온프레미스 앱에 IAP 사용 설정

이 페이지에서는 IAP 커넥터를 배포하여Google Cloud 외부의 HTTP 또는 HTTPS 기반 온프레미스 앱을 IAP (Identity-Aware Proxy)로 보호하는 방법을 설명합니다.

IAP가 온프레미스 앱 및 리소스를 보호하는 방법에 대한 자세한 내용은 온프레미스 앱용 IAP 개요를 참조하세요.

시작하기 전에

시작하기 전에 다음이 필요합니다.

HTTP 또는 HTTPS 기반 온프레미스 앱
Google Cloud 프로젝트에 대한 소유자 역할이 부여된 Cloud ID 구성원

참고: IAM 기본 역할은 Google Cloud 리소스에 대한 광범위한 액세스 권한을 부여하는 광범위한 역할입니다. 프로덕션 환경에서는 기본 역할을 부여하지 않는 것이 좋습니다. 개발 환경 또는 테스트 환경에서는 기본 역할을 부여해도 됩니다.
Google API 서비스 에이전트에 소유자 역할을 부여해야 합니다.
결제가 사용 설정된 Google Cloud 프로젝트.
Google Cloud트래픽의 인그레스 지점으로 사용할 외부 URL입니다. 예를 들면 hr.example.com입니다.
Google Cloud로 유입되는 트래픽의 인그레스 지점으로 사용되는 DNS 호스트 이름의 SSL 또는 TLS 인증서. 기존 자체 관리형 인증서 또는 Google 관리형 인증서를 사용할 수 있습니다. 인증서가 없는 경우 Let's Encrypt를 사용하여 만드세요.
VPC 서비스 제어가 사용 설정된 경우 VM 서비스 계정에서 프로젝트 278958399328의 gce-mesh 버킷으로의 cp 작업에 대한 이그레스 정책이 있는 VPC 네트워크. 이 정책은 VPC 네트워크에 gce-mesh 버킷에서 Envoy 바이너리 파일을 검색할 수 있는 권한을 부여합니다. VPC 서비스 제어가 사용 설정되지 않은 경우 기본적으로 권한이 부여됩니다.
다음 단계를 완료하여 외부 IP를 사용 중지하세요.
- IAP 커넥터에 사용되는 VPC 서브넷에서 비공개 Google 액세스를 사용 설정합니다. 자세한 내용은 비공개 Google 액세스를 참고하세요.
- VPC 네트워크의 방화벽 구성에 따라 VM이 Google API 및 서비스의 IP 주소에 액세스할 수 있는지 확인합니다. 기본적으로 이 액세스 권한이 부여되지만 사용자가 명시적으로 변경할 수 있습니다. IP 범위를 찾는 방법에 대한 자세한 내용은 기본 도메인의 IP 주소를 참고하세요.

온프레미스 앱의 커넥터 배포

IAP 페이지로 이동합니다.

IAP로 이동
온프레미스 앱의 커넥터 배포 설정을 시작하려면 새 애플리케이션 연결을 클릭하고 온프레미스 커넥터를 통해 연결을 선택합니다.
필수 API가 사용 설정되어 있는지 확인하려면 오른쪽 패널에서 API 사용 설정 및 계속을 클릭합니다.
구성 세부정보를 선택하고 다음을 클릭합니다.
- 배포에서 Google 관리형 인증서 또는 개발자가 관리하는 인증서를 사용할지 여부를 선택합니다.
- 배포용 네트워크 및 서브넷을 선택하거나 새 네트워크 및 서브넷을 만들도록 선택합니다.
추가하려는 온프레미스 앱의 다음 세부정보를 입력합니다.
- Google Cloud로 전송되는 요청의 외부 URL을 입력합니다. 이 URL은 트래픽이 환경으로 진입하는 지점입니다.
- 앱의 이름을 입력합니다. 이 이름은 부하 분산기 뒤의 새 백엔드 서비스의 이름으로도 사용됩니다.
- 리전을 선택합니다.
- 온프렘 엔드포인트 유형과 세부정보를 제공합니다.
  - 정규화된 도메인 이름(FQDN): 커넥터가 트래픽을 전달해야 하는 도메인입니다.
  - IP 주소: IAP 커넥터를 배포해야 하는 하나 이상의 영역 (예: us-central1-a). 각 영역에 대해 사용자가 승인되고 인증된 후 IAP가 트래픽을 라우팅하는 온프레미스 앱의 내부 대상 IPv4 주소를 지정합니다.
  참고: 온프레미스 엔드포인트가 IP 주소인 경우 IAP 온프레미스 커넥터를 사용하는 대신 부하 분산기를 통해 직접 하이브리드 연결 네트워크 엔드포인트 그룹을 사용하는 것이 좋습니다.
- 온프레미스 엔드포인트에서 사용하는 프로토콜을 선택합니다.
- 온프렘 엔드포인트에서 사용하는 포트 번호를 입력합니다(예: HTTPS의 경우 443, HTTP의 경우 80).
완료를 클릭하여 앱의 세부정보를 저장합니다. 배포에 대한 추가 온프레미스 앱을 정의할 수도 있습니다.
정의한 앱의 배포를 시작하려면 제출을 클릭합니다.

배포가 완료되면 온프레미스 커넥터 앱이 애플리케이션 테이블에 표시되고 IAP를 사용 설정할 수 있습니다.

Google이 인증서를 자동 생성하고 관리하도록 선택하면 인증서가 프로비저닝되는 데 몇 분 정도 걸릴 수 있습니다. Cloud Load Balancing 세부정보 페이지에서 상태를 확인할 수 있습니다. 상태에 대한 자세한 내용은 문제 해결 페이지를 참조하세요.

온프레미스 앱의 커넥터 관리

배포에 더 많은 앱을 추가하려면 새 애플리케이션 연결을 클릭한 다음 온프렘 커넥터를 통해 연결을 클릭합니다.
전체 배포를 삭제하여 온프레미스 커넥터를 삭제하려면 다음 단계를 따르세요.
1. Deployment Manager 페이지로 이동
  
  Deployment Manager로 이동
2. 배포 목록에서 'on-prem-app-deployment' 배포 옆의 체크박스를 선택합니다.
3. 페이지 상단에서 삭제를 클릭합니다.
개별 앱을 삭제하려면 애플리케이션 탭에서 삭제 버튼을 클릭합니다. 온프레미스 커넥터에는 앱이 하나 이상 포함되어야 합니다. 모든 앱을 삭제하려면 전체 배포를 삭제하세요.