이 페이지는 Cloud Translation API를 통해 번역되었습니다.

VPC 서비스 제어 경계를 사용하여 Compute Engine 보호

이 튜토리얼에서는 서비스 경계를 사용하여 Compute Engine을 보호하고, 인그레스 위반 문제를 해결하여 Compute Engine에 대한 승인된 액세스를 허용하는 방법을 보여줍니다.

VPC 서비스 제어를 사용하면 Google 관리 서비스의 리소스 주위에 서비스 경계를 정의하여 이러한 서비스 간의 통신을 제어할 수 있습니다. 민감한 리소스 주변에 제로 트러스트 경계를 설정하여 승인된 IP 주소, 사용자, 기기에 대한 액세스를 제한할 수 있습니다. 이 기능을 사용하면 신뢰할 수 있는 경계 외부의 Google 관리 서비스에 대한 액세스를 차단하고, 신뢰할 수 없는 위치의 데이터에 대한 액세스를 차단하고, 데이터 무단 반출 위험을 완화하는 보안 정책을 정의할 수 있습니다.

이 튜토리얼은 기본 VPC 서비스 제어 개념을 알아보려는 Google Cloud 조직 관리자를 대상으로 합니다.

목표

VPC 서비스 제어의 기본사항을 알아봅니다.
서비스 경계를 만듭니다.
VPC 서비스 제어를 사용하여 프로젝트를 보호합니다.
VPC 서비스 제어 인그레스 위반 문제를 해결합니다.

비용

이 문서에서는 비용이 청구될 수 있는 다음과 같은 Google Cloud 구성요소를 사용합니다.

Compute Engine VM instance

프로젝트 사용량을 기준으로 예상 비용을 산출하려면 가격 계산기를 사용하세요. Google Cloud를 처음 사용하는 사용자는 무료 체험판을 사용할 수 있습니다.

이 문서에 설명된 태스크를 완료했으면 만든 리소스를 삭제하여 청구가 계속되는 것을 방지할 수 있습니다. 자세한 내용은 삭제를 참조하세요.

시작하기 전에

Google Cloud 조직 리소스가 있어야 합니다. 아직 Google Workspace 또는 Cloud ID 계정이 없는 경우 계정을 만들어야 하며 그러면 조직 리소스가 자동으로 생성됩니다.
조직 수준에서 폴더 Exercise를 만듭니다.
동일한 조직의 Exercise 폴더에 My-Project-1 및 My-Project-2라는 두 개의 프로젝트를 만듭니다.
- Make sure that billing is enabled for your Google Cloud project.
조직 수준에서 다음 권한과 역할이 있는지 확인합니다.
- VPC 서비스 제어를 구성하는 데 필요한 권한 및 역할
- Compute Engine을 관리하는 데 필요한 권한 및 역할

서비스 경계 만들기

My-Project-2 프로젝트에서 Compute Engine API를 보호하는 서비스 경계를 만듭니다.

Google Cloud 콘솔에서 VPC 서비스 제어 페이지로 이동합니다.

VPC 서비스 제어로 이동

조직 범위에 있는지 확인합니다.
정책 관리를 클릭합니다.
Exercise 폴더로 범위가 지정된 새 액세스 정책을 만듭니다.
다음 세부정보를 사용하여 새 경계를 만듭니다.
- 제목: MyFirstPerimeter
- 경계 유형: 일반
- 시행 모드: 시행됨
- 보호할 리소스: My-Project-2 프로젝트
- 제한된 서비스: Compute Engine API

경계 확인

이 섹션에서는 프로젝트의 리소스에 대한 액세스 요청을 통해 경계가 의도한 리소스를 보호하는지 확인할 수 있습니다.

My-Project-1 프로젝트에 액세스하고 VM 인스턴스 페이지를 방문하여 Compute Engine에 액세스할 수 있는지 확인합니다.

