VPC 서비스 제어 규정을 준수하는 비공개 엔드포인트 호출

Workflows와 서비스 디렉터리의 서비스 레지스트리를 함께 사용하면 워크플로 실행에서 HTTP 호출의 비공개 엔드포인트를 타겟팅할 수 있습니다. Virtual Private Cloud(VPC) 네트워크 내에서 비공개 엔드포인트를 만들면 엔드포인트가 VPC 서비스 제어 규정을 준수할 수 있습니다.

VPC 서비스 제어는 Identity and Access Management(IAM)과 별개로 추가적인 보안 방어 레이어를 제공합니다. IAM은 세분화된 ID 기반 액세스 제어를 지원하지만 VPC 서비스 제어는 경계 간 데이터 이그레스 제어를 포함한 보다 광범위한 컨텍스트 기반 경계 보안을 지원합니다.

  • 서비스 디렉터리는 이름, 위치, 속성을 포함하여 등록된 네트워크 서비스에 대한 정보를 저장하는 서비스 레지스트리입니다. 인프라에 관계없이 서비스를 자동으로 등록하고 세부정보를 캡처할 수 있습니다. 이를 통해 모든 서비스 엔드포인트의 서비스를 대규모로 검색, 게시, 연결할 수 있습니다.

  • VPC 네트워크는 가상 머신(VM) 인스턴스에 대한 연결을 제공하고 내부 IP 주소를 사용하여 VPC 네트워크 내에 비공개 엔드포인트를 만들 수 있게 해줍니다. VPC 네트워크 리소스에 대한 HTTP 호출은 IAM 및 VPC 서비스 제어의 적용을 받으면서 비공개 네트워크를 통해 전송됩니다.

  • VPC 서비스 제어는 서비스 경계를 설정하고 데이터 전송 경계를 만들 수 있는 Google Cloud 기능입니다. Workflows와 VPC 서비스 제어를 함께 사용하여 서비스를 보호하고 데이터 무단 반출 위험을 줄일 수 있습니다.

이 문서에서는 VPC 네트워크의 VM을 서비스 디렉터리 엔드포인트로 등록하는 방법을 보여줍니다. 이렇게 하면 워크플로에 서비스 디렉터리 서비스 이름을 제공할 수 있습니다. 워크플로 실행에서는 서비스 레지스트리에서 검색한 정보를 사용하여 공개 네트워크로 이그레스하지 않고 적절한 HTTP 요청을 전송합니다.

다음 다이어그램에서는 개요를 보여줍니다.

서비스 디렉터리의 정보를 사용하여 VM 인스턴스의 포트 번호로 HTTP 요청 보내기

대략적으로 다음을 수행해야 합니다.

  1. 서비스 에이전트가 서비스 디렉터리를 사용하여 서비스 디렉터리 리소스를 조회하고 VPC 네트워크에 액세스할 수 있도록 Cloud Workflows 서비스 에이전트에 권한을 부여합니다.
  2. VPC 네트워크를 만들어 네트워킹 기능을 제공합니다.
  3. VPC 네트워크의 VM 인스턴스와 주고받는 트래픽을 허용하거나 거부할 수 있도록 VPC 방화벽 규칙을 만듭니다.
  4. VPC 네트워크에 VM 인스턴스를 만듭니다. Compute Engine VM 인스턴스는 Google 인프라에서 호스팅되는 가상 머신입니다. Compute Engine 인스턴스, VM 인스턴스, VM은 같은 의미로 사용되는 동의어입니다.
  5. VM에 애플리케이션을 배포합니다. VM 인스턴스에서 앱을 실행하고 트래픽이 예상대로 제공되는지 확인할 수 있습니다.
  6. 워크플로 실행에서 서비스 디렉터리 엔드포인트를 호출할 수 있도록 서비스 디렉터리를 구성합니다.

  7. 워크플로를 만들고 배포합니다. 워크플로의 private_service_name 값은 이전 단계에서 등록한 서비스 디렉터리 엔드포인트를 지정합니다.

Cloud Workflows 서비스 에이전트에 권한 부여

일부 Google Cloud 서비스에는 서비스가 리소스에 액세스하도록 허용하는 서비스 에이전트가 있습니다. API에 서비스 에이전트가 필요한 경우 API를 활성화하고 사용한 후 Google이 서비스 에이전트를 만듭니다.

