개요

이 실습에서는 BeyondCorp Enterprise의 IAP(Identity-Aware Proxy)를 사용하여 ID를 기반으로 트래픽을 제한함으로써 Compute Engine 워크로드를 보호합니다.

IAP는 조직 인력이 VPN 없이도 멀웨어, 피싱, 데이터 손실에 대한 염려 없이 어디서나 웹 애플리케이션에 안전하게 액세스할 수 있는 Google Cloud의 제로 트러스트 솔루션인 BeyondCorp Enterprise의 기능입니다.

이 실습에서는 제로 트러스트 구성을 사용 설정하여 액세스를 제한할 웹 기반 통합 개발 환경(IDE)을 프로비저닝합니다.

목표

이 실습에서는 다음 작업을 수행하는 방법을 알아봅니다.

• OAuth 동의를 구성합니다.
• OAuth 액세스 사용자 인증 정보를 설정합니다.
• 배포된 애플리케이션의 IAP 액세스를 설정합니다.
• IAP를 사용하여 애플리케이션에 대한 액세스를 제한합니다.

설정 및 요건

실습 시작 버튼을 클릭하기 전에

참고: 다음 안내를 확인하세요.

실습에는 시간제한이 있으며 일시중지할 수 없습니다. 실습 시작을 클릭하면 타이머가 시작됩니다. 이 타이머는 Google Cloud 리소스를 사용할 수 있는 시간이 얼마나 남았는지를 표시합니다.

Google Skills 실무형 실습을 통해 시뮬레이션이나 데모 환경이 아닌 실제 클라우드 환경에서 직접 실습 활동을 진행할 수 있습니다. 실습 시간 동안 Google Cloud에 로그인하고 액세스하는 데 사용할 수 있는 새로운 임시 사용자 인증 정보가 제공됩니다.

필요한 사항

이 실습을 완료하려면 다음이 필요합니다.

• 표준 인터넷 브라우저(Chrome 브라우저 권장)
• 실습을 끝까지 진행할 수 있는 충분한 시간

참고: 이미 개인용 Google Cloud 계정이나 프로젝트가 있어도 이 실습에서는 사용하지 마세요. 참고: Pixelbook을 사용하는 경우 시크릿 창을 열어 이 실습을 실행하세요.

실습을 시작하고 콘솔에 로그인하는 방법

1. 실습 시작 버튼을 클릭합니다. 실습 비용을 결제해야 하는 경우 결제 수단을 선택할 수 있는 팝업이 열립니다. 왼쪽에 있는 패널에서 이 실습에 사용해야 하는 임시 사용자 인증 정보를 확인할 수 있습니다.

   

2. 사용자 이름을 복사한 다음 Google 콘솔 열기를 클릭합니다. 실습에서 리소스가 실행되며 계정 선택 페이지를 표시하는 다른 탭이 열립니다.

   참고: 두 개의 탭을 각각 별도의 창으로 나란히 여세요.

3. 계정 선택 페이지에서 다른 계정 사용을 클릭합니다. 로그인 페이지가 열립니다.

   

4. 연결 세부정보 패널에서 복사한 사용자 이름을 붙여넣습니다. 그런 다음 비밀번호를 복사하여 붙여넣습니다.

참고: 연결 세부정보 패널에 표시된 사용자 인증 정보를 사용해야 합니다. Google Skills 사용자 인증 정보를 사용하지 마세요. 개인용 Google Cloud 계정이 있어도 이 실습에서는 사용하지 마세요(요금 청구 방지).

5. 이후에 표시되는 페이지를 클릭하여 넘깁니다.

• 이용약관에 동의하세요.
• 임시 계정이므로 복구 옵션이나 2단계 인증을 추가하지 마세요.
• 무료 평가판을 신청하지 않습니다.

잠시 후 Cloud 콘솔이 이 탭에서 열립니다.

참고: 왼쪽 상단에 있는 탐색 메뉴를 클릭하면 Google Cloud 제품 및 서비스 목록이 있는 메뉴를 볼 수 있습니다.

