개요

이 실습에서는 SQL 프록시를 통해 Cloud SQL에 연결된 WordPress의 Kubernetes 배포를 설정합니다. SQL 프록시를 사용하면 마치 Cloud SQL 인스턴스가 로컬에 설치된 것처럼(localhost: 3306) 이 인스턴스와 상호작용할 수 있습니다. 로컬에서 안전하지 않은 포트에 있는 경우에도 SQL 프록시는 네트워크를 통해 Cloud SQL 인스턴스에 연결되도록 보장합니다.

이 실습을 완료하기 위해서는 여러 구성요소를 만듭니다. 먼저 GKE 클러스터를 만들고, 다음으로 연결할 Cloud SQL 인스턴스를 만들고, 포드가 Cloud SQL 인스턴스에 액세스할 수 있도록 권한을 제공하는 서비스 계정을 만듭니다. 이 계정은 워크로드 아이덴티티를 사용하여 인증됩니다. 마지막으로 SQL 프록시를 사이드카로 사용하여 Cloud SQL 인스턴스에 연결된 GKE 클러스터에 WordPress를 배포합니다.

목표

이 실습에서는 다음 작업을 수행하는 방법을 알아봅니다.

• WordPress용 Cloud SQL 인스턴스 및 데이터베이스를 만듭니다.
• 애플리케이션 인증을 위해 사용자 인증 정보 및 Kubernetes 보안 비밀을 만듭니다.
• 워크로드 아이덴티티를 구성합니다.
• SQL 프록시를 사용하기 위해 WordPress 이미지로 배포를 구성합니다.
• SQL 프록시를 사이드카 컨테이너로 설치하고 이를 사용하여 GKE 클러스터 외부의 CloudSQL 인스턴스에 대한 SSL 액세스 권한을 제공합니다.

실습 설정

Qwiklabs에 액세스하기

각 실습에서는 정해진 기간 동안 새 Google Cloud 프로젝트와 리소스 집합이 무료로 제공됩니다.

1. 시크릿 창을 사용하여 Qwiklabs에 로그인합니다.

2. 실습 사용 가능 시간(예: 1:15:00)을 참고하여 해당 시간 내에 완료합니다.
   일시중지 기능은 없습니다. 필요한 경우 다시 시작할 수 있지만 처음부터 시작해야 합니다.

3. 준비가 되면 실습 시작을 클릭합니다.

4. 실습 사용자 인증 정보(사용자 이름 및 비밀번호)를 기록해 두세요. Google Cloud Console에 로그인합니다.

5. Google Console 열기를 클릭합니다.

6. 다른 계정 사용을 클릭한 다음, 안내 메시지에 이 실습에 대한 사용자 인증 정보를 복사하여 붙여넣습니다.
   다른 사용자 인증 정보를 사용하는 경우 오류가 발생하거나 요금이 부과됩니다.

7. 약관에 동의하고 리소스 복구 페이지를 건너뜁니다.

초기 로그인 단계를 완료하면 프로젝트 대시보드가 표시됩니다.

Google Cloud Shell 활성화하기

Google Cloud Shell은 다양한 개발 도구가 탑재된 가상 머신으로, 5GB의 영구 홈 디렉터리를 제공하며 Google Cloud에서 실행됩니다.

Google Cloud Shell을 사용하면 명령줄을 통해 Google Cloud 리소스에 액세스할 수 있습니다.

1. Cloud 콘솔의 오른쪽 상단 툴바에서 'Cloud Shell 열기' 버튼을 클릭합니다.

   

2. 계속을 클릭합니다.

환경을 프로비저닝하고 연결하는 데 몇 분 정도 소요됩니다. 연결되면 사용자가 미리 인증되어 프로젝트가 PROJECT_ID로 설정됩니다. 예:

gcloud는 Google Cloud의 명령줄 도구입니다. Cloud Shell에 사전 설치되어 있으며 명령줄 자동 완성을 지원합니다.

• 다음 명령어를 사용하여 사용 중인 계정 이름을 나열할 수 있습니다.

gcloud auth list

출력:

Credentialed accounts: - @.com (active)

출력 예시:

Credentialed accounts: - google1623327_student@qwiklabs.net

• 다음 명령어를 사용하여 프로젝트 ID를 나열할 수 있습니다.

gcloud config list project

출력:

[core] project =

출력 예시:

[core] project = qwiklabs-gcp-44776a13dea667a6 참고: gcloud 전체 문서는 gcloud CLI 개요 가이드를 참조하세요.

