전체 글 204

[Security] 서비스 경계 브리지를 사용한 GCP 리소스간 연결방법

목적 : GCP에서는 VPC서비스 제어라는 보안이 있습니다.그 중 서비스 경계를 통해 Google Cloud 리소스와 VPC네트워크 격리가 가능합니다.이를 통해 네트워크 통신을 차단, 허용하는 것 외에 GCP 리소스를 내외부적으로 허용, 차단을 할 수 있습니다.VPC서비스 제어에 대해서는 작성할 것이 많지만, 이번 문서에서는 같은 조직간 프로젝트에 있는 리소스를 연결시 사용될 수 있는 “경계 브리지"에 대해 어떤 것인지, 사용방법에 대해 기술합니다. 참고 Docs (VPC서비스 제어 개요)https://cloud.google.com/vpc-service-controls/docs/overview?hl=ko VPC 서비스 제어 개요  |  Google Cloud의견 보내기 VPC 서비스 제어 개요 컬렉션을 ..

Cloud/GCP 2024.11.19

Google Cloud 자격증 시험 등록방법과 시험장 안내

- 2024.10.18 업데이트 : GCP가 시험 등록방법을 크게 바꾸었습니다.공지도 없이 바꿔서 정말...현재 기존 webassessor.com 접속하면 ID/Password가 틀리다고 나오고 초기화 해도 되지 않습니다.올초에 certmetrics 론칭한다 하더니 해당부분을 통합해버렸네요. 시험등록 방법만 수정되어 해당 부분을 업데이트합니다. - 시험등록https://cp.certmetrics.com/google/en/login Certmetrics Candidate PortalL o a d i n gcp.certmetrics.com 로그인 이후 Schedule/Launch an Exam 을 선택합니다.   ACCESS WEBASSESSOR -> Schedule an Exam   여기서 "ACCESS ..

GCP의 Free Tier로 3-Tire 구축 테스트 내용정리

멘토링 진행 시 실습환경 구성을 위해 미리 테스트했던 내용약 21일간 해당 구성을 유지할 수 있는지 조사 확인이 필요하여 작성개요GCP에서 기본적으로 제공하는 Free Tier ($300)으로 3-Tire로 구축이 가능한지 조사, 구축 한 내용을 정리구성도리소스 현황역활리소스명스펙비고HTTP LBCloud Load Balancing전역 HTTP(S) 부하 분산기(기본) TCP LBCloud Load BalancingTCP 부하 분산 WEBCompute Enginee2-small ( vCPU 2, 2GB) WASCompute Enginee2-medium( vCPU 2, 4GB) DBSQLCloud SQlvCPU 2Core, Memory 8GB, HDD : 10GB RedisCloud Memorystore표..

Cloud/GCP 2024.10.16

GCP Web console 접근을 위한 X-windows 구성

문서의 목적Public Cloud 인 Google Cloud Platform은 리소스 생성, 삭제, 확인 여러 가지 업무를 Web Console에서 지원하고 있습니다.VPN, Interconnect를 통해 GCP의 리소스를 Public망이 아닌 Private망으로 접근은 가능합니다.다만, Web Console의 경우에는 Proxy Server를 통하여 접근하거나, 본 문서에서 작성하고자 하는 Bestion 역할이 가능한 VM을 이용하는 방안이 있습니다.Windows VM의 경우 사용이 간편하고 좋지만, 비교적 큰 자원의 VM을 사용하는 것과 라이선스 비용이 있습니다.본 문서에서는 linux에 X-windows(GUI)를 사용하여, 사용자가 Private망으로 GCP의 VM 원격터미널에 접근 후 Webco..

Cloud/GCP 2024.10.16

load average 관련

시스템 성능을 체크하다 보면 load average를 보게되는데..나도 Core수에 따른 부하 값 (1core가 1.0 값을 가지고 있으면 100%) 정도로 알고 있었다. 이걸 AI에 물어보니 ..참 아래와 같이 잘 정리해서 답변을 내주었다.공부할때도 좋고, 그러긴 한데뭐랄까 좀 기분이 그렇다. 참고하기 위해 블로그에 기록정말 글 잘 쓴다..1. load average란 무엇인가?load average는 시스템이 얼마나 바쁜지를 나타내는 값입니다. 이 값은 일정 기간 동안 시스템의 평균 부하를 보여줍니다. top 명령어를 실행하면 화면 상단에 load average: x.xx, y.yy, z.zz와 같은 형식으로 나타납니다.여기서 각각의 값은 다음을 의미합니다:x.xx: 지난 1분 동안의 평균 부하y.y..