Google Cloud Shell 활성화하기

Google Cloud Shell은 다양한 개발 도구가 탑재된 가상 머신으로, 5GB의 영구 홈 디렉터리를 제공하며 Google Cloud에서 실행됩니다.

Google Cloud Shell을 사용하면 명령줄을 통해 Google Cloud 리소스에 액세스할 수 있습니다.

1. Cloud 콘솔의 오른쪽 상단 툴바에서 'Cloud Shell 열기' 버튼을 클릭합니다.

   

2. 계속을 클릭합니다.

환경을 프로비저닝하고 연결하는 데 몇 분 정도 소요됩니다. 연결되면 사용자가 미리 인증되어 프로젝트가 PROJECT_ID로 설정됩니다. 예:

gcloud는 Google Cloud의 명령줄 도구입니다. Cloud Shell에 사전 설치되어 있으며 명령줄 자동 완성을 지원합니다.

• 다음 명령어를 사용하여 사용 중인 계정 이름을 나열할 수 있습니다.

gcloud auth list

출력:

Credentialed accounts: - @.com (active)

출력 예시:

Credentialed accounts: - google1623327_student@qwiklabs.net

• 다음 명령어를 사용하여 프로젝트 ID를 나열할 수 있습니다.

gcloud config list project

출력:

[core] project =

출력 예시:

[core] project = qwiklabs-gcp-44776a13dea667a6 참고: gcloud 전체 문서는 gcloud CLI 개요 가이드를 참조하세요.

작업 1. Compute Engine 템플릿 만들기

이 작업에서는 인스턴스 템플릿을 만듭니다. 가상 머신(VM) 인스턴스와 관리형 인스턴스 그룹(MIG)을 만드는 데 사용하는 리소스입니다.

1. Google Cloud 콘솔의 탐색 메뉴()에서 Compute Engine > 인스턴스 템플릿을 클릭합니다.

2. 인스턴스 템플릿 만들기를 클릭합니다.

3. 인스턴스 템플릿 만들기 페이지에서 다음을 지정하고 나머지 설정은 기본값으로 둡니다.

속성	값
위치	글로벌
시리즈	E2
머신 유형	e2-micro(vCPU 2개)
액세스 범위	각 API에 대한 액세스 설정
액세스 범위 > Compute Engine	읽기 전용
방화벽	HTTP 트래픽 허용

4. 고급 옵션을 클릭합니다.

5. 관리를 클릭합니다.

6. 자동화 > 시작 스크립트에서 다음 스크립트를 복사하여 붙여넣습니다.

# Copyright 2026 Google LLC # # Licensed under the Apache License, Version 2.0 (the "License"); # you may not use this file except in compliance with the License.# You may obtain a copy of the License at # # http://www.apache.org/licenses/LICENSE-2.0 # # Unless required by applicable law or agreed to in writing, software # distributed under the License is distributed on an "AS IS" BASIS, # WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied. # See the License for the specific language governing permissions and # limitations under the License. sudo apt-get -y update sudo apt-get -y install git sudo apt-get -y install virtualenv git clone https://github.com/GoogleCloudPlatform/python-docs-samples cd python-docs-samples/iap virtualenv venv -p python3 source venv/bin/activate pip install -r requirements.txt cat example_gce_backend.py | sed -e "s/YOUR_BACKEND_SERVICE_ID/$(gcloud compute backend-services describe my-backend-service --global --format="value(id)")/g" | sed -e "s/YOUR_PROJECT_ID/$(gcloud config get-value account | tr -cd "[0-9]")/g" > real_backend.py gunicorn real_backend:app -b 0.0.0.0:80

7. 만들기를 클릭합니다.

잠시 후에 인스턴스 템플릿이 생성됩니다.

Compute Engine 템플릿 만들기

작업 2. 관리형 인스턴스 그룹 만들기

이 작업에서는 단일 항목으로 관리하는 가상 머신(VM) 인스턴스 모음인 관리형 인스턴스 그룹(MIG)을 만듭니다.

1. Google Cloud 콘솔의 탐색 메뉴()에서 Compute Engine > 인스턴스 그룹을 클릭합니다.

2. 인스턴스 그룹 만들기를 클릭합니다.

