이 문서에서는 GKE 및 Cloud SQL에 Apache Guacamole를 배포하는 방법을 설명합니다.
이 안내는 GKE 및 Cloud SQL에서 Guacamole을 호스팅하려는 서버 관리자 및 엔지니어를 대상으로 합니다. 이 문서는 Kubernetes 및 MySQL용 Cloud SQL에 워크로드를 배포하는 데 익숙한 사용자를 대상으로 합니다. Identity and Access Management 및 Google Compute Engine에 익숙한 것도 좋습니다.
아키텍처
다음 다이어그램은 IAP로 Google Cloud 부하 분산기를 구성하여 GKE에서 실행되는 Guacamole 클라이언트의 인스턴스를 보호하는 방법을 보여줍니다.
Guacamole 클라이언트는 하나 이상의 Compute Engine VM에 대한 원격 데스크톱 연결을 브로커링하는 guacd 백엔드 서비스에 연결됩니다. 또한 스크립트는 Cloud SQL 인스턴스를 배포하여 Guacamole의 구성 데이터를 관리합니다.
자세한 내용은 GKE와 Cloud SQL에서의 Apache Guacamole를 참조하세요.
목표
- Terraform을 사용하여 인프라를 배포합니다.
- Cloud SQL에서 Guacamole 데이터베이스를 만듭니다.
- Skaffold를 사용하여 GKE 클러스터에 Guacamole를 배포합니다.
- Guacamole를 통해 VM 연결을 테스트합니다.
비용
이 문서에서는 비용이 청구될 수 있는 다음과 같은 Google Cloud 구성요소를 사용합니다.
프로젝트 사용량을 기준으로 예상 비용을 산출하려면 가격 계산기를 사용하세요.
이 문서에 설명된 태스크를 완료했으면 만든 리소스를 삭제하여 청구가 계속되는 것을 방지할 수 있습니다. 자세한 내용은 삭제를 참조하세요.
시작하기 전에
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Resource Manager, Service Usage, Artifact Registry, and Compute Engine APIs.
-
In the Google Cloud console, activate Cloud Shell.
인프라 배포하기
이 섹션에서는 Terraform을 사용하여 다음 리소스를 배포합니다.
- Virtual Private Cloud
- 방화벽 규칙
- GKE 클러스터
- Artifact Registry 저장소
- MySQL용 Cloud SQL
- MySQL 데이터베이스를 관리하기 위한 VM
- 서비스 계정
Terraform 구성으로 프로젝트에서 IAP를 사용할 수도 있습니다.
Cloud Shell에서 GitHub 저장소를 클론합니다.
git clone https://github.com/GoogleCloudPlatform/guacamole-on-gcp.git
Terraform을 사용하여 필수 인프라를 배포합니다.
cd guacamole-on-gcp/tf-infra unset GOOGLE_CLOUD_QUOTA_PROJECT terraform init -upgrade terraform apply
안내에 따라 Google Cloud 프로젝트 ID를 입력합니다.
Terraform의 요청을 승인하고 프로젝트에 리소스를 배포하려면
yes
를 입력합니다.모든 리소스를 배포하려면 몇 분 정도 걸립니다.
Guacamole 데이터베이스 배포하기
이 섹션에서는 MySQL용 Cloud SQL에서 Guacamole 데이터베이스와 테이블을 만들고 데이터베이스에 관리자 사용자 정보를 채웁니다.
Cloud Shell에서 환경 변수를 설정하고 데이터베이스 루트 비밀번호를 찾습니다.
cd .. source bin/read-tf-output.sh
다음 단계에 필요하므로 데이터베이스 루트 비밀번호를 기록해 둡니다.
이 스크립트는 Terraform 실행에서 출력 변수를 읽고 이 절차 전반에서 사용되는 다음 환경 변수를 설정합니다.
CLOUD_SQL_INSTANCE ZONE REGION DB_MGMT_VM PROJECT_ID GKE_CLUSTER GUACAMOLE_URL SUBNET
create-schema.sql
및insert-admin-user.sql
스크립트 파일을 데이터베이스 관리 VM에 복사한 다음 VM에 연결합니다.gcloud compute scp \ --tunnel-through-iap \ --zone=$ZONE \ create-schema.sql \ insert-admin-user.sql \ $DB_MGMT_VM: gcloud compute ssh $DB_MGMT_VM \ --zone=$ZONE \ --tunnel-through-iap
이제 Cloud Shell을 통한 데이터베이스 관리 VM에 대한 콘솔 세션이 설정됩니다.
