비공개 웹 앱 배포하기

Private Service Connect (PSC) URL을 만들어 환경의 비공개 앱을 연결합니다.

PSC URL을 설정하려면 내부 부하 분산기를 만든 다음 내부 IP 주소를 사용하는 서비스 연결을 만드세요.

내부 부하 분산기 만들기

Google Workspace의 비공개 앱은 전역 액세스가 사용 설정된 내부 부하 분산기 뒤에 게시해야 합니다. 자세한 내용은 자동 승인으로 서비스 게시를 참고하세요.

Compute 또는 GKE 리소스용 내부 패스 스루 네트워크 부하 분산기 만들기

시작하기 전에: 보안 HTTPS 통신을 허용하려면 포트 443에서 요청을 처리하도록 구성된 인스턴스 그룹을 설정합니다. 백엔드 구성 탭에서 인스턴스 그룹을 선택합니다.

1. Google Cloud 콘솔에서 부하 분산 페이지로 이동합니다.
2. 부하 분산기 만들기 를 클릭합니다.
3. **네트워크 부하 분산기 (TCP/SSL) 구성 시작** 을 클릭하고 다음을 선택합니다.
   1. 부하 분산기 유형 : 네트워크 부하 분산기 (TCP/UDP/SSL)
   2. **프록시 또는 패스 스루 : 패스 스루**
   3. **인터넷 연결 또는 내부 전용** : **내부**
   4. 다음 을 클릭합니다.
   5. 계속 을 클릭합니다.
4. 부하 분산기 이름을 입력하고 부하 분산기를 배포할 리전과 네트워크를 선택합니다.
   중요: 부하 분산기에 선택하는 네트워크는 인스턴스 그룹에서 사용하는 네트워크와 동일해야 합니다.
5. 백엔드 구성 탭을 클릭합니다.
   1. 프로토콜 : TCP 를 선택합니다.
   2. IP 스택 유형 : IPv4 를 선택합니다.
   3. 인스턴스 그룹을 선택합니다.
      인스턴스 그룹을 만들려면 인스턴스 그룹으로 이동하세요.
   4. 목록에서 상태 점검을 선택합니다. 새 상태 점검을 만들려면 다음 안내를 따르세요.
      1. 상태 점검 만들기 를 선택합니다.
      2. 상태 점검의 이름 (예: ping-port)을 입력합니다.
      3. 리전 범위 를 선택합니다.
      4. 프로토콜로 HTTPS를 선택합니다.
      5. 포트를 443으로 유지합니다.
      6. 프록시 프로토콜로 없음을 선택합니다.
      7. 요청 경로에는 "/"라고 남겨 두세요.
      8. 로그를 사용 설정합니다.
      9. 상태 기준의 기본값을 유지합니다.
6. 프런트엔드 구성 탭을 클릭합니다.
   1. (선택사항) 프런트엔드 이름을 입력합니다.
   2. IP 버전에서 IPv4를 선택합니다.
   3. 서브넷을 선택합니다.
   4. 내부 IP 용도에 비공유를 선택합니다.
   5. 포트에 단일을 선택합니다.
   6. 포트 번호에 443을 입력합니다.
   7. 전역 액세스에 사용 설정을 선택합니다.
7. 검토 및 완료 탭을 클릭하여 부하 분산기 구성 설정을 검토합니다.
8. 만들기 를 클릭합니다.

