[GCP] 구글 문서는 우리에게 거짓말을 하고 있다...?! - GKE Ingress 기반 L7 LB 와 Wildcard Google Managed Cert 의 진실

 

정말 오랜만에 블로그 글을 작성하게 되었다.

 

올해는 회사 일이 정말 바빴기 때문이였다.. 사실 지금도 여유롭진 않은데 그래도 뭐라도 작성해야겠다 싶어서 몇자 적어보려고 한다!

 

이번에는 GKE 에서 Ingress API 기반으로 생성한 L7 LB 에 Wildcard Google Managed Certification 을 사용할 수 있는지에 대해 알아보려고 한다.

 

바로 본론으로 들어가보자!

 

GKE Ingress API 문서를 살펴보면 HTTP(S) LB 에는 Wildcard Google Manged SSL Cert 는 사용할 수 없다고 한다.

그런데 결론부터 말하면 가능하다!

https://cloud.google.com/kubernetes-engine/docs/concepts/ingress?hl=ko#options_for_providing_ssl_certificates

 

저 문장이 굉장히 애매모호하다. 아마 대부분의 사람들은 저 문장을 봤을때 단순히 L7 LB 에 와일드카드 도메인 인증서를 사용하지 못할거라고 생각할 것이다.

 

"아하 Ingress 로 생성하는 L7 LB 에는 *.example.com 같은 도메인을 사용할 수 없나보구나?"

 

저 말이 완전 틀린 말은 아니다. 지금부터 어떤 점이 틀리고 어떤 점이 맞았는지 한번 살펴보도록 하자!

 

우선 GCP Certificate Manager 부터 살펴보자!

 

GCP Certificate Manager 에는 크게 3가지 종류의 Certificate 가 있는데, Certificates / Certificate Maps / Classic Certificates 이다.

Certificates, Certificate Maps 와 Classic certificates

 

잠시 AWS Certificate Manager 를 살펴보면, 그냥 Certificate 하나만 존재한다. Certificate Maps, Classic Certificates 이런게 없다. 그래서 그저 AWS L7 LB 에 인증서만 가져다 붙여버리면 와일드카드 인증서도 아주 잘 동작한다.

AWS 에는 딱 하나의 Certificate 만 존재

 

AWS 를 쓰다가 GCP 를 넘어가는 입장에선 이 부분이 첫번째 혼돈 포인트였다.

 

그래서 Certificates 와 Classic Certificates 랑 무슨 차이야? 답은 아래와 같다.

https://cloud.google.com/certificate-manager/docs/domain-authorization?hl=ko

 

단순히 부하 분산기 승인이냐 DNS 승인이냐의 차이다. 자세한 차이는 문서를 살펴보기 바란다.

 

그리고 AWS Certificate Manager 역시 DNS 승인 방식을 채택하고 있다.

 

 

즉, Certificates 는 DNS 승인 방식으로 생성한 인증서가, Classic Certificates 는 부하 분산기 승인으로 생성한 인증서가 존재하게 된다.

 

참고로 GCP 에서도 Classic Ceritificates 방식은 더 이상 권장하지 않는다.

 

한편 구글 문서를 보면 Google Manged Cert 를 이용해서 Ingress 기반 GKE L7 LB 를 생성하려면 ManagedCertificate API 를 생성해줘야 한다.

apiVersion: networking.gke.io/v1
kind: ManagedCertificate
metadata:
  name: example
spec:
  domains:
    - test.example.com

 

생성하게 되면 아래와 같이 Classic certificates 에 "test.example.com" 도메인에 대한 인증서가 생성된다.

Name 과 Domain 은 실제로 사용되는 것이다보니 블러 처리함

 

그리고 생성한 ManagedCertificate API 를 Ingress Annotation 에 명시하게 되면 알아서 아래와 같이 L7 LB 에 Certificate 가 바인딩된다.

 

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: managed-cert-ingress
  annotations:
    networking.gke.io/managed-certificates: "example" #-- ManagedCeritifacte API Name 과 일치
    kubernetes.io/ingress.class: "gce"
spec:
  rules:
    - host: "test.example.com"
      http:
        paths:
          - pathType: ImplementationSpecific
            backend:
              service:
                name: mc-service
                port:
                  number: 8080

 

Certificate 에 나와있는 "mcrt-714cb..." 가 ManagedCertificate API 로 만든 인증서이다.

Ingress API 를 배포하면 L7 LB 가 위와 같이 생성됨

 

curl 명령어를 날려보면 실제로 인증서가 제대로 동작한다.

Issuer 가 Google Trust Services 이다

 

사실 지금까지만 봤을땐 와일드카드를 사용하지 않았기 때문에 구글 문서의 말은 전혀 틀린 것이 없는 것처럼 보인다.

 

그럼 이제 와일드카드 인증서를 생성한 후에 Ingress API 기반으로 생성한 L7 LB 에 붙여보겠다.

 

ManagedCertificate API 를 통해 인증서를 생성하고 Ingress Annotation 에 명시해 L7 LB 를 붙였던 방법과 달리 이건 살짝 야매? 방법이다.

 

우선 쿠버네티스 API 를 통해 바인딩할 순 없다. gcloud API 로만 가능하다.

 

gcloud API 로 Classic Certificates 가 아닌 일반 Certificates 와 Certificate Maps 를 생성해보자!

