비공개 웹 앱 배포하기

비공개 웹 애플리케이션은 직원 및 계약업체와 같은 조직 내부 사용자를 위해 만들어집니다. Google 관리 콘솔에서 Chrome Enterprise Premium 을 사용하여 비공개 웹 앱을 배포할 수 있습니다.

Google Workspace 계정에 앱 추가하기

비공개 앱은 Google Cloud, 다른 클라우드 제공업체, 온프레미스 데이터 센터에서 호스팅할 수 있습니다.

Google 관리 콘솔에 로그인하세요.
@gmail.com으로 끝나지 않는 관리자 계정으로 로그인하세요.
관리 콘솔에서 메뉴 앱웹 및 모바일 앱으로 이동합니다.
앱 추가비공개 웹 앱 추가를 클릭합니다.
애플리케이션 세부정보에서 사용자가 앱에 액세스하는 앱 이름과 URL을 입력합니다.
애플리케이션이 호스팅될 위치를 지정합니다.
- Google Cloud에서 호스팅되는 앱: 애플리케이션 호스트 세부정보에 Private Service Connect(PSC) URL을 입력합니다. 자세한 내용은 Google Cloud에서 호스팅되는 앱의 설정을 참고하세요.
- 다른 클라우드 제공업체에서 호스팅되는 HTTPS 앱: 내부 URL 및 포트 번호를 입력합니다. HTTP 앱은 지원되지 않습니다. 자세한 내용은 다른 클라우드 제공업체 또는 온프렘 데이터 센터에서 호스팅되는 앱의 설정을 참고하세요.
  
  최상의 성능을 경험하려면 애플리케이션이 호스팅되는 위치와 가장 가까운 리전을 선택한 다음 애플리케이션을 연결하는 데 필요한 앱 커넥터를 선택하세요.
애플리케이션 추가를 클릭합니다.

Google Cloud에서 호스팅되는 앱의 설정

Private Service Connect(PSC) URL을 만들어 사용자 환경의 비공개 앱을 연결합니다.

PSC URL을 설정하려면 내부 부하 분산기를 만든 다음 내부 IP 주소를 사용하는 서비스 연결을 만드세요.

내부 부하 분산기 만들기

Google Workspace의 비공개 앱은 전역 액세스가 사용 설정된 내부 부하 분산기 뒤에 게시해야 합니다. 자세한 내용은 자동 승인으로 서비스 게시를 참고하세요.

Compute 또는 GKE 리소스용 내부 부하 분산기 만들기

시작하기 전에: 보안 HTTPS 통신을 허용하려면 포트 443에서 요청을 처리하도록 구성된 인스턴스 그룹을 설정하세요. 백엔드 구성 탭에서 인스턴스 그룹이 선택됩니다.

Google Cloud 콘솔에서 부하 분산 페이지로 이동합니다.
부하 분산기 만들기를 클릭합니다.
네트워크 부하 분산기(TCP/SSL) 구성 시작을 클릭하고 다음을 선택합니다.
1. 부하 분산기 유형: 네트워크 부하 분산기(TCP/UDP/SSL)
2. 프록시 또는 패스 스루: 패스 스루
3. 인터넷 연결 또는 내부 전용: 내부
4. 다음을 클릭합니다.
5. 계속을 클릭합니다.
부하 분산기 이름을 입력하고 부하 분산기를 배포할 리전과 네트워크를 선택합니다.
중요: 부하 분산기로 선택한 네트워크는 인스턴스 그룹에서 사용하는 네트워크와 동일해야 합니다.
백엔드 구성 탭을 선택합니다.
1. 프로토콜: TCP
2. IP 스택 유형: IPv4
3. 인스턴스 그룹을 선택합니다.
  인스턴스 그룹을 만들려면 인스턴스 그룹으로 이동하세요.
4. 목록에서 상태 점검을 선택합니다. 새 상태 점검을 만들려면 다음 안내를 따르세요.
  1. 상태 점검 만들기를 선택합니다.
  2. 상태 점검의 이름(예: ping-port)을 입력합니다.
  3. 리전 범위를 선택합니다.
  4. 프로토콜로 HTTPS를 선택합니다.
  5. 포트를 443으로 유지합니다.
  6. 프록시 프로토콜에서 없음을 선택합니다.
  7. 요청 경로에는 '/'라고 남겨 두세요.
  8. 로그를 사용 설정합니다.
  9. 상태 기준의 기본값을 유지합니다.
프런트엔드 구성 탭을 선택합니다.
1. (선택사항) 프런트엔드 이름을 입력합니다.
2. IP 버전에서 IPv4를 선택합니다.
3. 하위 네트워크를 선택합니다.
4. 내부 IP 용도로는 비공유를 선택합니다.
5. 포트에 단일을 선택합니다.
6. 포트 번호에 443을 입력합니다.
7. 전역 액세스에 사용 설정을 선택합니다.
검토 및 완료 탭을 선택하여 부하 분산기 구성 설정을 검토합니다.
만들기를 클릭합니다.

