달빛이 비추는 궁전에서

GCP 권한 변경시 실시간 알림 설정방안

개요 GCP(Google Cloud Platform) 환경에서 IAM(Identity and Access Management) 권한 변경은 보안 및 거버넌스 측면에서 가장 핵심적인 모니터링 대상입니다. 권한의 오남용이나 잘못된 설정은 데이터 유출 및 리소스 손상으로 직결될 수 있기 때문입니다. 본 가이드는 권한 부여 및 수정 시 발생하는 복잡한 JSON 형식의 감사 로그(Audit Log)를 실시간으로 탐지하고, 이를 운영자가 즉시 인지할 수 있도록 이메일 알림 체계를 구축하는 방안을 작성하였습니다. 시스템 구성도 및 워크플로우본 시스템은 Google Cloud의 Serverless 아키텍처를 활용하여 비용 효율적이고 확장성 있는 실시간 알림 파이프라인을 구성 합니다.탐지 (Cloud Logging): ..

GCP 프로젝트 삭제 방안

목적 : 개인계정이나 테스트 및 운영중에 프로젝트를 삭제할 필요가 있을때 사용합니다. GCP 사용하지 않는 프로젝트에 대한 종료 방안정리 GCP Console에 로그인 후 IAM → Settings 메뉴로 진입합니다.종료(삭제)하고자 하는 프로젝트가 맞는지 확인하고, “Shut Down”을 선택합니다.프로젝트 ID를 입력하면 종료가 됩니다.설명대로 해당 프로젝트의 최종 종료는 30일 뒤이며, 기존까지는 삭제 중지가 가능합니다.

GCP Workload Identity Federation (WIF - 워크로드아이덴티티) 설정

개요 : 서비스 계정 키 대신 GCP 워크로드 아이덴티티 사용방안 외부 신원 공급자(IdP)와 구글 클라우드 간의 신뢰 관계를 구축하여, "Keyless 인증" 환경을 실현하는 것을 목적으로 합니다. 기존 방식의 한계 극복: 외부 연동 시 보안 취약점이 될 수 있는 정적 자격 증명(SA Key)의 생성 필요성을 원천적으로 제거합니다. 운영 오버헤드 감소: 주기적인 키 로테이션, 만료 관리, 폐기 절차 등의 수동 관리 업무를 자동화된 토큰 교환 방식으로 대체합니다. 통합 신원 관리 (IdP Integration): Keycloak, Okta, AD 등 기존에 사용 중인 중앙 집중식 인증 시스템을 활용하여 클라우드 자원에 대한 액세스를 통제합니다. 규정 준수 (Compliance): 장기 자격 증명 사용을 ..

Keycloak 설치 및 구성 매뉴얼 (GCP WIF 테스트)

개요 본 문서는 GCP Workload Identity Federation(WIF)의 외부 신원 공급자(IdP)로 활용될 Keycloak의 설치 및 구성 방법을 다룹니다. Keycloak은 Red Hat에서 주도하는 오픈소스 IAM 솔루션으로, Okta, Auth0, Gluu Server와 같이 엔터프라이즈급 인증 및 인가 기능을 제공합니다. 1.1 주요 구성 요소Keycloak: OIDC 프로토콜 기반의 사용자 인증 및 ID 토큰(JWT) 발급 서버ngrok: 로컬 서버를 외부 HTTPS 엔드포인트로 노출하여 GCP WIF의 Discovery를 지원 1.2 구축 목적Keyless 인증: 정적 서비스 계정 키 없이 외부 신원을 GCP 권한과 매핑표준 준수: OIDC 표준을 활용한 확장 가능한 인증 체계 ..

목적 GCP PSC 구성 후 Vertex AI (Gemini API)에 대해 정상동작 되는지 테스트하는 방안 GCE, 외부서버 모두 가능인증은 SA키파일을 먼저 찾으며, 키가 없으면 ADC 통해 확인 후 진행 동작방식requests, google-auth, google.auth 라이브러리 설치 여부 확인 후 없으면 설치gemini_config.json 파일이 있으면 환경변수 값 가져옴 없으면, 아래의 설정을 입력- PSC IP 주소 :- 프로젝트 ID : - 리전 (Location) : [us-central1]: - 모델 ID :gemini-2.5-flash- 키 파일 경로 (없으면 엔터) []: /home/linux1547/ctu-gcp-dsa2-unit-57e5dc4dcee4.json서비스 키 (외..

