GSP213

개요

현실 세계에서는 민감한 정보를 보호하고 웹 애플리케이션의 지속적인 가용성을 항상 보장해야 합니다. Google Cloud VPC 네트워크를 사용해 Google Cloud 환경에서 더욱 안전하고 확장 가능하고 관리가 용이한 웹 서버 배포를 만드는 방법을 알아보세요.

이 실습에서는 기본 VPC 네트워크에 2개의 nginx 웹 서버를 만들고, 태그된 방화벽 규칙을 사용해 웹 서버에 대한 외부 HTTP 액세스를 제어합니다. 그런 다음 IAM 역할과 서비스 계정을 살펴봅니다.

• 2개의 웹 서버는 중복성을 제공합니다. 한 서버에 장애가 발생하면 다른 서버에서 웹 트래픽을 계속 처리할 수 있어 다운타임을 방지할 수 있습니다.
• 태그된 방화벽 규칙은 어떤 트래픽이 특정 웹 서버에 도달할 수 있는지 세부적으로 제어합니다.
• 서비스 계정에 작업 수행을 위한 권한을 할당하면 최소 권한의 원칙에 따라 Cloud 리소스를 안전하게 보호할 수 있습니다.

목표

이 실습에서는 다음 작업을 수행하는 방법을 알아봅니다.

• VPC 네트워크에 nginx 웹 서버 만들기
• 태그된 방화벽 규칙 만들기
• IAM 역할이 있는 서비스 계정 만들기
• 네트워크 관리자 및 보안 관리자 역할의 권한 알아보기

설정 및 요건

실습 시작 버튼을 클릭하기 전에

다음 안내를 확인하세요. 실습에는 시간 제한이 있으며 일시중지할 수 없습니다. 실습 시작을 클릭하면 타이머가 시작됩니다. 이 타이머는 Google Cloud 리소스를 사용할 수 있는 시간이 얼마나 남았는지를 표시합니다.

실무형 실습을 통해 시뮬레이션이나 데모 환경이 아닌 실제 클라우드 환경에서 실습 활동을 진행할 수 있습니다. 실습 시간 동안 Google Cloud에 로그인하고 액세스하는 데 사용할 수 있는 새로운 임시 사용자 인증 정보가 제공됩니다.

이 실습을 완료하려면 다음을 준비해야 합니다.

• 표준 인터넷 브라우저 액세스 권한(Chrome 브라우저 권장)

참고: 이 실습을 실행하려면 시크릿 모드(권장) 또는 시크릿 브라우저 창을 사용하세요. 개인 계정과 학습자 계정 간의 충돌로 개인 계정에 추가 요금이 발생하는 일을 방지해 줍니다.

• 실습을 완료하기에 충분한 시간(실습을 시작하고 나면 일시중지할 수 없음)

참고: 이 실습에는 학습자 계정만 사용하세요. 다른 Google Cloud 계정을 사용하는 경우 해당 계정에 비용이 청구될 수 있습니다.

실습을 시작하고 Google Cloud 콘솔에 로그인하는 방법

1. 실습 시작 버튼을 클릭합니다. 실습 비용을 결제해야 하는 경우 결제 수단을 선택할 수 있는 대화상자가 열립니다. 왼쪽에는 다음과 같은 항목이 포함된 실습 세부정보 창이 있습니다.

   • Google Cloud 콘솔 열기 버튼
   • 남은 시간
   • 이 실습에 사용해야 하는 임시 사용자 인증 정보
   • 필요한 경우 실습 진행을 위한 기타 정보

2. Google Cloud 콘솔 열기를 클릭합니다(Chrome 브라우저를 실행 중인 경우 마우스 오른쪽 버튼으로 클릭하고 시크릿 창에서 링크 열기를 선택합니다).

   실습에서 리소스가 가동되면 다른 탭이 열리고 로그인 페이지가 표시됩니다.

   팁: 두 개의 탭을 각각 별도의 창으로 나란히 정렬하세요.

   참고: 계정 선택 대화상자가 표시되면 다른 계정 사용을 클릭합니다.