3. 왼쪽 메뉴에서 새 관리형 인스턴스 그룹(스테이트리스(Stateless))을 클릭합니다.

4. 새 관리형 인스턴스 그룹(스테이트리스(Stateless)) 페이지에서 다음을 지정하고 나머지 설정은 기본값으로 둡니다.

속성	값
이름	my-managed-instance-group
인스턴스 템플릿	작업 1에서 만든 인스턴스 템플릿을 선택합니다.
위치	다중 영역
리전	us-central1(아이오와)
자동 확장 > 자동 확장 모드	사용 안함: 자동 확장 안함
인스턴스 수	인스턴스 수를 변경하려면 먼저 자동 확장을 사용 중지해야 합니다(아래 참고). 이 작업이 완료되면 최댓값을 3으로 설정합니다.

참고: 자동 확장 모드를 변경한 후 인스턴스 수를 설정해야 합니다.

5. 만들기를 클릭합니다.

MIG를 만드는 데 몇 분 정도 걸립니다.

관리형 인스턴스 그룹 만들기

작업 3. Google Cloud 자체 관리형 SSL 인증서 리소스 만들기

이 작업에서는 비공개 키와 인증서를 만든 다음 자체 관리형 SSL 인증서 리소스를 만듭니다. Google Cloud SSL 인증서 리소스를 만들려면 먼저 비공개 키와 인증서가 있어야 합니다.

Google Cloud SSL 인증서에는 비공개 키와 인증서 자체가 모두 PEM 형식으로 포함됩니다.

자체 관리형 SSL 인증서는 사용자가 직접 가져와 프로비저닝하고 갱신하는 인증서입니다. 이 리소스를 사용하여 클라이언트와 부하 분산기 간의 통신을 보호할 수 있습니다. 부하 분산기는 다음 작업에서 만듭니다.

비공개 키 및 인증서 만들기

1. Google Cloud 콘솔 제목 표시줄에서 Cloud Shell 활성화()를 클릭합니다. 메시지가 표시되면 계속을 클릭합니다.

2. PEM 형식의 RSA-2048 암호화로 새 비공개 키를 만들려면 OpenSSL에서 다음 명령어를 실행합니다.

openssl genrsa -out PRIVATE_KEY_FILE 2048

CSR 만들기

OpenSSL을 사용하여 PEM 형식의 인증서 서명 요청(CSR)을 생성합니다.

1. 편집기 열기를 클릭합니다. 메시지가 표시되면 새 창에서 열기를 클릭합니다.

2. Cloud Shell 편집기에서 메뉴를 클릭하고 파일 > 새 파일을 선택합니다.

3. 파일 이름으로 ssl_config를 입력하고 Enter 키를 누릅니다.

4. 만들기 파일 위치가 /home > student-XX-XXXXXXXXX/ssl_config로 표시되는지 확인한 다음 확인을 클릭합니다.

5. 다음 구성을 복사하여 Cloud 편집기 창에 붙여넣습니다.

[req] default_bits = 2048 req_extensions = extension_requirements distinguished_name = dn_requirements prompt = no [extension_requirements] basicConstraints = CA:FALSE keyUsage = nonRepudiation, digitalSignature, keyEncipherment [dn_requirements] countryName = US stateOrProvinceName = CA localityName = Mountain View 0.organizationName = Cloud organizationalUnitName = Example commonName = Test

6. 메뉴를 클릭하고 파일 > 저장을 선택합니다.

7. 이전 탭으로 돌아갑니다. Cloud Shell 세션을 재개하려면 터미널 열기를 클릭해야 할 수 있습니다.

8. 인증서 서명 요청 (CSR) 파일을 만들려면 다음 OpenSSL 명령어를 실행합니다.

openssl req -new -key PRIVATE_KEY_FILE \ -out CSR_FILE \ -config ssl_config

CSR에 서명하기

인증 기관(CA)이 CSR에 서명할 때는 자체 비공개 키를 사용하여 인증서를 만듭니다.

