Cloud Run용 최종 사용자 인증 튜토리얼

이 튜토리얼에서는 로그인된 사용자 및 PostgreSQL에 저장된 데이터에 한정된 액세스로 Cloud Run에서 웹 애플리케이션을 만드는 방법을 보여줍니다. Identity Platform 통합은 최종 사용자 인증을 처리하고 서비스가 Cloud SQL 데이터베이스를 쿼리하도록 허용하기 위한 사용자 ID 토큰을 제공합니다. 이 서비스에는 외부 사용자가 로그인을 수행하고 투표를 하기 위해 투표 UI에 액세스할 수 있게 해주는 공개 클라이언트가 있습니다.

단순함을 위해 이 튜토리얼에서는 Google이 공급업체로 사용됩니다. 사용자는 Google 계정을 사용하여 로그인해야 합니다. 하지만 사용자 로그인을 위해 다른 공급업체 또는 인증 방법을 사용할 수도 있습니다.

이 서비스는 Cloud SQL 인스턴스에 연결하기 위해 사용되는 민감한 데이터를 보호하기 위해 보안 비밀 관리자를 사용하고 최소 권한 서비스 ID를 사용하여 보안 위험을 최소화합니다.

이 샘플에서 최종 사용자 인증을 수행하는 동안:

  1. 클라이언트는 Identity Platform에 따라 사용자의 서명된 ID 토큰을 요청합니다.
  2. 서명된 ID 토큰은 요청과 함께 서버로 전송됩니다.
  3. 서버는 이 서명된 ID 토큰을 사용하여 사용자 ID를 확인하고 Cloud SQL PostgreSQL 데이터베이스에 대한 액세스 권한을 부여합니다.

이 튜토리얼에서는 다음 인증 방법의 사용법을 보여주지 않습니다.

  • IAM 인증은 IAM 역할을 사용하여 ID를 자동으로 어설션하고 확인합니다. 이 방법은 개별 ID가 아닌 서비스 간 인증에 권장됩니다. 서비스 간 인증에 대하 자세히 알아보려면 Cloud Run 서비스 보안 가이드를 참조하세요. 현재까지는 IAM 기반 인증과 ID 토큰 방법을 결합할 수 없습니다.

목표

  • 서비스를 작성, 빌드하고, Cloud Run에 배포하여 다음 방법을 보여줍니다.

    • Identity Platform을 사용하여 최종 사용자가 Cloud Run 서비스에 액세스하도록 인증을 수행합니다.

    • 민감한 데이터 처리를 위해 보안 비밀 관리자를 사용해서 Cloud Run 서비스를 postgreSQL 데이터베이스에 연결합니다.

  • Google Cloud 리소스에 대한 최소 액세스를 위해 최소 권한 서비스 ID를 만듭니다.

비용

이 가이드에서는 비용이 청구될 수 있는 다음과 같은 Google Cloud 구성요소를 사용합니다.

프로젝트 사용량을 기준으로 예상 비용을 산출하려면 가격 계산기를 사용하세요. Google Cloud를 처음 사용하는 사용자는 무료 체험판을 사용할 수 있습니다.

시작하기 전에

  1. Google Cloud 계정에 로그인합니다. Google Cloud를 처음 사용하는 경우 계정을 만들고 Google 제품의 실제 성능을 평가해 보세요. 신규 고객에게는 워크로드를 실행, 테스트, 배포하는 데 사용할 수 있는 $300의 무료 크레딧이 제공됩니다.
  2. Google Cloud Console의 프로젝트 선택기 페이지에서 Google Cloud 프로젝트를 선택하거나 만듭니다.

    프로젝트 선택기로 이동

  3. Cloud 프로젝트에 결제가 사용 설정되어 있는지 확인합니다. 프로젝트에 결제가 사용 설정되어 있는지 확인하는 방법을 알아보세요.

  4. Google Cloud Console의 프로젝트 선택기 페이지에서 Google Cloud 프로젝트를 선택하거나 만듭니다.

    프로젝트 선택기로 이동

  5. Cloud 프로젝트에 결제가 사용 설정되어 있는지 확인합니다. 프로젝트에 결제가 사용 설정되어 있는지 확인하는 방법을 알아보세요.

  6. Cloud Run, Secret Manager, Cloud SQL, Container Registry, and Cloud Build API를 사용 설정합니다.

    API 사용 설정

  7. Cloud SDK를 설치하고 초기화합니다.

gcloud 기본값 설정

Cloud Run 서비스의 기본값으로 gcloud를 구성하려면 다음 안내를 따르세요.

