이 튜토리얼에서는 다음으로 구성된 투표 서비스를 만드는 방법을 보여줍니다.
브라우저 기반 클라이언트에서 다음을 수행합니다.
- Identity Platform을 사용하여 ID 토큰을 가져옵니다.
- 사용자가 자신이 좋아하는 가축에 투표할 수 있습니다.
- 투표를 처리하는 Cloud Run 서버에 보내는 요청에 ID 토큰을 추가합니다.
Cloud Run 서버에서 다음을 수행합니다.
- 유효한 ID 토큰을 제공하여 최종 사용자가 올바르게 인증되었는지 확인합니다.
- 최종 사용자의 투표를 처리합니다.
- 자체 사용자 인증 정보를 사용하여 스토리지용 Cloud SQL에 투표를 전송합니다.
PostgreSQL 데이터베이스에는 투표가 저장됩니다.
이 튜토리얼에서는 편의상 Google을 제공업체로 사용합니다. 사용자는 ID 토큰을 얻기 위해 Google 계정을 사용하여 인증해야 합니다. 하지만 사용자 로그인에 다른 제공업체나 인증 방법을 사용할 수도 있습니다.
이 서비스는 Secret Manager를 사용하여 Cloud SQL 인스턴스에 연결하는 데 사용된 민감한 정보를 보호함으로써 보안 위험을 최소화합니다. 또한 최소 권한 서비스 ID를 사용하여 데이터베이스에 대한 액세스를 보호합니다.
목표
서비스를 작성, 빌드하고, Cloud Run에 배포하여 다음 방법을 보여줍니다.
Identity Platform을 사용하여 Cloud Run 서비스 백엔드에 최종 사용자를 인증합니다.
서비스의 최소 권한 ID를 만들어 Google Cloud 리소스에 대한 최소 액세스 권한을 부여합니다.
Cloud Run 서비스를 postgreSQL 데이터베이스에 연결할 때 Secret Manager를 사용하여 민감한 정보를 처리합니다.
비용
이 문서에서는 비용이 청구될 수 있는 다음과 같은 Google Cloud 구성요소를 사용합니다.
프로젝트 사용량을 기준으로 예상 비용을 산출하려면 가격 계산기를 사용하세요.
시작하기 전에
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Cloud Run, Secret Manager, Cloud SQL, Artifact Registry, and Cloud Build APIs.
필요한 역할
튜토리얼을 완료하는 데 필요한 권한을 얻으려면 관리자에게 프로젝트에 대한 다음 IAM 역할을 부여해 달라고 요청하세요.
-
Artifact Registry 저장소 관리자(
roles/artifactregistry.repoAdmin
) -
Cloud Build 편집자(
roles/cloudbuild.builds.editor
) -
Cloud Run 관리자(
roles/run.admin
) - Cloud SQL 관리자(
roles/cloudsql.admin
) -
서비스 계정 만들기(
roles/iam.serviceAccountCreator
) - Identity Platform 관리자(
roles/identityplatform.admin
) - OAuth 구성 편집자(
roles/oauthconfig.editor
) -
프로젝트 IAM 관리자(
roles/resourcemanager.projectIamAdmin
) -
Secret Manager 관리자(
roles/secretmanager.admin
) -
서비스 계정 사용자(
roles/iam.serviceAccountUser
) -
서비스 사용량 소비자(
roles/serviceusage.serviceUsageConsumer
) -
스토리지 관리자(
roles/storage.admin
)
역할 부여에 대한 자세한 내용은 프로젝트, 폴더, 조직에 대한 액세스 관리를 참조하세요.
gcloud
기본값 설정
Cloud Run 서비스의 기본값으로 gcloud를 구성하려면 다음 안내를 따르세요.
기본 프로젝트를 설정합니다.
gcloud config set project PROJECT_ID
PROJECT_ID를 이 튜토리얼용으로 만든 프로젝트 이름으로 바꿉니다.
선택한 리전에 맞게 gcloud를 구성합니다.
gcloud config set run/region REGION
REGION을 지원되는 Cloud Run 리전 중 원하는 리전으로 바꿉니다.
Cloud Run 위치
Cloud Run은 리전을 기반으로 합니다. 즉, Cloud Run 서비스를 실행하는 인프라가 특정 리전에 위치해 있으며 해당 리전 내의 모든 영역에서 중복으로 사용할 수 있도록 Google이 관리합니다.
