체크포인트
Create a custom security role
/ 20
Create a service account
/ 20
Bind a custom security role to an account
/ 20
Create a Private GKE cluster
/ 20
Deploy an application to a private Kubernetes Engine cluster
/ 20
Google Cloud에서 Cloud 보안 기본사항 구현하기: 챌린지 실습
GSP342
개요
챌린지 실습에서는 특정 시나리오와 일련의 작업이 주어집니다. 단계별 안내를 따르는 대신, 과정의 실습에서 배운 기술을 사용하여 스스로 작업을 완료하는 방법을 알아내 보세요. 이 페이지에 표시되어 있는 자동 채점 시스템에서 작업을 올바르게 완료했는지 피드백을 제공합니다.
챌린지 실습을 진행할 때는 새로운 Google Cloud 개념에 대한 정보가 제공되지 않습니다. 학습한 기술을 응용하여 기본값을 변경하거나 오류 메시지를 읽고 조사하여 실수를 바로잡아야 합니다.
100점을 받으려면 시간 내에 모든 작업을 성공적으로 완료해야 합니다.
이 실습은 Implement Cloud Security Fundamentals on Google Cloud 기술 배지 과정에 등록한 수강생에게 권장됩니다. 챌린지에 도전할 준비가 되셨나요?
테스트 주제
- 커스텀 보안 역할을 만듭니다.
- 서비스 계정을 만듭니다.
- IAM 보안 역할을 서비스 계정에 바인딩합니다.
- 커스텀 서브넷에 비공개 Kubernetes Engine 클러스터를 만듭니다.
- 비공개 Kubernetes Engine 클러스터에 애플리케이션을 배포합니다.
설정 및 요건
실습 시작 버튼을 클릭하기 전에
다음 안내를 확인하세요. 실습에는 시간 제한이 있으며 일시중지할 수 없습니다. 실습 시작을 클릭하면 타이머가 시작됩니다. 이 타이머에는 Google Cloud 리소스를 사용할 수 있는 시간이 얼마나 남았는지 표시됩니다.
실무형 실습을 통해 시뮬레이션이나 데모 환경이 아닌 실제 클라우드 환경에서 직접 실습 활동을 진행할 수 있습니다. 실습 시간 동안 Google Cloud에 로그인하고 액세스하는 데 사용할 수 있는 새로운 임시 사용자 인증 정보가 제공됩니다.
이 실습을 완료하려면 다음을 준비해야 합니다.
- 표준 인터넷 브라우저 액세스 권한(Chrome 브라우저 권장)
- 실습을 완료하기에 충분한 시간---실습을 시작하고 나면 일시중지할 수 없습니다.
챌린지 시나리오
여러분은 Jooli Inc.의 Orca 팀 내 보안팀의 신입 구성원으로 새로운 역할을 맡았습니다. 해당 팀은 회사의 애플리케이션이 의존하는 클라우드 인프라 및 서비스 보안을 책임져야 합니다.
여러분은 이러한 작업에 필요한 기술과 지식을 보유하고 있어야 합니다. 단계별 안내가 제공될 것이라고 기대하지 마세요.
챌린지
Orca 개발팀에서 애플리케이션 개발 및 파이프라인 테스트에 사용할 새로운 Kubernetes Engine 클러스터를 배포, 구성, 테스트하라는 요청을 받았습니다.
조직의 보안 표준에 따라 새 Kubernetes Engine 클러스터가 조직의 최신 보안 표준에 맞게 구축되었는지 확인하고 다음 사항을 준수해야 합니다.
- 클러스터는 필요한 최소 권한으로 구성된 전용 서비스 계정을 사용하여 배포되어야 합니다.
- 클러스터는 공개 엔드포인트가 사용 중지로 설정되고 마스터 승인 네트워크가 Orca 그룹 관리 jumphost의 IP 주소만 포함하도록 설정된 Kubernetes Engine 비공개 클러스터로 배포되어야 합니다.
- Kubernetes Engine 비공개 클러스터는 Orca 빌드 VPC의
orca-build-subnet에 배포되어야 합니다.
