Cloud Run에 대한 인그레스 제한

이 페이지에서는 인그레스 설정을 사용하여 Cloud Run 서비스에 대해 네트워크 액세스를 제한하는 방법을 설명합니다. 기본적으로 네트워크 수준에서 인터넷의 모든 리소스는 해당 run.app URL 또는 Cloud Run에 설정된 커스텀 도메인에서 Cloud Run 서비스에 연결할 수 있습니다. 이 기본값은 인그레스에 다른 설정을 지정하여 변경할 수 있습니다. 기본 run.app URL을 포함한 모든 인그레스 경로에는 인그레스 설정이 적용됩니다. 인그레스가 서비스 수준에서 설정됩니다.

인그레스 설정 및 IAM 인증 방법은 서비스에 대한 액세스를 관리하는 두 가지 방법으로 서로 독립적입니다. 액세스 관리에 대한 계층화된 접근 방식은 모두 사용합니다.

사용 가능한 인그레스 설정

사용 가능한 설정은 다음과 같습니다.

설정 설명
내부 가장 강력한 제한입니다. 다음 소스의 요청을 허용합니다.
  • 내부 애플리케이션 부하 분산기를 통해 라우팅할 때 공유 VPC 네트워크의 요청을 포함한 내부 애플리케이션 부하 분산기
  • Cloud Run 서비스가 포함된 모든 VPC 서비스 제어 경계에서 허용하는 리소스. Cloud Run은 제한된 서비스로 구성되어야 합니다.
  • Cloud Run 서비스와 동일한 프로젝트에 있는 VPC 네트워크
  • 공유 VPC 인그레스: 버전이 트래픽을 전송하도록 구성된 공유 VPC 네트워크입니다. 공유 VPC 트래픽이 '내부'로 인식되는 경우에 대한 자세한 내용은 공유 VPC에 대한 특별 고려사항을 참조하세요.
  • 다음 Google Cloud 제품(Cloud Run 서비스와 동일한 프로젝트 또는 VPC 서비스 제어 경계에 있는 경우)
    • Cloud Scheduler
    • Cloud Tasks
    • Eventarc
    • Pub/Sub
    • Workflows
    • BigQuery
이러한 소스의 요청은 run.app URL에서 서비스에 액세스하는 경우에도 Google 네트워크 내에 유지됩니다. 인터넷을 포함한 다른 소스의 요청은 run.app URL 또는 커스텀 도메인에서 서비스에 연결할 수 없습니다.

Cloud Run, Cloud Functions, App Engine에서 Cloud Run으로의 요청이 내부 요청으로 고려되기 위해서는 VPC 네트워크로 이동해야 합니다. 요청을 VPC 네트워크로 라우팅하려면 직접 VPC 이그레스나 서버리스 VPC 액세스 커넥터를 사용하고 직접 VPC 이그레스나 커넥터와 연결된 서브넷에서 비공개 Google 액세스를 사용 설정합니다.

멀티테넌시 즉, 같은 프로젝트 내 여러 트러스트 도메인은 지원되지 않습니다.
내부 및 Cloud Load Balancing 다음 리소스의 요청을 허용합니다.
  • 보다 제한적인 내부 설정에서 허용하는 리소스
  • 외부 애플리케이션 부하 분산기
내부 및 Cloud Load Balancing 설정을 사용하여 다음을 수행합니다.
  • 외부 애플리케이션 부하 분산기를 통해 인터넷에서의 요청을 수락합니다. 인터넷에서 run.app URL로의 직접 요청은 허용되지 않습니다.
  • 인터넷 요청에 IAP(Identity-Aware Proxy), Google Cloud Armor, Cloud CDN과 같은 외부 애플리케이션 부하 분산기 기능이 적용되는지 확인합니다.
전체 가장 경미한 제한입니다. 인터넷에서 run.app URL로 직접 보내는 요청을 포함하여 모든 요청을 허용합니다.

내부 서비스 액세스

다음과 같은 추가 고려사항이 적용됩니다.

  • 내부 서비스에 액세스할 때 일반적으로 공개 URL(기본 run.app URL 또는 Cloud Run에서 설정된 커스텀 도메인)을 사용할 때처럼 호출합니다.

  • Compute Engine VM 인스턴스의 요청의 경우 공개 IP 주소가 있거나 Cloud NAT를 사용하는 머신에 대한 추가 설정이 필요하지 않습니다. 그렇지 않으면 VPC 네트워크에서 요청 수신을 참조하세요.

  • 같은 프로젝트에 있는 다른 Cloud Run 서비스 또는 Cloud Functions의 요청의 경우 커넥터가 있는 VPC의 설명대로 서비스나 함수를 VPC 네트워크에 연결하고 커넥터를 통해 모든 이그레스를 라우팅합니다. IAM 호출자 권한은 계속 적용됩니다.

  • 동일한 프로젝트의 VPC 네트워크 내 리소스에서 보내는 요청은 공개 IP 주소가 포함된 리소스라고 해도 '내부'로 분류됩니다.

