가 나와 있습니다.
| 설명 | 제약조건 문법 |
|---|---|
| Cloud Run 서비스가 내부로 설정되어야 합니다. |
name: organizations/ORGANIZATION_ID/customConstraints/custom.ingressInternal resourceTypes: - run.googleapis.com/Service methodTypes: - CREATE - UPDATE condition: "'run.googleapis.com/ingress' in resource.metadata.annotations && resource.metadata.annotations['run.googleapis.com/ingress'] == 'internal'" actionType: ALLOW displayName: IngressInternal description: Require ingress to be set to internal. |
| 설명 | 제약조건 문법 |
| Cloud Run 서비스의 모든 컨테이너에 맞춤 메모리 한도가 필요합니다. |
name: organizations/ORGANIZATION_ID/customConstraints/custom.memoryLimit resourceTypes: - run.googleapis.com/Service methodTypes: - CREATE - UPDATE condition: "resource.spec.template.spec.containers.all(container, 'memory' in container.resources.limits && container.resources.limits['memory'] <= 'MEMORY_LIMIT')" actionType: ALLOW displayName: memoryLimitCap description: Require the container memory limit to be set to <= MEMORY_LIMIT. |
| 설명 | 제약조건 문법 |
| Cloud Run 출시 단계가 기본 GA에서 비GA 출시 단계로 변경되지 않도록 합니다. |
name: organizations/ORGANIZATION_ID/customConstraints/custom.launchStage resourceTypes: - run.googleapis.com/Service methodTypes: - CREATE - UPDATE condition: "!('run.googleapis.com/launch-stage' in resource.metadata.annotations) || resource.metadata.annotations['run.googleapis.com/launch-stage'] == 'GA'" actionType: ALLOW displayName: launchStage description: Only allow users to create and update Cloud Run services with either an unset launch stage (default is GA) or a launch stage explicitly set to GA. |
| 설명 | 제약조건 문법 |
| Binary Authorization을 기본값으로 설정해야 합니다. |
name: organizations/ORGANIZATION_ID/customConstraints/custom.binaryAuthorization resourceTypes: - run.googleapis.com/Service methodTypes: - CREATE - UPDATE condition: "'run.googleapis.com/binary-authorization' in resource.metadata.annotations && resource.metadata.annotations['run.googleapis.com/binary-authorization'] == 'default'" actionType: ALLOW displayName: binaryAuthorization description: Require binaryAuthorization to be set to default. |
| 설명 | 제약조건 문법 |
| 서비스에 모든 컨테이너에 대한 활성 프로브가 있어야 합니다. |
name: organizations/ORGANIZATION_ID/customConstraints/custom.livenessProbe resourceTypes: - run.googleapis.com/Service methodTypes: - CREATE - UPDATE condition: "resource.spec.template.spec.containers.all(container, has(container.livenessProbe.initialDelaySeconds))" actionType: ALLOW displayName: livenessProbe description: Require all containers to have a liveness probe configured with initialDelaySeconds. |
| 설명 | 제약조건 문법 |
| 서비스에 지정된 접두사로 시작하는 이미지와 지정된 숫자와 동일한 포트를 사용하는 사이드카 컨테이너가 하나 이상 있어야 합니다. |
name: organizations/ORGANIZATION_ID/customConstraints/custom.requireSidecar resourceTypes: - run.googleapis.com/Service methodTypes: - CREATE - UPDATE condition: "resource.spec.template.spec.containers.exists(container, container.image.startsWith('us-docker.pkg.dev/cloud-ops-agents-artifacts/cloud-run-gmp-sidecar/') && container.ports.exists(port, port.containerPort == 8081))" actionType: ALLOW displayName: requireSidecar description: Require at least one container with an image that starts with "us-docker.pkg.dev/cloud-ops-agents-artifacts/cloud-run-gmp-sidecar/" and uses port 8081. |
다음 단계
- 조직 정책에 대한 자세한 내용은 조직 정책 서비스 소개 참조하기
- 조직 정책 만들기 및 관리 방법 자세히 알아보기
- 사전 정의된 조직 정책 제약조건의 전체 목록 참조하기