• 테스트를 위한 자체 서명 인증서를 만들려면 다음 OpenSSL 명령어를 실행합니다.

openssl x509 -req \ -signkey PRIVATE_KEY_FILE \ -in CSR_FILE \ -out CERTIFICATE_FILE.pem \ -extfile ssl_config \ -extensions extension_requirements \ -days 365

자체 관리형 SSL 인증서 리소스 만들기:

Google Cloud SSL 인증서 리소스를 만들려면 먼저 비공개 키와 인증서가 있어야 합니다.

1. 전역 SSL 인증서를 만들려면 gcloud compute ssl-certificates create 명령어를 --global 플래그와 함께 실행합니다.

gcloud compute ssl-certificates create my-cert \ --certificate=CERTIFICATE_FILE.pem \ --private-key=PRIVATE_KEY_FILE \ --global

2. Cloud Shell 승인 프롬프트에서 승인을 클릭합니다.

Google Cloud 자체 관리형 SSL 인증서 리소스 만들기

작업 4. 부하 분산기 만들기

이 작업에서는 부하 분산기를 만듭니다. HTTP(S) 부하 분산은 GFE(Google 프런트엔드)에서 구현됩니다. GFE는 Google의 글로벌 네트워크 및 컨트롤 플레인을 사용하여 전 세계로 분산되고 함께 운영됩니다.

부하 분산기를 설정하려면 VM이 이전 작업에서 만든 인스턴스 그룹에 있어야 합니다.

1. Google Cloud 콘솔의 탐색 메뉴()에서 모든 제품 보기를 클릭하고 네트워크 서비스 > 부하 분산을 클릭합니다.

2. 부하 분산기 만들기를 클릭합니다.

3. 부하 분산기 유형에서 애플리케이션 부하 분산기(HTTP/S)를 선택하고 다음을 클릭합니다.

4. 공개 또는 내부 전용에서 공개(외부)를 선택하고 다음을 클릭합니다.

5. 전역 또는 단일 리전 배포에서 전역 워크로드에 적합을 선택하고 다음을 클릭합니다.

6. 부하 분산기 생성에서 전역 외부 애플리케이션 부하 분산기를 선택하고 다음을 클릭합니다.

7. 구성을 클릭합니다.

8. 부하 분산기 이름에 my-load-balancer를 입력합니다.

9. 백엔드 구성 > 백엔드 서비스 및 백엔드 버킷 > 백엔드 서비스 만들기를 클릭합니다.

10. 백엔드 서비스 만들기 패널의 이름에 my-backend-service를 입력합니다.
    정확한 이름인 my-backend-service를 사용해야 합니다. 다른 이름을 사용할 경우, VM의 시작 스크립트가 요청 인증을 위한 올바른 백엔드 서비스 ID를 찾을 수 없습니다.

11. 새 백엔드에서 다음을 지정하고 나머지 설정은 기본값으로 둡니다.

속성	값
인스턴스 그룹	my-managed-instance-group
포트 번호	80

12. Cloud CDN 사용 설정을 선택 해제합니다.

13. 상태 점검에서 상태 점검 만들기를 클릭합니다.

14. 이름에 my-health-check를 입력합니다.

15. 프로토콜에서 HTTP를 선택합니다.

16. 만들기를 클릭합니다.

17. 만들기를 클릭하여 백엔드 서비스를 만든 다음 확인을 클릭합니다.

전역 외부 애플리케이션 부하 분산기 만들기 패널이 다시 나타납니다.

18. 프런트엔드 구성을 클릭합니다. 다음을 지정하고 나머지 설정은 기본값으로 둡니다.

속성	값
프로토콜	HTTPS(HTTP/2 및 HTTP/3 포함)
IP 주소	임시를 클릭한 후 IP 주소 만들기를 선택합니다.
이름	static-ip를 입력한 다음 예약을 클릭합니다.
인증서	my-cert

19. 완료를 클릭합니다.

전역 외부 애플리케이션 부하 분산기 만들기 패널이 다시 나타납니다.

20. 전역 외부 애플리케이션 부하 분산기 만들기에서 만들기를 클릭합니다.

부하 분산 페이지가 표시되고 새 부하 분산기가 부하 분산기 목록에 생성됩니다.