  1. 기본 프로젝트를 설정합니다.

    gcloud config set project PROJECT_ID

    PROJECT_ID를 이 튜토리얼용으로 만든 프로젝트 이름으로 바꿉니다.

  2. 선택한 리전에 맞게 gcloud를 구성합니다.

    gcloud config set run/region REGION

    REGION을 지원되는 Cloud Run 리전 중 원하는 리전으로 바꿉니다.

Cloud Run 위치

Cloud Run은 리전을 기반으로 합니다. 즉, Cloud Run 서비스를 실행하는 인프라가 특정 리전에 위치해 있으며 해당 리전 내의 모든 영역에서 중복으로 사용할 수 있도록 Google이 관리합니다.

Cloud Run 서비스를 실행하는 리전을 선택하는 데 있어 중요한 기준은 지연 시간, 가용성 또는 내구성 요구사항입니다. 일반적으로 사용자와 가장 가까운 리전을 선택할 수 있지만 Cloud Run 서비스에서 사용하는 다른 Google Cloud 제품 위치도 고려해야 합니다. 여러 위치에서 Google Cloud 제품을 함께 사용하면 서비스 지연 시간과 비용에 영향을 미칠 수 있습니다.

Cloud Run은 다음 리전에서 사용할 수 있습니다.

등급 1 가격 적용

  • asia-east1(타이완)
  • asia-northeast1(도쿄)
  • asia-northeast2(오사카)
  • europe-north1(핀란드) 리프 아이콘 낮은 CO2
  • europe-west1(벨기에) 리프 아이콘 낮은 CO2
  • europe-west4(네덜란드)
  • us-central1(아이오와) 리프 아이콘 낮은 CO2
  • us-east1(사우스캐롤라이나)
  • us-east4(북 버지니아)
  • us-west1(오리건) 리프 아이콘 낮은 CO2

등급 2 가격 적용

  • asia-east2(홍콩)
  • asia-northeast3(대한민국 서울)
  • asia-southeast1(싱가포르)
  • asia-southeast2 (자카르타)
  • asia-south1(인도 뭄바이)
  • asia-south2(인도 델리)
  • australia-southeast1(시드니)
  • australia-southeast2(멜버른)
  • europe-central2(폴란드 바르샤바)
  • europe-west2(영국 런던)
  • europe-west3(독일 프랑크푸르트)
  • europe-west6(스위스 취리히) 리프 아이콘 낮은 CO2
  • northamerica-northeast1(몬트리올) 리프 아이콘 낮은 CO2
  • northamerica-northeast2(토론토) 리프 아이콘 낮은 CO2
  • southamerica-east1(브라질 상파울루) 리프 아이콘 낮은 CO2
  • southamerica-west1(칠레 산티아고)
  • us-west2(로스앤젤레스)
  • us-west3(솔트레이크시티)
  • us-west4(라스베이거스)

Cloud Run 서비스를 이미 만들었다면 Cloud Console의 Cloud Run 대시보드에서 리전을 확인할 수 있습니다.

코드 샘플 검색

사용할 코드 샘플을 검색하려면 다음 안내를 따르세요.

  1. 샘플 앱 저장소를 로컬 머신에 클론합니다.

    Node.js

    git clone https://github.com/GoogleCloudPlatform/nodejs-docs-samples.git

    또는 zip 파일로 샘플을 다운로드하고 압축을 풀 수 있습니다.

    Python

    git clone https://github.com/GoogleCloudPlatform/python-docs-samples.git

    또는 zip 파일로 샘플을 다운로드하고 압축을 풀 수 있습니다.

    자바

    git clone https://github.com/GoogleCloudPlatform/java-docs-samples.git

    또는 zip 파일로 샘플을 다운로드하고 압축을 풀 수 있습니다.

  2. Cloud Run 샘플 코드가 포함된 디렉터리로 변경합니다.

    Node.js

    cd nodejs-docs-samples/run/idp-sql/

    Python

    cd python-docs-samples/run/idp-sql/

    자바

    cd java-docs-samples/run/idp-sql/

아키텍처 시각화

아키텍처 다이어그램
이 다이어그램은 IdP에서 제공되는 Google 로그인 팝업을 통한 사용자 로그인을 보여주고, 사용자 ID를 사용해서 Cloud Run으로 다시 리디렉션됩니다.
  1. 사용자가 서비스에 첫 번째 요청을 수행합니다.

