3단계: 액세스 구성
이 섹션에서는 MDE 설치를 완료하는 데 필요한 배포 후 단계에 관한 안내를 제공합니다.
GKE 클러스터 Filestore 드라이버 사용 설정
1.4.0부터 MDE GKE 클러스터는 파일 저장소 인스턴스를 사용하여 JVM 힙 덤프를 저장하므로 엔지니어링팀이 고객 문제를 더 효과적으로 해결할 수 있습니다. Terraform 제한으로 인해 이전 버전의 Autopilot 클러스터에서는 이 부가기능이 사용 설정되지 않을 수 있습니다.
포드가 시작되지 않고 ContainerCreating 상태인 경우 다음 명령어를 사용하여 Filestore의 CSI 드라이버를 사용 설정해야 합니다.
gcloud container clusters update CLUSTER_NAME \
--update-addons=GcpFilestoreCsiDriver=ENABLED --region REGION_NAME
IAP(Identity-Aware Proxy) 구성
ID 인식 프록시 (IAP)를 사용하면 MDE API 및 웹 인터페이스의 내부 IP에 안전하게 연결할 수 있으며, 외부 부하 분산기 옵션으로 배포한 경우 승인된 사용자에게만 MDE 웹 인터페이스에 대한 외부 액세스를 제한할 수 있습니다.
IAP를 사용하려면 먼저 OAuth 화면을 구성하고 IAP 서비스 API를 사용 설정해야 합니다.
Google Cloud 콘솔에서 IAP로 이동하여 API 사용 설정을 클릭합니다. 완료하는 데 몇 분 정도 걸릴 수 있습니다.
IAP의 OAuth 동의 화면을 구성합니다.
Google Cloud 콘솔에서 보안 > IAP(Identity-Aware Proxy) 페이지로 이동하여 MDE 배포 프로젝트를 선택합니다.
프로젝트의 OAuth 동의 화면을 구성하지 않았으면, 이를 수행하라는 메시지가 표시됩니다.
- 동의 화면 구성을 클릭합니다.
- 외부 사용자 유형을 선택하고 만들기를 클릭합니다.
- 표시하려는 애플리케이션 이름을 입력합니다(예:
MDE). - 사용자 지원 이메일에서 공개 연락처로 표시할 이메일 주소를 선택합니다. 이메일 주소는 로그인한 사용자 계정 또는 로그인한 사용자가 관리자 또는 소유자인 Google 그룹에 속해야 합니다.
- 개발자 연락처 정보로 이동하여 Google에서 프로젝트 변경사항을 알릴 때 사용할 이메일 주소를 입력합니다.
- 선택적 세부정보를 추가합니다.
- 저장을 클릭합니다.
나중에 제품 이름 또는 이메일 주소와 같은 OAuth 동의 화면의 정보를 변경하려면 앞의 단계를 반복하여 동의 화면을 구성합니다.
IAP를 통한 SSH 터널링
MDE 서비스의 비공개 IP에 연결하려면 SSH를 통해 프록시를 터널링하면 됩니다. 이렇게 하면 Postman과 같은 로컬 도구를 사용하여 MDE API와 상호작용할 수 있습니다.
시작하기 전에
일반 인앱 구매 구성 단계를 완료했는지 확인합니다.
표준 MDE 배포는 mde-proxy라는 프록시 VM을 만듭니다. 이 머신은 MDE API 게이트웨이 또는 MDE 웹 인터페이스에 대한 수신 요청을 프록시할 수 있습니다. 이 VM에는 비공개 IP만 있지만 IAP를 사용하면 TCP 전달용 IAP (Identity-Aware Proxy)를 사용하여 이 머신에 대한 보안 SSH 터널을 만들 수 있습니다.
이 섹션의 나머지 부분에서는 mde-proxy로 트래픽을 터널링하기 위해 IAP를 구성하는 방법과 워크스테이션에서 mde-proxy로 터널을 만드는 방법을 설명합니다.
Google Cloud 콘솔에서 IAP로 이동하여 SSH 및 TCP 리소스를 클릭합니다.