이전 프로젝트를 통해 Kubernetes Engine 클러스터용으로 지정된 서비스 계정에 필요한 최소 권한이 다음 세 가지 기본 제공 역할에 포함된다는 것을 알고 있습니다.
roles/monitoring.viewerroles/monitoring.metricWriterroles/logging.logWriter
이러한 역할은 최소 권한 Google 서비스 계정 사용 섹션에 있는 Google Kubernetes Engine(GKE)의 클러스터 보안 강화 가이드에 지정되어 있습니다.
위 역할을 클러스터에서 사용하는 서비스 계정과 개발팀에서 지정한 다른 서비스 액세스를 제공하기 위해 생성하는 커스텀 역할에 바인딩해야 합니다. 처음에는 클러스터에서 사용하는 서비스 계정에 Google Cloud Storage 버킷의 객체를 추가하고 업데이트하는 데 필요한 권한을 개발팀에게 부여해야 한다고 들었습니다. 이렇게 하려면 다음 권한을 제공하는 새로운 커스텀 IAM 역할을 생성해야 합니다.
storage.buckets.getstorage.objects.getstorage.objects.liststorage.objects.updatestorage.objects.create
새 비공개 클러스터를 만들었으면 관리 서브넷 orca-mgmt-subnet에 있는 jumphost인 orca-jumphost에서 연결하여 올바르게 구성했는지 테스트해야 합니다. 이 컴퓨팅 인스턴스는 비공개 클러스터와 동일한 서브넷에 있지 않으므로 클러스터의 마스터 승인 네트워크에 인스턴스의 내부 IP 주소가 포함되어 있는지 확인해야 합니다. 그리고 gcloud container clusters get-credentials 명령을 사용하여 클러스터 사용자 인증 정보를 검색할 때 --internal-ip 플래그를 지정해야 합니다.
생성하는 모든 새 클라우드 객체 및 서비스에는 'orca-' 접두사가 포함되어야 합니다.
마지막 작업은 kubectl 도구를 사용하여 클러스터의 관리 액세스가 orca-jumphost 컴퓨팅 인스턴스에서 작동하는지 테스트하기 위해 클러스터에 간단한 애플리케이션을 배포하여 클러스터가 올바르게 작동하는지 확인하는 것입니다.
이 실습의 모든 작업에
작업 1. 커스텀 보안 역할 만들기
첫 번째 작업은 스토리지 객체를 만들고 업데이트하는 데 필요한 Google Cloud Storage 버킷과 객체 권한을 제공하는 신규 커스텀 IAM 보안 역할인
작업 2. 서비스 계정 만들기
두 번째 작업은 새 비공개 클러스터의 서비스 계정으로 사용될 전용 서비스 계정을 만드는 것입니다. 이 계정의 이름은
작업 3. 커스텀 보안 역할을 서비스 계정에 바인딩
이제 Kubernetes Engine 클러스터 서비스 계정에 필요한 클라우드 운영 로깅 및 모니터링 역할과 스토리지 권한을 위해 만든 커스텀 IAM 역할을 이전에 만든 서비스 계정에 바인딩해야 합니다.
작업 4. 새 Kubernetes Engine 비공개 클러스터 만들기 및 구성
이제 새 Kubernetes Engine 비공개 클러스터를 만들 때 구성한 서비스 계정을 사용해야 합니다. 새 클러스터 구성에는 다음이 포함되어야 합니다.
- 클러스터는
라고 해야 합니다. - 클러스터는 서브넷
orca-build-subnet에 배포되어야 합니다. - 클러스터는
서비스 계정을 사용하도록 구성되어야 합니다. - 비공개 클러스터 옵션
enable-master-authorized-networks,enable-ip-alias,enable-private-nodes,enable-private-endpoint를 사용 설정해야 합니다.
클러스터가 구성된 경우 orca-jumphost 컴퓨팅 인스턴스의 내부 IP 주소를 마스터 승인 네트워크 목록에 추가해야 합니다.