  2. Cloud Run 서비스가 클라이언트에 사용자 로그인 폼을 제공합니다.

  3. 사용자가 Identity Platform이 사용되는 Google 로그인 팝업 창을 통해 로그인합니다.

  4. 인증 흐름에 따라 사용자 ID와 함께 Cloud Run 서비스로 사용자를 다시 리디렉션합니다.

  5. 사용자가 투표를 행사하면 클라이언트가 ID 토큰을 만들고 서버 요청에 추가합니다. 서버가 ID 토큰을 확인하고 Cloud SQL에 쓰기 액세스 권한을 부여합니다.

코드 이해하기

이 샘플은 다음에 설명된 것처럼 클라이언트 및 서버로 구현됩니다.

Identity Platform과 통합: 클라이언트 측 코드

이 샘플은 사용자 로그인 및 관리를 위해 Firebase SDK를 사용하여 Identity Platform과 통합됩니다. Identity Platform에 연결하기 위해 클라이언트 측 자바스크립트는 프로젝트의 사용자 인증 정보에 대한 참조를 구성 객체로 저장하며, 필요한 Firebase 자바스크립트 SDK를 가져옵니다.

const config = {
  apiKey: 'API_KEY',
  authDomain: 'PROJECT_ID.firebaseapp.com',
};
<!-- Firebase App (the core Firebase SDK) is always required and must be listed first-->
<script src="https://www.gstatic.com/firebasejs/7.18/firebase-app.js"></script>
<!-- Add Firebase Auth service-->
<script src="https://www.gstatic.com/firebasejs/7.18/firebase-auth.js"></script>

Firebase 자바스크립트 SDK는 팝업 상자를 열어서 해당 Google 계정으로 로그인하도록 안내하고 다시 서비스로 리디렉션함으로써 로그인 과정을 처리합니다.

function signIn() {
  const provider = new firebase.auth.GoogleAuthProvider();
  provider.addScope('https://www.googleapis.com/auth/userinfo.email');
  firebase
    .auth()
    .signInWithPopup(provider)
    .then(result => {
      // Returns the signed in user along with the provider's credential
      console.log(`${result.user.displayName} logged in.`);
      window.alert(`Welcome ${result.user.displayName}!`);
    })
    .catch(err => {
      console.log(`Error during sign in: ${err.message}`);
      window.alert('Sign in failed. Retry or check your browser logs.');
    });
}

사용자가 성공적으로 로그인하면 Firebase 메서드가 사용자를 고유하게 식별하고 액세스 권한을 부여할 수 있도록 ID 토큰을 만듭니다. 클라이언트는 이 ID 토큰과 함께 Authorization 헤더를 추가하여 서버와 통신합니다.

async function vote(team) {
  if (firebase.auth().currentUser) {
    // Retrieve JWT to identify the user to the Identity Platform service.
    // Returns the current token if it has not expired. Otherwise, this will
    // refresh the token and return a new one.
    try {
      const token = await firebase.auth().currentUser.getIdToken();
      const response = await fetch('/', {
        method: 'POST',
        headers: {
          'Content-Type': 'application/x-www-form-urlencoded',
          Authorization: `Bearer ${token}`,
        },
        body: 'team=' + team, // send application data (vote)
      });
      if (response.ok) {
        const text = await response.text();
        window.alert(text);
        window.location.reload();
      }
    } catch (err) {
      console.log(`Error when submitting vote: ${err}`);
      window.alert('Something went wrong... Please try again!');
    }
  } else {
    window.alert('User not signed in.');
  }
}

Identity Platform과 통합: 서버 측 코드

서버는 Firebase Admin SDK를 사용하여 Identity Platform과 통합하고 클라이언트에서 전송된 사용자 ID 토큰으로부터 사용자의 ID를 확인합니다. 제공된 ID 토큰의 형식이 올바르고, 만료되지 않았으며, 올바르게 서명되었으면, 메서드가 해당 사용자에 대해 Identity Platform uid 추출에 필요한 디코딩된 ID 토큰을 반환합니다.