링크드인에도 올렸지만, 내 블로그에도 정리해서 업로드# 필요한 도구를 직접 만드는 시대요즘 대세는 필요한 도구를 AI를 통해 만들어서 사용하는 것이라고 느껴집니다. 저의 짝궁이 식단을 관리를 하고 있고, Zepp이라는 스마트워치 앱을 사용하는데, 매번 먹은 음식을 일일이 검색해 등록하는 과정을 꽤 불편해하더라고요. 기존 식단 앱들은 음식 데이터베이스가 부족하거나, 무엇보다 기존에 쓰던 관리 앱으로 데이터를 옮기는 과정을 생각하니 번거로웠습니다.Google antigravity를 이용해서, 캡쳐화면과 같이 음식사진을 찍으면 Gemini API로 보내어 음식을 분석하고, 칼로리, 당, 탄수화물을 정보를 찾아서 보여주는 어플을 만들어보았습니다.간단하게 만들기 위해 antigraviry가 Reac Native ..

https://seonggi.kr/295 AI SRE Auto-Remediator - Google Gemini AI 기반 실시간 시스템 장애 탐지 및 자동 복구 에이전트인터넷으로 글을 보다가, Claude code를 통해 Kubernetes 를 모니터링 하고, 자동으로 조치까지 해주는 SRE도구를 보았다.https://www.cloudnativedeepdive.com/kagent-claude-k8s-your-private-agentic-troubleshooter/시스템을seonggi.krWeb으로 정리해서 올렸지만, PT로 정리하면서 재업로드 결론과 향후 발전방향도 추가테스트로 만들기는 했지만, 이걸 실 시스템에서 적용도 해보고싶네..그런회사를 갈 수 있을까 ㅠhttps://github.com/Seong..

인터넷으로 글을 보다가, Claude code를 통해 Kubernetes 를 모니터링 하고, 자동으로 조치까지 해주는 SRE도구를 보았다.https://www.cloudnativedeepdive.com/kagent-claude-k8s-your-private-agentic-troubleshooter/시스템을 모니터링 하고 있다가(watch 모니터링은 기존부터 있었으니..) 문제 발생시 이걸 AI기반 LLM에 질의하고, LLM은 미리 정의된 페르소나에 의해 적절한 조치를 취할 수 있는 명령어를 찾는다.이후 LLM이 OS쉘에서 직접 해당명령을 수행하여, 시스템을 유지시키는 방안이다.AI Agent가 핵심이고, AI Agent가 직접 OS나 쿠버네티스 쉘에서 실행시킬 수 있다는 점이 포인트고그럼 당연히 나도 생..

시놀로지 (Synology)에 설치된 테슬라메이트를 자동으로 백업하는 방안에 대해 서술합니다.백업 파일을 통해 서버장애시 복구하거나, 타 서버로 데이터 이전을 쉽게 할 수 있습니다.시놀로지 DSM에서는 msmtp나 mutt 같은 패키지를 직접 설치할 수 없으므로, 작업 스케줄러(Task Scheduler)를 사용해야 합니다.DSM 7.0 을 기준으로 설명합니다. 제어판으로 이동합니다. 작업스케줄러 선택 생성 → 예약된 작업 → 사용자 정의 스크립트 선택 일반탭 : 작업명을 한 눈에 알아볼 수 있게 작성합니다.사용자는 root로 선택 아래 코드의 내용을 복사하여 “사용자 정의 스크립트"에 넣습니다.환경 변수 설정에Container Manager에 있는 Database Container 이름과 USER, ..

TeslaMate는 DB로 PostgreSQL을 사용합니다. 이전 포스팅에서는 Teslamate에서 사용되는 PostgreSQL 데이터베이스의 백업을 원하는 시간에 자동으로 백업받고, Gmail을 통해 원하는 메일로 전송하는 스크립트를 작성했습니다. 이번에는 위의 스크립트로 백업받은 파일을 복원하는 스크립트를 작성하였습니다. 자동 데이터 백업 스크립트는 아래링크를 참조하세요.https://seonggi.kr/291 사용방법본 문서에 첨부된 쉘스크립트 파일을 다운 받아 업로드 하거나, 아래 소스코드를 복사하여 테슬라메이트가 설치된 서버에 접속하여 파일을 붙여넣기 합니다. 실행은 “bash 스크립트명.sh “ 와 같이 할 수 있습니다. 도커를 검색하여, database 이름이 있는 도커를 추천해줍니다...

