달빛이 비추는 궁전에서

배경 : On-Premise에서는 외부, 내부 경계가 명확합니다. Cloud는 VPC로 구획을 나누기는 하지만, iaas외 SaaS는 자체 제공하는 서비스이기 때문에, Public망으로 서비스를 제공받게 됩니다. 물론 CSP에서는 안전하다고는 하나, Public 구간에서의 문제는 사용자의 책임입니다. 목적 : GCP의 Managed Service (SaaS)를 Public 망으로 접속하여 사용하는 것이 아니라 VPN, Cloud Interconnect로 연결 후 Private망으로 GCP로 접속 후 Private Service Connect를 통해 보안성을 향상하여 접속하는 방안으로 보안성을 향상하는 방안을 작성합니다. 내용 : 이번 문서 작성시에는 On-Premise와 GCP를 연결 하여 테스트 하였지..

배경 : 보통은 Front Proxy라고 하면 지역제한으로 접근 못하는 웹이나 여러 서비스를 우회하기 위해 일반 사용자들이 많이 사용합니다. (예를 들면 한국에서는 유튜브 구독료가 비싸서, 아르헨티나쪽으로 지역 변경해서 가입 한다던가...) IT Infra에서는 내부 시스템마다 다르겠지만, 요 근래에 보안성 향상을 위해 내부에 있는 시스템이 외부(인터넷)으로 나가지 못하도록 하는 구성이 많습니다. 하이브리드 (On-premise, cloud) 환경을 많이 사용하면서 외부로 나가는 통로를 On-Premise 쪽으로만 설정 하는 방안등이 있습니다. 목적 : NAT도 비슷한 맥락으로 사용할 수 있지만, NAT와 proxy는 동작하는 계층이 다릅니다. 이번 문서에서는 내부 시스템의 repository 업데이트가..

목적 : 도메인을 사용하여, 조직에 속하게 되면 사용자들에게 로그인시 2단계 인증을 강제할 수 있습니다. 단순히 ID/Password 보다 2차인증(문자, 앱, 통화등)을 받을 수 있으므로, 보안성 향상에 도움을 받을 수 있습니다. 무엇보다 Cloud ID(Free)를 사용해도 무료로 지원됩니다. 조직설정 admin.google.com 접속하여 아래의 메뉴로 접근합니다. 메뉴 → 보안 → 인증 → 2단계 인증을 선택합니다. 조직을 볼 수 있으며, 오른쪽 탭에서 인증 사용여부를 알 수 있습니다. 각 기능 옵션은 다음과 같습니다. → 사용자가 2단계 인증을 사용하도록 허용 체크시 : 사용자들은 2단계 인증을 자율적으로 설정 진행할 수 있습니다. 체크해제시 : 사용자들은 2단계 인증 자체를 사용할 수 없습니다..

회사 내부에서 필요해서 작성하였는데, 도움이 될꺼 같으니 수정하여 포스팅해본다. 이런면에서는 GCP가 AWS보다 좋긴하다.. 프리티어를 구분짓지 않고 기간과 비용으로만 주니 그리고 도메인이 꼭 필요한 사유가 AWS와는 다르게, GCP가 도메인베이스로 굴러가기 떄문이다. 조직(도메인)이 있어야 돌아가는 서비스도 있다보니 GCP 지원하는 입장에서는 도메인으로 테스트를 해야된다. 목적 : GCP에서는 신규로 가입시 $300의 크레딧을 제공해주며 그것으로 GCP의 서비스들에 대해 테스트가 가능합니다. 다만, 우리의 고객들은 기업들이고 개인 Gmail 계정으로 테스트보다 Cloud ID, GWS을 사용하는 고객들이므로 저희도 그에 맞게 테스트가 필요합니다. 조직 권한이 필요한 BeyondCorp Enterpris..

목적 : GCP에서는 VPC서비스 제어라는 보안이 있습니다. 그 중 서비스 경계를 통해 Google Cloud 리소스와 VPC네트워크 격리가 가능합니다. 이를 통해 네트워크 통신을 차단, 허용하는 것 외에 GCP 리소스를 내외부적으로 허용, 차단을 할 수 있습니다. VPC서비스 제어에 대해서는 작성할 것이 많지만, 이번 문서에서는 같은 조직간 프로젝트에 있는 리소스를 연결시 사용될 수 있는 “경계 브리지"에 대해 어떤 것인지, 사용방법에 대해 기술합니다. 참고 Docs (VPC서비스 제어 개요) https://cloud.google.com/vpc-service-controls/docs/overview?hl=ko VPC 서비스 제어 개요 | Google Cloud 의견 보내기 VPC 서비스 제어 개요 컬렉..