Cloud Run 서비스를 실행하는 리전을 선택하는 데 있어 중요한 기준은 지연 시간, 가용성 또는 내구성 요구사항입니다.
일반적으로 사용자와 가장 가까운 리전을 선택할 수 있지만 Cloud Run 서비스에서 사용하는 다른 Google Cloud 제품 위치도 고려해야 합니다.
여러 위치에서 Google Cloud 제품을 함께 사용하면 서비스 지연 시간과 비용에 영향을 미칠 수 있습니다.
Cloud Run은 다음 리전에서 사용할 수 있습니다.
등급 1 가격 적용
asia-east1
(타이완)asia-northeast1
(도쿄)asia-northeast2
(오사카)europe-north1
(핀란드) 낮은 CO2europe-southwest1
(마드리드) 낮은 CO2europe-west1
(벨기에) 낮은 CO2europe-west4
(네덜란드) 낮은 CO2europe-west8
(밀라노)europe-west9
(파리) 낮은 CO2me-west1
(텔아비브)us-central1
(아이오와) 낮은 CO2us-east1
(사우스캐롤라이나)us-east4
(북 버지니아)us-east5
(콜럼버스)us-south1
(댈러스) 낮은 CO2us-west1
(오리건) 낮은 CO2
등급 2 가격 적용
africa-south1
(요하네스버그)asia-east2
(홍콩)asia-northeast3
(대한민국 서울)asia-southeast1
(싱가포르)asia-southeast2
(자카르타)asia-south1
(인도 뭄바이)asia-south2
(인도 델리)australia-southeast1
(시드니)australia-southeast2
(멜버른)europe-central2
(폴란드 바르샤바)europe-west10
(베를린) 낮은 CO2europe-west12
(토리노)europe-west2
(영국 런던) 낮은 CO2europe-west3
(독일 프랑크푸르트) 낮은 CO2europe-west6
(스위스 취리히) 낮은 CO2me-central1
(도하)me-central2
(담맘)northamerica-northeast1
(몬트리올) 낮은 CO2northamerica-northeast2
(토론토) 낮은 CO2southamerica-east1
(브라질 상파울루) 낮은 CO2southamerica-west1
(칠레 산티아고) 낮은 CO2us-west2
(로스앤젤레스)us-west3
(솔트레이크시티)us-west4
(라스베이거스)
Cloud Run 서비스를 이미 만들었다면 Google Cloud 콘솔의 Cloud Run 대시보드에서 리전을 확인할 수 있습니다.
코드 샘플 검색
사용할 코드 샘플을 검색하려면 다음 안내를 따르세요.
샘플 앱 저장소를 로컬 머신에 클론합니다.
Node.js
git clone https://github.com/GoogleCloudPlatform/nodejs-docs-samples.git
또는 zip 파일로 샘플을 다운로드하고 압축을 풀 수 있습니다.
Python
git clone https://github.com/GoogleCloudPlatform/python-docs-samples.git
또는 zip 파일로 샘플을 다운로드하고 압축을 풀 수 있습니다.
자바
git clone https://github.com/GoogleCloudPlatform/java-docs-samples.git
또는 zip 파일로 샘플을 다운로드하고 압축을 풀 수 있습니다.
Cloud Run 샘플 코드가 포함된 디렉터리로 변경합니다.
Node.js
cd nodejs-docs-samples/run/idp-sql/
Python
cd python-docs-samples/run/idp-sql/
자바
cd java-docs-samples/run/idp-sql/
아키텍처 시각화
최종 사용자가 Cloud Run 서버에 첫 번째 요청을 보냅니다.
클라이언트가 브라우저에 로드됩니다.
사용자가 Identity Platform의 Google 로그인 대화상자를 통해 로그인 사용자 인증 정보를 제공합니다. 알림에서 로그인한 사용자를 환영합니다.
제어가 다시 서버로 리디렉션됩니다. 최종 사용자가 클라이언트를 사용하여 투표합니다. 그러면 클라이언트가 Identity Platform에서 ID 토큰을 가져와 투표 요청 헤더에 추가합니다.