3. 필요한 경우 아래의 사용자 이름을 복사하여 로그인 대화상자에 붙여넣습니다.

   {{{user_0.username | "Username"}}}

   실습 세부정보 창에서도 사용자 이름을 확인할 수 있습니다.

4. 다음을 클릭합니다.

5. 아래의 비밀번호를 복사하여 시작하기 대화상자에 붙여넣습니다.

   {{{user_0.password | "Password"}}}

   실습 세부정보 창에서도 비밀번호를 확인할 수 있습니다.

6. 다음을 클릭합니다.

   중요: 실습에서 제공하는 사용자 인증 정보를 사용해야 합니다. Google Cloud 계정 사용자 인증 정보를 사용하지 마세요. 참고: 이 실습에 자신의 Google Cloud 계정을 사용하면 추가 요금이 발생할 수 있습니다.

7. 이후에 표시되는 페이지를 클릭하여 넘깁니다.

   • 이용약관에 동의합니다.
   • 임시 계정이므로 복구 옵션이나 2단계 인증을 추가하지 않습니다.
   • 무료 체험판을 신청하지 않습니다.

잠시 후 Google Cloud 콘솔이 이 탭에서 열립니다.

참고: Google Cloud 제품 및 서비스에 액세스하려면 탐색 메뉴를 클릭하거나 검색창에 제품 또는 서비스 이름을 입력합니다.

Cloud Shell 활성화

Cloud Shell은 다양한 개발 도구가 탑재된 가상 머신으로, 5GB의 영구 홈 디렉터리를 제공하며 Google Cloud에서 실행됩니다. Cloud Shell을 사용하면 명령줄을 통해 Google Cloud 리소스에 액세스할 수 있습니다.

1. Google Cloud 콘솔 상단에서 Cloud Shell 활성화 를 클릭합니다.

2. 다음 창을 클릭합니다.

   • Cloud Shell 정보 창을 통해 계속 진행합니다.
   • 사용자 인증 정보를 사용하여 Google Cloud API를 호출할 수 있도록 Cloud Shell을 승인합니다.

연결되면 사용자 인증이 이미 처리된 것이며 프로젝트가 학습자의 PROJECT_ID, (으)로 설정됩니다. 출력에 이 세션의 PROJECT_ID를 선언하는 줄이 포함됩니다.

Your Cloud Platform project in this session is set to {{{project_0.project_id | "PROJECT_ID"}}}

gcloud는 Google Cloud의 명령줄 도구입니다. Cloud Shell에 사전 설치되어 있으며 명령줄 자동 완성을 지원합니다.

3. (선택사항) 다음 명령어를 사용하여 활성 계정 이름 목록을 표시할 수 있습니다.

gcloud auth list

4. 승인을 클릭합니다.

출력:

ACTIVE: * ACCOUNT: {{{user_0.username | "ACCOUNT"}}} To set the active account, run: $ gcloud config set account `ACCOUNT`

5. (선택사항) 다음 명령어를 사용하여 프로젝트 ID 목록을 표시할 수 있습니다.

gcloud config list project

출력:

[core] project = {{{project_0.project_id | "PROJECT_ID"}}} 참고: gcloud 전체 문서는 Google Cloud에서 gcloud CLI 개요 가이드를 참고하세요.

작업 1. 웹 서버 만들기

이 섹션에서는 기본 VPC 네트워크에 2개의 웹 서버(blue 및 green)를 만들어 봅니다. 그런 다음, 두 서버에 nginx를 설치하고 각 서버를 구별할 수 있도록 시작 페이지를 수정합니다.

blue 서버 만들기

네트워크 태그를 사용해 blue 서버를 만듭니다.

1. Cloud 콘솔에서 탐색 메뉴() > Compute Engine > VM 인스턴스로 이동합니다.

2. 새 인스턴스를 만들려면 인스턴스 만들기를 클릭합니다.

3. 머신 구성에서

   다음 값을 선택합니다.

   속성	값(지정된 대로 값 입력 또는 옵션 선택)
   이름	blue
   리전
   영역

   사용 가능한 리전과 영역에 대한 자세한 내용은 Google Cloud Compute Engine 리전 및 영역 가이드에서 Compute Engine 가이드의 사용 가능한 리전 및 영역 섹션을 참조하세요.

