달빛이 비추는 궁전에서

[GCP] VM별 방화벽 정책 조회 스크립트

GCP는 네트워크 태그 기반으로 방화벽을 제공합니다. 태그를 조회하여 적용된 것들을 GUI상에서 볼 수는 있지만, VM을 기반으로 연결된 방화벽 정책을 한번에 보여주는 GCP 기본 기능은 없습니다. AWS는 VM을 선택시 해당 VM에 적용된 시큐리티 그룹을 한번에 볼 수 있습니다. 신규 구축이 아닌 기존 운영하는 곳에서 정보 수집시 방화벽이 VM별로 어떻게 설정되어 있는지 한번에 조회할 필요가 있어 스크립트를 통해 하는 방안을 작성하였습니다. 2가지 방안으로 작성하였습니다.프로젝트 별 수집하는 방안조직에서 프로젝트별로 수집하는 방안 프로젝트 기반이며, 입력 후 해당 프로젝트에 있는 VM의 리스트 조회 → 해당 리스트의 있는 vm에 네트워크 태그를 조회하여, 인그레스, 이그레스별로 해당 태그 정책을 정리합..

목표 : GCP 내부 자산을 중 GCE부분을 확인하는 방안입니다.온프레미스처럼 클라우드도 어디에 리소스가 존재하는지 파악하는 것이 매우 중요합니다.운영 인수인계, DR구성등 기존환경에 있는 리소스를 확인하는 경우에 유용합니다. 본 문서에서는 GCE를 기준으로 확인하였으나, 프로젝트, 폴더 또는 조직의 리소스 메타데이터를 쿼리하여 클라우드상 존재하는 리소스를 찾을 수 있습니다. GCE, LB, Storage등 리소스 자체는 잘 수집이되나 일부 API는 수집이 안되는 경우가 있으니 유의합니다. 3가지 방식 모두 권한은 아래와 같이 "클라우드 애셋 뷰어"가 필요합니다. 해당 권한을 조직, 폴더, 프로젝트 어디에 두느냐에 따라 조회할 수 있는 범위가 달라집니다. 필요 권한 : cloudasset.assets.s..

목표 : GCP의 Storage Transfer Service(이하 STS로 표기)는 아래 여러 상황에서 데이터를 전송할 수 있습니다. Amazon S3, Azure Blob Storage 또는 Cloud Storage에서 Cloud Storage로 전송 온프레미스 스토리지에서 Cloud Storage로 또는 Cloud Storage에서 온프레미스로 온프레미스 스토리지 시스템 간 공개적으로 액세스 가능한 URL에서 Cloud Storage로 HDFS에서 Cloud Storage로 대부분 Agent가 필요 없지만, 온프레미스 스토리지에서 Cloud Storage로 또는 Cloud Storage에서 온프레미스로 할때는 인터페이스 역활이 되는 STS Agent가 필요합니다. 본 문서는 STS Agent 설치와..

목표 : PGA(Private Google Access)란 Google Cloud에서 Public 대역이 아닌 구글의 대역을 타고 통신을 할 수 있는 서비스입니다.이는 크게 GCP VPC 내 Subnet에서 동작하는 GCP PGA가 있고, On-premise → GCP 통신시 사용할 수 있는 On-premise to PGA가 있습니다.GCP PGA는 다음 포스팅에서 설명하도록 하고 이번 문서에서는 On-premise용 PGA 설정을 하기 위해 DNS설정을 변경하는 방안에 대해 알아보겠습니다.  환경OS : ubuntu 24.10CPU : Core 1MEM : 512MBOn-premise 환경내부 네트워크 대역 : 192.168.1.0/24VPN Gateway : 192.168.1.80DNS Server ..

목표 : PGA란 Google Cloud에서 Public 대역이 아닌 구글의 대역을 타고 통신을 할 수 있는 서비스입니다. 이는 크게 GCP VPC 내 Subnet에서 동작하는 GCP PGA가 있고, On-premise → GCP 통신시 사용할 수 있는 On-premise to PGA가 있습니다. GCP PGA는 다음 포스팅에서 설명하도록 하고 이번 문서에서는 On-premise용 PGA 설정을 하기 위해 DNS설정을 변경하는 방안에 대해 알아보겠습니다.  환경OS : ubuntu 24.10CPU : Core 1MEM : 512MBOn-premise 환경내부 네트워크 대역 : 192.168.1.0/24VPN Gateway : 192.168.1.80DNS Server : 192.168.1.70DNS SW ..

