Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

VPC 서비스 제어와 함께 사용하도록 워크로드 관리자 구성

이 페이지에서는 VPC 서비스 제어로 보호되는 프로젝트에서 워크로드 관리자 평가를 실행하도록 인그레스 및 이그레스 규칙을 구성하는 방법을 설명합니다.

VPC 서비스 제어로 보호되는 프로젝트에서 워크로드 관리자 평가를 실행할 때는 컴퓨팅 워크로드용 에이전트를 실행하는 Compute Engine 인스턴스에 연결된 서비스 계정에 인그레스 및 이그레스 규칙을 구성해야 합니다. 이러한 규칙을 사용하면 서비스 계정이 VPC 서비스 제어 경계 내에서 필요한 API에 액세스할 수 있습니다. 이러한 규칙을 구성하지 않으면 에이전트가 워크로드 관리자로 데이터를 전송할 수 없으며 평가가 실패합니다.

자세한 내용은 VPC 서비스 제어 개요를 참조하세요.

시작하기 전에

프로젝트에 VPC 서비스 제어를 설정하기 전에 다음 단계를 따르세요.

VPC 서비스 제어 경계를 설정합니다.
컴퓨팅 워크로드용 에이전트를 실행하는 Compute Engine 인스턴스에 연결된 서비스 계정을 식별합니다. 예를 들어 sap-example-svc-acct@example-project-123456.iam.gserviceaccount.com입니다. 콘솔의 VM 인스턴스 세부정보 페이지에서 확인할 수 있습니다. Google Cloud
서비스 계정에 필요한 역할이 있는지 확인합니다. 예를 들어 에이전트 및 SAP 워크로드에 필요한 역할을 참조하세요.

필요한 역할

VPC 서비스 제어 경계 내에서 사용할 워크로드 관리자를 구성하는 데 필요한 권한을 얻으려면 관리자에게 프로젝트에 대한 Access Context Manager 편집자 (roles/accesscontextmanager.policyEditor) IAM 역할을 부여해 달라고 요청하세요. 역할 부여에 대한 자세한 내용은 프로젝트, 폴더, 조직에 대한 액세스 관리를 참조하세요.

커스텀 역할이나 다른 사전 정의된 역할을 통해 필요한 권한을 얻을 수도 있습니다.

서비스 경계의 인그레스 및 이그레스 규칙 만들기

컴퓨팅 워크로드용 에이전트가 필요한 서비스와 통신하도록 하려면 VPC 서비스 제어 경계에서 인그레스 및 이그레스 규칙을 구성해야 합니다.

인그레스 규칙을 만드는 방법에 대한 자세한 내용은 인그레스 및 이그레스 정책 구성을 참조하세요.

콘솔

콘솔에서 VPC 서비스 제어 페이지로 이동합니다. Google Cloud

VPC 서비스 제어로 이동
프로젝트를 선택합니다.
서비스 경계 이름을 클릭한 다음 수정 을 클릭합니다.
인그레스 정책 또는 이그레스 정책 을 클릭합니다.
인그레스 규칙 추가 를 클릭합니다.
From 섹션에서 서비스 에이전트의 ID를 지정합니다.
1. **ID** 에서 **ID 및 그룹 선택** 을 선택합니다.
2. ID 추가 를 클릭합니다.
3. 에이전트 서비스 계정의 이메일 주소를 입력합니다. 예를 들어 sap-example-svc-acct@example-project-123456.iam.gserviceaccount.com입니다.
To 섹션에서 허용된 작업을 지정합니다.
1. **리소스** 에서 **모든 프로젝트** 를 선택합니다.
2. **작업** 에서 **작업 선택** 을 선택합니다.
3. 작업 추가를 클릭한 후 모든 메서드가 선택된 상태로 다음 서비스를 추가합니다.
  - compute.googleapis.com
  - workloadmanager.googleapis.com
  - secretmanager.googleapis.com
완료를 클릭한 다음 저장을 클릭합니다.

gcloud

인그레스 규칙을 추가하려면 인그레스 규칙이 포함된 YAML 파일을 만들고 gcloud access-context-manager perimeters update 명령어와 함께 --set-ingress-policies 플래그를 사용합니다.

다음 콘텐츠로 ingress_policy.yaml이라는 인그레스 정책 YAML 파일을 만듭니다.

- ingressFrom:
    identities:
     - serviceAccount:SERVICE_ACCOUNT_EMAIL
    sources:
    - accessLevel: '*'
  ingressTo:
    operations:
    - serviceName: compute.googleapis.com
      methodSelectors:
      - method: "*"
    - serviceName: workloadmanager.googleapis.com
      methodSelectors:
      - method: "*"
    - serviceName: secretmanager.googleapis.com
      methodSelectors:
      - method: "*"
    resources:
    - "*"

SERVICE_ACCOUNT_EMAIL을 컴퓨팅 워크로드용 에이전트를 실행하는 Compute Engine 인스턴스에 연결된 서비스 계정의 이메일 주소로 바꿉니다.

경계에 인그레스 정책을 추가합니다.
```
   gcloud access-context-manager perimeters update PERIMETER_NAME \
     --set-ingress-policies=ingress_policy.yaml
```
PERIMETER_NAME을 서비스 경계 이름으로 바꿉니다. 예를 들어 accessPolicies/1234567890/servicePerimeters/example_perimeter입니다.

VPC 서비스 제어 위반 문제 해결

프로젝트에서 VPC 서비스 제어 위반을 확인하고 문제를 해결하려면 로그 탐색기를 사용하세요.

자세한 내용은 VPC 서비스 제어 문제 해결을 참조하세요.

다음 단계

평가 만들기 및 실행