Node.js

const firebase = require('firebase-admin');
// Initialize Firebase Admin SDK
firebase.initializeApp();

// Extract and verify Id Token from header
const authenticateJWT = (req, res, next) => {
  const authHeader = req.headers.authorization;
  if (authHeader) {
    const token = authHeader.split(' ')[1];
    // If the provided ID token has the correct format, is not expired, and is
    // properly signed, the method returns the decoded ID token
    firebase
      .auth()
      .verifyIdToken(token)
      .then(decodedToken => {
        const uid = decodedToken.uid;
        req.uid = uid;
        next();
      })
      .catch(err => {
        req.logger.error(`Error with authentication: ${err}`);
        return res.sendStatus(403);
      });
  } else {
    return res.sendStatus(401);
  }
};

Python

def jwt_authenticated(func: Callable[..., int]) -> Callable[..., int]:
    @wraps(func)
    def decorated_function(*args: Any, **kwargs: Any) -> Any:
        header = request.headers.get("Authorization", None)
        if header:
            token = header.split(" ")[1]
            try:
                decoded_token = firebase_admin.auth.verify_id_token(token)
            except Exception as e:
                logger.exception(e)
                return Response(status=403, response=f"Error with authentication: {e}")
        else:
            return Response(status=401)

        request.uid = decoded_token["uid"]
        return func(*args, **kwargs)

    return decorated_function

자바

/** Extract and verify Id Token from header */
private String authenticateJwt(Map<String, String> headers) {
  String authHeader =
      (headers.get("authorization") != null)
          ? headers.get("authorization")
          : headers.get("Authorization");
  if (authHeader != null) {
    String idToken = authHeader.split(" ")[1];
    // If the provided ID token has the correct format, is not expired, and is
    // properly signed, the method returns the decoded ID token
    try {
      FirebaseToken decodedToken = FirebaseAuth.getInstance().verifyIdToken(idToken);
      String uid = decodedToken.getUid();
      return uid;
    } catch (FirebaseAuthException e) {
      logger.error("Error with authentication: " + e.toString());
      throw new ResponseStatusException(HttpStatus.FORBIDDEN, "", e);
    }
  } else {
    logger.error("Error no authorization header");
    throw new ResponseStatusException(HttpStatus.UNAUTHORIZED);
  }
}

Cloud SQL에 연결

서비스는 /cloudsql/CLOUD_SQL_CONNECTION_NAME 형식을 사용해서 Cloud SQL 인스턴스 Unix 도메인 소켓에 연결합니다.

Node.js

/**
 * Connect to the Cloud SQL instance through UNIX Sockets
 *
 * @param {object} credConfig The Cloud SQL connection configuration from Secret Manager
 * @returns {object} Knex's PostgreSQL client
 */
const connectWithUnixSockets = async credConfig => {
  const dbSocketPath = process.env.DB_SOCKET_PATH || '/cloudsql';
  // Establish a connection to the database
  return Knex({
    client: 'pg',
    connection: {
      user: credConfig.DB_USER, // e.g. 'my-user'
      password: credConfig.DB_PASSWORD, // e.g. 'my-user-password'
      database: credConfig.DB_NAME, // e.g. 'my-database'
      host: `${dbSocketPath}/${credConfig.CLOUD_SQL_CONNECTION_NAME}`,
    },
    ...config,
  });
};

Python

def init_unix_connection_engine(
    db_config: Dict[str, str]
) -> sqlalchemy.engine.base.Engine:
    creds = credentials.get_cred_config()
    db_user = creds["DB_USER"]
    db_pass = creds["DB_PASSWORD"]
    db_name = creds["DB_NAME"]
    db_socket_dir = creds.get("DB_SOCKET_DIR", "/cloudsql")
    cloud_sql_connection_name = creds["CLOUD_SQL_CONNECTION_NAME"]

    pool = sqlalchemy.create_engine(
        # Equivalent URL:
        # postgres+pg8000://<db_user>:<db_pass>@/<db_name>
        #                         ?unix_sock=<socket_path>/<cloud_sql_instance_name>/.s.PGSQL.5432
        sqlalchemy.engine.url.URL.create(
            drivername="postgresql+pg8000",
            username=db_user,  # e.g. "my-database-user"
            password=db_pass,  # e.g. "my-database-password"
            database=db_name,  # e.g. "my-database-name"
            query={
                "unix_sock": "{}/{}/.s.PGSQL.5432".format(
                    db_socket_dir, cloud_sql_connection_name  # e.g. "/cloudsql"
                )  # i.e "<PROJECT-NAME>:<INSTANCE-REGION>:<INSTANCE-NAME>"
            },
        ),
        **db_config,
    )
    pool.dialect.description_encoding = None
    logger.info("Database engine initialised from unix conection")