작업 5. 비공개 Kubernetes Engine 클러스터에 애플리케이션 배포
모든 클러스터에 배포할 수 있는 간단한 테스트 애플리케이션을 통해 기본 컨테이너 배포 기능이 작동하는지, 기본 서비스를 생성하고 액세스할 수 있는지 빠르게 테스트할 수 있습니다. jumphost인 orca-jumphost를 사용하여 이 간단한 데모를 새 클러스터에 배포하는 환경을 구성해야 합니다.
kubectl 명령을 실행하기 전에 gke-gcloud-auth-plugin이 올바르게 설치되었는지 확인합니다. 이는 아래 팁 1에서 자세히 설명합니다.
이는 테스트용 기본 부하 분산기 서비스를 사용하여 노출할 수 있는 포트 8080에서 수신 대기하는 애플리케이션을 배포합니다.
도움말 및 유용한 정보
-
도움말 1.
kubectl을 계속 사용하는 데 필요한gke-gcloud-auth-plugin을 사용해야 합니다. 다음 명령을 실행하여 설치할 수 있습니다. GKE 클러스터 이름, 영역, 프로젝트 ID를 바꿔야 합니다.
-
도움말 2. 비공개 Kubernetes Engine 클러스터의 승인된 주소 목록에
orca-jumphost머신의 내부 IP 주소를 추가할 때/32넷마스크를 사용하여 특정 컴퓨팅 인스턴스만 승인되도록 해야 합니다. -
도움말 3.
enable-private-endpoint옵션이 지정된 경우 비공개 클러스터가 배포된 VPC 또는 VPC 외부의 다른 네트워크에서 Kubernetes Engine 비공개 클러스터에 직접 연결할 수 없습니다. 이는 비공개 클러스터의 가장 높은 보안 옵션을 나타내며 클러스터와 동일한 VPC 내 jumphost 또는 프록시를 사용해야 하며 해당 jumphost 또는 프록시로 클러스터의 내부 관리 IP 주소에 연결해야 합니다.
수고하셨습니다
이 실습에서는 클러스터를 실행하는 데 필요한 최소 권한으로 전용 서비스 계정을 사용하도록 구성된 새로운 Kubernetes Engine 비공개 클러스터를 구성했습니다. 또한 Google Cloud Storage 버킷에서 스토리지 객체를 생성 및 업데이트하는 데 필요한 권한을 제공하는 커스텀 IAM 역할을 만들고 해당 역할을 클러스터에서 사용하는 서비스 계정에 바인딩했습니다. 또한 kubectl 도구를 사용하여 클러스터의 관리 액세스가 orca-jumphost 컴퓨팅 인스턴스에서 작동하는지 테스트하기 위해 클러스터에 간단한 애플리케이션을 배포하여 클러스터가 올바르게 작동하는지 확인했습니다.
다음 기술 배지 획득
이 사용자 주도형 실습은 Implement Cloud Security Fundamentals on Google Cloud 기술 배지 과정의 일부입니다. 이 기술 배지를 완료하면 위의 배지를 획득하여 수료를 인증할 수 있습니다. 이력서 및 소셜 플랫폼에 배지를 공유하고 #GoogleCloudBadge 해시태그를 사용해 스스로 달성한 업적을 널리 알리세요.
이 기술 배지는 Google Cloud의 클라우드 보안 엔지니어 학습 과정의 일부입니다. 이 학습 과정의 다른 기술 배지를 이미 완료했다면 카탈로그에서 등록할 수 있는 다른 기술 배지를 검색해 보세요.
Google Cloud 교육 및 자격증
Google Cloud 기술을 최대한 활용하는 데 도움이 됩니다. Google 강의에는 빠른 습득과 지속적인 학습을 지원하는 기술적인 지식과 권장사항이 포함되어 있습니다. 기초에서 고급까지 수준별 학습을 제공하며 바쁜 일정에 알맞은 주문형, 실시간, 가상 옵션이 포함되어 있습니다. 인증은 Google Cloud 기술에 대한 역량과 전문성을 검증하고 입증하는 데 도움이 됩니다.
설명서 최종 업데이트: 2024년 3월 25일
실습 최종 테스트: 2023년 12월 4일
Copyright 2024 Google LLC All rights reserved. Google 및 Google 로고는 Google LLC의 상표입니다. 기타 모든 회사명 및 제품명은 해당 업체의 상표일 수 있습니다.