목표 :Vscode, JetBrains IDE에서 gemini Code Assist를 사용하여 코드를 개발 및 배포하고 문제를 해결할 수 있습니다.Private망 (Cloud VPN, Interconnect)를 통해 GCP의 Gemini Code Assist를 사용하는 방안입니다. 간단한 구성방안 On-premise to GCP 간 상세 구성방안 구성에 필요햔 부분On-premise - GCP Project간 VPN, Interconnect 연결필요단순히 Gemini Code Assist 만 사용한다면 문제가 없지만, 고객사에 맞게 랜딩존 구성을 권고On-premise 에서 VPN 연결 후 GCP PGA 로 연결이 필요 On-premise to VPN 연결https://mzgcp.atlassian.net..

TeslaMate는 DB로 PostgreSQL을 사용합니다. DB를 잘 백업하면, 다른 머신으로 이동시에도 동일하게 데이터를 볼 수 있습니다. 백업 명령어 한줄이면 끝나기는 하지만, 자동화하는게 또 엔지니어의 본문이기에 ..ㅎㅎ Teslamate에서 사용되는 PostgreSQL 데이터베이스의 백업을 원하는 시간에 자동으로 백업받고, Gmail을 통해 원하는 메일로 전송하는 스크립트 입니다. 자동백업스크립트 동작 구성도 입니다. 사용방법본 문서에 첨부된 쉘스크립트 파일을 다운 받아 업로드 하거나, 아래 소스코드를 복사하여 테슬라메이트가 설치된 서버에 접속하여 파일을 붙여넣기 합니다. 실행은 “bash 스크립트명.sh “ 와 같이 할 수 있습니다. 먼저 메일을 보낼 수 있게 해주는 패키지인 msmtp, ..

목표 : GCP에서 빠르게 Windows VM 생성Cloud Shell에서 바로 실행하여 Windows VM을 생성하여 테스트에 사용하기 위함 - 스크립트 실행VPC, Subnet, Zone, 머신타입을 입력받습니다.- 방화벽 정책 생성- VM생성 - 윈도우 사용자 및 비밀번호 설정위 캡쳐에서는 VM생성시간이 오래걸려, 비밀번호 설정에 실패했습니다.자동으로 패스워드 리셋 명령어를 출력하도록 했으며, “gcloud compute reset-windows-password vm명 --zone asia-northeast3-a --user admin” 실행하면 아래와 같이 IP, Passowrd, username이 리셋되어 출력됩니다. 쉘스크립트 #!/bin/bash# =======================..

목표 : GCP에서 On-premise와 HA VPN연결 후 테스트할 부분이 많습니다.On-premise to GCP간 VPN연결은 On-premise장비나 오픈소스를 이용해 설치하고 테스트 해야됩니다.하여, gcloud CLI로 VPC와 subnet을 확인하고, 기존 것을 사용하거나 신규로 사용할 변수명을 입력받아 terrform 파일을 생성합니다.그리고 main.tf, variables.tf, terraform.tfvars 파일을 생성하여 둡니다.terrform apply 실행까지 이어서 진행되므로 바로 VPN구성 후 테스트가 가능합니다.테스트가 끝난 후에는 terraform destroy -auto-approve 명령을 통해 리소스 삭제를 하면 됩니다.소스코드 / 각 진행사항별 변수 입력방안 순서대..

Tesla-mate는 테슬라의 정보를 수집하여, DB에 저장 후 Grafana (다양한 데이터 소스를 연결해서 시각화 하고 모니터링할 수 있는 도구)를 통해 보여주는 도구 입니다. 보통 NAS인 시놀로지나, 라즈베리파이에서 설치 후 운영을 많이 합니다. 관련된 자료들은 많지만, 외부에서 도메인을 통해 접근하는 방안은 못보아서 작성하게 되었습니다. nginx의 reverse proxy를 이용하여 도메인에 SSL인증서를 발급받아 https를 사용하여 자기 도메인으로 테슬라메이트를 접속할 수 있습니다. 테슬라메이트는 아래와 같이 테슬라의 많은 정보를 받아 저장하고, 시각화 하여 보여주는 오픈소스툴입니다.배터리 열화율도 있고, 아래와 같이 제가 어떤경로를 얼마나 에너지를 소비하며 갔는지 보여주는 트립도 있고,..