    return pool

자바

Spring Cloud Google Cloud PostgreSQL 스타터통합을 사용하면 Google Cloud SQL에서 Spring JDBC 라이브러리를 사용하여 PostgreSQL 데이터베이스와 상호작용할 수 있습니다. Spring JDBC와 결합되면 데이터베이스 쿼리 및 수정 등의 작업이 가능한 JdbcTemplate 객체 빈을 제공하는 DataSource 빈을 자동 구성하도록 MySQL용 Cloud SQL을 설정합니다.

# Uncomment and add env vars for local development
# spring.datasource.username=${DB_USER}
# spring.datasource.password=${DB_PASSWORD}
# spring.cloud.gcp.sql.database-name=${DB_NAME}
# spring.cloud.gcp.sql.instance-connection-name=${CLOUD_SQL_CONNECTION_NAME}  
private final JdbcTemplate jdbcTemplate;

public VoteController(JdbcTemplate jdbcTemplate) {
  this.jdbcTemplate = jdbcTemplate;
}

보안 관리자로 민감한 구성 처리

보안 관리자는 Cloud SQL 구성과 같은 민감한 데이터를 중앙에 안전하게 보관할 수 있게 해줍니다. 이 서비스는 런타임 시 보안 변수를 통해 Secret Manager의 Cloud SQL 사용자 인증 정보를 삽입합니다. Cloud Run에서 보안 비밀 사용에 대해 자세히 알아보세요.

Node.js

// CLOUD_SQL_CREDENTIALS_SECRET is the resource ID of the secret, passed in by environment variable.
// Format: projects/PROJECT_ID/secrets/SECRET_ID/versions/VERSION
const {CLOUD_SQL_CREDENTIALS_SECRET} = process.env;
if (CLOUD_SQL_CREDENTIALS_SECRET) {
  try {
    // Parse the secret that has been added as a JSON string
    // to retrieve database credentials
    return JSON.parse(CLOUD_SQL_CREDENTIALS_SECRET.toString('utf8'));
  } catch (err) {
    throw Error(
      `Unable to parse secret from Secret Manager. Make sure that the secret is JSON formatted: ${err}`
    );
  }
}

Python

def get_cred_config() -> Dict[str, str]:
    secret = os.environ.get("CLOUD_SQL_CREDENTIALS_SECRET")
    if secret:
        return json.loads(secret)

자바

/** Retrieve config from Secret Manager */
public static HashMap<String, Object> getConfig() {
  String secret = System.getenv("CLOUD_SQL_CREDENTIALS_SECRET");
  if (secret == null) {
    throw new IllegalStateException("\"CLOUD_SQL_CREDENTIALS_SECRET\" is required.");
  }
  try {
    HashMap<String, Object> config = new Gson().fromJson(secret, HashMap.class);
    return config;
  } catch (JsonSyntaxException e) {
    logger.error(
        "Unable to parse secret from Secret Manager. Make sure that it is JSON formatted: "
            + e);
    throw new RuntimeException(
        "Unable to parse secret from Secret Manager. Make sure that it is JSON formatted.");
  }
}

서비스 제공

Identity Platform 설정

Identity Platform을 사용하려면 Cloud Console에서 수동 설정이 필요합니다.

  1. Cloud Console에서 Identity Platform Marketplace 페이지로 이동합니다.

    Identity Platform Marketplace 페이지로 이동

  2. Identity Platform 사용 설정을 클릭합니다. 그러면 Web client (auto created by Google Service)라는 OAuth2 클라이언트 ID가 생성됩니다.

  3. 생성된 OAuth2 ID를 다운로드합니다.

    1. 새 창에서 API 및 서비스 > 사용자 인증 정보 페이지로 이동합니다.

      API 및 서비스 > 사용자 인증 정보 페이지로 이동

    2. '웹 클라이언트(Google 서비스에서 자동 생성)' 레코드에서 다운로드 아이콘을 클릭합니다.