VM 인스턴스로 이동

My-Project-1는 이전에 만든 경계로 보호되지 않으므로 액세스할 수 있습니다.
My-Project-2 프로젝트에 액세스하고 VM 인스턴스 페이지를 방문하여 Compute Engine에 액세스할 수 있는지 확인합니다.

MyFirstPerimeter 경계가 My-Project-2 및 Compute Engine API를 보호하므로 VPC 서비스 제어에서 Compute Engine에 대한 액세스 요청을 거부하는 것을 확인할 수 있습니다.

위반 문제 해결

VPC 서비스 제어 감사 로그에는 보호된 리소스에 대한 요청 및 VPC 서비스 제어가 요청을 거부한 이유에 대한 세부정보가 포함됩니다. My-Project-2 프로젝트에서 위반사항을 식별하고 문제를 해결하려면 이 정보가 필요합니다.

감사 로그 보기

My-Project-2 프로젝트의 감사 로그에서 VPC 서비스 제어 위반의 고유 ID를 찾습니다.
1. Google Cloud 콘솔에서 로그 탐색기 페이지로 이동합니다.
  로그 탐색기로 이동
  
  검색창을 사용하여 이 페이지를 찾은 경우 부제목이 Logging인 결과를 선택합니다.
2. My-Project-2 프로젝트를 선택합니다.
3. 모든 감사 로그를 표시하려면 쿼리 편집기 필드에 다음 쿼리를 입력합니다.
```
resource.type="audited_resource"
protoPayload.metadata."@type"="type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata"
```
4. 쿼리 실행을 클릭합니다.
이 쿼리는 모든 VPC 서비스 제어 감사 로그를 표시합니다. My-Project-2 프로젝트에서 Compute Engine API에 액세스할 때 발생한 위반 세부정보를 찾으려면 마지막 오류 로그를 확인하세요.

참고: 로그를 더 세부적으로 필터링하려면 이러한 샘플 쿼리를 사용하고 경계를 확인하는 동안 받은 VPC 서비스 제어 고유 ID를 추가하면 됩니다.

자세한 내용은 로그 보기를 참고하세요.
쿼리 결과 창에서 문제를 해결하려는 거부 옆에 있는 VPC 서비스 제어를 클릭한 다음 거부 문제 해결을 클릭합니다.

VPC 서비스 제어 문제 해결 도구 페이지가 열립니다. 이 페이지에는 위반 사유와 위반이 인그레스 위반인지 이그레스 위반인지와 같은 기타 정보가 표시됩니다.

이 튜토리얼에서는 다음 정보를 확인하세요.
```
"principalEmail": "USER@DOMAIN"
"callerIp": "PUBLIC_IP_ADDRESS"
"serviceName": "compute.googleapis.com"
"servicePerimeterName":
"accessPolicies/POLICY_NUMBER/servicePerimeters/MyFirstPerimeter
"ingressViolations": [
        {
"targetResource": "projects/PROJECT_NUMBER",
"servicePerimeter": "accessPolicies/POLICY_NUMBER/servicePerimeters/MyFirstPerimeter"
        }
      ],
"violationReason": "NO_MATCHING_ACCESS_LEVEL",
"resourceNames": "PROJECT_ID"
```
위반 사유는 "NO_MATCHING_ACCESS_LEVEL"입니다. "NO_MATCHING_ACCESS_LEVEL" 위반은 IP 주소, 기기 유형 또는 사용자 ID가 경계와 연결된 인그레스 규칙이나 액세스 수준과 일치하지 않을 때 발생합니다. 호출자 IP 주소가 없거나 로그에 내부 IP 주소로 표시되는 경우 이 위반은 VPC 서비스 제어에서 지원되지 않는 서비스로 인한 것일 수 있습니다. Google Cloud

My-Project-2 프로젝트에서 이 거부를 수정하는 방법에는 두 가지가 있습니다.