작업 1. 실습 GKE 클러스터에 연결하기

1. Cloud Shell에서 다음 명령어를 입력하여 Google Cloud 영역 및 클러스터 이름의 환경 변수를 설정합니다.

export my_cluster=autopilot-cluster-1 export my_project=$(gcloud config get-value project) export my_region={{{ project_0.default_region | "" }}}

2. kubectl 명령줄 도구의 명령줄 자동 완성 기능을 구성합니다.

source <(kubectl completion bash)

3. 다음과 같이 kubectl의 클러스터에 대한 액세스 권한을 구성합니다.

gcloud container clusters get-credentials $my_cluster --region $my_region

작업 2. Cloud SQL API 사용 설정하기

1. Google Cloud 콘솔의 탐색 메뉴()에서 API 및 서비스를 클릭합니다.

2. + API 및 서비스 사용 설정을 클릭합니다.

3. API 및 서비스 검색에 SQL을 입력한 후 Cloud SQL API 타일을 클릭합니다.

4. 사용 설정을 클릭하여 Cloud SQL API를 사용 설정합니다.

API가 이미 사용 설정되어 있는 경우에는 API 사용 설정됨이라는 메시지와 함께 관리 버튼이 대신 나타납니다. 이 경우에는 별도의 조치가 필요하지 않습니다.

5. 위 단계를 반복하여 sqladmin API를 사용 설정합니다.

작업 3. Cloud SQL 인스턴스 만들기

1. Cloud Shell에서 다음 명령어를 실행하여 인스턴스를 만듭니다.

gcloud sql instances create sql-instance --tier=db-n1-standard-2 --region=$my_region

2. Google Cloud 콘솔에서 SQL로 이동합니다.
3. sql-instance가 표시되면 이름을 클릭한 후 사용자 메뉴를 클릭합니다.

참고: Cloud SQL 인스턴스가 프로비저닝될 때까지는 몇 분 정도 기다려야 합니다.

기존의 루트 사용자가 표시되면 다음 단계로 진행할 수 있습니다.

4. 사용자 계정 추가를 클릭하고 sqluser를 사용자 이름으로, sqlpassword를 비밀번호로 사용하여 계정을 만듭니다.

5. 호스트 이름 옵션은 모든 호스트 허용(%)으로 설정된 상태로 두고 추가를 클릭합니다.

6. 마찬가지로 인스턴스(sql-instance)에 있는 개요 메뉴로 돌아가서 인스턴스 연결 이름을 복사합니다.

이 이름을 보려면 약간 아래로 스크롤해야 할 수 있습니다.

7. Cloud SQL 인스턴스 이름을 저장할 환경 변수를 만들고, 자리표시자를 이전 단계에서 복사한 이름으로 대체합니다.

export SQL_NAME=[Cloud SQL Instance Name]

8. 명령어는 다음과 유사합니다.

$ export SQL_NAME=qwiklabs-gcp-d03ee58ad9ad507e:us-central1:sql-instance

9. Cloud SQL 인스턴스에 연결합니다.

gcloud sql connect sql-instance

10. 루트 비밀번호를 입력하라는 메시지가 표시되면 Enter 키를 누릅니다. 기본적으로 루트 SQL 사용자 비밀번호는 비어 있습니다.

이제 MySQL 클라이언트를 사용하여 Cloud SQL 인스턴스에 연결되었음을 나타내는 mysql> 프롬프트가 나타납니다.

11. WordPress에 필요한 데이터베이스를 만듭니다. 이 데이터베이스의 이름은 기본적으로 wordpress입니다.

create database wordpress;

12. wordpress 데이터베이스를 선택합니다.

use wordpress;

13. wordpress 데이터베이스를 선택합니다.

show tables;

아직 테이블을 만들지 않았으므로 비어 있는 세트가 보고됩니다.

14. MySQL 클라이언트를 종료합니다.

exit;

'내 진행 상황 확인하기'를 클릭하여 목표를 확인합니다.

Cloud SQL 인스턴스 만들기

작업 4. Cloud SQL에 액세스할 권한이 있는 서비스 계정 준비하기

1. 서비스 계정을 만들기 위해 Google Cloud 콘솔에서 IAM 및 관리자 > 서비스 계정으로 이동합니다.

2. + 서비스 계정 만들기를 클릭합니다.

3. 서비스 계정 이름을 sql-access로 지정한 후 만들고 계속하기를 클릭합니다.

4. 역할 선택을 클릭합니다.

5. Cloud SQL을 검색하고 Cloud SQL 클라이언트를 선택한 후 계속을 클릭합니다.

6. 완료를 클릭합니다.