    3. 다운로드한 JSON 출력에서 client_idclient_secret을 확인합니다.

  4. Google을 공급업체로 구성합니다.

    1. Cloud Console에서 ID 공급업체 페이지로 이동합니다.

      ID 공급업체 페이지로 이동

    2. 공급업체 추가를 클릭합니다.

    3. 목록에서 Google을 선택합니다.

    4. 웹 SDK 구성 설정에서 이전에 다운로드한 JSON의 값을 입력합니다.

      1. 웹 클라이언트 ID: client_id

      2. 웹 클라이언트 보안 비밀번호: client_secret

    5. 화면 구성을 클릭합니다.

      1. 사용자 유형으로 외부를 선택합니다.

      2. 필수 입력란(지원 이메일, 개발자 이메일)을 입력합니다.

      3. 요약 페이지가 나올 때까지 계속 진행합니다.

    6. '애플리케이션 구성' 아래에서 설정 세부정보를 클릭합니다. 스니펫을 샘플의 static/config.js에 복사하여 Identity Platform 클라이언트 SDK를 초기화합니다.

    7. 저장을 클릭합니다.

서비스 배포

아래 단계에 따라 인프라 프로비저닝 및 배포를 완료하거나 'Google Cloud에서 실행'을 클릭하여 Cloud Shell에서 프로세스를 자동화합니다.

Google Cloud에서 실행

  1. Console 또는 CLI를 사용하여 postgreSQL 데이터베이스로 Cloud SQL 인스턴스를 만듭니다.

    gcloud sql instances create CLOUD_SQL_INSTANCE_NAME \
        --database-version=POSTGRES_12 \
        --region=CLOUD_SQL_REGION \
        --cpu=2 \
        --memory=7680MB \
        --root-password=DB_PASSWORD
  2. Cloud SQL 사용자 인증 정보 값을 postgres-secrets.json에 추가합니다.

    Node.js

    {
      "CLOUD_SQL_CONNECTION_NAME": "PROJECT_ID:REGION:INSTANCE",
      "DB_NAME": "postgres",
      "DB_USER": "postgres",
      "DB_PASSWORD": "PASSWORD_SECRET"
    }
    

    Python

    {
      "CLOUD_SQL_CONNECTION_NAME": "PROJECT_ID:REGION:INSTANCE",
      "DB_NAME": "postgres",
      "DB_USER": "postgres",
      "DB_PASSWORD": "PASSWORD_SECRET"
    }
    

    자바

    {
      "spring.cloud.gcp.sql.instance-connection-name": "PROJECT_ID:REGION:INSTANCE",
      "spring.cloud.gcp.sql.database-name": "postgres",
      "spring.datasource.username": "postgres",
      "spring.datasource.password": "PASSWORD_SECRET"
    }

  3. Console 또는 CLI를 사용하여 버전 관리 보안 비밀을 만듭니다.

    gcloud secrets create idp-sql-secrets \
        --replication-policy="automatic" \
        --data-file=postgres-secrets.json
  4. Console 또는 CLI를 사용하여 서비스 계정을 만듭니다.

    gcloud iam service-accounts create idp-sql-identity
  5. Console 또는 CLI를 사용하여 보안 비밀 관리자 및 Cloud SQL에 대한 바인딩을 추가합니다.

    1. 서비스 계정이 생성된 보안 비밀에 액세스하도록 허용합니다.

      gcloud secrets add-iam-policy-binding idp-sql-secrets \
        --member serviceAccount:idp-sql-identity@PROJECT_ID.iam.gserviceaccount.com \
        --role roles/secretmanager.secretAccessor
    2. 서비스 계정이 Cloud SQL에 액세스하도록 허용합니다.

      gcloud projects add-iam-policy-binding PROJECT_ID \
        --member serviceAccount:idp-sql-identity@PROJECT_ID.iam.gserviceaccount.com \
        --role roles/cloudsql.client
  6. Cloud Build를 사용하여 컨테이너 이미지를 빌드합니다.

    Node.js

    gcloud builds submit --tag gcr.io/PROJECT_ID/idp-sql

    Python

    gcloud builds submit --tag gcr.io/PROJECT_ID/idp-sql

    자바

    이 샘플은 Jib를 사용해서 일반적인 자바 도구로 Docker 이미지를 빌드합니다. Jib는 Dockerfile을 사용하거나 Docker를 설치할 필요 없이 컨테이너 빌드를 최적화합니다. Jib로 자바 컨테이너 빌드에 대해 자세히 알아보세요.