4. 네트워킹을 클릭합니다.

   • 네트워크 태그에 web-server를 입력합니다.
   참고: 네트워크는 네트워크 태그를 사용하여 특정 방화벽 규칙과 네트워크 경로의 대상이 되는 VM 인스턴스가 무엇인지 파악합니다. 실습 후반부에서 web-server 태그를 사용해 VM 인스턴스에 대한 HTTP 액세스를 허용하는 방화벽 규칙을 만들어 봅니다. 또는 HTTP 트래픽 허용 체크박스를 선택하여 인스턴스를 http-server로 태그하고 tcp:80에 대한 태그된 방화벽 규칙을 생성할 수도 있습니다.

5. 만들기를 클릭합니다.

완료한 작업 테스트하기

내 진행 상황 확인하기를 클릭하여 실행한 작업을 확인합니다. 성공적으로 작업을 완료하고 나면 평가 점수가 부여됩니다.

blue 서버 만들기

green 서버 만들기

네트워크 태그를 사용하지 않고 green 서버를 만듭니다.

1. 콘솔의 VM 인스턴스 페이지에서 인스턴스 만들기를 클릭합니다.

2. 머신 구성에서

   다음 값을 선택합니다.

   속성	값(지정된 대로 값 입력 또는 옵션 선택)
   이름	green
   리전
   영역

3. 만들기를 클릭합니다.

완료한 작업 테스트하기

내 진행 상황 확인하기를 클릭하여 실행한 작업을 확인합니다. 성공적으로 작업을 완료하고 나면 평가 점수가 부여됩니다.

green 서버 만들기

nginx 설치 및 시작 페이지 맞춤설정

두 개의 VM 인스턴스에 nginx를 설치하고 각 서버를 구분할 수 있도록 시작 페이지를 수정합니다.

1. VM 인스턴스 대화상자에서 blue에 SSH를 클릭하여 터미널을 실행하고 연결합니다.

참고: VM에 연결하는 중에 SSH authentication failed 오류가 발생하면 다시 시도를 클릭하여 연결을 다시 설정하세요.

2. blue의 SSH 터미널에서 다음 명령어를 실행해 nginx를 설치합니다.

sudo apt-get install nginx-light -y

3. nano 편집기에서 시작 페이지를 엽니다.

sudo nano /var/www/html/index.nginx-debian.html

4. <h1>nginx 시작 페이지</h1> 행을 <h1>blue 서버 시작 페이지</h1>로 변경합니다.
5. Ctrl+O, Enter 키, Ctrl+X를 차례로 누릅니다.
6. 변경된 것을 확인합니다.

cat /var/www/html/index.nginx-debian.html

출력에 다음 내용이 포함됩니다.

<h1>blue 서버 시작 페이지</h1> <p>이 페이지가 표시된다면 nginx 웹 서버가 성공적으로 설치되어 작동하는 것입니다. 이제 추가 구성이 필요합니다.</p>

7. blue의 SSH 터미널을 종료합니다.

exit

green 서버에도 동일한 단계를 반복합니다.

8. green에서 SSH를 클릭하여 터미널을 실행하고 연결합니다.
9. nginx를 설치합니다.

sudo apt-get install nginx-light -y

10. nano 편집기에서 시작 페이지를 엽니다.

sudo nano /var/www/html/index.nginx-debian.html

11. <h1>nginx 시작 페이지</h1> 행을 <h1>green 서버 시작 페이지</h1>로 변경합니다.
12. Ctrl+O, Enter 키, Ctrl+X를 차례로 누릅니다.
13. 변경된 것을 확인합니다.

cat /var/www/html/index.nginx-debian.html

출력에 다음 내용이 포함됩니다.