Teslamate는 테슬라의 정보를 수집하여, DB에 저장 후 Grafana (다양한 데이터 소스를 연결해서 시각화 하고 모니터링할 수 있는 도구)를 통해 보여주는 도구 입니다.보통 NAS인 시놀로지나, 라즈베리파이에서 설치 후 운영을 많이 합니다.관련된 자료들은 많지만, 외부에서 도메인을 통해 접근하는 방안은 못보아서 작성하게 되었습니다.이번 문서는 Synology NAS에 Container Manager를 이용하여 테슬라메이트를 설치하는 방안입니다.Synology는 이하 시놀로지로 표현합니다.Telsamate는 이하 테슬라메이트로 표현합니다.Container Manager 설치전에 시놀로지에서는 Docker 란 이름으로 지원하다가, Docker Compose를 지원하게 되면서 아예 이름을 바꾸었습니다..

Teslamate는 테슬라의 정보를 수집하여, DB에 저장 후 Grafana (다양한 데이터 소스를 연결해서 시각화 하고 모니터링할 수 있는 도구)를 통해 보여주는 도구 입니다. 보통 NAS인 시놀로지나, 라즈베리파이에서 설치 후 운영을 많이 합니다.관련된 자료들은 많지만, 외부에서 도메인을 통해 접근하는 방안은 못보아서 작성하게 되었습니다.nginx의 reverse proxy를 이용하여 도메인에 SSL인증서를 발급받아 https를 사용하여 자기 도메인으로 테슬라메이트를 접속할 수 있습니다.본 문서는 도메인을 통한 teslamate 설치 내용 중 reverse Proxy가 가능한 NPMplus(nginx-proxy-manager)설치 가이드 입니다. 사전 준비물 : 개인 도메인별도로 가비아, 호스팅케이..

On-premise와 GCP간 VPN, Interconnect를 통해 연결하여 Public 통신이 아닌 Private 통신으로 GCP 자원을 사용합니다.IP로 호출하는 방안도 있겠지만, 도메인으로 사용하는 것이 보통입니다.근래 Vertex AI Gemini API를 사용하면서, DNS에 대한 문의가 자주 오기도 하여 On-premise DNS에서 사용가능한 방안을 정리하였습니다. DNS 설정 방법은 여러가지가 존재합니다. 1. *.googleapis.com 에 대해 모두 GCP DNS로 조건부 전달자로 사용→ 다만 이경우 On-premise에서 사용하는 모든 googleapi 서비스가 Private 통신으로 전달되기에 금융권이나 Public으로 googleapi 서비스를 안하는 환경에서 사용합니다.2...

2011년식 올뉴모닝을 데리고 참 한국 이곳저곳을 돌아다녔다.거기에 캠핑과 어머니 할머니를 모시고도 돌아다녔고덕분에 매번 큰 트렁크 공간을 가진 차를 부러워했었더랬지 이렇게 정든 차를 주는게 아쉽기도 하고, 그랬지만어떤 물건이든 필요한 사람이 사용하는 것이 훨씬 나으니까 작년쯤 차를 주었다. 차를 구매하고 3년정도는 필드엔지니어로 돌아다녀서 키로수가 꽤 높았는데, 주차가 안되는 서울 시내에 직장이 있다보니 24년 차를 줄때 최종 km 수는 약 14만키로14년 차를 몰았던거 치고 키로수가 적긴했다. 여튼 나의 첫차는 이렇게 보내게 되었고, 그 이후로 1년간 차량공유서비스와 뚜벅이 & 동네친구의 스파크를 가끔 빌려 보내게되었다.그러다 6개월 지날쯔음 도저히 안되서 차를 사야겠다란 생각이 들었는데 차량..

GCP 테스트시 많은 VPC와 그에 종석되는 방화벽, 경로, 서브넷등을 만들게 됩니다.그냥 프로젝트를 닫아도 되지만, 남겨두어야할 일도 있습니다.쉘스크립트와 gcloud명령을 조합하여, GCP VPC관련 리소스를 삭제하는 스크립트를 작성하였습니다.#!/bin/bash# 프로젝트 내 모든 VPC 네트워크 및 관련 리소스 일괄 삭제 스크립트 (default 네트워크 제외)# 매우 위험하므로 충분히 숙지 후 사용 요망# 절대 운영 환경에서 사용 금지!# 색상 코드RED='\033[0;31m'YELLOW='\033[1;33m'GREEN='\033[0;32m'NC='\033[0m' # No Color# Bash 버전 확인 (Associative array 사용 위해 4 이상 필요)if (( BASH_VERSINF..