7. 서비스 계정 sql-access를 찾고 작업 열에서 점 3개 아이콘을 클릭합니다.

8. 키 관리를 선택합니다.

9. 그런 다음 키 추가를 클릭하고 새 키 만들기를 선택합니다.

10. JSON 키 유형이 선택되었는지 확인하고 만들기를 클릭합니다.

이렇게 하면 공개 키/비공개 키 쌍이 만들어지고, 비공개 키 파일이 컴퓨터에 자동으로 다운로드됩니다. 이 JSON 파일은 나중에 필요합니다.

11. 닫기를 클릭하여 알림 대화상자를 닫습니다.
12. 다운로드한 JSON 사용자 인증 정보 파일을 찾아 이름을 credentials.json으로 바꿉니다.

작업 5. Kubernetes 서비스 계정 만들기 및 워크로드 아이덴티티 구성하기

1. Cloud Shell에서 다음 명령어를 실행하여 Kubernetes 서비스 계정을 만듭니다.

kubectl create serviceaccount gkesqlsa

2. Cloud Shell에서 다음 명령어를 실행하여 Google Cloud 서비스 계정을 방금 만든 Kubernetes 서비스 계정과 바인드합니다.

gcloud iam service-accounts add-iam-policy-binding \ --role="roles/iam.workloadIdentityUser" \ --member="serviceAccount:$my_project.svc.id.goog[default/gkesqlsa]" \ sql-access@$my_project.iam.gserviceaccount.com

3. Cloud Shell에서 다음 명령어를 실행하여 Kubernetes 서비스 계정에 Google Cloud 서비스 계정의 세부정보를 주석으로 추가합니다.

kubectl annotate serviceaccount \ gkesqlsa \ iam.gke.io/gcp-service-account=sql-access@$my_project.iam.gserviceaccount.com

'내 진행 상황 확인하기'를 클릭하여 목표를 확인합니다.

서비스 계정 만들기

작업 6. 보안 비밀 만들기

각각 MySQL 사용자 인증 정보와 Google 사용자 인증 정보(서비스 계정)를 제공하는 두 개의 Kubernetes 보안 비밀을 만듭니다.

1. MySQL 사용자 인증 정보의 보안 비밀을 만들려면 Cloud Shell에 다음을 입력합니다.

kubectl create secret generic sql-credentials \ --from-literal=username=sqluser\ --from-literal=password=sqlpassword

Cloud SQL 사용자 계정을 만들 때 다른 사용자 이름과 비밀번호를 사용했다면 여기에서 해당 사용자 이름과 비밀번호를 대체합니다.

2. Cloud Shell에서 Cloud Shell 메뉴 바의 오른쪽 끝에 있는 더보기()를 클릭합니다.

3. 업로드를 선택하고 파일이 선택된 상태로 두고 파일 선택을 클릭하여 이전 작업에서 다운로드한 credentials.json 사용자 인증 정보 파일을 Cloud Shell에 업로드합니다.

4. Cloud Shell에서 사용자 인증 정보 파일을 현재 작업 디렉터리로 이동합니다.

mv ~/credentials.json .

Cloud Shell에 업로드한 파일은 사용자의 홈 디렉터리에 업로드됩니다. kubectl을 사용하여 현재 작업 디렉터리에 있는 파일로 작업하는 것이 더 쉬우므로 파일을 이동하면 다음 단계가 더 간단해집니다.

5. 다음 명령어를 사용하여 Google Cloud 서비스 계정 사용자 인증 정보에 대한 보안 비밀을 만듭니다.

kubectl create secret generic google-credentials\ --from-file=key.json=credentials.json

'내 진행 상황 확인하기'를 클릭하여 목표를 확인합니다.

보안 비밀 만들기

작업 7. 사이드카 컨테이너로 SQL 프록시 에이전트 배포하기

SQL 프록시 에이전트를 사이드카 컨테이너로 사용하여 데모 Wordpress 애플리케이션 컨테이너를 배포하기 위해 sql-proxy.yaml이라는 배포 매니페스트 파일을 만들어 보겠습니다.

WordPress 컨테이너 환경 설정에서 WORDPRESS_DB_HOST는 localhost IP 주소를 사용하여 지정됩니다. cloudsql-proxy 사이드카 컨테이너는 이전 작업에서 만든 Cloud SQL 인스턴스를 가리키도록 구성됩니다. 데이터베이스 사용자 이름과 비밀번호가 보안 비밀 키로 WordPress 컨테이너에 전달되고 워크로드 아이덴티티가 구성됩니다. 인터넷에서 WordPress 인스턴스에 연결할 수 있도록 서비스도 생성됩니다.