<h1>green 서버 시작 페이지</h1> <p>이 페이지가 표시된다면 nginx 웹 서버가 성공적으로 설치되어 작동하는 것입니다. 이제 추가 구성이 필요합니다.</p>

14. green의 SSH 터미널을 종료합니다.

exit

완료한 작업 테스트하기

내 진행 상황 확인하기를 클릭하여 실행한 작업을 확인합니다. 성공적으로 작업을 완료하고 나면 평가 점수가 부여됩니다.

nginx 설치 및 시작 페이지 맞춤설정

작업 2. 방화벽 규칙 만들기

태그된 방화벽 규칙을 만들고 HTTP 연결을 테스트합니다.

태그된 방화벽 규칙 만들기

web-server 네트워크 태그를 사용해 VM 인스턴스에 적용할 방화벽 규칙을 만듭니다.

1. Cloud 콘솔에서 탐색 메뉴() > VPC 네트워크 > 방화벽으로 이동합니다.
2. default-allow-internal 방화벽 규칙을 확인합니다.

참고: default-allow-internal 방화벽 규칙은 기본 네트워크 내의 모든 프로토콜/포트에 대한 트래픽을 허용합니다. web-server 네트워크 태그를 사용해 이 네트워크 외부의 트래픽 중 blue 서버에 대한 트래픽만 허용하는 방화벽 규칙을 만들려고 합니다.

3. 방화벽 규칙 만들기를 클릭합니다.

4. 다음 값을 설정하고 나머지 값은 모두 기본값으로 유지합니다.

   속성	값(지정된 대로 값 입력 또는 옵션 선택)
   이름	allow-http-web-server
   네트워크	기본값
   대상	지정된 대상 태그
   대상 태그	web-server
   소스 필터	IPv4 범위
   소스 IPv4 범위	0.0.0.0/0
   프로토콜 및 포트	지정된 프로토콜 및 포트, check tcp, type: 80. 그리고 check 기타 프로토콜, type: icmp

참고: 모든 네트워크를 지정하기 위해 소스 IP 범위에 /0을 포함해야 합니다.

5. 만들기를 클릭합니다.

완료한 작업 테스트하기

내 진행 상황 확인하기를 클릭하여 실행한 작업을 확인합니다. 성공적으로 작업을 완료하고 나면 평가 점수가 부여됩니다.

태그된 방화벽 규칙 만들기

test-vm 만들기

Cloud Shell 명령줄을 사용해 test-vm 인스턴스를 만듭니다.

1. 새 Cloud Shell 터미널을 엽니다.

2. 다음 명령어를 실행하여 영역에 test-vm 인스턴스를 만듭니다.

gcloud compute instances create test-vm --machine-type=e2-micro --subnet=default --zone={{{project_0.default_zone|ZONE}}}

출력은 다음과 같습니다.

NAME ZONE MACHINE_TYPE PREEMPTIBLE INTERNAL_IP EXTERNAL_IP STATUS test-vm {{{project_0.default_zone|ZONE}}} e2-micro 10.142.0.4 35.237.134.68 RUNNING 참고: 콘솔 또는 gcloud 명령줄을 사용해 VM 인스턴스를 손쉽게 만들 수 있습니다.

완료한 작업 테스트하기

내 진행 상황 확인하기를 클릭하여 실행한 작업을 확인합니다. 성공적으로 작업을 완료하고 나면 평가 점수가 부여됩니다.

test-vm 만들기

HTTP 연결 테스트

test-vm에서 curl 명령어로 blue와 green의 내부 및 외부 IP 주소를 확인합니다.

1. 콘솔에서 탐색 메뉴() > Compute Engine > VM 인스턴스로 이동합니다.
2. blue와 green의 내부 및 외부 IP 주소를 확인합니다.
3. test-vm에서 SSH를 클릭해 터미널을 실행하고 연결합니다.
4. blue의 내부 IP에 대한 HTTP 연결을 테스트하려면 다음 명령어에서 blue의 내부 IP를 바꾼 후 명령어를 실행합니다.

curl <여기에 blue의 내부 IP 입력>

blue 서버 시작 페이지 헤더가 표시됩니다.

5. green의 내부 IP에 대한 HTTP 연결을 테스트하려면 다음 명령어에서 green의 내부 IP를 바꾼 후 명령어를 실행합니다.

curl -c 3 <여기에 green의 내부 IP 입력>

green 서버 시작 페이지 헤더가 표시됩니다.