21. Cloud 콘솔에서 새 부하 분산기 생성을 마쳤으면, 부하 분산기 이름을 클릭하고 세부정보 > 프런트엔드 아래의 외부 IP 주소를 기록해 둡니다. 이 값은 작업 7에서 필요합니다.

부하 분산기 만들기를 만듭니다.

작업 5. VM 다시 시작하기

이 작업에서는 MIG의 VM을 다시 시작하여 IAP의 요청을 올바르게 인증할 수 있도록 합니다.

1. Google Cloud 콘솔의 탐색 메뉴()에서 Compute Engine > 인스턴스 그룹을 클릭합니다.

2. my-managed-instance-group을 클릭합니다.

3. VM 재시작/교체를 클릭합니다.

4. 작업에서 다시 시작을 클릭합니다.

5. 인스턴스에 3을 입력합니다.

6. 최소 대기 시간에 0을 입력합니다.

7. VM 다시 시작을 클릭합니다.

참고: VM 인스턴스를 성공적으로 구성하는 데 10~15분 정도 걸릴 수 있습니다. VM 다시 시작하기

작업 6. IAP 설정하기

방화벽 구성하기

이 작업에서는 기본 VM에 대한 액세스를 차단하고 IAP를 통한 액세스만 허용하도록 방화벽을 구성합니다.

1. Google Cloud 콘솔의 탐색 메뉴()에서 VPC 네트워크 > 방화벽을 클릭합니다.

2. default-allow-internal 체크박스를 선택합니다.

3. 삭제를 클릭하고 삭제를 다시 선택하여 확인합니다.

4. 방화벽 규칙 만들기를 클릭합니다. 다음을 지정하고 나머지 설정은 기본값으로 둡니다.

속성	값
이름	allow-iap-traffic
대상	네트워크의 모든 인스턴스
소스 IPv4 범위	130.211.0.0/22, 35.191.0.0/16(상자에 값을 붙여넣을 때마다 Enter 누름)
프로토콜 및 포트	지정된 프로토콜 및 포트
TCP	80

5. 만들기를 클릭합니다.

IAP 설정하기

이 단계에서는 프로젝트에 대해 IAP를 설정합니다.

1. Cloud 콘솔에서 탐색 메뉴() > 모든 제품 보기를 클릭합니다. 보안 섹션에서 보안 > IAP(Identity-Aware Proxy)를 클릭합니다.

2. API 사용 설정을 클릭합니다.

3. IAP(Identity-Aware Proxy)로 이동을 클릭합니다.

4. 프로젝트의 OAuth 동의 화면을 구성하려면 OAuth 동의 화면으로 이동합니다.

주의: OAuth 동의 화면에는 기밀 정보를 입력하지 마세요. OAuth 동의 화면에 저장한 모든 정보는 URL에 액세스하는 모든 사용자에게 표시될 수 있습니다. 이메일과 제품 세부정보가 로그인 화면에 표시되며, 권한이 없는 리소스에 액세스하려고 할 때에도 표시됩니다.

5. 시작하기를 클릭합니다.

6. 앱 이름에 IAP를 입력합니다.

7. 사용자 지원 이메일에서 학생 계정, 즉 student-00-*****@qwiklabs.net을 선택하고 다음을 클릭합니다.

8. 대상에서 외부를 선택하고 다음을 클릭합니다.

9. 연락처 정보에 실습 창에서 학생 계정 사용자 이름을 복사하여 붙여넣습니다. 이 값은 이전 단계의 값과 일치합니다.

10. 다음을 클릭한 다음 체크박스를 선택하여 사용자 데이터 정책에 동의합니다. 마지막으로 만들기를 클릭합니다.

제품 이름 또는 이메일 주소와 같은 OAuth 동의 화면의 정보를 나중에 변경하려면, 위 단계를 반복하여 동의 화면을 구성합니다.

11. IAP(Identity-Aware Proxy) 페이지로 이동합니다.

12. my-backend-service 옆의 IAP 열에서 사용 설정/중지 스위치를 전환합니다.

