피드로 돌아가기
Dev.toInfrastructure
원문 읽기
IAP 기반의 Zero Trust 네트워크 구축을 통한 보안 MLflow 서버 환경 설계
Workflow to create VM, SQL instance and a Bucket on GCP and connect to local VS code using IAP
AI 요약
Context
공용 인터넷 노출 없이 MLflow 서버를 운용하기 위해 GCP 인프라의 보안 강화 필요성 대두. 기존의 Public IP 개방 방식이 가진 보안 취약점을 해결하고 로컬 개발 환경과 VM 간의 안전한 연결 통로 구축을 목표로 함.
Technical Solution
- IAP(Identity Aware Proxy) 및 TCP Tunneling 도입을 통한 외부망 Public IP 제거 및 Zero Trust 접근 제어 구현
- VM-Cloud SQL 간의 Private IP 연결 설계를 통한 내부 네트워크 트래픽 최적화 및 외부 유출 차단
- 35.235.240.0/20 CIDR 범위의 IAP 전용 Firewall Rule 설정을 통한 최소 권한 기반의 Ingress 트래픽 제어
- Service Account의 Access Scope 최적화를 통한 Cloud SQL 및 Storage에 대한 Least Privilege 원칙 적용
- Localhost 포트 포워딩(Port 5000)을 통한 원격 MLflow UI의 로컬 브라우저 매핑 및 보안 접속 환경 구축
실천 포인트
- VM 인스턴스 생성 시 Public IP를 비활성화하고 IAP Secured Tunnel User 권한 부여 여부 확인 - Cloud SQL 인스턴스와 VM을 동일 Zone 및 Default Network 내에 배치하여 네트워크 지연 최소화 - IAP 통신을 위해 Firewall Rule의 소스 IP 범위를
3
5.
2
3
5.
2
4
0.0/20으로 정확히 제한 - gcloud compute start-iap-tunnel 명령어를 활용한 특정 애플리케이션 포트의 로컬 매핑 검토