시스템/Linux 2024.10.02

Google Cloud Certification 합격 후 Perks Webstore 이용하기

-2024.08 GCP가 자격증 관련을 올해 초부터 자꾸 개편했는데..해당 포스팅으로 들어오는 분들이 계셔서 업데이트 진행 https://cp.certmetrics.com/google/en/login Certmetrics Candidate PortalL o a d i n gcp.certmetrics.com 우선 자격증 관련 포탈이 새로 생겼고, 여기에서 자격증 정보, 시험결과, 실패시 리포트 (이제 떨어지면 그것에 대한 리포트는 받을 수 있다)자격취득일, 만료일등 정보들이 있다.아 자격증 다운로드는 또 아래의 credly로 가야한다.https://www.credly.com/users/sign_in Credly www.credly.com  Google Cloud Certification에 접속 -> BEN..

[GCP/OS] GCP compute engine SSH key 발급 및 접속

목적 : GCP에서는 SSH key 방식을 통한 접근방법을 기본적으로 지원합니다.ID/Password로 접근시에는 OS에서 sshd config을 변경해주어야합니다.GCP Console로 접근하는 방안은 편하지만, 시스템 운영자, 어플리케이션 담당자들에게 GCP Console 접근 권한을 주는 것은 IAM을 사용하여 권한을 적절하게 주어야 하고, 정책적으로 GCP관리자에 외에는 GCP Console에 접근 불가할 수도 있습니다.하여 본 문서에서는 ssh key 발급을 통해 비공개키를 가지고 GCP상에 존재하는 GCE에 접근하는 방법을 작성합니다. SSH key접속에 대한 GCP Docshttps://cloud.google.com/compute/docs/connect/create-ssh-keys?hl=ko..

Cloud/GCP 2024.08.21

Google Cloud Next ’24 Security 참석

2024년 4월 Google Cloud Next 참석차 라스베가스에 다녀왔다. 그 중 나는 Infra, Security 분야를 열심히 듣고 다녔고, 회사에서 보안 분야와 관련된 내용을 정리한 영상에 참여요청을 해서 이번에 업로드가 되어 올려본다.자신의 목소리를 듣는 건 여전히 어색하고.. 어디 이불킥 하고 싶지만 ㅠㅠ이번 기회를 통해 많은 것을 배웠다.. 어째든 해보고, 공부하고, 써봐야 느는법이니 https://youtu.be/_woWZrrnREY?si=j1fh5hRGJtpsJOzl

Cloud/GCP 2024.08.19

[GCP] WebConsole 접근 방안

문서의 목적Public Cloud 인 Google Cloud Platform은 리소스 생성, 삭제, 사용 여러가지 업무를 Web Console에서 지원하고 있습니다.On-premise의 경우 지정된 위치와 단말기에서만 사용이 가능하도록 물리적으로 가능하나, 공개된 망에서 서비스하는 GCP는 WebConsole 접근자체가 오픈되어 있습니다.하여, 정해진 장소의 IP에서만 접속하거나 VPN, interconnect 를 통해 내부 트래픽으로 전달받아 Web Console로 접근하는 방안들을 작성합니다.GCP Web Console은 Console로 표기합니다. 참고사항본 문서의 모든 기능은 GCP의 BeyondCorp 서비스를 사용합니다.  1. 지정된 장소에서만 접속 사무실이나 지정된 장소의 Public IP..

Cloud/GCP 2024.08.05

Squid Proxy를 통한 GCP Web Console 접속

문서의 목적Public Cloud 인 Google Cloud Platform은 리소스 생성, 삭제, 확인 여러가지 업무를 Web Console에서 지원하고 있습니다.VPN을 통해 GCP의 리소스를 Public망이 아닌 VPN으로 접근은 가능하지만, Web Console의 경우에는 별도의 Web Proxy를 사용하는 방안이 있습니다.본 문서에서는 오픈소스인 Squid Proxy를 사용하여 사용자가 VPN을 통해 WebConsole로 접근하는 방안에 대해 작성합니다.  유의사항GCP에서는 별도의 secure web proxy라는 PaaS서비스를 제공하고 있습니다.위의 Squid  proxy는 사용자가 설치, 구축, 유지보수를 다 하여야 하나 GCP의 SWP를 사용한다면 간단한 설정으로도 사용이 가능합니다.별..