참고: 각 서버의 내부 IP 주소를 사용하면 두 서버에 대해 HTTP 액세스가 허용됩니다. test-vm이 웹 서버의 기본 네트워크와 동일한 VPC 네트워크에 있기 때문에 default-allow-internal 방화벽 규칙이 tcp:80에 대한 연결을 허용합니다.

6. blue의 외부 IP에 대한 HTTP 연결을 테스트하려면 다음 명령어에서 blue의 외부 IP를 바꾼 후 명령어를 실행합니다.

curl <여기에 blue의 외부 IP 입력>

blue 서버 시작 페이지 헤더가 표시됩니다.

7. green의 외부 IP에 대한 HTTP 연결을 테스트하려면 다음 명령어에서 green의 외부 IP를 바꾼 후 명령어를 실행합니다.

curl -c 3 <여기에 green의 외부 IP 입력> 참고: 이 명령어는 정상적으로 실행되지 않습니다. 요청이 중단됩니다.

8. Ctrl+C를 눌러 HTTP 요청을 중단합니다.

참고: allow-http-web-server는 web-server 태그가 있는 VM 인스턴스에만 적용되므로 예상한 대로 blue 서버의 외부 IP 주소에 대한 HTTP 액세스만 허용됩니다.

브라우저에서 새 탭을 열고 http://[서버의 외부 IP]로 이동하는 방법으로 동일한 동작을 확인할 수 있습니다.

작업 3. 네트워크 및 보안 관리자 역할 알아보기

Cloud IAM을 사용하면 특정 리소스에 조치를 취할 사용자를 지정할 수 있어 클라우드 리소스를 중앙에서 관리하는 데 필요한 완전한 제어와 가시성을 얻게 됩니다. 다음 역할을 단일 프로젝트 네트워킹과 함께 사용하여 각 VPC 네트워크에 대한 관리 액세스를 독립적으로 제어할 수 있습니다.

• 네트워크 관리자: 방화벽 규칙 및 SSL 인증서를 제외한 네트워킹 리소스를 생성, 수정, 삭제할 수 있는 권한이 있습니다.
• 보안 관리자: 방화벽 규칙과 SSL 인증서를 생성, 수정, 삭제할 수 있는 권한이 있습니다.

이러한 역할을 서비스 계정에 적용하면서 살펴보세요. 서비스 계정은 개별 최종 사용자가 아닌 VM 인스턴스에 속한 특수 Google 계정입니다. 새로운 사용자를 만드는 대신, test-vm을 승인하여 서비스 계정으로 네트워크 관리자 및 보안 관리자 역할의 권한을 확인할 수 있습니다.

현재 권한 확인

현재 test-vm은 Compute Engine 기본 서비스 계정을 사용하며, 이 계정은 Cloud Shell 명령줄 및 Cloud 콘솔에서 생성된 모든 인스턴스에 대해 사용 설정되어 있습니다.

test-vm에서 사용 가능한 방화벽 규칙을 나열하거나 삭제할 수 있는지 시도해 봅니다.

1. test-vm 인스턴스의 SSH 터미널로 돌아갑니다.
2. 사용 가능한 방화벽 규칙 나열을 시도합니다.

gcloud compute firewall-rules list

출력은 다음과 같습니다.

ERROR: (gcloud.compute.firewall-rules.list) Some requests did not succeed: - Insufficient Permission 참고: 이 명령어는 정상적으로 실행되지 않습니다.

3. allow-http-web-server 방화벽 규칙 삭제를 시도합니다.

gcloud compute firewall-rules delete allow-http-web-server

4. 계속할지 묻는 메시지가 나타나면 Y를 입력합니다.

출력은 다음과 같습니다.

ERROR: (gcloud.compute.firewall-rules.delete) Could not fetch resource: - Insufficient Permission 참고: 이 명령어는 정상적으로 실행되지 않습니다. 참고: Compute Engine 기본 서비스 계정에는 방화벽 규칙을 나열하거나 삭제할 수 있는 적절한 권한이 없습니다. 이는 적절한 역할이 없는 사용자에게도 동일하게 적용됩니다.