IAP를 사용하여
mde-proxy에 연결할 권한이 있는 사용자에게 다음 권한을 부여합니다.사용자가 IAP를 사용하여
mde-proxy에 연결할 수 있으려면 다음 안내에 따라roles/iap.tunnelResourceAccessor역할을 부여하세요.목록에서 mde-proxy를 선택합니다.
오른쪽 패널에서 주 구성원 추가를 클릭합니다.
액세스 권한을 부여할 주 구성원의 이메일을 입력합니다.
IAP-secured Tunnel User역할을 선택합니다.
다음 명령어를 사용하여 MDE API로 터널을 만듭니다.
export MDE_PROXY_ZONE=$(gcloud compute instances list --filter="mde-proxy" \ --format="value(zone)") gcloud compute ssh mde-proxy \ --zone "$MDE_PROXY_ZONE" --tunnel-through-iap \ -- -N -L 8080:api.mde.cloud.google.com:80명령어를 실행하면
http://localhost:8080에서 MDE API에 액세스할 수 있습니다.MDE 웹 인터페이스로 연결되는 터널을 만듭니다.
3단계에서 MDE API로 터널을 만든 경우 나중에 명령어를 실행할 새 터미널을 열 수 있습니다. MDE API 및 MDE 웹 인터페이스로 연결되는 SSH 터널은 병렬로 실행할 수 있습니다.
export MDE_PROXY_ZONE=$(gcloud compute instances list --filter="mde-proxy" \ --format="value(zone)") gcloud compute ssh mde-proxy \ --zone "$MDE_PROXY_ZONE" --tunnel-through-iap \ -- -N -L 8081:ui.mde.cloud.google.com:80명령어를 실행하면
http://localhost:8081에서 MDE 웹 인터페이스에 액세스할 수 있습니다.
웹 인터페이스 외부 HTTP 부하 분산기에 대한 액세스 구성
이 섹션에서는 IAP를 사용하여 MDE 웹 인터페이스 외부 HTTP 부하 분산기에 대한 액세스를 구성합니다.
MDE 웹 인터페이스에 외부 HTTP 부하 분산기를 사용 설정한 경우 IAP를 사용하여 승인된 사용자만 애플리케이션에 액세스할 수 있도록 제한해야 합니다.
시작하기 전에
다음 기본 요건을 완료해야 합니다.
- MDE 웹 인터페이스를 사용하여 MDE를 배포했습니다.
- 외부 HTTP 부하 분산기를 사용하여 MDE 웹 인터페이스를 배포했습니다.
- 일반 IAP 구성 단계를 완료했습니다.
단계
- Google Cloud 콘솔에서 IAP로 이동합니다.
- 애플리케이션을 클릭합니다.
mde/mde-ui-ext-service서비스를 선택합니다.사용 설정 전환 버튼을 클릭합니다.
구성 요구사항을 읽고 동의합니다.
사용 설정을 클릭합니다. 이 작업은 몇 분 정도 걸릴 수 있습니다.
IAP를 사용할 권한이 있는 사용자에게 MDE 웹 인터페이스에 액세스할 권한을 부여합니다.
- 오른쪽 측면 패널에서 주 구성원 추가를 클릭합니다.
- 액세스 권한을 부여할 주 구성원의 이메일을 입력합니다.
IAP-secured Web App User역할을 선택합니다.
MDE 웹 인터페이스의 DNS 구성
MDE 웹 인터페이스에 대해 외부 HTTP 부하 분산기를 사용 설정한 경우 input.tfvars에서 MDE_UI_DOMAIN_NAME 변수에 할당한 도메인 이름의 A 레코드를 Google 관리형 SSL 인증서 프로비저닝을 완료하기 위해 배포된 외부 HTTP 부하 분산기의 IP 주소로 설정해야 합니다.
다음 명령어를 사용하여 외부 HTTP 부하 분산기의 IP 주소를 조회할 수 있습니다.
gcloud compute addresses list --filter="name~'.*mde-ui.*'" --format="value(address)" --global
A 레코드를 만드는 방법에 대한 자세한 내용은 DNS 호스트에 문의하세요.