  • 개별 프로젝트에 있지만 동일한 VPC 서비스 제어 경계 내에 있는 리소스의 요청은 서비스 경계에서 Cloud Run Admin API를 제한된 서비스로 구성한 경우에만 내부 서비스를 호출할 수 있습니다.

  • 공유 VPC 트래픽이 '내부'로 인식되는 경우에 대한 자세한 내용은 공유 VPC에 대한 특별 고려사항을 참조하세요.

  • Cloud VPN 및 Cloud Interconnect를 통해 VPC 네트워크에 연결된 온프레미스 리소스의 요청은 '내부'로 간주됩니다.

  • Cloud Scheduler, Cloud Tasks, Eventarc, Pub/Sub, BigQuery, Workflows에서 내부 서비스로의 요청에는 다음 고려사항이 적용됩니다.

    • 커스텀 도메인이 아닌 해당 서비스에 대해 Cloud Run 기본 run.app URL을 사용해야 합니다.
    • 작업, 태스크, Pub/Sub 구독, 이벤트, 워크플로 또는 BigQuery 원격 함수는 Cloud Run 서비스와 동일한 프로젝트 또는 VPC 서비스 제어 경계에 있어야 합니다.

  • 동일한 프로젝트 또는 VPC 서비스 제어 경계 내에서 Cloud Scheduler, Cloud Tasks, Pub/Sub, Eventarc, Workflows 또는 BigQuery를 사용하여 VPC 네트워크 외부의 트래픽 소스에서 내부 서비스를 호출할 수 있습니다.

인그레스 설정

탭에서 지원되는 모든 방법을 사용하여 인그레스를 설정할 수 있습니다.

콘솔

  1. Cloud Run으로 이동

  2. 새 서비스를 구성하는 경우 서비스 만들기를 클릭하고 필요에 따라 초기 서비스 설정 페이지를 작성합니다.

  3. 기존 서비스를 구성하는 경우 서비스를 클릭한 후 네트워킹 탭을 클릭합니다.

  4. 허용하려는 인그레스 트래픽을 선택합니다.

    이미지

  5. 만들기 또는 저장을 클릭합니다.

명령줄

  1. 새 서비스를 배포하는 경우 --ingress 플래그를 지정하여 서비스를 배포합니다.

    gcloud run deploy SERVICE --image IMAGE_URL --ingress INGRESS

    다음과 같이 바꿉니다.

    • INGRESS사용 가능한 인그레스 설정 중 하나로 바꿉니다.
      • all
      • internal
      • internal-and-cloud-load-balancing
    • SERVICE를 서비스 이름으로 바꿉니다.
    • IMAGE_URL을 컨테이너 이미지에 대한 참조(예: us-docker.pkg.dev/cloudrun/container/hello:latest)로 바꿉니다. Artifact Registry를 사용하는 경우 저장소 REPO_NAME이 이미 생성되어 있어야 합니다. URL의 형식은 LOCATION-docker.pkg.dev/PROJECT_ID/REPO_NAME/PATH:TAG입니다.

  2. 기존 서비스 인그레스를 변경하는 경우 다음 안내를 따르세요.

    gcloud run services update SERVICE --ingress INGRESS

    다음과 같이 바꿉니다.

YAML

  1. 새 서비스를 만드는 경우에는 이 단계를 건너뜁니다. 기존 서비스를 업데이트하는 경우 YAML 구성을 다운로드합니다.

    gcloud run services describe SERVICE --format export > service.yaml

  2. run.googleapis.com/ingress: 주석을 업데이트합니다.

    apiVersion: serving.knative.dev/v1
kind: Service
metadata:
  annotations:
    run.googleapis.com/ingress: INGRESS
  name: SERVICE
spec:
  template:
    metadata:
      name: REVISION

    다음과 같이 바꿉니다.

    • SERVICE를 Cloud Run의 이름으로 바꿉니다.
    • INGRESS사용 가능한 인그레스 설정 중 하나로 바꿉니다.
      • all
      • internal
      • internal-and-cloud-load-balancing
    • REVISION을 새 버전 이름으로 변경하거나 이미 있는 경우 삭제합니다. 새 버전 이름을 제공할 경우 다음 기준을 반드시 충족해야 합니다.
      • SERVICE-로 시작해야 합니다.
      • 소문자, 숫자, -만 포함합니다.
      • -로 끝나면 안 됩니다.
      • 63자(영문 기준) 이하여야 합니다.

  3. 다음 명령어를 사용하여 서비스를 새 구성으로 바꿉니다.

    gcloud run services replace service.yaml

Terraform

Terraform 구성을 적용하거나 삭제하는 방법은 기본 Terraform 명령어를 참조하세요.

main.tf 파일에 다음을 추가합니다.

resource "google_cloud_run_v2_service" "default" {
  provider = google-beta
  name     = "ingress-service"
  location = "us-central1"

  # For valid annotation values and descriptions, see
  # https://registry.terraform.io/providers/hashicorp/google/latest/docs/resources/cloud_run_v2_service#ingress
  ingress = "INGRESS_TRAFFIC_INTERNAL_ONLY"

  template {
    containers {
      image = "us-docker.pkg.dev/cloudrun/container/hello" #public image for your service
    }
  }
}

다음 단계