Cloud Run에 대한 인그레스 제한

이 페이지에서는 인그레스 설정을 사용하여 Cloud Run 서비스에 대해 네트워크 액세스를 제한하는 방법을 설명합니다. 기본적으로 네트워크 수준에서 인터넷의 모든 리소스는 해당 run.app URL 또는 Cloud Run에 설정된 커스텀 도메인에서 Cloud Run 서비스에 연결할 수 있습니다. 이 기본값은 인그레스에 다른 설정을 지정하여 변경할 수 있습니다. 기본 run.app URL을 포함한 모든 인그레스 경로에는 인그레스 설정이 적용됩니다. 인그레스가 서비스 수준에서 설정됩니다.

인그레스 설정 및 IAM 인증 방법은 서비스에 대한 액세스를 관리하는 두 가지 방법으로 서로 독립적입니다. 액세스 관리에 대한 계층화된 접근 방식은 모두 사용합니다.

사용 가능한 인그레스 설정

사용 가능한 설정은 다음과 같습니다.

설정 설명
내부 가장 강력한 제한입니다. 다음 소스의 요청을 허용합니다.
  • 내부 애플리케이션 부하 분산기를 통해 라우팅할 때 공유 VPC 네트워크의 요청을 포함한 내부 애플리케이션 부하 분산기
  • Cloud Run 서비스가 포함된 모든 VPC 서비스 제어 경계에서 허용하는 리소스. Cloud Run은 제한된 서비스로 구성되어야 합니다.
  • Cloud Run 서비스와 동일한 프로젝트에 있는 VPC 네트워크
  • 공유 VPC 인그레스: 버전이 트래픽을 전송하도록 구성된 공유 VPC 네트워크입니다. 공유 VPC 트래픽이 '내부'로 인식되는 경우에 대한 자세한 내용은 공유 VPC에 대한 특별 고려사항을 참조하세요.
  • Cloud Run 서비스와 동일한 프로젝트 또는 VPC 서비스 제어 경계 내에 있고 커스텀 도메인이 아닌 기본 run.app URL을 사용하는 경우 다음 Google Cloud 제품:
  • 내부 애플리케이션 부하 분산기를 통해 라우팅할 때 공유 VPC 네트워크의 요청을 포함한 내부 애플리케이션 부하 분산기
  • VPC 서비스 제어에서 허용하는 요청

이러한 소스의 요청은 run.app URL에서 서비스에 액세스하는 경우에도 Google 네트워크 내에 유지됩니다. 인터넷을 포함한 다른 소스의 요청은 run.app URL 또는 커스텀 도메인에서 서비스에 연결할 수 없습니다.

Cloud Scheduler, Cloud Tasks, Eventarc, Pub/Sub, BigQuery, Workflows에서 내부 서비스로의 요청에 대해서는 해당 서비스에 대한 Cloud Run 기본 run.app URL을 사용해야 합니다. 커스텀 도메인을 사용할 수 없습니다.
내부 및 Cloud Load Balancing 이 설정은 다음 리소스의 요청을 허용합니다.
  • 보다 제한적인 "내부" 설정에서 허용하는 리소스
  • 외부 애플리케이션 부하 분산기
이 설정을 사용하여 다음을 수행합니다.
  • 외부 애플리케이션 부하 분산기를 통해 인터넷에서의 요청을 수락합니다. 인터넷에서 run.app URL로의 직접 요청은 허용되지 않습니다.
  • 인터넷 요청에 IAP(Identity-Aware Proxy), Google Cloud Armor, Cloud CDN과 같은 외부 애플리케이션 부하 분산기 기능이 적용되는지 확인합니다.

참고: gcloud CLI에서 이 설정을 사용 설정하려면 internal-and-cloud-load-balancing을 사용합니다. Google Cloud 콘솔에서 이 설정을 사용 설정하려면 내부 > 외부 애플리케이션 부하 분산기에서 트래픽 허용을 선택합니다.
전체 가장 경미한 제한입니다. 인터넷에서 run.app URL로 직접 보내는 요청을 포함하여 모든 요청을 허용합니다.

내부 서비스 액세스

다음과 같은 추가 고려사항이 적용됩니다.

  • 내부 서비스에 액세스할 때 일반적으로 공개 URL(기본 run.app URL 또는 Cloud Run에서 설정된 커스텀 도메인)을 사용할 때처럼 호출합니다.

  • Compute Engine VM 인스턴스의 요청의 경우 외부 IP 주소가 있거나 Cloud NAT를 사용하는 머신에 대한 추가 설정이 필요하지 않습니다. 그렇지 않으면 VPC 네트워크에서 요청 수신을 참조하세요.

