Cloud Run의 네트워크 인그레스 제한

이 페이지에서는 인그레스 설정을 사용하여 Cloud Run 서비스에 대해 네트워크 액세스를 제한하는 방법을 설명합니다.

네트워크 수준에서 Cloud Run 서비스 엔드포인트는 다음과 같은 네트워크 인그레스 경로를 통해 액세스할 수 있습니다.

기본 run.app URL(사용 중지 가능)
구성된 도메인 매핑
구성된 외부 애플리케이션 부하 분산기 또는 내부 애플리케이션 부하 분산기

모든 네트워크 인그레스 경로에는 서비스의 인그레스 설정이 적용됩니다. 기본 인그레스 경로 및 인그레스 설정에서는 인터넷의 모든 리소스가 Cloud Run 서비스에 액세스할 수 있습니다. 커스텀 제약조건을 사용하면 조직 또는 프로젝트 집합에 대해 인그레스 설정을 제한할 수 있습니다. IAM 인증은 이전의 네트워크 인그레스 경로에서 서비스 엔드포인트에 액세스하는 요청에 계속 적용됩니다. 액세스 관리를 위한 계층화된 접근 방식을 위해서는 네트워크 인그레스 설정과 IAM 인증을 모두 사용하세요.

사용 가능한 네트워크 인그레스 설정

사용 가능한 설정은 다음과 같습니다.

설정 설명

내부

설정	설명
내부	가장 강력한 제한입니다. 다음 소스의 요청을 허용합니다. 내부 애플리케이션 부하 분산기를 통해 라우팅할 때 공유 VPC 네트워크의 요청을 포함한 내부 애플리케이션 부하 분산기 Cloud Run 서비스가 포함된 모든 VPC 서비스 제어 경계에서 허용하는 리소스. Cloud Run은 제한된 서비스로 구성되어야 합니다. Cloud Run 서비스와 동일한 프로젝트에 있는 VPC 네트워크 공유 VPC 인그레스: 버전이 트래픽을 전송하도록 구성된 공유 VPC 네트워크입니다. 공유 VPC 트래픽이 '내부'로 인식되는 경우에 대한 자세한 내용은 공유 VPC에 대한 특별 고려사항을 참조하세요. Cloud Run 서비스와 동일한 프로젝트 또는 VPC 서비스 제어 경계 내에 있고 커스텀 도메인이 아닌 기본 `run.app` URL을 사용하는 경우 다음 Google Cloud 제품: Cloud Scheduler Cloud Tasks Eventarc Pub/Sub 합성 모니터(업타임 체크 포함) Workflows BigQuery 이러한 소스의 요청은 `run.app` URL에서 서비스에 액세스하는 경우에도 Google 네트워크 내에 유지됩니다. 인터넷을 포함한 다른 소스의 요청은 `run.app` URL 또는 커스텀 도메인에서 서비스에 연결할 수 없습니다.
내부 및 Cloud Load Balancing	이 설정은 다음 리소스의 요청을 허용합니다. 보다 제한적인 "내부" 설정에서 허용하는 리소스 외부 애플리케이션 부하 분산기 이 설정을 사용하여 다음을 수행합니다. 외부 애플리케이션 부하 분산기를 통해 인터넷에서의 요청을 수락합니다. 인터넷에서 `run.app` URL로의 직접 요청은 허용되지 않습니다. 인터넷 요청에 IAP(Identity-Aware Proxy), Google Cloud Armor, Cloud CDN과 같은 외부 애플리케이션 부하 분산기 기능이 적용되는지 확인합니다. 참고: gcloud CLI에서 이 설정을 사용 설정하려면 `internal-and-cloud-load-balancing`을 사용합니다. Google Cloud 콘솔에서 이 설정을 사용 설정하려면 내부 > 외부 애플리케이션 부하 분산기에서 트래픽 허용을 선택합니다.
전체	가장 경미한 제한입니다. 인터넷에서 `run.app` URL로 직접 보내는 요청을 포함하여 모든 요청을 허용합니다.

가장 강력한 제한입니다. 다음 소스의 요청을 허용합니다.

내부 애플리케이션 부하 분산기를 통해 라우팅할 때 공유 VPC 네트워크의 요청을 포함한 내부 애플리케이션 부하 분산기
Cloud Run 서비스가 포함된 모든 VPC 서비스 제어 경계에서 허용하는 리소스. Cloud Run은 제한된 서비스로 구성되어야 합니다.
Cloud Run 서비스와 동일한 프로젝트에 있는 VPC 네트워크
공유 VPC 인그레스: 버전이 트래픽을 전송하도록 구성된 공유 VPC 네트워크입니다. 공유 VPC 트래픽이 '내부'로 인식되는 경우에 대한 자세한 내용은 공유 VPC에 대한 특별 고려사항을 참조하세요.
Cloud Run 서비스와 동일한 프로젝트 또는 VPC 서비스 제어 경계 내에 있고 커스텀 도메인이 아닌 기본 run.app URL을 사용하는 경우 다음 Google Cloud 제품:

Cloud Scheduler
Cloud Tasks
Eventarc
Pub/Sub
합성 모니터(업타임 체크 포함)
Workflows
BigQuery

이러한 소스의 요청은 run.app URL에서 서비스에 액세스하는 경우에도 Google 네트워크 내에 유지됩니다. 인터넷을 포함한 다른 소스의 요청은 run.app URL 또는 커스텀 도메인에서 서비스에 연결할 수 없습니다.