서비스 계정 만들기

서비스 계정을 만들고 네트워크 관리자 역할을 적용합니다.

1. 콘솔에서 탐색 메뉴() > IAM 및 관리자 > 서비스 계정으로 이동합니다.

2. Compute Engine 기본 서비스 계정을 확인합니다.

3. 서비스 계정 만들기를 클릭합니다.

4. 서비스 계정 이름을 Network-admin으로 설정하고 만들고 계속하기를 클릭합니다.

5. 역할 선택에서 Compute Engine > Compute 네트워크 관리자를 선택한 다음 계속을 클릭하고 완료를 클릭합니다.

6. Network-admin 서비스 계정이 만들어지면 오른쪽의 점 3개를 클릭하고 드롭다운에서 키 관리를 클릭합니다. 그런 다음 키 추가를 클릭하고 드롭다운에서 새 키 만들기를 선택합니다. 만들기를 클릭하여 JSON 출력을 다운로드합니다.

7. 닫기를 클릭합니다.

   JSON 키 파일이 로컬 컴퓨터에 다운로드됩니다. 키 파일을 찾으세요. 이후 단계에서 이 키 파일을 VM에 업로드하게 됩니다.

8. 로컬 머신에서 JSON 키 파일의 이름을 credentials.json으로 변경합니다.

완료한 작업 테스트하기

내 진행 상황 확인하기를 클릭하여 실행한 작업을 확인합니다. 성공적으로 작업을 완료하고 나면 평가 점수가 부여됩니다.

Network-admin 서비스 계정 만들기

test-vm 승인 및 권한 확인

Network-admin 서비스 계정을 사용할 수 있도록 test-vm을 승인합니다.

1. test-vm 인스턴스의 SSH 터미널로 돌아갑니다.
2. SSH VM 터미널을 통해 credentials.json을 업로드하려면 오른쪽 상단의 파일 업로드 아이콘을 클릭합니다.
3. credentials.json을 선택하여 업로드합니다.
4. '파일 전송' 창에서 닫기를 클릭합니다. 참고: 메시지가 표시되면 Cloud Identity-Aware Proxy를 통한 연결 실패 대화상자에서 재시도를 클릭하여 파일을 다시 업로드합니다.
5. 방금 업로드한 사용자 인증 정보로 VM을 승인합니다.

gcloud auth activate-service-account --key-file credentials.json 참고: 사용 중인 이미지에 Cloud SDK가 사전 설치되어 있으므로 Cloud SDK를 초기화하지 않아도 됩니다. 다른 환경에서 이 실습을 하려면 Cloud SDK 설치에 관한 절차를 따르세요.

6. 사용 가능한 방화벽 규칙 나열을 시도합니다.

gcloud compute firewall-rules list

출력은 다음과 같습니다.

NAME NETWORK DIRECTION PRIORITY ALLOW DENY allow-http-web-server default INGRESS 1000 tcp:80 default-allow-icmp default INGRESS 65534 icmp default-allow-internal default INGRESS 65534 all default-allow-rdp default INGRESS 65534 tcp:3389 default-allow-ssh default INGRESS 65534 tcp:22

명령어가 정상적으로 실행됩니다.

7. allow-http-web-server 방화벽 규칙 삭제를 시도합니다.

gcloud compute firewall-rules delete allow-http-web-server

8. 계속할지 묻는 메시지가 나타나면 Y를 입력합니다.

출력은 다음과 같습니다.

ERROR: (gcloud.compute.firewall-rules.delete) Could not fetch resource: - Required 'compute.firewall.delete' permission for 'projects/[PROJECT_ID]/global/firewall/allow-http-web-server' 참고: 이 명령어는 정상적으로 실행되지 않습니다. 참고: 예상한 대로 네트워크 관리자 역할에는 방화벽 규칙을 나열하는 권한은 있지만 수정/삭제하는 권한은 없습니다.

서비스 계정 업데이트 및 권한 확인

Network-admin 서비스 계정에 보안 관리자 역할을 부여하여 서비스 계정을 업데이트합니다.