서버에서 요청을 수신하면 Identity Platform ID 토큰을 확인하여 최종 사용자가 적절하게 인증되었는지 확인합니다. 그런 다음 서버가 자체 사용자 인증 정보를 사용하여 Cloud SQL에 투표를 전송합니다.
코어 코드 이해
이 샘플은 다음에 설명된 것처럼 클라이언트 및 서버로 구현됩니다.
Identity Platform과 통합: 클라이언트 측 코드
이 샘플은 사용자 로그인 및 관리를 위해 Firebase SDK를 사용하여 Identity Platform과 통합됩니다. Identity Platform에 연결하기 위해 클라이언트 측 자바스크립트는 프로젝트의 사용자 인증 정보에 대한 참조를 구성 객체로 저장하며 필요한 Firebase 자바스크립트 SDK를 가져옵니다.
Firebase 자바스크립트 SDK는 최종 사용자에게 팝업 창을 통해 Google 계정에 로그인하라는 메시지를 표시하여 로그인 과정을 처리합니다. 그런 다음 다시 서비스로 리디렉션합니다.
사용자가 성공적으로 로그인하면 클라이언트는 Firebase 메서드를 사용하여 ID 토큰을 만듭니다. 클라이언트는 ID 요청을 서버에 대한 요청의 Authorization
헤더에 추가합니다.
Identity Platform과 통합: 서버 측 코드
서버는 Firebase Admin SDK를 사용하여 클라이언트에서 전송된 사용자 ID 토큰을 확인합니다. 제공된 ID 토큰이 올바른 형식이고 만료되지 않았으며 올바르게 로그인된 경우 이 메서드는 디코딩된 ID 토큰을 반환합니다. 서버는 사용자의 Identity Platform uid
를 추출합니다.
Node.js
Python
자바
Cloud SQL에 서버 연결
서버에서 /cloudsql/CLOUD_SQL_CONNECTION_NAME
형식을 사용하여 Cloud SQL 인스턴스 Unix 도메인 소켓에 연결합니다.
Node.js
Python
자바
Spring Cloud Google Cloud PostgreSQL 스타터통합을 사용하면 Cloud SQL에서 Spring JDBC 라이브러리를 사용하여 PostgreSQL 데이터베이스와 상호작용할 수 있습니다. Spring JDBC와 결합되면 데이터베이스 쿼리 및 수정 등의 작업이 가능한JdbcTemplate
객체 빈을 제공하는 DataSource
빈을 자동 구성하도록 MySQL용 Cloud SQL을 설정합니다.
보안 관리자로 민감한 구성 처리
Secret Manager는 Cloud SQL 구성과 같은 민감한 정보에 대한 안전한 중앙 집중식 스토리지를 제공합니다. 서버에서는 런타임 시 보안 변수를 통해 Secret Manager의 Cloud SQL 사용자 인증 정보를 삽입합니다. Cloud Run에서 보안 비밀 사용에 대해 자세히 알아보세요.
Node.js
Python
자바
Identity Platform 설정
Identity Platform을 사용하려면 Google Cloud Console에서 수동 설정이 필요합니다.
Google Cloud Console에서 Identity Platform Marketplace 페이지로 이동합니다.
Identity Platform 사용 설정을 클릭합니다.
OAuth 동의 화면을 만듭니다.
새 창에서 API 및 서비스 > 사용자 인증 정보 페이지로 이동합니다.
OAuth 동의 화면 페이지를 선택합니다.
테스트 목적에서 외부를 선택합니다.
만들기를 클릭합니다.
앱 정보 대화상자에서
- 애플리케이션 이름을 제공합니다.
- 표시된 사용자 지원 이메일 중 하나를 선택합니다.
- 개발자 연락처에 사용하려는 이메일을 입력합니다.
저장 후 계속을 클릭합니다.
범위 대화상자에서 저장 후 계속을 클릭합니다.
사용자 테스트 대화상자에서 저장 후 계속을 클릭합니다.
요약 대화상자에서 대시보드로 돌아가기를 클릭합니다.
게시 상태에서 앱 게시를 클릭합니다.
확인을 클릭합니다.
OAuth 클라이언트 ID와 보안 비밀을 만들고 가져옵니다.