    1. gcloud 사용자 인증 정보 도우미를 사용하여 Docker가 Container Registry로 내보내도록 승인합니다.

      gcloud auth configure-docker

    2. Jib Maven 플러그인을 사용하여 컨테이너를 빌드하고 Container Registry로 내보냅니다.

      mvn compile jib:build -Dimage=gcr.io/PROJECT_ID/idp-sql

  7. Console 또는 CLI를 사용하여 Cloud Run에 컨테이너 이미지를 배포합니다.

    gcloud beta run deploy idp-sql \
        --image gcr.io/PROJECT_ID/idp-sql \
        --allow-unauthenticated \
        --service-account idp-sql-identity@PROJECT_ID.iam.gserviceaccount.com \
        --add-cloudsql-instances PROJECT_ID:REGION:CLOUD_SQL_INSTANCE_NAME \
        --update-secrets CLOUD_SQL_CREDENTIALS_SECRET=idp-sql-secrets:latest

    특히 --service-account, --add-cloudsql-instances, --update-secrets 플래그를 사용하여 각각 서비스 ID, Cloud SQL 인스턴스 연결, 버전이 포함된 보안 비밀 이름을 환경 변수로 지정합니다.

마무리 단계

사용자 로그인 후 허용된 리디렉션으로 Cloud Run 서비스 URL을 승인합니다.

  1. ID 공급업체 페이지에서 펜 아이콘을 클릭하여 Google 공급업체를 수정합니다.

  2. 승인된 도메인 아래에서 도메인 추가를 클릭하고 Cloud Run 서비스 URL을 입력합니다.

    빌드 또는 배포 후 로그에서 서비스 URL을 찾거나 언제든 다음을 사용하여 찾을 수 있습니다.

    gcloud run services describe idp-sql --format 'value(status.url)'

사용해 보기

전체 서비스를 시도해봅니다.

  1. 브라우저에서 위의 배포 단계로 제공된 URL로 이동합니다.

  2. Google 계정으로 로그인 버튼을 클릭하고 인증 흐름을 진행합니다.

  3. 투표하기

    예를 들면 다음과 같습니다.

    각 팀의 투표 수와 투표 목록을 보여주는 사용자 인터페이스 스크린샷입니다.

이러한 서비스를 계속 개발하려면 이들 서비스에 다른 Google Cloud 서비스에 대한 제한적인 ID 및 액세스 관리(IAM) 액세스 권한이 있으며 다른 여러 서비스에 액세스하려면 추가 IAM 역할이 부여되어야 합니다.

삭제

이 튜토리얼용으로 새 프로젝트를 만든 경우 이 프로젝트를 삭제합니다. 기존 프로젝트를 사용한 경우 이 가이드에 추가된 변경사항은 제외하고 보존하려면 가이드용으로 만든 리소스를 삭제합니다.

프로젝트 삭제

비용이 청구되지 않도록 하는 가장 쉬운 방법은 가이드에서 만든 프로젝트를 삭제하는 것입니다.

프로젝트를 삭제하려면 다음 안내를 따르세요.

  1. Cloud Console에서 리소스 관리 페이지로 이동합니다.

    리소스 관리로 이동

  2. 프로젝트 목록에서 삭제할 프로젝트를 선택하고 삭제를 클릭합니다.
  3. 대화상자에서 프로젝트 ID를 입력한 후 종료를 클릭하여 프로젝트를 삭제합니다.

가이드 리소스 삭제

  1. 이 가이드에서 배포한 Cloud Run 서비스를 삭제합니다.

    gcloud run services delete SERVICE-NAME

    여기서 SERVICE-NAME은 선택한 서비스 이름입니다.

    Google Cloud Console에서 Cloud Run 서비스를 삭제할 수도 있습니다.

  2. 튜토리얼 설정 중에 추가한 gcloud 기본 리전 구성을 삭제합니다.

     gcloud config unset run/region
    
  3. 프로젝트 구성을 삭제합니다.

     gcloud config unset project
    
  4. 이 튜토리얼에서 만든 다른 Google Cloud 리소스를 삭제합니다.

다음 단계