다음 명령어를 사용하여 nano로 sql-proxy.yaml이라는 파일을 만들고 엽니다.

nano sql-proxy.yaml

2. nano가 열리면 다음을 sql-proxy.yaml 파일에 붙여넣습니다.

apiVersion: apps/v1 kind: Deployment metadata: name: wordpress labels: app: wordpress spec: selector: matchLabels: app: wordpress template: metadata: labels: app: wordpress spec: serviceAccountName: gkesqlsa containers: - name: web image: gcr.io/cloud-marketplace/google/wordpress:6.1 #image: wordpress:5.9 ports: - containerPort: 80 env: - name: WORDPRESS_DB_HOST value: 127.0.0.1:3306 # These secrets are required to start the pod. # [START cloudsql_secrets] - name: WORDPRESS_DB_USER valueFrom: secretKeyRef: name: sql-credentials key: username - name: WORDPRESS_DB_PASSWORD valueFrom: secretKeyRef: name: sql-credentials key: password # [END cloudsql_secrets] # Change '<INSTANCE_CONNECTION_NAME>' here to include your Google Cloud # project, the region of your Cloud SQL instance and the name # of your Cloud SQL instance. The format is # $PROJECT:$REGION:$INSTANCE # [START proxy_container] - name: cloudsql-proxy image: gcr.io/cloud-sql-connectors/cloud-sql-proxy:2.8.0 args: - "--structured-logs" - "--port=3306" - "<INSTANCE_CONNECTION_NAME>" securityContext: runAsNonRoot: true --- apiVersion: "v1" kind: "Service" metadata: name: "wordpress-service" namespace: "default" labels: app: "wordpress" spec: ports: - protocol: "TCP" port: 80 selector: app: "wordpress" type: "LoadBalancer" loadBalancerIP: ""

3. Ctrl+O 키를 누른 다음 Enter 키를 눌러 수정한 파일을 저장합니다.

4. Ctrl+X 키를 눌러 nano 텍스트 편집기를 종료합니다.

이 매니페스트에서 주목해야 할 중요한 섹션은 다음과 같습니다.

• spec 섹션에서 Kubernetes 서비스 계정이 구성됩니다.
• WordPress env 섹션에서 변수 WORDPRESS_DB_HOST는 127.0.0.1:3306으로 설정됩니다. 그러면 포트 3306에서 수신 대기하는 동일한 pod의 컨테이너에 연결됩니다. 이는 SQL 프록시가 기본적으로 수신 대기하는 포트입니다.
• WordPress env 섹션에서 변수 WORDPRESS_DB_USER 및 WORDPRESS_DB_PASSWORD는 마지막 작업에서 만든 sql-credential 보안 비밀에 저장된 값을 사용하여 설정됩니다.
• cloudsql-proxy 컨테이너 섹션에서 SQL 연결 이름 "INSTANCE_CONNECTION_NAME>을 정의하는 명령어 스위치는 ConfigMap 또는 보안 비밀을 사용하여 구성되지 않은 자리표시자 변수를 포함하고 있으므로 Cloud SQL 인스턴스를 가리키도록 이 예시 매니페스트에서 바로 업데이트해야 합니다.
• 끝에 있는 Service 섹션은 외부 인터넷 주소에서 애플리케이션에 액세스할 수 있게 해주는 "wordpress-service"라는 외부 LoadBalancer를 만듭니다.

1. sed를 사용하여 SQL 연결 이름의 자리표시자 변수를 Cloud SQL 인스턴스의 인스턴스 이름으로 업데이트합니다.

sed -i 's/<INSTANCE_CONNECTION_NAME>/'"${SQL_NAME}"'/g'\ sql-proxy.yaml 참고: UNIX의 sed 명령어는 스트림 편집기를 의미하며, 파일에서 대체, 삽입, 삭제와 같은 다양한 기능을 수행할 수 있습니다. sed는 일반적으로 대체 기능에 가장 자주 사용됩니다. sed를 사용하면 파일을 열지 않고도 편집할 수 있어 편집기에서 파일을 열고 수정하는 것보다 파일의 내용을 보다 빨리 찾고 대체할 수 있습니다.

2. 애플리케이션을 배포합니다.

kubectl apply -f sql-proxy.yaml

3. 배포 상태를 쿼리합니다.

kubectl get deployment wordpress 참고: 인스턴스를 사용할 수 있음을 확인할 때까지 이 명령어를 반복해야 합니다.