경계 내의 프로젝트에 시스템 IP 주소에 대한 액세스를 허용하는 액세스 수준을 만듭니다.
경계 외부에서 경계 내 리소스에 액세스할 수 있는 API 클라이언트에 대한 인그레스 규칙을 만듭니다.

다음 섹션에서는 액세스 수준을 만들어 이 거부를 해결하는 방법을 보여줍니다.

액세스 수준 만들기

Google Cloud 콘솔에서 Exercise 폴더 범위의 Access Context Manager 페이지로 이동합니다.

Access Context Manager로 이동
다음 세부정보를 사용하여 액세스 수준을 만듭니다.
- 조건 만들기에서 기본 모드를 선택합니다.
- 조건 충족 시 반환할 값에서 참을 선택합니다.
- IP 서브네트워크 속성을 선택하고 시스템의 공개 IP 주소를 지정합니다.
- 지리적 위치 속성을 선택하고 지리적 위치를 지정합니다.
이 액세스 수준은 IP 주소와 지리적 위치가 일치하는 경우에만 액세스를 허용합니다.
조직 범위에서 VPC 서비스 제어 페이지로 이동합니다.

VPC 서비스 제어로 이동
이 튜토리얼 앞부분에서 만든 액세스 정책을 선택합니다.
Exercise 폴더 범위에서 만든 액세스 수준을 MyFirstPerimeter 경계에 추가합니다.

액세스 테스트

액세스 수준을 추가한 후 My-Project-2 프로젝트에서 Compute Engine에 액세스하고 VM 인스턴스를 만들 수 있는지 확인합니다.

Google Cloud 콘솔에서 VM 인스턴스 페이지로 이동합니다.

VM 인스턴스로 이동
VM 인스턴스를 만듭니다.

참고: 필드의 기본값을 유지하고 저렴한 VM 인스턴스를 만듭니다.

약 1분 후에 Compute Engine에서 VM 인스턴스를 만들고 이 작업을 통해 경계 내에서 보호되는 Compute Engine에 대한 전체 액세스 권한이 있는지 확인합니다.

삭제

이 튜토리얼에서 사용된 리소스 비용이 Google Cloud 계정에 청구되지 않도록 하려면 리소스가 포함된 프로젝트를 삭제하거나 프로젝트를 유지하고 개별 리소스를 삭제하세요.

프로젝트 삭제

주의: 프로젝트를 삭제하면 다음과 같은 효과가 발생합니다.

프로젝트의 모든 항목이 삭제됩니다. 이 문서의 태스크에 기존 프로젝트를 사용한 경우 프로젝트를 삭제하면 프로젝트에서 수행한 다른 작업도 삭제됩니다.
커스텀 프로젝트 ID가 손실됩니다. 이 프로젝트를 만들 때 앞으로 사용할 커스텀 프로젝트 ID를 만들었을 수 있습니다. appspot.com URL과 같이 프로젝트 ID를 사용하는 URL을 보존하려면 전체 프로젝트를 삭제하는 대신 프로젝트 내에서 선택한 리소스만 삭제합니다.

여러 아키텍처, 튜토리얼, 빠른 시작을 살펴보려는 경우 프로젝트를 재사용하면 프로젝트 할당량 한도 초과를 방지할 수 있습니다.

In the Google Cloud console, go to the Manage resources page.
Go to Manage resources
In the project list, select the project that you want to delete, and then click Delete.
In the dialog, type the project ID, and then click Shut down to delete the project.

개별 리소스 삭제

VM 인스턴스 삭제

In the Google Cloud console, go to the VM instances page.
Go to VM instances
Select the checkbox for the instance that you want to delete.
To delete the instance, click More actions, click Delete, and then follow the instructions.

VPC 서비스 제어 리소스 삭제

서비스 경계를 삭제합니다.
Exercise 폴더 범위에서 만든 액세스 수준을 삭제합니다.

다음 단계

VPC 서비스 제어 문제 해결 도구를 사용하여 문제 진단