Cloud Run 리소스의 내부 부하 분산기 만들기

1. Google Cloud 콘솔에서 부하 분산 페이지로 이동합니다.
2. 부하 분산기 만들기 를 클릭합니다.
3. **애플리케이션 부하 분산기 (HTTP/S) 구성 시작** 을 클릭하고 다음을 선택합니다.
   1. 부하 분산기 유형 : 애플리케이션 부하 분산기 (HTTP/HTTPS) 를 선택합니다.
   2. 인터넷 연결 또는 내부 전용 : 내부 를 선택합니다.
   3. 리전 간 또는 단일 리전 배포 : 단일 리전 을 선택합니다.
   4. 다음 을 클릭합니다.
   5. 구성 을 클릭합니다.
4. 부하 분산기 이름을 입력하고 부하 분산기가 배포될 리전과 네트워크를 선택합니다.
5. 백엔드 구성 탭을 클릭합니다.
   1. 백엔드 서비스를 만들거나 선택합니다.
   2. 서비스를 만드는 경우 백엔드 유형에 서버리스 네트워크 엔드포인트 그룹을 선택하고 네트워크 엔드포인트 그룹을 선택합니다.
   3. 서버리스 네트워크 엔드포인트가 없으면 새로 만드는 옵션을 선택합니다.
      서버리스 네트워크 엔드포인트 그룹을 만들기 전에 엔드포인트 그룹이 가리킬 Cloud Run 서비스를 만듭니다.
6. 프런트엔드 구성 탭을 클릭합니다.
   1. **프로토콜** : **HTTPS** 를 선택합니다.
   2. 서브네트워크를 선택합니다.
   3. 아직 서브넷을 예약하지 않은 경우 화면에 표시된 단계를 완료합니다.
   4. 전역 액세스를 사용 설정합니다.
   5. 인증서의 경우 새로 만들거나 기존 인증서를 선택합니다.
7. 만들기 를 클릭합니다.

서비스 연결 URL 만들기

PSC URL을 설정하려면 내부 IP 주소를 사용하는 서비스 연결을 만드세요.

1. Google Cloud 콘솔에서 Private Service Connect 페이지로 이동합니다.
2. 서비스 게시 탭을 클릭합니다.
3. 서비스 게시 를 클릭합니다.
4. 게시하려는 서비스의 부하 분산기 유형을 선택합니다.
   • 내부 패스 스루 네트워크 부하 분산기
   • 리전 내부 프록시 네트워크 부하 분산기
   • 리전별 내부 애플리케이션 부하 분산기
5. 게시하려는 서비스를 호스팅하는 내부 부하 분산기를 선택합니다.
   네트워크 및 리전 필드에 선택한 내부 부하 분산기의 세부정보가 채워집니다.
6. 서비스 이름에 서비스 연결 이름을 입력합니다.
7. 서비스에 대해 하나 이상의 서브넷 을 선택합니다. 새 서브넷을 추가하려면 다음 안내를 따라 만드세요.
   1. 새 서브넷 예약 을 클릭합니다.
   2. 서브넷의 이름과 설명(선택사항)을 입력합니다.
   3. 서브넷의 리전을 선택합니다.
   4. 서브넷에 사용할 IP 범위를 입력하고 추가를 클릭합니다.
8. **연결 환경설정** 에서 **모든 연결 자동 허용** 을 선택합니다.
9. 서비스 추가 를 클릭합니다.
10. 게시된 서비스를 클릭합니다. 서비스 연결 필드의 서비스 연결 이름을 사용하여 URL을 만듭니다.
    https://www.googleapis.com/compute/v1/SERVICE_ATTACHMENT_NAME

Google Workspace에 비공개 웹 앱을 추가할 때 이 URL을 사용합니다. Workspace 계정에 웹 앱 추가하기를 참고하세요.

클라우드 또는 온프레미스 네트워크를 Google Cloud에 안전하게 연결하려면 앱 커넥터를 추가하세요.

앱 커넥터를 사용하면 사이트 간 가상 사설망 (VPN) 없이도 다른 클라우드에서 Google로 애플리케이션을 안전하게 연결할 수 있습니다.

Google이 아닌 네트워크에 VM 만들기

전용 가상 머신 (VM) 또는 Google 이외의 환경의 베어메탈 서버에 각 앱 커넥터 원격 에이전트를 설치해야 합니다.

• VM을 만들려면 네트워크 관리자에게 지원을 요청하거나 클라우드 제공업체에서 제공하는 안내를 따르세요.
• 원격 에이전트를 실행하려면 각 VM 또는 서버에서 Docker를 사용합니다.
• 원격 에이전트 VM의 네트워크 방화벽이 IAP-TCP IP 범위 35.235.240.0/20의 포트 443에서 시작된 모든 아웃바운드 트래픽을 허용하는지 확인하세요. 원격 에이전트 VM 방화벽이 아웃바운드 트래픽을 허용해야 하는 다른 도메인의 경우 방화벽 구성 확인을 참고하세요.

앱 커넥터 추가 및 원격 에이전트 설치하기

1. 앱 커넥터를 추가합니다.