쓰기도 애매하지만, VM (linux) 에서 GCS로 자동으로 로그 파일을 업로드하고, VM에 있는 기존 파일은 제거하는 요구사항이 생겨서 진행 목적 : Instance 에서 지속적으로 파일이 대량 생성되고 있어, 이것을 GCS로 저장하는 방안 중 하나 조건은 각 instance를 구분하기 위해 GCS상에 호스트명별로 디렉토리가 생성되며, GCS에 업로드 되고 난 뒤 최신의 파일을 제외하고서는 기존 instance내 파일은 삭제처리 GCS로 보내는거라 고민을 했는데, 다행인지 gcloud 명령어에 storage rsync가 있어 진행했다. 아.. 물론 엔딩은 rsync가 아닌 데몬으로 보내야한다고 해서 결국 Fluent Bit로 전환 - GCS에 호스트명대로 저장하고, gcp rsync로 저장한 뒤 10..

회사에서 간단하게 작성했던 기술 토막글 이었는데, 생각보다 처음에 VM 접속시 Web Console에서 SSH가 아닌 Local -> VM 접속하는데 있어 방안을 모르는 분들도 있어, 정리하는 차원에서 업로드 목적 : GCP에서는 SSH key 방식을 통한 접근방법을 기본적으로 지원합니다. ID/Password로 접근시에는 OS에서 sshd config을 변경해주어야합니다. GCP Console로 접근하는 방안은 편하지만, 시스템 운영자, 어플리케이션 담당자들에게 GCP Console 접근 권한을 주는 것은 IAM을 사용하여 권한을 적절하게 주어야 하고, 정책적으로 GCP관리자에 외에는 GCP Console에 접근 불가할 수도 있습니다. 하여 본 문서에서는 ssh key 발급을 통해 비공개키를 가지고 G..

배경 단일 instance에서 다중 NIC을 사용할 때의 방안을 찾아보고, 정리 사실 잘 사용하는 구성이 아니지만, VM 1대로 외부 public IP2개가 필요하다면.. 뭐 어째든 이렇게도 된다는 것을 정리 이번 문서의 핵심은 다중 네트워크 인터페이스를 설정하더라도 기본적으로 0.0.0.0/0 즉 지정되어 있지 않은 모든 트래픽은 default route를 타도록 되어있습니다. 만약 꼭 기본 인터페이스 외 추가된 인터페이스를 사용한다면 OS의 소스라우팅을 통해서 설정은 가능합니다. on-premise, Cloud 공히 모두 다중 NIC설정은 됩니다. 기본적으로 0.0.0.0/0에 대한 모든 트래픽은 default route를 타도록 되어 있습니다. 다만, 보통은 아래와 같이 어플라이언스 장비처럼 외부로..

개요 사무실, IDC에서 public망이 아닌 DX, VPN망을 이용하여 S3를 사용하기 위한 방안작성 입니다. S3외에도 DynamoDB 같은 SaaS형 서비스에는 적용됩니다. 일반적으로 iaas 서비스는 VPN을 구성하면 그것으로 통신을 하지만, SaaS형 서비스들은 내가 서비스를 설치, 구성하는 것이 아닌 AWS에서 제공해주기에 Public망을 통해서만 연결할 수 있기 때문입니다. 안전한 데이터 흐름을 위한 방안 중 하나라고 볼 수 있습니다. 전체 구성도 구성 특징 On-Premise에서 S3에 Upload가 가능하도록 설정하며 네트워크 구간의 보안을 위해 Direct Connect, VPN HA구성하여 설계 S3는 보안성을 강화하기 위해 Access Log용 S3 Bucket을 별도로 설정 Pri..

GCP에서 3-Tire를 구축해서 올린 적이 있다. https://seonggi.kr/148 GCP에서 3Tire로 구성하기 잠시 몸담았던 회사에서 입사시 내주었던 과제 Spring에서 공식적으로 제공하는 예제 프로젝트인데 전통적인 3Tire 구조이기 때문에 해보면 도움되는 것이 많다. 예제를 다운받을 수 있는 곳은 아 seonggi.kr 그 이후로..28장 PT를 만들어서 발표했는데, 우선 구성도만 정리하는 차원에서 작성해본다. 내용을 다 올릴지는 고민.. - WEB, WAS, DB 구성 WAS는 세션클러스터링으로 Redis 사용 - 집에있는 서버에 백업을 한다고 가정 VPN연결 후 DB Replication 및 rsync로 web, was의 파일 백업 - AWS를 DR로 구성 GCP - AWS간 VP..