배경 :GCP와 On-Premise간 VPN통신을 구축해보기 위한 문서입니다.많은 On-Premise 사이트에서는 VPN기능이 포함된 UTM들을 사용하고 있습니다.UTM장비의 엔트리, 미들레인지급은 보통 네트워크 프로토콜인 BGP를 지원하지 않으므로 GCP의 HA VPN으로는 구성이 불가하기에, Classic VPN(기본형)을 사용하도록 하겠습니다. 고객사 장비가 엔터프라이즈급으로 BGP를 지원한다면 HA VPN을 사용하는 것을 권고합니다.또한, UTM장비마다 설정 하는 방법과 용어는 조금씩 다르지만 필요한 설정 값 들은 동일합니다. 목적 :하이브리드 클라우드의 사용이 높아지면서, On-premise 와 Cloud간 VPN 연결은 이제 필수적이게 되었습니다.즉 데이터의 안전한 흐름을 위해 Public망..

대표적인 GCP서비스인 GCE, GCS, Bigquery 감사 로그를 “Cloud Logging”에서 확인하는 방안입니다. GCE 자원접근 확인방안GCE 인스턴스 생성, 자원에 대한 로깅 확인GCE에 대한 로그만 확인하기 위해서는 아래 쿼리문을 사용합니다.protoPayload.serviceName="compute.googleapis.com" 그외 특정 활동에 대해 확인하기 위해서는 아래와 같습니다.- 인스턴스 생성resource.type="gce_instance"protoPayload.methodName:"compute.instances.insert"log_id("cloudaudit.googleapis.com/activity")- 인스턴스 삭제resource.type="gce_instance" pr..

가끔 crontab이 뻗는경우가 있는데, 다음과 같이 확인 해보고, 문제가 있으면 재실행을 해준다.일단 AIX기준이나, 디렉토리 위치만 틀리지 unix, linux 동일하다. 1. /var/adm/cron 디렉토리로 진입2. log파일을 tail -f로 확인 (tail -f log)3. 로그파일 확인-> queue max run limit메시지 발생하면, 재기동을 실행한다.4. ps -ef | grep -i cron으로 cron 프로세스 확인5. 해당 프로세스를 kill -9 pid(번호)로 종료6. 자동으로 재실행되며, tail -f log로 crontab 로그를 확인해본다.가끔 돌아가야할 작업들이 안돌아가고 있으면 한번씩 확인 필요

목적 : 도메인을 사용하여, 조직에 속하게 되면 사용자들에게 로그인시 2단계 인증을 강제할 수 있습니다.단순히 ID/Password 보다 2차인증(문자, 앱, 통화등)을 받을 수 있으므로, 보안성 향상에 도움을 받을 수 있습니다.무엇보다 Cloud ID(Free)를 사용해도 무료로 지원됩니다.  조직설정admin.google.com 접속하여 아래의 메뉴로 접근합니다.메뉴 → 보안 → 인증 → 2단계 인증을 선택합니다. 조직을 볼 수 있으며, 오른쪽 탭에서 인증 사용여부를 알 수 있습니다. 각 기능 옵션은 다음과 같습니다.→ 사용자가 2단계 인증을 사용하도록 허용체크시 : 사용자들은 2단계 인증을 자율적으로 설정 진행할 수 있습니다.체크해제시 : 사용자들은 2단계 인증 자체를 사용할 수 없습니다. → 사용..

문서의 목적Site To Site VPN은 Public망이 아닌 Private 한 통신을 하기 위해 만들어진 방식GCP, AWS간 VPN 구성 후 통신을 하는 것이 본 문서의 목적이며인터넷에 있는 문서들이 2021년경 작성 되어있으며, 2025년 현재 AWS, GCP메뉴가 달라져서 작성하게 되었습니다.주의사항AWS VPN은 기본적으로 HA로 구성되게 되어 있습니다.VPN 생성시 기본적으로 Tunnel이 2개 생성 되며 삭제는 불가능 합니다. GCP에서 HA VPN은 NIC Interface 2개를 사용하여 터널을 맺습니다. AWS에서는 자기의 IP들은 2개지만, 상대편(Peer IP)는 한개만 지정할 수 있습니다. AWS적용하자면 GCP Interface 2개, AWS VPN연결을 2개 생성하여 총 4개..