1. 콘솔에서 탐색 메뉴() > IAM 및 관리자 > IAM으로 이동합니다.

2. Network-admin 계정을 찾습니다. 이름 열에서 찾으면 더 수월합니다.

3. Network-admin 계정을 찾으면 연필 아이콘을 클릭합니다.

4. 역할을 Compute Engine > Compute 보안 관리자로 변경합니다.

5. 저장을 클릭합니다.

6. test-vm 인스턴스의 SSH 터미널로 돌아갑니다.

7. 사용 가능한 방화벽 규칙 나열을 시도합니다.

gcloud compute firewall-rules list

출력은 다음과 같습니다.

NAME NETWORK DIRECTION PRIORITY ALLOW DENY allow-http-web-server default INGRESS 1000 tcp:80 default-allow-icmp default INGRESS 65534 icmp default-allow-internal default INGRESS 65534 all default-allow-rdp default INGRESS 65534 tcp:3389 default-allow-ssh default INGRESS 65534 tcp:22

명령어가 정상적으로 실행됩니다.

8. allow-http-web-server 방화벽 규칙 삭제를 시도합니다.

gcloud compute firewall-rules delete allow-http-web-server

9. 계속할지 묻는 메시지가 나타나면 Y를 입력합니다.

출력은 다음과 같습니다.

Deleted [https://www.googleapis.com/compute/v1/projects/qwiklabs-gcp-00e186e4b1cec086/global/firewall/allow-http-web-server].

명령어가 정상적으로 실행됩니다.

참고: 예상한 대로 보안 관리자 역할에는 방화벽 규칙을 나열하고 삭제할 수 있는 권한이 있습니다.

방화벽 규칙 삭제 확인

allow-http-web-server 방화벽 규칙을 삭제했으므로 blue 서버의 외부 IP에 대한 HTTP 액세스가 더 이상 허용되지 않는지 확인합니다.

1. test-vm 인스턴스의 SSH 터미널로 돌아갑니다.
2. blue의 외부 IP에 대한 HTTP 연결을 테스트하려면 다음 명령어에서 blue의 외부 IP를 바꾼 후 명령어를 실행합니다.

curl -c 3 <여기에 blue의 외부 IP 입력> 참고: 이 명령어는 정상적으로 실행되지 않습니다.

3. Ctrl+C를 눌러 HTTP 요청을 중단합니다.

참고: 적절한 사용자 또는 서비스 계정에 보안 관리자 역할을 부여해야 방화벽 규칙이 원치 않게 변경되는 일을 피할 수 있습니다.

수고하셨습니다

이 실습에서는 2개의 nginx 웹 서버를 만들고 태그된 방화벽 규칙을 사용해 외부 HTTP 액세스를 제어했습니다. 그런 다음, 먼저 네트워크 관리자 역할이 있는 서비스 계정을 만들고 보안 관리자 역할을 사용해 이러한 역할들의 각기 다른 권한을 살펴보았습니다.

다음 단계/더 학습하기

서비스 계정과 역할에 대해 자세히 알아보려면 다음 실습을 참조하세요.

• 서비스 계정 및 역할: 기초

Google Cloud Identity and Access Management의 기본 개념에 대한 내용은 Google Cloud Identity and Access Management 개요를 참조하세요.

Google Cloud 교육 및 자격증

Google Cloud 기술을 최대한 활용하는 데 도움이 됩니다. Google 강의에는 빠른 습득과 지속적인 학습을 지원하는 기술적인 지식과 권장사항이 포함되어 있습니다. 기초에서 고급까지 수준별 학습을 제공하며 바쁜 일정에 알맞은 주문형, 실시간, 가상 옵션이 포함되어 있습니다. 인증은 Google Cloud 기술에 대한 역량과 전문성을 검증하고 입증하는 데 도움이 됩니다.

설명서 최종 업데이트: 2025년 6월 9일

실습 최종 테스트: 2025년 6월 9일

Copyright 2025 Google LLC. All rights reserved. Google 및 Google 로고는 Google LLC의 상표입니다. 기타 모든 회사명 및 제품명은 해당 업체의 상표일 수 있습니다.