페이지 상단에서 사용자 인증 정보 만들기를 클릭하고
OAuth client ID
를 선택합니다.애플리케이션 유형에서 웹 애플리케이션을 선택하고 이름을 제공합니다.
만들기를 클릭합니다.
이 절차의 뒷부분에서 사용할 수 있도록
client_id
및client_secret
을 기록해 둡니다.
Google을 공급업체로 구성합니다.
Cloud Console에서 ID 공급업체 페이지로 이동합니다.
공급업체 추가를 클릭합니다.
목록에서 Google을 선택합니다.
웹 SDK 구성 설정에 이전 단계의
client_id
및client_secret
값을 입력합니다.애플리케이션 구성에서 설정 세부정보를 클릭합니다.
apiKey
및authDomain
값을 샘플의static/config.js
에 복사하여 Identity Platform Client SDK를 초기화합니다.저장을 클릭합니다.
서비스 배포
아래 단계에 따라 인프라 프로비저닝 및 배포를 완료하거나 'Google Cloud에서 실행'을 클릭하여 Cloud Shell에서 프로세스를 자동화합니다.
Console 또는 CLI를 사용하여 postgreSQL 데이터베이스로 Cloud SQL 인스턴스를 만듭니다.
gcloud sql instances create CLOUD_SQL_INSTANCE_NAME \ --database-version=POSTGRES_12 \ --region=CLOUD_SQL_REGION \ --cpu=2 \ --memory=7680MB \ --root-password=DB_PASSWORD
Cloud SQL 사용자 인증 정보 값을
postgres-secrets.json
에 추가합니다.Node.js
Python
자바
Console 또는 CLI를 사용하여 버전 관리 보안 비밀을 만듭니다.
gcloud secrets create idp-sql-secrets \ --replication-policy="automatic" \ --data-file=postgres-secrets.json
Console 또는 CLI를 사용하여 서버의 서비스 계정을 만듭니다.
gcloud iam service-accounts create idp-sql-identity
Console 또는 CLI를 사용하여 Secret Manager 및 Cloud SQL 액세스에 대한 역할을 부여합니다.
서버와 연결된 서비스 계정에서 생성된 보안 비밀에 액세스하도록 허용합니다.
gcloud secrets add-iam-policy-binding idp-sql-secrets \ --member serviceAccount:idp-sql-identity@PROJECT_ID.iam.gserviceaccount.com \ --role roles/secretmanager.secretAccessor
서버와 연결된 서비스 계정에서 Cloud SQL에 액세스하도록 허용합니다.
gcloud projects add-iam-policy-binding PROJECT_ID \ --member serviceAccount:idp-sql-identity@PROJECT_ID.iam.gserviceaccount.com \ --role roles/cloudsql.client
Artifact Registry를 만듭니다.
gcloud artifacts repositories create REPOSITORY \ --repository-format docker \ --location REGION
REPOSITORY
는 저장소 이름입니다. 프로젝트의 저장소 위치마다 저장소 이름이 고유해야 합니다.
Cloud Build를 사용하여 컨테이너 이미지를 빌드합니다.
Node.js
gcloud builds submit --tag REGION-docker.pkg.dev/PROJECT_ID/REPOSITORY/idp-sql
Python
gcloud builds submit --tag REGION-docker.pkg.dev/PROJECT_ID/REPOSITORY/idp-sql
자바
이 샘플은 Jib를 사용해서 일반적인 Java 도구로 Docker 이미지를 빌드합니다. Jib는 Dockerfile을 사용하거나 Docker를 설치할 필요 없이 컨테이너 빌드를 최적화합니다. Jib로 자바 컨테이너 빌드에 대해 자세히 알아보세요.
gcloud 사용자 인증 정보 도우미를 사용하여 Docker가 Artifact Registry로 내보내도록 승인합니다.
gcloud auth configure-docker
Jib Maven 플러그인을 사용하여 컨테이너를 빌드하고 Artifact Registry로 내보냅니다.
mvn compile jib:build -Dimage=REGION-docker.pkg.dev/PROJECT_ID/REPOSITORY/idp-sql
콘솔 또는 CLI를 사용하여 컨테이너 이미지를 Cloud Run에 배포합니다. 서버는 인증되지 않은 액세스를 허용하도록 배포됩니다. 이는 사용자가 클라이언트를 로드하고 프로세스를 시작할 수 있도록 하기 위함입니다. 서버는 투표 요청에 추가된 ID 토큰을 수동으로 확인하여 최종 사용자를 인증합니다.