13. IAP 사용 대화상자에서 체크박스를 선택하여 구성 요구사항을 읽었음을 확인합니다.

14. 사용 설정을 클릭합니다.

참고: 오류가 표시되면 오류를 클릭합니다. 방화벽 규칙을 추가하라는 메시지가 표시되면 이전에 만든 규칙을 수정하여 오류에 언급된 포트 번호를 포함합니다. OAuth 동의가 설정되었는지 확인하기

액세스 목록에 보안 주체 추가하기

이 단계에서는 프로젝트의 IAP 액세스 목록에 보안 주체를 추가합니다.

1. IAP(Identity-Aware Proxy)에서 my-backend-service 체크박스를 선택합니다.

2. 보안 주체 추가를 클릭합니다.

3. 자신에게 액세스 권한을 부여하려면 새 보안 주체에서 실습 사용자 인증 정보 창의 qwiklabs 사용자 이름을 복사하여 붙여넣습니다.

4. Cloud IAP > IAP 보안 웹 앱 사용자 역할을 선택합니다.

5. 저장을 클릭합니다.

IAM을 구성하여 애플리케이션에 액세스할 보안 주체 확인하기

작업 7. IAP 테스트하기

이 작업에서는 curl 명령어를 실행하여 외부 부하 분산기에 대한 액세스를 테스트한 다음 IAP로 보호되는지 확인합니다.

1. Google Cloud 콘솔의 탐색 메뉴()에서 모든 제품 보기를 클릭하고 네트워크 서비스 > 부하 분산을 클릭합니다.

2. 프런트엔드를 클릭합니다.

3. Google Cloud 콘솔 제목 표시줄에서 Cloud Shell 활성화()를 클릭합니다. 메시지가 표시되면 계속을 클릭합니다.

4. 다음 curl 명령어를 실행하고 부하 분산기 외부 IP 주소를 부하 분산기의 외부 IP 주소로 바꿉니다.

curl -kvi https://<부하 분산기 외부 IP 주소> 참고: IAP 생성 응답이 true로 표시되면 Compute Engine 인스턴스에 대해 IAP를 성공적으로 구성한 것입니다.

5. 외부 IP address 링크를 클릭하면 accounts.google.com으로의 302 리디렉션이 표시됩니다.

링크를 클릭하면 Google 계정 통합 인증 페이지가 열립니다.

참고: 자체 서명 인증서를 사용했으므로 애플리케이션 자체에 액세스할 수 없습니다. 하지만 이렇게 하면 IAP가 구성되어 트래픽을 보호하고 있음을 확인할 수 있습니다.

수고하셨습니다

IAP(Identity-Aware Proxy)를 사용하여 Compute Engine 인스턴스에서 실행되는 웹 애플리케이션을 성공적으로 보호했습니다.

이 실습에서는 다음을 수행하는 방법을 배웠습니다.

• 인스턴스 템플릿을 만듭니다.
• 인스턴스 그룹을 만듭니다.
• 자체 서명 인증서를 만듭니다.
• 부하 분산기를 만듭니다.
• OAuth 동의 화면을 구성합니다.
• IAP를 사용하여 애플리케이션에 대한 액세스 권한을 부여합니다.

실습 종료하기

실습을 완료하면 실습 종료를 클릭합니다. Google Skills에서 사용된 리소스를 자동으로 삭제하고 계정을 지웁니다.

실습 경험을 평가할 수 있습니다. 해당하는 별표 수를 선택하고 의견을 입력한 후 제출을 클릭합니다.

별점의 의미는 다음과 같습니다.

• 별표 1개 = 매우 불만족
• 별표 2개 = 불만족
• 별표 3개 = 중간
• 별표 4개 = 만족
• 별표 5개 = 매우 만족

의견을 제공하고 싶지 않다면 대화상자를 닫으면 됩니다.

의견이나 제안 또는 수정할 사항이 있다면 지원 탭을 사용하세요.

Copyright 2026 Google LLC All rights reserved. Google 및 Google 로고는 Google LLC의 상표입니다. 기타 모든 회사명 및 제품명은 해당 업체의 상표일 수 있습니다.