목적 : 개인 Gmail이나, 조직 없이 진행하던 프로젝트를 ORG(조직)으로 이전하는 것을 테스트 후 정리 유의사항 : GCP의 리소스 계층 구조는 조직→폴더→ 프로젝트 → 리소스 입니다.즉 프로젝트는 상위 폴더, 조직(ORG)에 영향을 받습니다.조직에서 조직정책을 사용하고 있었다면 마이그레이션 된 이후부터는 상위의 조직정책 영향을 받으므로, 조직정책을 사용하시는지 사용한다면 해당 프로젝트에 영향받을 정책이 있는지 확인이 필요합니다.  본 문서의 참고사항입니다.No-ORG : Gmail(개인)ORG(조직) : seonggi-test.p-e.kr 1. 개인 Gmail로 생성한 프로젝트의 IAM및관리자 → IAM 으로 이동하여, 조직ORG에 속한 사용자에게 소유자 권한을 부여합니다. 소유자 권한 부여시에는..

2025년 프로젝트로 홈랩 환경을 다시 재구축 했다.큰맘먹고 기존 서버들 OS를 재설치했는데, 요즘 리눅스 설치가 너무 쉬워져서 오히려 당황스러웠음 분명 좋은 일이지만, 옛날 드라이버 적용부터 정말 설치만으로도 힘들었는데 뭔가 억울하기도 하고..특히 라즈베리파이는 이제 윈도우처럼 USB 설치 툴이 있어서 진짜 5분만에 뚝딱 이었다.덕분에 설치보다는 기술 구현에 더 집중할 수 있기는 했지만 Oracle Cloud와 GCP로 클라우드 환경을 구성하고, Ansible로 서버 관리를 일원화했다. 한방에 쭈루룩 명령을 내려서 수집, 수행을 할 수 있게혹시 모를 상황을 대비해 Oracle Cloud 서버에서 내부 홈 서버로 rsync로 백업 받도록 설정도 했고  메인서버에 MicroK8s를 설치하고 라즈베리파이들을..

서비스 제공시 플렛폼에서개발 → 검증 → 운영 각 스테이지을 거치도록 합니다.on-premise때는 배포툴을 이용하던가, vm이면 이미지 복사 여러 방안을 이용 했었습니다.Cloud에서는 권한을 이용하면 다른 프로젝트, 계정으로 이동이 가능합니다.AWS는 이미지를 AMI (Amazon Machine Image)라 하는데, 계정간 비공개로 공유가 가능하고이번 문서의 목표는 GCP의 image 공유 방안입니다.AWS는 계정베이스, GCP는 도메인 베이스라 이부분의 차이가 있습니다.구성은 아래와 같습니다.아래 실습에서는검증 프로젝트 : vpc subnet test운영 프로젝트 : My-20241124사용자는 운영 프로젝트의 onwer 입니다. GCP Console로 접근하여검증 프로젝트의 IAM에서 운영 프로..

문서의 목적Public Cloud 인 Google Cloud Platform은 리소스 생성, 삭제, 확인 여러 가지 업무를 Web Console에서 지원하고 있습니다.VPN, Interconnect를 통해 GCP의 리소스를 Public망이 아닌 Private망으로 접근은 가능합니다.다만, Web Console의 경우에는 Proxy Server를 통하여 접근하거나, 본 문서에서 작성하고자 하는 Bestion 역할이 가능한 VM을 이용하는 방안이 있습니다.Windows VM의 경우 사용이 간편하고 좋지만, 비교적 큰 자원의 VM을 사용하는 것과 라이선스 비용이 있습니다.본 문서에서는 linux에 X-windows(GUI)를 사용하여, 사용자가 Private망으로 GCP의 VM 원격터미널에 접근 후 Webco..

- 2025년 1월 해당 가게는 폐업 했습니다 ㅠㅠ(2024년 여름쯤에 가게를 닫으신거 같고, 현재는 일본식 우동, 돈가스집으로 변경되었어요..) 아래는 기록용으로 둡니다.          2023년 1월경 방문했습니다.시간이 많이 흐른 후 보시는 분들은 가격이나, 위치가 변경 되었을 수 있으니 확인 후 방문해보세요.이직한 회사가 역삼에 위치해 있어서, 주변 맛집을 탐방 중이번 맛집은 회사동료 분이 추천해준 메밀, 돈까스 맛집이다.- 위치복잡한 역삼역에서 두블럭 정도 들어가면 있는 곳이다. - 메뉴돈까스 단품, 세트도 있기도 한데 특이하게 돈까스를 사이드로도 판매를 하신다.사이드로 시키면 저렇게 4조각에 밥+샐러드가 나오는 형식직장 동료에게 추천받기로는 메밀+돈까스(사이드)가 괜찮다고 하여, 저렇게 주문..