  1. 처음으로 워크플로를 배포하면 Cloud Workflows 서비스 에이전트가 다음 형식으로 자동 생성됩니다.

    service-PROJECT_NUMBER@gcp-sa-workflows.iam.gserviceaccount.com

    이 명령어를 사용하면 워크플로가 없는 프로젝트에 서비스 계정을 수동으로 만들 수 있습니다.

    gcloud beta services identity create \
        --service=workflows.googleapis.com \
        --project=PROJECT_ID

    PROJECT_ID를 Google Cloud 프로젝트 ID로 바꿉니다.

  2. 서비스 디렉터리 리소스를 보려면 프로젝트에서 Workflows 서비스 에이전트에 서비스 디렉터리 뷰어 역할(servicedirectory.viewer)을 부여합니다.

    gcloud projects add-iam-policy-binding PROJECT_ID \
        --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-workflows.iam.gserviceaccount.com \
        --role=roles/servicedirectory.viewer

    PROJECT_NUMBER를 Google Cloud 프로젝트 번호로 바꿉니다. Google Cloud 콘솔의 시작 페이지에서 또는 다음 명령어를 실행하여 프로젝트 번호를 찾을 수 있습니다.

    gcloud projects describe PROJECT_ID --format='value(projectNumber)'
  3. 서비스 디렉터리를 사용하여 VPC 네트워크에 액세스하려면 프로젝트에서 Workflows 서비스 에이전트에 Private Service Connect 승인된 서비스 역할(roles/servicedirectory.pscAuthorizedService)을 부여합니다.

    gcloud projects add-iam-policy-binding PROJECT_ID \
        --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-workflows.iam.gserviceaccount.com \
        --role=roles/servicedirectory.pscAuthorizedService

VPC 네트워크 만들기

VPC 네트워크는 Google의 프로덕션 네트워크 내에서 구현되는 물리적 네트워크의 가상 버전입니다. 이는 Compute Engine VM 인스턴스에 연결을 제공합니다.

자동 모드 또는 커스텀 모드 VPC 네트워크를 만들 수 있습니다. 새로 만드는 네트워크의 이름은 같은 프로젝트에 있다면 서로 달라야 합니다.

예를 들어 다음 명령어는 자동 모드 VPC 네트워크를 만듭니다.

gcloud compute networks create NETWORK_NAME \
    --subnet-mode=auto

NETWORK_NAME을 VPC 네트워크의 이름으로 바꿉니다.

자세한 내용은 VPC 네트워크 만들기 및 관리를 참조하세요.

VPC 방화벽 규칙 만들기

VPC 방화벽 규칙을 사용하면 포트 번호, 태그, 프로토콜을 기반으로 VPC 네트워크의 VM 인스턴스와 주고받는 트래픽을 허용하거나 거부할 수 있습니다.

VPC 방화벽 규칙은 네트워크 수준에서 정의되며 네트워크가 만들어진 위치에만 적용됩니다. 그러나 규칙에 대해 선택한 이름은 프로젝트에 고유해야 합니다.

예를 들어 다음 명령어는 지정된 VPC 네트워크의 방화벽 규칙을 만들고 모든 IPv4 주소(0.0.0.0/0)에서 들어오는 인그레스 트래픽을 허용합니다. --rules 플래그 값이 all이면 모든 프로토콜 및 대상 포트에 규칙이 적용됩니다.

gcloud compute firewall-rules create RULE_NAME \
    --network=projects/PROJECT_ID/global/networks/NETWORK_NAME \
    --direction=INGRESS \
    --action=ALLOW \
    --source-ranges=0.0.0.0/0 \
    --rules=all

RULE_NAME을 방화벽 규칙 이름으로 바꿉니다.

자세한 내용은 VPC 방화벽 규칙 사용을 참조하세요.

VPC 네트워크에서 VM 인스턴스 만들기

VM 인스턴스에는 Google Kubernetes Engine(GKE) 클러스터, App Engine 가변형 환경 인스턴스 및 Compute Engine VM을 기반으로 빌드된 기타 Google Cloud 제품이 포함됩니다. 비공개 네트워크 액세스를 지원하려면 VPC 네트워크 리소스는 VM 인스턴스, Cloud Interconnect IP 주소 또는 레이어 4 내부 부하 분산기일 수 있습니다.

Compute Engine 인스턴스에서는 Google에서 제공하는 Linux 및 Windows Server용 공개 이미지뿐만 아니라 사용자가 만들거나 기존 시스템에서 가져올 수 있는 비공개 커스텀 이미지를 실행할 수 있습니다. Docker 컨테이너를 배포할 수도 있습니다.

사전 정의된 머신 유형 세트를 사용하거나 자체 커스텀 머신 유형을 만들어 가상 CPU 수 및 메모리 용량과 같은 인스턴스의 머신 속성을 선택할 수 있습니다.