MySQL 클라이언트 도구를 설치합니다.
sudo apt-get update sudo apt-get install -y mariadb-client
Cloud SQL에 연결하고 데이터베이스를 만듭니다. 비밀번호를 입력하라는 메시지가 표시되면 섹션 앞부분에서 기록해 둔 루트 비밀번호를 사용합니다.
export CLOUD_SQL_PRIVATE_IP=$(curl http://metadata.google.internal/computeMetadata/v1/instance/attributes/cloud_sql_ip -H "Metadata-Flavor: Google") mysql -h $CLOUD_SQL_PRIVATE_IP -u root -p
새로 만든 데이터베이스에 대한 데이터베이스 사용자 권한을 부여합니다.
CREATE DATABASE guacamole; USE guacamole; GRANT SELECT,INSERT,UPDATE,DELETE ON guacamole.* TO 'guac-db-user'; FLUSH PRIVILEGES; SOURCE create-schema.sql; SOURCE insert-admin-user.sql; quit
MySQL 명령어 실행이 완료되면 VM SSH 세션을 종료합니다.
exit
Skaffold를 사용하여 GKE에 Guacamole 배포하기
이 섹션에서는 Skaffold를 사용하여 Guacamole 애플리케이션을 GKE 클러스터에 배포합니다. Skaffold는 Guacamole 이미지를 GKE 클러스터에 빌드, 푸시, 배포하는 워크플로를 처리합니다.
Cloud Shell에서 Terraform을 사용하여 GKE 구성을 배포합니다.
cd tf-k8s terraform init -upgrade terraform apply -parallelism=1
GKE 클러스터의 사용자 인증 정보를 가져옵니다.
gcloud container clusters get-credentials \ --region $REGION $GKE_CLUSTER
클론된 Git 저장소의 루트에서 Skaffold를 실행합니다.
cd .. skaffold --default-repo $REGION-docker.pkg.dev/$PROJECT_ID/guac-repo run
Skaffold 도구는 Google Cloud Build를 통해 Guacamole의 컨테이너 이미지를 빌드합니다(명령줄에는 이미지를 푸시할 저장소를 지정하는 플래그가 포함됨). 또한 이 도구는 Kustomize 단계를 실행하여 Terraform 실행의 출력을 기반으로 Kubernetes ConfigMap 및 보안 비밀을 생성합니다.
인증서가 프로비저닝되었는지 확인합니다.
kubectl get -w managedcertificates/guacamole-client-cert \ -n guacamole \ -o jsonpath="{.spec.domains[0]} is {.status.domainStatus[0].status}"
인증서 프로비저닝을 완료하는 데 최대 60분이 걸릴 수 있습니다.
인증서가 프로비저닝되면 브라우저에서 URL로 이동할 수 있습니다.
Terraform 출력에서 URL을 확인합니다.
echo $GUACAMOLE_URL
브라우저 창에서 이전 단계에서 확인한 URL을 입력합니다.
IAP에서 메시지를 표시하면 Google 사용자 인증 정보로 로그인합니다.
로그인한 후에는 이전에 이 절차에서 실행한
insert-admin-user.sql
스크립트에 따라 관리자 권한으로 Guacamole에 로그인됩니다.
이제 Guacamole 사용자 인터페이스를 통해 이메일 주소를 기반으로 사용자를 추가할 수 있습니다. 자세한 내용은 Guacamole 문서의 관리를 참고하세요.
추가 사용자에게는 IAP-secured Web App User
역할을 가진 Google IAM을 통한 권한도 필요합니다.
VM 연결 테스트하기
배포, 구성, Guacamole 로그인 후 Windows VM을 만들고 Guacamole를 통해 새로 생성된 VM에 연결할 수 있습니다.
