관리형 워크로드의 수명 주기 관리 구성

이 문서에서는 Certificate Manager (2세대)를 사용하여 Compute Engine 및 Google Kubernetes Engine (GKE)과 같은 관리형 워크로드의 인증서 수명 주기 관리를 구성하는 방법을 보여줍니다. 인증서 발급 구성을 사용하여 관리형 워크로드 아이덴티티 풀을 Certificate Authority Service 풀에 연결하면 인증서 발급 및 갱신을 자동화할 수 있습니다. 이렇게 하면 만료된 인증서로 인해 발생하는 서비스 중단을 방지할 수 있습니다.

시작하기 전에

  1. 계정에 로그인합니다. Google Cloud 를 처음 사용하는 경우 Google Cloud, 계정을 만들고 Google 제품의 실제 성능을 평가해 보세요. 신규 고객에게는 워크로드를 실행, 테스트, 배포하는 데 사용할 수 있는 $300의 무료 크레딧이 제공됩니다.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

  4. Verify that billing is enabled for your Google Cloud project.

  5. Enable the Compute Engine, Certificate Manager, Certificate Authority Service APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  6. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  7. If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

  8. Verify that billing is enabled for your Google Cloud project.

  9. Enable the Compute Engine, Certificate Manager, Certificate Authority Service APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

    10.

필요한 역할

수명 주기 관리를 구성하는 데 필요한 권한을 얻으려면 관리자에게 프로젝트에 대한 다음 IAM 역할을 부여해 달라고 요청하세요.

역할 부여에 대한 자세한 내용은 프로젝트, 폴더, 조직에 대한 액세스 관리를 참조하세요.

커스텀 역할이나 다른 사전 정의된 역할을 통해 필요한 권한을 얻을 수도 있습니다.

관리형 워크로드의 수명 주기 구성

관리형 워크로드 아이덴티티 풀을 구성하여 연결된 워크로드가 기존 CA 서비스 풀에서 인증서를 수신하고 갱신하는 방법을 지정합니다.

  1. 콘솔에서 인증서 관리자 (2세대) 페이지로 이동합니다. Google Cloud

    인증서 관리자 (2세대)로 이동

  2. 탐색창에서 수명 주기 관리 를 클릭합니다.
  3. 관리형 워크로드 아이덴티티 탭을 선택합니다.
  4. 구성하려는 워크로드 아이덴티티 풀을 찾은 후 수명 주기 관리 구성을 클릭합니다.
  5. 리전의 리전CA 풀 을 선택합니다.
  6. 인증서 수명 필드에 발급된 인증서의 유효성을 지정합니다. 값은 21일에서 30일 사이여야 합니다.
  7. 순환 기간 을 50에서 80 사이의 값으로 설정합니다. 이는 갱신을 트리거하는 인증서 수명의 비율입니다.
  8. 키 알고리즘 필드에서 비공개 키를 생성하는 데 사용할 암호화 알고리즘을 선택합니다.
  9. 업데이트 를 클릭합니다.

다음 단계