gcloud run deploy idp-sql \ --image REGION-docker.pkg.dev/PROJECT_ID/REPOSITORY/idp-sql \ --allow-unauthenticated \ --service-account idp-sql-identity@PROJECT_ID.iam.gserviceaccount.com \ --add-cloudsql-instances PROJECT_ID:REGION:CLOUD_SQL_INSTANCE_NAME \ --update-secrets CLOUD_SQL_CREDENTIALS_SECRET=idp-sql-secrets:latest
또한 여기서
--service-account
,--add-cloudsql-instances
,--update-secrets
플래그는 서비스 ID, Cloud SQL 인스턴스 연결, 버전을 환경 변수로 사용하는 보안 비밀 이름을 각각 지정합니다.
마무리 단계
Identity Platform을 사용하려면 사용자가 로그인한 후 Cloud Run 서비스 URL을 허용된 리디렉션으로 승인해야 합니다.
ID 공급업체 페이지에서 펜 아이콘을 클릭하여 Google 공급업체를 수정합니다.
오른쪽 패널의 승인된 도메인 아래에서 도메인 추가를 클릭하고 Cloud Run 서비스 URL을 입력합니다.
빌드 또는 배포 후 로그에서 서비스 URL을 찾거나 언제든 다음을 사용하여 찾을 수 있습니다.
gcloud run services describe idp-sql --format 'value(status.url)'
-
OAuth 클라이언트 ID 옆에 있는 연필 아이콘을 클릭하여 수정하고
Authorized redirect URIs click the
아래에서 URI 추가 버튼을 클릭합니다.필드에 다음 URL을 복사하여 붙여넣고 페이지 하단에서 저장 버튼을 클릭합니다.
https://PROJECT_ID.firebaseapp.com/__/auth/handler
사용해 보기
전체 서비스를 시도해봅니다.
브라우저에서 위의 배포 단계로 제공된 URL로 이동합니다.
Google 계정으로 로그인 버튼을 클릭하고 인증 흐름을 진행합니다.
투표하기
예를 들면 다음과 같습니다.
이러한 서비스를 계속 개발하려면 이들 서비스에 다른 Google Cloud 서비스에 대한 제한적인 Identity and Access Management(IAM) 액세스 권한이 있으며 다른 여러 서비스에 액세스하려면 추가 IAM 역할이 부여되어야 합니다.
삭제
이 튜토리얼용으로 새 프로젝트를 만든 경우 이 프로젝트를 삭제합니다. 기존 프로젝트를 사용한 경우 이 튜토리얼에 추가된 변경사항은 제외하고 보존하려면 튜토리얼용으로 만든 리소스를 삭제합니다.
프로젝트 삭제
비용이 청구되지 않도록 하는 가장 쉬운 방법은 튜토리얼에서 만든 프로젝트를 삭제하는 것입니다.
프로젝트를 삭제하려면 다음 안내를 따르세요.
- In the Google Cloud console, go to the Manage resources page.
- In the project list, select the project that you want to delete, and then click Delete.
- In the dialog, type the project ID, and then click Shut down to delete the project.
튜토리얼 리소스 삭제
이 튜토리얼에서 배포한 Cloud Run 서비스를 삭제합니다.
gcloud run services delete SERVICE-NAME
여기서 SERVICE-NAME은 선택한 서비스 이름입니다.
Google Cloud 콘솔에서 Cloud Run 서비스를 삭제할 수도 있습니다.
튜토리얼 설정 중에 추가한 gcloud 기본 리전 구성을 삭제합니다.
gcloud config unset run/region
프로젝트 구성을 삭제합니다.
gcloud config unset project
이 튜토리얼에서 만든 다른 Google Cloud 리소스를 삭제합니다.
다음 단계
- Cloud Run에서 Cloud SQL로 연결 자세히 알아보기
- 로그인 방법 및 Identity Platform으로 사용자 관리 자세히 알아보기
- Cloud Run에 배포된 서비스의 기타 개발자, 서비스 및 사용자 인증 방법 검토하기
- 다른 Cloud Run 데모, 튜토리얼, 샘플 살펴보기