 

먼저 certificates 에 대한 소유권을 인증해야 하기 때문에 dns-authorization 를 생성해주고, 바로 certificate 를 생성해준다.

gcloud certificate-manager dns-authorizations create example \
    --domain="test.example.com"

gcloud certificate-manager certificates create example \
    --domains="*.example.com,test.example.com" \
    --dns-authorizations=example

 

이후 Certificate Maps 를 생성하고, 직전에 만든 Certificate 를 Certificate Maps 에 바인딩해주자!

gcloud certificate-manager maps create exmaple

gcloud certificate-manager maps entries create exmaple \
    --location="global"
    --map="exmaple" \
    --certificates="exmaple" \
    --hostname="*.example.com."

 

그럼 최종적으로 아래와 같이 Certificate Maps 가 생성된다.

Name 은 블러 처리함

 

 

이후 아래 gcloud 명령을 통해 생성한 Certificate Map 을 LB Frontend 에 바인딩해주자!

gcloud compute target-https-proxies update k8s1-af2bed6e-default-mc-service-8080-078bc7b5 \
    --certificate-map="example"

 

그럼 아래와 같이 Certificate 에는 취소선이 그어져 있고, Certificate Map 이 바인딩 된 것을 확인할 수 있다!

성공적으로 바인딩됨

 

이후 curl 명령어로 확인해보면 정상적으로 SSL 를 사용한다!

 

어찌됐든 Ingress API 기반으로 생성한 L7 LB 에도 와일드 카드 인증서를 사용할 수 있다는 것을 증명해보았다!

 

그럼 다시 한번 구글 문서를 살펴보자!

https://cloud.google.com/kubernetes-engine/docs/concepts/ingress?hl=ko#options_for_providing_ssl_certificates

 

"관리형 인증서는 와일드 카드 도메인을 지원하지 않습니다" 라는 문장은 아래와 같이 해석할 수 있을 것 같다.

 

"ManagedCertificate API 를 통해 와일드카드 기반의 도메인은 사용할 수 없다"

 

실제로 아래와 같이 *.example.com 으로 생성하려고 하면 'spec.domains[0] in body should match '^(([a-z0-9]+|[a-z0-9][-a-z0-9]*[a-z0-9])\.)+[a-z][-a-z0-9]*[a-z0-9]$' 와 같은 에러를 볼 수 있다.

apiVersion: networking.gke.io/v1
kind: ManagedCertificate
metadata:
  name: example
spec:
  domains:
    - *.example.com

 

구글 문서에서 "관리형 인증서" 라는 표현보다는 "ManagedCertificate API 로 생성한 인증서"로 표현했으면 덜 혼돈이 되지 않았을까 싶다. 심지어 원문으로 봐도 단순히 managed certificate 라고만 나와있다.

 

GCP 에 익숙치 않은 사람이라면 이걸 보통 Google Managed Certificate 라고 생각하지 않을까 싶기도 하다.

그래서 자연스레 "Google Managed Certificate 는 와일드카드를 지원하지 않나보구나" 라고 생각하기 쉽다.

 

또 헷갈릴수 있는 포인트가 Classic Certificate 를 생성할 때 아래와 같이 와일드카드를 사용하면 "wildcard domains not supported" 라고 나온다.

 

근데 이게 또 한술 더 떠서 베스핀 글로벌 블로그 글에서도 잘못된 정보를 제공하고 있다.

https://support.bespinglobal.com/ko/support/solutions/articles/73000617428--network-services-%EC%99%80%EC%9D%BC%EB%93%9C%EC%B9%B4%EB%93%9C-%EB%8F%84%EB%A9%94%EC%9D%B8%EC%9D%84-%EC%82%AC%EC%9A%A9%ED%95%98%EC%97%AC-google-managed-%EC%9D%B8%EC%A6%9D%EC%84%9C%EB%A5%BC-%EC%83%9D%EC%84%B1%ED%95%A0-%EC%88%98-%EC%97%86%EC%8A%B5%EB%8B%88%EB%8B%A4-

 

그래서 마치 GCP UI 에선 안되고 gcloud API 를 이용하면 와일드카드를 생성할 수 있는 것처럼 얘기한다.

 

이게 잘못된 것이 GCP UI 에선 생성하려고 했던 것은 Classic Certificate 이면서, 막상 gcloud API 로 생성한 것은 일반 Certificates 이다. Classic Certificate 와 일반 Certificate 은 엄연히 다른데 말이다.

 

이러니 GCP 에 익숙치 않는 사람들은 정말 헷갈릴 수 밖에 없다.

 

그럼 이제 한번 정리해보자!

 

"Ingress API 기반으로 생성할 때 ManagedCerficiate API 를 이용해서 인증서를 바인딩할 수 있다. 하지만 ManagedCerficiate API 는 와일드카드를 지원하지 않기 때문에 와일드카드 인증서를 Ingress API 에 바인딩하려면 LB 를 생성한 후에 gcloud API 를 이용해서 Certificate Maps 을 LB Frontend 에 바인딩해주자!"

 

그런데 사실 이 방법은 깔끔하지 않다. gcloud API 사용이 아닌 모든 걸 Kubernetes API 방식을 이용하고 싶다.

Gateway API 방식은 이용하면 이 모든 걸 깔끔하게 해결할 수 있다!

 

다음 글에서는 Gateway API 방식을 활용해서 Wildcard Google Managed Certificate 를 사용하는 GKE L7 LB 를 만들어보겠다!