  • Cloud Run, App Engine, Cloud Functions에서 "내부" 또는 "내부 및 Cloud Load Balancing"으로 설정된 Cloud Run 서비스로 호출할 때는 내부로 고려되는 VPC 네트워크를 통해 트래픽이 라우팅되어야 합니다. 다른 Cloud Run 서비스, App Engine, Cloud Functions에서 요청 수신을 참조하세요.

  • 동일한 프로젝트의 VPC 네트워크 내 리소스에서 보내는 요청은 시작 리소스에 외부 IP 주소가 있더라도 "내부"입니다.

  • Cloud VPN 및 Cloud Interconnect를 통해 VPC 네트워크에 연결된 온프레미스 리소스의 요청은 "내부"입니다.

인그레스 설정

탭에서 지원되는 모든 방법을 사용하여 인그레스를 설정할 수 있습니다.

콘솔

  1. Cloud Run으로 이동

  2. 새 서비스를 구성하는 경우 서비스 만들기를 클릭하고 필요에 따라 초기 서비스 설정 페이지를 작성합니다.

  3. 기존 서비스를 구성하는 경우 서비스를 클릭한 후 네트워킹 탭을 클릭합니다.

  4. 허용하려는 인그레스 트래픽을 선택합니다.

    이미지

  5. 만들기 또는 저장을 클릭합니다.

gcloud

  1. 새 서비스를 배포하는 경우 --ingress 플래그를 지정하여 서비스를 배포합니다.

    gcloud run deploy SERVICE --image IMAGE_URL --ingress INGRESS

    다음과 같이 바꿉니다.

    • INGRESS사용 가능한 인그레스 설정 중 하나로 바꿉니다.
      • all
      • internal
      • internal-and-cloud-load-balancing
    • SERVICE를 서비스 이름으로 바꿉니다.
    • IMAGE_URL을 컨테이너 이미지에 대한 참조(예: us-docker.pkg.dev/cloudrun/container/hello:latest)로 바꿉니다. Artifact Registry를 사용하는 경우 저장소 REPO_NAME이 이미 생성되어 있어야 합니다. URL의 형식은 LOCATION-docker.pkg.dev/PROJECT_ID/REPO_NAME/PATH:TAG입니다.

  2. 기존 서비스 인그레스를 변경하는 경우 다음 안내를 따르세요.

    gcloud run services update SERVICE --ingress INGRESS

    다음과 같이 바꿉니다.

YAML

  1. 새 서비스를 만드는 경우에는 이 단계를 건너뜁니다. 기존 서비스를 업데이트하는 경우 YAML 구성을 다운로드합니다.

    gcloud run services describe SERVICE --format export > service.yaml

  2. run.googleapis.com/ingress: 주석을 업데이트합니다.

    apiVersion: serving.knative.dev/v1
kind: Service
metadata:
  annotations:
    run.googleapis.com/ingress: INGRESS
  name: SERVICE
spec:
  template:
    metadata:
      name: REVISION

    다음과 같이 바꿉니다.

    • SERVICE를 Cloud Run의 이름으로 바꿉니다.
    • INGRESS사용 가능한 인그레스 설정 중 하나로 바꿉니다.
      • all
      • internal
      • internal-and-cloud-load-balancing
    • REVISION을 새 버전 이름으로 변경하거나 이미 있는 경우 삭제합니다. 새 버전 이름을 제공할 경우 다음 기준을 반드시 충족해야 합니다.
      • SERVICE-로 시작해야 합니다.
      • 소문자, 숫자, -만 포함합니다.
      • -로 끝나면 안 됩니다.
      • 63자(영문 기준) 이하여야 합니다.

  3. 다음 명령어를 사용하여 서비스를 새 구성으로 바꿉니다.

    gcloud run services replace service.yaml

Terraform

Terraform 구성을 적용하거나 삭제하는 방법은 기본 Terraform 명령어를 참조하세요.

main.tf 파일에 다음을 추가합니다.

resource "google_cloud_run_v2_service" "default" {
  provider = google-beta
  name     = "ingress-service"
  location = "us-central1"

  # For valid annotation values and descriptions, see
  # https://registry.terraform.io/providers/hashicorp/google/latest/docs/resources/cloud_run_v2_service#ingress
  ingress = "INGRESS_TRAFFIC_INTERNAL_ONLY"

  template {
    containers {
      image = "us-docker.pkg.dev/cloudrun/container/hello" #public image for your service
    }
  }
}

다음 단계