   1. Google 관리 콘솔에서 메뉴   앱웹 및 모바일 앱으로 이동합니다.

      웹 및 모바일 앱으로 이동

      모바일 기기 관리 관리자 권한이 있어야 합니다.

   2. BeyondCorp Enterprise (BCE) 커넥터 탭을 클릭합니다.
   3. 커넥터 추가 를 클릭합니다.
   4. 커넥터 이름을 입력합니다(예: connect-myapp).
   5. Google 이외의 환경과 가까운 리전을 선택합니다.
   6. 커넥터 추가 를 클릭합니다.
   7. 상태를 보려면 오른쪽 상단에서 모래시계 태스크 를 클릭합니다.
2. 원격 에이전트를 호스팅할 VM 인스턴스를 만듭니다.
   네트워크 관리자 또는 클라우드 제공업체에서 제공한 안내를 따르세요. Google 이외의 네트워크에 VM 만들기를 참고하세요.
3. 원격 에이전트를 설치합니다.
   1. 앱 커넥터 이름을 클릭합니다.
   2. 원격 에이전트 설치 를 클릭합니다.
   3. Google 이외의 환경에서 원격 에이전트를 설치합니다.
      • 원격 에이전트를 호스팅할 가상 머신 (VM) 인스턴스를 만듭니다. 네트워크 관리자 또는 클라우드 제공업체에서 제공한 안내를 따르세요.
      • 원격 에이전트를 실행하는 데 필요한 Docker를 설치합니다. Docker Engine 설치에 대한 안내는 온라인 문서를 참고하세요.
      • Google Workspace 앱 커넥터 페이지에 표시된 명령줄 인터페이스 (CLI) 명령어를 사용하여 원격 에이전트를 설치하고 등록합니다.
      • 원격 에이전트가 성공적으로 등록되면 표시되는 공개 키를 복사하여 붙여넣습니다.
   4. 저장 을 클릭합니다.

앱 커넥터 페이지에 공개 키가 성공적으로 추가되었다고 표시됩니다.

웹 앱을 만든 관리자는 사용자가 앱에 액세스할 수 있는 조건을 결정할 수 있습니다. 예를 들어 특정 도메인의 사용자에게만 액세스를 제한하거나 특정 시간 또는 요일에만 액세스를 허용할 수 있습니다. 액세스가 거부되면 사용자는 특정 페이지로 리디렉션됩니다.

1. Google 관리 콘솔에서 메뉴   앱웹 및 모바일 앱으로 이동합니다.

   웹 및 모바일 앱으로 이동

   모바일 기기 관리 관리자 권한이 있어야 합니다.

2. 앱 탭을 클릭하고 앱을 클릭하여 세부정보 페이지를 엽니다.
3. 고급 설정 을 클릭합니다.

• 403 방문 페이지: 앱에 대한 액세스가 거부된 경우 사용자가 리디렉션될 웹 주소를 입력합니다. https://<url> 형식을 사용합니다.
• 인증 도메인 : 사용자가 조직의 사용자 인증 정보를 사용하여 로그인할 수 있도록 하려면 조직의 싱글 사인온 (SSO) URL을 입력합니다. 또한 Google Workspace 도메인에 유효한 사용자 인증 정보가 없는 사용자의 액세스가 거부됩니다. sso.your.org.com 형식을 사용합니다.
• 허용된 도메인: 사용자가 지정된 도메인에만 액세스하도록 제한하려면 허용된 도메인 사용 설정 체크박스를 선택합니다. 항목을 쉼표로 구분합니다(예: test.your.org.com, prod.your.org.com).
• 재인증: 일정 기간이 지난 후 사용자가 재인증하도록 하려면 이 옵션을 사용합니다. 예를 들어 사용자는 보안 키를 터치하거나 2단계 인증 (2FA)을 사용할 수 있습니다.
  • 로그인: 사용자가 지정된 시간 동안 로그인한 후에는 사용자 이름과 비밀번호를 사용하여 재인증하도록 요청합니다.
  • 보안 키: 사용자에게 보안 키를 사용하여 재인증하도록 요구합니다.
  • 등록된 2단계 인증: 사용자에게 2단계 인증을 사용하여 재인증하도록 요구합니다.

자세한 내용은 IAP 재인증을 참고하세요.