내부 및 Cloud Load Balancing

이 설정은 다음 리소스의 요청을 허용합니다.

보다 제한적인 "내부" 설정에서 허용하는 리소스
외부 애플리케이션 부하 분산기

이 설정을 사용하여 다음을 수행합니다.

외부 애플리케이션 부하 분산기를 통해 인터넷에서의 요청을 수락합니다. 인터넷에서 run.app URL로의 직접 요청은 허용되지 않습니다.
인터넷 요청에 IAP(Identity-Aware Proxy), Google Cloud Armor, Cloud CDN과 같은 외부 애플리케이션 부하 분산기 기능이 적용되는지 확인합니다.

참고: gcloud CLI에서 이 설정을 사용 설정하려면 internal-and-cloud-load-balancing을 사용합니다. Google Cloud 콘솔에서 이 설정을 사용 설정하려면 내부 > 외부 애플리케이션 부하 분산기에서 트래픽 허용을 선택합니다.

전체 가장 경미한 제한입니다. 인터넷에서 run.app URL로 직접 보내는 요청을 포함하여 모든 요청을 허용합니다.

내부 서비스 액세스

다음과 같은 추가 고려사항이 적용됩니다.

내부 서비스에 액세스할 때 일반적으로 URL(기본 run.app URL 또는 Cloud Run에서 설정된 커스텀 도메인)을 사용할 때처럼 호출합니다.
Compute Engine VM 인스턴스의 요청의 경우 외부 IP 주소가 있거나 Cloud NAT를 사용하는 머신에 대한 추가 설정이 필요하지 않습니다. 그렇지 않으면 VPC 네트워크에서 요청 수신을 참조하세요.
Cloud Run, App Engine, Cloud Run Functions에서 "내부" 또는 "내부 및 Cloud Load Balancing"으로 설정된 Cloud Run 서비스로 호출할 때는 내부로 고려되는 VPC 네트워크를 통해 트래픽이 라우팅되어야 합니다. 다른 Cloud Run 서비스, App Engine, Cloud Run functions에서 요청 수신을 참조하세요.
동일한 프로젝트의 VPC 네트워크 내 리소스에서 보내는 요청은 시작 리소스에 외부 IP 주소가 있더라도 "내부"입니다.
Cloud VPN 및 Cloud Interconnect를 통해 VPC 네트워크에 연결된 온프레미스 리소스의 요청은 "내부"입니다.

인그레스 설정

탭에서 지원되는 모든 방법을 사용하여 인그레스를 설정할 수 있습니다.

콘솔

Google Cloud 콘솔에서 Cloud Run 페이지로 이동합니다.

Cloud Run으로 이동
새 서비스를 구성하는 경우 컨테이너 배포를 클릭하고 서비스를 선택하여 서비스 만들기 양식을 표시합니다. 초기 서비스 설정 페이지를 작성합니다.
기존 서비스를 구성하는 경우 서비스를 클릭한 후 네트워킹 탭을 클릭합니다.
허용하려는 인그레스 트래픽을 선택합니다.
만들기 또는 저장을 클릭합니다.

gcloud

새 서비스를 배포하는 경우 --ingress 플래그를 지정하여 서비스를 배포합니다.
```
gcloud run deploy SERVICE --image IMAGE_URL --ingress INGRESS
```
다음과 같이 바꿉니다.
- INGRESS를 사용 가능한 인그레스 설정 중 하나로 바꿉니다.
  - all
  - internal
  - internal-and-cloud-load-balancing
- SERVICE를 서비스 이름으로 바꿉니다.
- IMAGE_URL을 컨테이너 이미지에 대한 참조(예: us-docker.pkg.dev/cloudrun/container/hello:latest)로 바꿉니다. Artifact Registry를 사용하는 경우 저장소 REPO_NAME이 이미 생성되어 있어야 합니다. URL의 형식은 LOCATION-docker.pkg.dev/PROJECT_ID/REPO_NAME/PATH:TAG입니다.
기존 서비스 인그레스를 변경하는 경우 다음 안내를 따르세요.
```
gcloud run services update SERVICE --ingress INGRESS
```
다음과 같이 바꿉니다.
- INGRESS를 사용 가능한 인그레스 설정 중 하나로 바꿉니다.
  - all
  - internal
  - internal-and-cloud-load-balancing
- SERVICE를 서비스 이름으로 바꿉니다.