예를 들어 다음 명령어는 이전에 만든 VPC 네트워크에 연결된 네트워크 인터페이스를 사용하여 공개 이미지로 Linux VM 인스턴스를 만듭니다.

  1. VM 인스턴스를 만들고 시작합니다.

    gcloud compute instances create VM_NAME \
        --image-family=debian-11 \
        --image-project=debian-cloud \
        --machine-type=e2-micro \
        --network-interface network=projects/PROJECT_ID/global/networks/NETWORK_NAME

    VM_NAME을 VM 이름으로 바꿉니다.

  2. 인스턴스 영역을 확인하라는 메시지가 표시되면 y를 입력합니다.

    VM 인스턴스를 만든 후 반환된 INTERNAL_IP 주소를 기록해 둡니다.

  3. Google Cloud 콘솔에서 VM 인스턴스 페이지로 이동합니다.

    VM 인스턴스로 이동

  4. 이름 열에서 적절한 VM 인스턴스 이름을 클릭합니다.

  5. VM이 실행 중인 경우 VM을 중지하려면 중지를 클릭합니다.

  6. VM을 수정하려면 수정을 클릭합니다.

  7. 네트워킹 > 방화벽 섹션에서 VM에 대한 HTTP 또는 HTTPS 트래픽을 허용하려면 HTTP 트래픽 허용 또는 HTTPS 트래픽 허용을 선택합니다.

    이 예시에서는 HTTP 트래픽 허용 체크박스를 선택합니다.

    Compute Engine은 방화벽 규칙을 VM과 연결하는 네트워크 태그를 VM에 추가합니다. 그런 다음 tcp:80(HTTP) 또는 tcp:443(HTTPS)에서 들어오는 모든 트래픽을 허용하는 인그레스 방화벽 규칙을 만듭니다.

  8. 변경사항을 저장하려면 저장을 클릭합니다.

  9. VM을 다시 시작하려면 시작/재개를 클릭합니다.

자세한 내용은 VM 인스턴스 만들기 및 시작을 참조하세요.

VM에 애플리케이션 배포

네트워크 구성을 테스트하고 트래픽이 정상적으로 제공되는지 확인하려면 포트에서 리슨하는 간단한 앱을 VM에 배포하면 됩니다.

예를 들어 다음 명령어는 포트 3000을 리슨하는 Node.js 웹 서비스를 만듭니다.

  1. VM 인스턴스에 SSH 연결을 설정합니다.

  2. 패키지 저장소를 업데이트합니다.

    sudo apt update
  3. NVM, Node.js, npm을 설치합니다.

    자세한 내용은 Node.js 개발 환경 설정을 참조하세요.

  4. 대화형으로 package.json 파일을 만듭니다.

    npm init

    예를 들면 다음과 같습니다.

    {
    "name": "test",
    "version": "1.0.0",
    "description": "",
    "main": "index.js",
    "scripts": {
    "test": "hello"
    },
    "author": "",
    "license": "ISC"
    }
  5. Node.js용 웹 애플리케이션 프레임워크인 Express를 설치합니다.

    npm install express
  6. 테스트 앱 코드를 작성합니다.

    vim app.js

    다음 샘플은 루트 경로(/)에 대한 GET 요청에 'Hello, world!' 텍스트로 응답하는 앱을 만듭니다.

    const express = require('express');
    const app = express();
    
    app.get('/', (req, res) => {
      res.status(200).send('Hello, world!').end();
    });
    
    app.listen(3000, () => {
      console.log('Sample app listening on port 3000.');
    });

    앱이 리슨하는 포트를 확인합니다. 서비스 디렉터리 서비스의 엔드포인트를 구성할 때 같은 포트 번호를 사용해야 합니다.

  7. 앱이 포트 3000에서 리슨하는지 확인합니다.

    node app.js

Compute Engine은 다양한 배포 옵션을 제공합니다. 자세한 내용은 워크로드에 맞는 Compute Engine 배포 전략 선택을 참조하세요.

서비스 디렉터리 구성

워크플로 실행에서 비공개 엔드포인트 호출을 지원하려면 서비스 디렉터리 네임스페이스를 설정하고, 네임스페이스에서 서비스를 등록하고, 서비스에 엔드포인트를 추가해야 합니다.

예를 들어 다음 명령어는 네임스페이스, 서비스, 엔드포인트를 만들어 VM 인스턴스의 VPC 네트워크와 내부 IP 주소를 지정합니다.

  1. 네임스페이스를 만듭니다.

    gcloud service-directory namespaces create NAMESPACE \
        --location=REGION

    다음을 바꿉니다.