Cloud Run 리소스의 내부 부하 분산기 만들기

Google Cloud 콘솔에서 부하 분산 페이지로 이동합니다.
부하 분산기 만들기를 클릭합니다.
애플리케이션 부하 분산기(HTTP/S) 구성 시작을 클릭하고 다음을 선택합니다.
1. 부하 분산기 유형: 애플리케이션 부하 분산기 (HTTP/HTTPS)
2. 인터넷 연결 또는 내부 전용: 내부
3. 리전 간 또는 단일 리전 배포: 단일 리전.
4. 다음을 클릭합니다.
5. 구성을 클릭합니다.
부하 분산기 이름을 입력하고 부하 분산기를 배포할 리전과 네트워크를 선택합니다.
백엔드 구성 탭을 선택합니다.
1. 백엔드 서비스를 만들거나 선택합니다.
2. 서비스를 만드는 경우 백엔드 유형 서버리스 네트워크 엔드포인트 그룹을 선택하고 네트워크 엔드포인트 그룹을 선택합니다.
3. 서버리스 네트워크 엔드포인트가 없는 경우 새 엔드포인트 생성 옵션을 선택합니다.
  서버리스 네트워크 엔드포인트 그룹을 만들기 전에 엔드포인트 그룹이 가리킬 Cloud Run 서비스를 만듭니다.
프런트엔드 구성 탭을 선택합니다.
1. 프로토콜: HTTPS
2. 서브네트워크를 선택합니다.
3. 아직 서브넷을 예약하지 않았다면 화면에 표시되는 단계를 완료하여 서브넷을 예약합니다.
4. 전역 액세스를 사용 설정합니다.
5. 인증서에 대해 새 인증서를 만들거나 기존 인증서를 선택할 수 있습니다.
만들기를 클릭합니다.

서비스 연결 URL 만들기

PSC URL을 설정하려면 내부 IP 주소를 사용하는 서비스 연결을 만드세요.

Google Cloud 콘솔에서 Private Service Connect 페이지로 이동합니다.
서비스 게시 탭을 클릭합니다.
서비스 게시를 클릭합니다.
게시하려는 서비스의 부하 분산기 유형을 선택합니다.
- 내부 패스 스루 네트워크 부하 분산기
- 리전 내부 프록시 네트워크 부하 분산기
- 리전 내부 애플리케이션 부하 분산기
게시하려는 서비스를 호스팅하는 내부 부하 분산기를 선택합니다.
네트워크 및 리전 필드에 선택한 내부 부하 분산기의 세부정보가 채워집니다.
서비스 이름에 서비스 연결 이름을 입력합니다.
서비스에 대해 하나 이상의 서브넷을 선택합니다. 새 서브넷을 추가하려면 다음과 같이 서브넷을 만들면 됩니다.
- 새 서브넷 예약을 클릭합니다.
- 서브넷의 이름과 설명(선택사항)을 입력합니다.
- 서브넷의 리전을 선택합니다.
- 서브넷에 사용할 IP 범위를 입력하고 추가를 클릭합니다.
연결 환경설정에서 모든 연결 자동 수락을 선택합니다.
서비스 추가를 클릭합니다.
게시된 서비스를 클릭합니다. 서비스 연결 필드에서 서비스 연결 이름을 사용하여 URL을 만듭니다.
https://www.googleapis.com/compute/v1/SERVICE_ATTACHMENT_NAME
Google Workspace에서 비공개 앱을 추가할 때 URL을 입력합니다. Workspace 계정에 앱 추가하기를 참고하세요.

다른 클라우드 제공업체 또는 온프렘 데이터 센터에서 호스팅되는 앱의 설정

클라우드 또는 온프렘 네트워크를 Google Cloud에 안전하게 연결하려면 앱 커넥터를 추가하세요.

앱 커넥터를 사용하면 사이트 간 VPN 없이도 다른 클라우드에서 Google로 애플리케이션을 안전하게 연결할 수 있습니다.

Google이 아닌 네트워크에 VM 만들기

전용 가상 머신(VM) 또는 Google 이외의 환경의 베어메탈 서버에 각 앱 커넥터 원격 에이전트를 설치해야 합니다.

VM을 만들려면 네트워크 관리자에게 지원을 요청하거나 클라우드 제공업체에서 제공하는 안내를 따르세요.
원격 에이전트를 실행하려면 각 VM 또는 서버에서 Docker를 사용하세요.
원격 에이전트 VM의 네트워크 방화벽이 IAP-TCP IP 범위 35.235.240.0/20의 포트 443에서 시작된 모든 아웃바운드 트래픽을 허용하는지 확인하세요. 원격 에이전트 VM의 방화벽에서 아웃바운드 트래픽을 허용해야 하는 다른 도메인의 경우 방화벽 구성 확인하기를 참고하세요.