YAML

새 서비스를 만드는 경우에는 이 단계를 건너뜁니다. 기존 서비스를 업데이트하는 경우 YAML 구성을 다운로드합니다.
```
gcloud run services describe SERVICE --format export > service.yaml
```
run.googleapis.com/ingress: 주석을 업데이트합니다.
```
apiVersion: serving.knative.dev/v1
kind: Service
metadata:
  annotations:
    run.googleapis.com/ingress: INGRESS
  name: SERVICE
spec:
  template:
    metadata:
      name: REVISION
```
다음과 같이 바꿉니다.
- SERVICE를 Cloud Run의 이름으로 바꿉니다.
- INGRESS를 사용 가능한 인그레스 설정 중 하나로 바꿉니다.
  - all
  - internal
  - internal-and-cloud-load-balancing
- REVISION을 새 버전 이름으로 변경하거나 이미 있는 경우 삭제합니다. 새 버전 이름을 제공할 경우 다음 기준을 반드시 충족해야 합니다.
  - SERVICE-로 시작해야 합니다.
  - 소문자, 숫자, -만 포함합니다.
  - -로 끝나면 안 됩니다.
  - 63자(영문 기준) 이하여야 합니다.
다음 명령어를 사용하여 서비스를 새 구성으로 바꿉니다.
```
gcloud run services replace service.yaml
```

Terraform

Terraform 구성을 적용하거나 삭제하는 방법은 기본 Terraform 명령어를 참조하세요.

main.tf 파일에 다음을 추가합니다.

resource "google_cloud_run_v2_service" "default" {
  provider = google-beta
  name     = "ingress-service"
  location = "us-central1"

  deletion_protection = false # set to "true" in production

  # For valid annotation values and descriptions, see
  # https://registry.terraform.io/providers/hashicorp/google/latest/docs/resources/cloud_run_v2_service#ingress
  ingress = "INGRESS_TRAFFIC_INTERNAL_ONLY"

  template {
    containers {
      image = "us-docker.pkg.dev/cloudrun/container/hello" #public image for your service
    }
  }
}

기본 URL 사용 중지

Cloud Load Balancing 및 모든 구성된 도메인 매핑과 같은 서비스의 다른 인그레스 경로에서 시작되는 트래픽만 허용하려면 Cloud Run 서비스의 기본 run.app URL을 사용 중지합니다.

기본 URL을 사용 중지하려면 다음 단계를 수행합니다.

명령줄

서비스에서 run.app URL을 사용 중지하려면 --no-default-url 플래그와 함께 gcloud beta run deploy 또는 gcloud beta run services update 명령어를 실행합니다.
```
gcloud beta run deploy SERVICE_NAME --no-default-url
```
여기서 SERVICE_NAME은 Cloud Run 서비스의 이름입니다.

출력에서 이 URL은 None으로 표시됩니다.

기본 URL을 복원하려면 --default-url 플래그를 사용합니다.

YAML

새 서비스를 만드는 경우에는 이 단계를 건너뜁니다. 기존 서비스를 업데이트하는 경우 YAML 구성을 다운로드합니다.
```
gcloud run services describe SERVICE --format export > service.yaml
```
run.app URL을 사용 중지하려면 run.googleapis.com/default-url-disabled 주석을 사용합니다.
```
apiVersion: serving.knative.dev/v1
kind: Service
metadata:
  annotations:
    run.googleapis.com/default-url-disabled: true
    run.googleapis.com/launch-stage: BETA
  name: SERVICE
spec:
  template:
    metadata:
      name: REVISION
```
다음과 같이 바꿉니다.
- SERVICE를 Cloud Run 서비스 이름으로 바꿉니다.
- REVISION을 새 버전 이름으로 변경하거나 이미 있는 경우 삭제합니다. 새 버전 이름을 제공할 경우 다음 기준을 반드시 충족해야 합니다.
  - SERVICE-로 시작해야 합니다.
  - 소문자, 숫자, -만 포함합니다.
  - -로 끝나면 안 됩니다.
  - 63자(영문 기준) 이하여야 합니다.
다음 명령어를 사용하여 서비스를 만들거나 업데이트합니다.
```
gcloud run services replace service.yaml
```

기본 URL을 복원하려면 run.googleapis.com/default-url-disabled 주석을 삭제합니다.

다음 Google Cloud 서비스는 기본 run.app URL을 사용하여 Cloud Run을 호출합니다. 기본 run.app URL을 사용 중지하면 다음 서비스가 예상대로 작동하지 않습니다.

Cloud Run 서비스를 기반으로 하는 Cloud Run Functions(2세대)의 cloudfunctions.net URL입니다.
Cloud Scheduler
Cloud Service Mesh
Cloud Tasks
Eventarc
Firebase App Hosting
Firebase 호스팅
Pub/Sub
합성 모니터 및 업타임 체크
Workflows

다음 단계

이그레스 설정 알아보기
Cloud Run의 내부 애플리케이션 부하 분산기 설정
Cloud Run에 외부 애플리케이션 부하 분산기 설정
서비스 액세스를 위한 IAM 인증 방법 구성