    • NAMESPACE: 네임스페이스 ID 또는 네임스페이스의 정규화된 식별자입니다.
    • REGION: 네임스페이스가 포함된 Google Cloud 리전(예: us-central1)입니다.
  2. 서비스를 만듭니다.

    gcloud service-directory services create SERVICE \
        --namespace=NAMESPACE \
        --location=REGION

    SERVICE를 만들려는 서비스의 이름으로 바꿉니다.

  3. 엔드포인트를 구성합니다.

    gcloud service-directory endpoints create ENDPOINT \
        --namespace=NAMESPACE \
        --service=SERVICE \
        --network=projects/PROJECT_NUMBER/locations/global/networks/NETWORK_NAME \
        --port=PORT_NUMBER \
        --address=IP_ADDRESS \
        --location=REGION

    다음을 바꿉니다.

    • ENDPOINT: 만들려는 엔드포인트의 이름입니다.
    • PORT_NUMBER: 엔드포인트가 실행 중인 포트(예: 3000)입니다.
    • IP_ADDRESS: 엔드포인트의 IPv6 또는 IPv4 주소이며 이전에 기록한 내부 IP 주소입니다.

자세한 내용은 서비스 디렉터리 구성비공개 네트워크 액세스 구성을 참조하세요.

워크플로 만들기 및 배포

Workflows에서 비공개 엔드포인트를 호출할 때 HTTP 요청이 수행됩니다. 가장 일반적인 HTTP 요청 메서드에는 호출 단축키(예: http.gethttp.post)가 있지만, call 필드를 http.request로 설정하고 method 필드를 사용해 요청 유형을 지정하여 모든 유형의 HTTP 요청을 수행할 수 있습니다. 자세한 내용은 HTTP 요청 수행을 참조하세요.

  1. 워크플로의 소스 코드 파일을 만듭니다.

    touch call-private-endpoint.JSON_OR_YAML

    워크플로 형식에 따라 JSON_OR_YAMLyaml 또는 json으로 바꿉니다.

  2. 텍스트 편집기에서 다음 워크플로(여기에서는 url 값에 HTTP 프로토콜 사용)를 소스 코드 파일에 복사합니다.

    YAML

    main:
      steps:
        - checkHttp:
            call: http.get
            args:
              url: http://IP_ADDRESS
              private_service_name: "projects/PROJECT_ID/locations/REGION/namespaces/NAMESPACE/services/SERVICE"
            result: res
        - ret:
            return: ${res}

    JSON

    {
      "main": {
        "steps": [
          {
            "checkHttp": {
              "call": "http.get",
              "args": {
                "url": "http://IP_ADDRESS",
                "private_service_name": "projects/PROJECT_ID/locations/REGION/namespaces/NAMESPACE/services/SERVICE"
              },
              "result": "res"
            }
          },
          {
            "ret": {
              "return": "${res}"
            }
          }
        ]
      }
    }

    private_service_name 값은 등록된 서비스 디렉터리 서비스 이름을 지정하는 문자열이며 다음 형식이어야 합니다.

    projects/PROJECT_ID/locations/LOCATION/namespaces/NAMESPACE_NAME/services/SERVICE_NAME

  3. 워크플로를 배포합니다. 테스트 목적으로 워크플로에 Compute Engine 기본 서비스 계정을 연결하여 해당 ID를 나타낼 수 있습니다.

    gcloud workflows deploy call-private-endpoint \
        --source=call-private-endpoint.JSON_OR_YAML \
        --location=REGION \
        --service-account=PROJECT_NUMBER-compute@developer.gserviceaccount.com
  4. 워크플로를 실행합니다.

    gcloud workflows run call-private-endpoint \
        --location=REGION

    다음과 비슷한 결과가 표시됩니다.

    argument: 'null'
    duration: 0.650784403s
    endTime: '2023-06-09T18:19:52.570690079Z'
    name: projects/968807934019/locations/us-central1/workflows/call-private-endpoint/executions/4aac88d3-0b54-419b-b364-b6eb973cc932
    result: '{"body":"Hello, world!","code":200,"headers":{"Connection":"keep-alive","Content-Length":"21","Content-Type":"text/html;
    charset=utf-8","Date":"Fri, 09 Jun 2023 18:19:52 GMT","Etag":"W/\"15-NFaeBgdti+9S7zm5kAdSuGJQm6Q\"","Keep-Alive":"timeout=5","X-Powered-By":"Express"}}'
    startTime: '2023-06-09T18:19:51.919905676Z'
    state: SUCCEEDED

다음 단계