Cloud/GCP 2024.07.30

[GCP] On-Premise to GCP Serverless 서비스를 VPN(Private망)으로 연결하여 사용

배경 : On-Premise에서는 외부, 내부 경계가 명확합니다. Cloud는 VPC로 구획을 나누기는 하지만, iaas, PaaS, SaaS는 자체 제공하는 서비스이기 때문에, Public망으로 서비스를 제공받게 됩니다.물론 CSP에서는 안전하다고는 하나, Public 구간에서의 문제는 사용자의 책임입니다.목적 : GCP의 Managed Service (PaaS)를 Public 망으로 접속하여 사용하는 것이 아니라 VPN, Cloud Interconnect로 연결 후  Private망으로 GCP로 접속 후 Private Service Connect를 통해  보안성을 향상하여 접속하는 방안으로  보안성을 향상하는 방안을 작성합니다. 내용 : 이번 문서 작성시에는 On-Premise와 GCP를 연결 하여 ..

Cloud/GCP 2024.07.28

AWS Security Group & NACL 차이

AWS 별도 스터디 하다가..기본인 것을 정리하기 위해 작성공통적으로 Sercurity Group, NACL은 VPC의 트래픽을 통제하고 제어하는 서비스방화벽 서비스인데, 위치와 동작방식이 다르다. Security Group : 상태를 저장하는 Stateful 방식개별 인스턴스만 설정 할 수도 있고, 그룹으로 선택하여 할 수도 있음허용만 가능하며, 차단(Deny)은 불가함 기본적으로 허용정책이 없다면 모두 차단NACL :Security Group은 인스턴스 기반이라면 NACL은 Subnet 단위로 설정을 함Security Group보다 상위위치에서 차단, 허용을 함규칙에 숫자가 있으며, 숫자 값이 적을 수록 우선적으로 적용됨(보통  아는 방화벽이 NACL이긴 하나, 상태저장이 안되는 Stateless라는..

Cloud 2024.07.16

GCP Professional All Certified 취득

링크드인에 작성했지만, 편한 개인블로그에 더 생각을 담아서 작성해본다. 6월 30일부로 약 1년 2개월에 거쳐 Google Cloud Certified Professional 8개를 모두 취득을 하였다. 온프레미스, 네트워크 보안을 12년간 하다가 네트워크 보안벤더에서 사내 프로젝트로 클라우드를 접했고, 순식간에 만들어지는 리소스와 서버리스 서비스들을 보며, 클라우드가 미래다..ㅎㅎ 라고 생각이 들어서, 클라우드 업무로 전환하겠다고, 부서전배 시도부터 이직을 꽤 했었다. 아니 정말 많이했다..분명 취업 공고내용에는 클라우드 업무 내용이 명시되어 있었고, 면접내용도 그러했는데 입사하고 나니 온프레미스나..기기의 납땜도 했었고 아니면 회사내 계약서 작성, 검토라던가 ..물론 회사의 녹을 받으니 원하는 것만 ..

[OS] linux에서 사용하면 편리한 명령어 정리

목적 : linux에서 사용하면 편리한 명령어들을 정리해보려 합니다.지속적으로 추가, 수정 진행 중입니다.- 파일검색 후 삭제예를들어 특정 디렉토리의 압축된 (gz)파일이 1일 이후 수정된 파일을 보고싶을때find /검색디렉토리 -name “*.gz” -mtime +1 -exec ls -l {} \;만약 그 해당 파일을 삭제하고자 하면 ls-l 대신 rm 사용find /검색디렉토리 -name “*.gz” -mtime +1 -exec rm {} \;mtime : 수정된 시간 즉 파일의 마지막 변경시각ctime : inode가 변경되는 행위 발생시 기록 (권한 변경이나, 소유자 변경등)atime : 파일의 마지막 접근시각 (cat으로 파일 읽어도 atime이 변경됩니다..)- 파일내용 찾기⁠find . -t..

