IBM Cloud Docs
컨텍스트 기반 제한을 사용하여 인바운드 트래픽을 Code Engine 애플리케이션 및 기능으로 제한하기

컨텍스트 기반 제한을 사용하여 인바운드 트래픽을 Code Engine 애플리케이션 및 기능으로 제한하기

이 기능은 베타 기능이며 평가 및 테스트 목적으로만 사용할 수 있습니다.

IBM Cloud 컨텍스트 기반 규칙을 사용하여 Code Engine 애플리케이션 또는 함수에 대한 액세스를 제한하여 IBM Cloud® Code Engine 애플리케이션 및 함수에 대한 인바운드 트래픽을 다시 제한할 수 있습니다. Code Engine 작업에는 이 기능이 지원되지 않습니다. 컨텍스트 기반 제한은 액세스를 할당하는 대신 액세스 요청이 구성한 허용된 컨텍스트에서 오는지 확인합니다. Code Engine 프로젝트 내의 애플리케이션과 기능으로 인바운드 트래픽을 제한하여 원치 않는 인바운드 트래픽으로부터 프로젝트를 보호할 수 있습니다.

컨텍스트 기반 제한을 사용하여 개인 엔드포인트로 Code Engine 리소스를 보호하는 경우 컨텍스트 기반 규칙으로 애플리케이션이나 기능에 연결하는 인바운드 트래픽을 제한할 수 있을 뿐만 아니라 애플리케이션이나 비밀을 배포하거나 업데이트하는 등 Code Engine 리소스를 관리할 수 있는 사람을 제한 할 수 있습니다.

Code Engine 에 대한 컨텍스트 기반 제한은 단일 프로젝트, 전체 리소스 그룹 또는 위치(지역)로 범위를 지정할 수 있습니다. Code Engine 에서 액세스할 수 있는 서비스를 제한할 수도 있습니다. IBM Cloud 컨텍스트 기반 제한에 대한 자세한 내용은 컨텍스트 기반 제한이란 무엇인가 요?

컨텍스트 기반 제한 규칙이 리소스 그룹 또는 위치에 적용되는 경우 기존 프로젝트에 제한이 적용됩니다. 동일한 위치 또는 리소스 그룹에 새 프로젝트를 만드는 경우 새 프로젝트에 제한을 적용하려면 규칙을 변경하지 않고 업데이트해야 합니다. 규칙을 변경할 필요 없이 편집을 클릭한 다음 적용을 클릭하여 새 프로젝트가 제한 사항과 연결되도록 하면 됩니다.

Code Engine 리소스에 대한 컨텍스트 기반 제한 만들기

컨텍스트 기반 제한을 만들려면 컨텍스트 기반 제한 만들기를 참조하세요. 다음 단계는 Code Engine 리소스에 대한 생성에만 해당합니다.

  1. 컨텍스트 기반 제한 규칙 페이지로 이동합니다.

  2. 만들기를 클릭하여 서비스부터 시작하여 컨텍스트 기반 제한에 대한 새 규칙을 만듭니다.

  3. 서비스에서 Code Engine 를 선택하고 다음을 클릭하여 보호할 서비스 API를 선택합니다.

  4. 서비스 API의 데이터 플레인 옵션을 선택하여 Code Engine 애플리케이션 또는 함수 워크로드를 보호하기 위해 액세스를 제한하세요.

    데이터 플레인 수준에서 워크로드 제한을 정의하므로 최소한 데이터 플레인 서비스를 선택합니다. 다른 서비스 또는 플랫폼 API를 선택할 수도 있습니다.

    다음을 클릭하여 리소스에 대한 제한 범위를 지정합니다.

  5. 단일 프로젝트, 전체 리소스 그룹 또는 여러 프로젝트가 있는 위치(지역)에 제한을 적용합니다. 리소스 섹션에서 이 범위를 적용하고 검토를 클릭하여 계속 진행합니다.

  6. 계속을 클릭하여 규칙에 컨텍스트를 추가합니다.

  7. Code Engine 의 데이터 플레인 API는 퍼블릭 워크로드가 아닌 프라이빗 워크로드에 대한 제한을 제공합니다. 기본적으로 모든 공용 워크로드는 계속 액세스할 수 있습니다. 컨텍스트 기반 제한으로 비공개 인바운드 연결을 제한하고 모든 공개 엔드포인트에 액세스할 수 있도록 하려면 빈 공개 컨텍스트를 만들어야 합니다. 이 빈 공용 엔드포인트가 없으면 규칙 설정 오류가 발생합니다. 빈 공개 컨텍스트를 만들려면 다음과 같이 하세요:

    1. 엔드포인트를 켜짐으로 설정합니다.
    2. 공용을 선택하십시오.
    3. 네트워크 영역을 비워 둡니다. 모든 공용 엔드포인트에 액세스할 수 있도록 이 섹션에서 네트워크 영역이 사용 설정되어 있지 않은지 확인하세요.

    원하는 경우 비공개 엔드포인트를 제한할 수 있습니다:

    • 프로젝트 내에서 비공개 엔드포인트에 대한 모든 액세스를 거부하려면 빈 공개 컨텍스트만 존재하고 비공개 컨텍스트가 설정되어 있지 않은지 확인하세요.
    • 프로젝트 내에서 비공개 워크로드를 제한하려면 허용하려는 네트워크 영역 목록을 선택합니다(예: Code Engine 프로젝트에서 VPC가 비공개 네트워크에 액세스하도록 허용할 수 있습니다).
    • IPv6 에 대해서는 제한이 지원되지 않습니다 Code Engine.

  8. 계속을 클릭하여 규칙 세부 정보를 입력합니다.

  9. 규칙의 이름이나 설명을 입력합니다.

  10. 시행을 위해 사용을 선택합니다.

  11. 요약을 검토하고 만들기를 클릭합니다.

비공개 인바운드 연결에 대한 컨텍스트 기반 제한 규칙 테스트하기

컨텍스트 기반 제한 규칙을 만든 후에는 비공개 애플리케이션이나 함수를 사용하여 테스트할 수 있습니다. 허용 목록에 있는 IP 주소에만 액세스 권한이 부여됩니다. 허용 목록에 없는 IP 주소에서 요청이 들어오는 경우 RBAC Access Denied 오류 메시지가 표시됩니다. 예를 들어 9.9.9.9/32 만 허용한 경우 해당 IP 범위에서만 애플리케이션 또는 기능에 액세스할 수 있습니다. 이 범위를 벗어나는 모든 항목에는 오류 메시지가 표시됩니다.

VPC(가상 프라이빗 클라우드)를 가리키는 네트워크 영역을 선택한 경우, VPC가 프라이빗 워크로드에 액세스할 수 있도록 VPE(가상 프라이빗 엔드포인트) 게이트웨이도 만들어야 합니다. 게이트웨이를 생성한 후 PDNS 확인으로 인해 일시적인 지연이 발생할 수 있습니다. 처음에는 RBAC Access Denied 오류 메시지가 표시될 수 있지만 잠시 후 액세스 권한이 부여됩니다.