링크드인에서 작성하긴 했지만, 존댓말 버전이라 내식대로 다시 작성그리고 2024년에 작성해놓고, 작성은 안누른 나.. 글로벌 컨퍼런스 참석과 새로운 시야개인적으로 4월의 GCP Next 24 참석을 위한 라스베가스 방문이 큰 계기가 되었다.미국이 처음이기도 했지만, 세션을 꽤 신청해서 다녔는데, 시간별로 각 세션장에 찾아가는 사람들을 보니 마치 대학교 강의를 들으러 다니는 기분이었고인상적이었던 건, 스스럼없이 먼저 말을 걸고 대화를 이어나가는 그 친화력과 문화가 정말 부러웠다.저는 낯선 사람이 말을 걸면 방어적으로 대응하는 편이었는데, 스스럼없이 다가오는 부분이 매우 부럽고 나도 그일원이 되고 싶었다.덕분에 영어를 잘하고 싶다는 필요성과 의욕이 생겨서 조금씩 하고 있는데..이게 어떻게 공부해야할지 참으로..

올해 상반기 Google Cloud ARCADE Game 경품이 이제 왔다. 상반기 많은 일들이 있어서, 겨우 15포인트만 받아서 기본 상품만 신청했는데높은 포인트의 상품은 미국에서 발송되었지만, Standard는 인도에서 발송 인거 같다.이것도 3번 메일로 언제오니라고 물어봤더니주소가 잘못되었어아니 .. 주소맞는데?우편번호가 틀렸어우편번호 그대로 다시 리턴하면서 우체국 홈페이지 결과 값을 보여주었더니.. 이제서야 왔다.아 피곤하다 진짜 ㅠ저중 티셔츠는 이미 같이 계시는분이 가져 가셨고 ㅎㅎ별명이 용인데, 티셔츠 캐릭터인 해마가 용처럼 보여서 마음에 들었나보다.가방과 펜 그리고 저 동그란건 젠더들 (C to A, 유심제거핀등)이 있는데 나름 유용하게 쓰고 있다.핸드폰 거치도 되긴하는데 그것까지는 좀 불안..

WebConsole에서 사용하는 Bigquery Studio가 아닌 toad, HeidiSQL, DBeaver등 DB TOOL로 접속이 필요할 경우가 있습니다. 이중 2024년 DBeaver은 Bigquery를 지원하는 것을 확인하였습니다. SA키를 발급받아, DBeaver에서 Bigquery를 접속하는 방안에 대해 기술합니다. 서비스 계정 생성Console > IAM & Admin > Service Accounts“CREATE SERVICE ACCOUNT” 선택 SA키를 생성합니다.적절한 account name과 description을 설정합니다.Role은 환경에 맞도록 설정합니다.본 테스트 문서에서는 연결 테스트 이므로 BigQuery Admin으로 설정하였습니다.사용자에게 SA 계정에 대한 액세스가..

목적 : SSH(Secure Shell)는 원격 호스트에 접속하기 위해 사용되는 보안 프로토콜입니다.기본으로 22 Port를 사용하며, 이미 알려진 well-known port 이므로, 무작위 대입 공격을 방지 하는 방법 중 하나로 포트를 변경해서 사용합니다. 본 문서에서는 기운영 중인 OS의 config파일을 변경하여 적용하는 방법과 GCP의 템플릿, 메타데이터를 사용하여 프로젝트 전체에 적용하는 방법을 기술합니다. 유의사항 : 이번 문서에서 GCP 메타데이터, 시작 스크립트를 통한 SSH Port를 변경하는 방법은 다양하게 있습니다.기본적인 이해를 위해 확인하되, Docs를 참고하여 고객사 상황에 맞게 적용하는 것이 좋습니다. 또한 SSH 접속포트가 변경 되었으므로,  변경한 포트에 대한 방화벽 규칙..

scp를 사용하여 OS간 파일 복사와 로컬PC로 업로드, 다운로드 방안에 대해 기술합니다. SCP란? : Secure Copy Protocol로 ssh를 사용하여 서버 (unix, linux)간 파일이나 디렉토리를 복사하는 유틸리티입니다. 사전에 ssh key등록이 필요합니다. Bastion VM에 모두 다 등록이 되어 있다고 가정합니다.그리고 GCP WebConsole내에서 다운로드를 받는 것으로 하겠습니다.아래의 조건으로만 사용이 가능합니다.Bastion접속 → SSH 접속권한이 있는 bastion 계정으로 변경 → scp사용 bastion접속 bastion ID로 변경 sudo su - bastion가져오고자 하는 원격지 서버의 파일을 아래 명령어를 응용하여 받습니다.권한 이슈가 있기에 받는 곳은 ..