앱 커넥터 추가 및 원격 에이전트 설치하기

앱 커넥터를 추가합니다.
1. Google 관리 콘솔에 로그인하세요.
  @gmail.com으로 끝나지 않는 관리자 계정으로 로그인하세요.
2. 관리 콘솔에서 메뉴 앱웹 및 모바일 앱으로 이동합니다.
3. BeyondCorp Enterprise(BCE) 커넥터 탭을 클릭합니다.
4. 커넥터 추가를 클릭합니다.
5. 커넥터 이름을 입력합니다. 예: connect-myapp
6. Google 이외의 환경과 가까운 리전을 선택합니다.
7. 커넥터 추가를 클릭합니다.
8. 상태를 보려면 오른쪽 상단에서 태스크를 클릭합니다.
원격 에이전트를 호스팅할 VM 인스턴스를 만듭니다.
네트워크 관리자 또는 클라우드 제공업체에서 제공한 안내를 따르세요. Google 이외의 네트워크에 VM 만들기를 참고하세요.
원격 에이전트를 설치합니다.
1. 앱 커넥터 이름을 클릭합니다.
2. 원격 에이전트 설치를 클릭합니다.
3. Google 이외의 환경에서 원격 에이전트를 설치합니다.
  - 원격 에이전트를 호스팅할 가상 머신(VM) 인스턴스를 만듭니다. 네트워크 관리자 또는 클라우드 제공업체가 제공한 안내를 따르세요.
  - 원격 에이전트를 실행하는 데 필요한 Docker를 설치합니다. Docker Engine 설치에 대한 안내는 온라인 문서를 참고하세요.
  - Google Workspace 앱 커넥터 페이지에 표시된 CLI 명령어를 사용하여 원격 에이전트를 설치하고 등록합니다.
  - 원격 에이전트가 성공적으로 등록되면 표시되는 공개 키를 복사하여 붙여넣습니다.
4. 저장을 클릭합니다.

앱 커넥터 페이지에 공개 키가 성공적으로 추가되었다는 메시지가 표시되어야 합니다.

액세스 및 인증 제한하기

앱을 만든 관리자는 사용자가 앱에 액세스할 수 있는 조건을 결정할 수 있습니다. 예를 들어 특정 도메인의 사용자로 액세스를 제한하거나 특정 시간 또는 요일에만 액세스를 허용할 수 있습니다. 액세스가 거부되면 사용자가 특정 페이지로 리디렉션됩니다.

Google 관리 콘솔에 로그인하세요.
@gmail.com으로 끝나지 않는 관리자 계정으로 로그인하세요.
관리 콘솔에서 메뉴 앱웹 및 모바일 앱으로 이동합니다.
앱 탭을 클릭한 다음 앱을 클릭하여 세부정보 페이지를 엽니다.
고급 설정을 클릭합니다.

403 방문 페이지: 앱에 대한 액세스가 거부된 경우 사용자가 리디렉션될 웹 주소를 입력합니다. https://<url> 형식을 사용합니다.
인증 도메인: 사용자가 조직의 사용자 인증 정보를 사용하여 로그인할 수 있도록 하려면 조직의 싱글 사인온(SSO) URL을 입력합니다. 또한 Google Workspace 도메인에 유효한 사용자 인증 정보가 없는 사용자의 액세스가 거부됩니다. sso.your.org.com 형식을 사용하세요.
허용된 도메인: 허용된 도메인 사용 설정 체크박스를 선택하면 사용자가 지정된 도메인에만 액세스하도록 제한할 수 있습니다. 쉼표로 항목을 구분하세요. 예: test.your.org.com, prod.your.org.com
재인증: 일정 기간이 지난 후 사용자가 재인증하도록 하려면 이 옵션을 사용합니다. 예를 들어 터치 보안 키나 2단계 인증을 사용할 수 있습니다.
- 로그인: 사용자가 지정된 시간 동안 로그인한 후에는 사용자 이름/비밀번호를 사용하여 재인증하도록 요청합니다.
- 보안 키: 사용자에게 보안 키를 사용하여 재인증하도록 요구합니다.
- 등록된 2단계 인증: 사용자에게 2단계 인증(2FA) 방법을 사용하여 재인증하도록 요구합니다.

자세한 내용은 IAP 재인증을 참고하세요.

컨텍스트 인식 액세스 제어 할당하기

컨텍스트 인식 액세스를 사용하면 사용자 기기의 IT 정책 준수 여부와 같은 컨텍스트에 따라 사용자가 액세스할 수 있는 비공개 앱을 관리할 수 있습니다.

예를 들어 사용자 신원, 위치, 기기 보안 상태, IP 주소와 같은 속성을 기반으로 Google Workspace 데이터에 액세스하는 앱에 대한 상세 액세스 제어 정책을 만들 수 있습니다.

자세한 내용은 비공개 앱에 액세스 수준 할당하기를 참고하세요.

도움이 되었나요?

어떻게 하면 개선할 수 있을까요?