VM 만들기
Cloud Shell에서 다음에 대한 연결을 테스트할 Windows VM을 만듭니다.
export TEST_VM=windows-vm gcloud compute instances create $TEST_VM \ --project=$PROJECT_ID \ --zone=$ZONE \ --machine-type=n1-standard-1 \ --subnet=$SUBNET \ --no-address \ --image-family=windows-2019 \ --image-project=windows-cloud \ --boot-disk-size=50GB \ --boot-disk-type=pd-standard \ —-shielded-secure-boot
명령어를 실행한 후 Windows가 초기화를 완료하고 다음 단계로 진행할 때까지 몇 분 정도 기다려야 할 수 있습니다.
방금 만든 VM의 Windows 비밀번호를 재설정합니다.
gcloud compute reset-windows-password $TEST_VM \ --user=admin \ --zone=$ZONE
VM에 새 연결 추가하기
- 브라우저 창에서 Skaffold를 사용하여 GKE에 Guacamole 배포의 Guacamole 인스턴스 URL을 입력한 다음 IAP를 통해 로그인합니다.
- Guacamole UI에서 사용자 이름을 클릭한 다음 Settings(설정)를 클릭합니다.
- Connections(연결) 탭에서 New Connection(새 연결)을 클릭합니다.
- Name(이름) 필드에 연결 이름을 입력합니다.
- Location(위치) 필드에 연결 위치를 입력합니다.
- Protocol(프로토콜) 드롭다운 목록에서 RDP를 선택합니다.
Network(네트워크)의 Hostname(호스트 이름) 필드에 만든 VM의 이름인
windows-vm
을 입력합니다.프로젝트 DNS는 이 호스트 이름을 인스턴스의 내부 IP 주소로 확인합니다.
Authentication(인증) 섹션에서 다음 필드를 설정합니다.
- Username(사용자 이름):
admin
- Password(비밀번호): VM에 대해 비밀번호를 재설정할 때 얻은 비밀번호입니다.
- Security mode(보안 모드):
NLA
(네트워크 수준 인증) Ignore server certificate(서버 인증서 무시): 체크박스를 선택합니다.
Compute Engine Windows VM은 원격 데스크톱 서비스를 위한 자체 서명 인증서로 프로비저닝되므로 인증서 유효성 검사 문제를 무시하도록 Guacamole에 지시해야 합니다.
- Username(사용자 이름):
저장을 클릭합니다.
사용자 이름을 클릭하고 Home(홈)을 선택합니다.
방금 만든 연결을 클릭하여 연결을 테스트합니다. 몇 초 후 VM 인스턴스의 데스크톱이 표시됩니다.
Guacamole 구성에 관한 자세한 내용은 Apache Guacamole 매뉴얼을 참고하세요.
삭제
이 절차에서 사용된 리소스 비용이 Google Cloud 계정에 청구되지 않도록 하려면 리소스가 포함된 프로젝트를 삭제하거나 프로젝트를 유지하고 개별 리소스를 삭제하세요.
프로젝트 삭제
- In the Google Cloud console, go to the Manage resources page.
- In the project list, select the project that you want to delete, and then click Delete.
- In the dialog, type the project ID, and then click Shut down to delete the project.
새 리소스 삭제
전체 프로젝트를 삭제하는 대신 이 절차 중에 만든 개별 리소스를 삭제할 수 있습니다. OAuth 동의 화면 구성은 프로젝트에서 삭제할 수 없으며 수정만 할 수 있습니다.
Cloud Shell에서 Terraform을 사용하여 리소스를 삭제합니다.
cd ~/guacamole-on-gcp/tf-k8s terraform destroy cd ~/guacamole-on-gcp/tf-infra terraform destroy gcloud compute instances delete $TEST_VM –-zone=$ZONE
다음 단계
- 클러스터 보안 강화에 대한 GKE 안내 검토하기
- 애플리케이션 레이어에서 보안 비밀 암호화를 검토하여 데이터베이스 사용자 인증 정보 및 OAuth 사용자 인증 정보와 같은 보안 비밀의 보안을 강화하는 방법을 알아보세요.
- IAM 조건을 검토하여 Guacamole에 대한 사용자 액세스를 보다 세밀하게 제어하는 방법을 알아보세요.
- GitHub 저장소에서 커스텀 인증 제공업체를 검토하여 IAP 통합의 작동 방식에 대해 자세히 알아보기
- 그 밖의 참조 아키텍처, 다이어그램, 튜토리얼, 권장사항을 알아보려면 클라우드 아키텍처 센터를 확인하세요.