시스템/Linux 2024.06.19

로그 압축 및 로그 삭제 쉘스크립트

회사에서 업무를 하다가, Log 파일이 많이 생성이 되고 삭제할 필요성이 있어서 작성 로그가 생성된지 10일이 지나면, 압축 후 디렉토리는 삭제그 이후 5일이 지나면 해당 압축파일 마저도 삭제하는 스크립트다. 요즘 어플리케이션이나, OS는 로그로테이션, 삭제 옵션이 있어서 사용은 잘 안하겠지만그럼에도 필요할 때가 있으니 기록용으로 작성"압축대상디렉토리""하위디렉토리명" 항목만 원하는 것으로 변경하면 다른 환경에서도 사용 가능합니다.#!/bin/bash# 환경변수compress_target_dir="압축대상디렉토리"keep_compressed_days=10 echo "압축대상 디렉토리의 시간(일)"remove_old_days=$((keep_compressed_days + 5))echo "압축 된 후 삭제할..

시스템/Linux 2024.05.31

[GCP / Monitoring] GCP ops Agent 설치시 에러 메시지가 발생될때

GCP에서 GCE의 리소스 Monitoring을 하기 위해 운영 에이전트를 설치가 되지 않을때 내용을 정리하였습니다. 운영에이전트는 gcloud에서 설치할 수도 있고, GCE에서 진행할 수도 있습니다. 다만, gcloud에서 설치진행이 완료 되었다고 하지만, 실제로 Agent에서 “service google-cloud-ops-agent status” 명령으로 확인시 설치가 안된경우가 있습니다.수동 설치방안은 아래와 같습니다.   curl -sSO https://dl.google.com/cloudagents/add-google-cloud-ops-agent-repo.sh   sudo bash add-google-cloud-ops-agent-repo.sh --also-install docs : https://..

Cloud/GCP 2024.05.27

[GCP / Security] - VPC 서비스 제어

목적 : 온프레미스는 물리적으로 분리된 환경에 있다보니 허가된 사용자와 장소에서만 접근이 가능하지만, Public Cloud GCP는 공개된 특성상 기본적으로 Console에는 모두 다 접근이 가능합니다.개인이 아닌 기업의 경우에는 AWS는 Organization, SCP등을 이용하여 허가된 사용자와 장소에서만 접근이 가능하게 할 수 있고, GCP역시 VPC서비스 제어와 Access Context Manager를 이용하여 보안을 향상할 수 있습니다.본 문서에서는 예제 시나리오를 가지고 허가된 장소와 사용자만 GCP서비스를 사용하는 방안을 기술하겠습니다. 유의사항 :VPC 서비스 제어는 서비스의 제한을 발생시키기에 테스트 실행모드 (DryRun)가 있습니다.본 문서에서는 실행여부를 확인하기 위해 바로 시행..

Cloud/GCP 2024.05.26

[GCP / Security] Web Console 접근제어

문서의 목적GCP의 장점이자 단점은 언제 어디에서나 Web Console로 접근하여 업무를 수행할 수 있습니다.고객사 내부에서 특정 IP, 사용자만 GCP에 접속할 수 있도록 방화벽등을 통해 가능하나, 외부에서 접속하는 것은 막기 어렵습니다.그래서 GCP자체에서 접근을 제어해주는 Chrome Enterprise Premium, Access Context Manager 보안 서비스를 사용하여 특정 IP에서만 접속하도록 하여 보안성을 향상해 보겠습니다.유의사항BeyondCorp Enterprise는 GCP 조직이 필요 합니다. 조직단위에서 GCP를 사용하여야 합니다. Kr도메인 기준 1년간 10,000원 정도이므로 발급하셔서 테스트 하는 방법과 ( .tk .ml .ga등) 무료 도메인도 존재하기에 freen..

Cloud/GCP 2024.05.23

Google professional cloud devops engineer 자격 후기

GCP Devops 자격 후기 https://www.credly.com/badges/fef50bb7-2624-4683-b4c2-94aeb3581f94/public_url Professional Cloud DevOps Engineer Certification was issued by Google Cloud to Choi Seong Gi.Professional Cloud DevOps Engineers implement processes throughout the systems development lifecycle using Google-recommended methodologies and tools. They build and deploy software and infrastructure delivery ..

Google Cloud Developer 자격증 후기

작년 11월 Network 이후로 24년 처음 취득한 자격증인 GCP Developer 자격 후기구글이 하도 인증관련을 바꾸어서, 지금은 credly를 통해 자격 취득한 것을 확인할 수 있다. https://www.credly.com/badges/7ca99c8b-9a05-498f-99e0-6cc0967a0efe/public_url Professional Cloud Developer Certification was issued by Google Cloud to Seonggi Choi.A Professional Cloud Developer builds scalable and highly available applications using Google-recommended tools and best pract..