출력:

NAME READY UP-TO-DATE AVAILABLE AGE wordpress 1/1 1 1 45s

4. GKE 클러스터의 서비스를 나열합니다.

kubectl get services

wordpress-service에 대한 외부 LoadBalancer ip-address는 WordPress 블로그에 연결하는 데 사용하는 주소입니다.

5. 여기에 나와 있는 것과 같은 외부 주소를 얻을 때까지 명령어를 반복합니다.

NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) kubernetes ClusterIP 10.12.0.1 443/TCP wordpress-service LoadBalancer 10.12.3.17 35.238.218.6 80:31095/TCP

'내 진행 상황 확인하기'를 클릭하여 목표를 확인합니다.

사이드카 컨테이너로 SQL 프록시 에이전트 배포하기

작업 7. WordPress 인스턴스에 연결하기

1. 새 브라우저 탭을 열고 외부 LoadBalancer ip-address를 사용하여 WordPress 사이트에 연결합니다. 그러면 초기 WordPress 설치 마법사가 시작됩니다.
2. 영어(미국)를 선택하고 계속을 클릭합니다.
3. 사이트 제목에 샘플 이름을 입력합니다.
4. 사이트를 관리하기 위해 사용자 이름과 비밀번호를 입력합니다.
5. 이메일 주소를 입력합니다.

이러한 값은 특별히 중요하지 않으므로 사용할 필요가 없습니다.

6. WordPress 설치를 클릭합니다.

몇 초 후 성공! 알림이 표시됩니다. 로그인은 WordPress 관리 인터페이스를 탐색하려는 경우 수행할 수 있지만, 실습에 필요하지는 않습니다.

초기화 프로세스를 통해 Cloud SQL 인스턴스의 wordpress 데이터베이스에 새 데이터베이스 테이블 및 데이터가 만들어졌습니다. 이제 SQL 프록시 컨테이너를 사용하여 새 데이터베이스 테이블이 만들어졌는지 검사합니다.

7. Cloud Shell로 다시 전환하고 Cloud SQL 인스턴스에 연결합니다.

gcloud sql connect sql-instance

8. 루트 비밀번호를 입력하라는 메시지가 표시되면 Enter 키를 누릅니다. 기본적으로 루트 SQL 사용자 비밀번호는 비어 있습니다.

이제 MySQL 클라이언트를 사용하여 Cloud SQL 인스턴스에 연결되었음을 나타내는 mysql> 프롬프트가 나타납니다.

9. wordpress 데이터베이스를 선택합니다.

use wordpress;

10. wordpress 데이터베이스를 선택합니다.

show tables;

그러면 이제 WordPress가 초기화될 때 만들어진 여러 새 데이터베이스 테이블이 표시되어 사이드카 SQL 프록시 컨테이너가 올바르게 구성되었음을 보여줍니다.

MySQL [wordpress]> show tables; +-----------------------+ | Tables_in_wordpress | +-----------------------+ | wp_commentmeta | | wp_comments | | wp_links | | wp_options | | wp_postmeta | | wp_posts | | wp_term_relationships | | wp_term_taxonomy | | wp_termmeta | | wp_terms | | wp_usermeta | | wp_users | +-----------------------+ 12 rows in set (0.19 sec)

11. 모든 WordPress 사용자 테이블 항목을 나열합니다.

select * from wp_users;

이 명령어는 WordPress 관리자 계정의 데이터베이스 기록을 나열하여 WordPress를 초기화할 때 선택한 이메일을 보여줍니다.

12. MySQL 클라이언트를 종료합니다.

exit;

실습 종료하기

실습을 완료하면 실습 종료를 클릭합니다. Google Cloud Skills Boost에서 사용된 리소스를 자동으로 삭제하고 계정을 지웁니다.

실습 경험을 평가할 수 있습니다. 해당하는 별표 수를 선택하고 의견을 입력한 후 제출을 클릭합니다.

별점의 의미는 다음과 같습니다.

• 별표 1개 = 매우 불만족
• 별표 2개 = 불만족
• 별표 3개 = 중간
• 별표 4개 = 만족
• 별표 5개 = 매우 만족

의견을 제공하고 싶지 않다면 대화상자를 닫으면 됩니다.

의견이나 제안 또는 수정할 사항이 있다면 지원 탭을 사용하세요.

Copyright 2020 Google LLC All rights reserved. Google 및 Google 로고는 Google LLC의 상표입니다. 기타 모든 회사명 및 제품명은 해당 업체의 상표일 수 있습니다.