달빛이 비추는 궁전에서

GCP Agent Runtime (Agent Engine) - PSC to PSC-Interface을 통한 연결 방안

목표 On-premise에서 VPN, Interconnect를 통하여 private망을 통해 접근 후 PSC를 통해 GCP Agent Engine과 연동합니다.그 이후 Agent Engine은 VPN을 통해 외부에 있는 MCP Server와 연동하여 응답을 제공할 수 있는 아키텍처 설명과 실행 방안에 대해 작성합니다. 3가지로 구분되어 진행됨 - 실행하는 단말기 설정 - GCP 설정 PSC network-attachment 설정 Agent Engine 설정 VPN 설정 - MCP Server와 통신하여 처리 VPN, PSC를 제외하고는 대부분 Python코드로 진행되어야함 전체 구성도FAQAgent Engine 서브넷 관련 DocsPSC-Interface 생성방안 DocsOn-premise 요청하는 사용..

GCP PSC(Priave Service Connect) 에서 VPC-SC 사용하여 Gemini API 보호

Gemini API사용시 PSC를 사용하여 보안성을 높이고, VPC-SC로 상세 보안을 더한 부분을 설명합니다. VPC SC를 통한 보안방법https://cloud.google.com/blog/ko/products/ai-machine-learning/ai-private-service-connect-vpc-service-controls-gemini-api VPC - SC 생성 보호할 리소스 보호서비스 선택 PSA 여부 허용 IP 테스트코드# 1. 변수 설정PROJECT_ID="shared-vpc-test-2-"LOCATION="us-central1"MODEL_ID="gemini-2.5-flash"# 2. 토큰 갱신ACCESS_TOKEN=$(gcloud auth print-access-token)# 3..

GCP VPC-SC(VPC Service Controls) 정리

정의: IAM(ID 기반 보안)과는 독립적으로, 컨텍스트 기반의 경계 보안을 제공하는 추가 보안 계층 목적: 데이터 무단 반출 방지: 권한이 있는 내부자가 데이터를 외부 버킷으로 복사하거나 유출하는 것을 차단 도용된 인증 정보 보호: 외부에서 훔친 계정으로 접근하더라도, 승인되지 않은 네트워크라면 API 호출을 차단 공용 노출 방지: IAM 설정 실수로 데이터가 외부에 공개되더라도, VPC SC 경계가 2차 방어선 역할을 하여 접근을 차단 구성도 GCP 내부 동작VPN 연결을 통한 동작아래 그림은 PGA를 사용해서 제어하는 구성 단순 인터넷 제어각 서비스별 설정방안 PGA로 오는 서비스를 제어모든 서비스 : 모두 통과서비스 없음 : 모두 차단제한된 모든 서비스 : 제한된 서비스로 선택한 리소스만 사용가능..

목표 GCP Agent Engine에서 PSC-Interface -> 외부 MCP Server를 사용하는 방안을 정리3가지로 구분되어 진행됩니다. - Agent Engine 실행(배포)하는 단말기의 설정 - GCP 설정 PSC network-attachment 설정 Agent Engine 설정 VPN 설정 - MCP Server와 통신하여 처리 VPN을 제외하고는 대부분 Python코드로 진행되어야함 FAQGemini Enterprise -> Agent Engine간 통신https://docs.cloud.google.com/architecture/multi-agent-private-networking-patterns?hl=ko- Gemini Enterprise 앱은 VPC 네트워크 외부이지만 Googl..

목표 VPN간 테스트를 위해 GCP VPC 간 VPN을 구축하는 스크립트 추가적으로 Private Service Connect (PSC)연결을 위해 PSC IP 라우팅을 추가한 설치 쉘스크립트를 설명합니다.사용방법소스코드를 Cloud Shell, ADC인증을 받은 local CLI(CMD)에서 실행합니다.쉘스크립트는 gcloud 명령을 이용하여, 인증된 GCP 프로젝트의 VPC를 조회하고, 선택된 VPC의 subnet을 조회합니다.사용자는 각 VPC, Subnet을 선택합니다.PSC를 테스트 할 경우 해당 PSC IP대역을 입력하면 On-premise (VPC2번측)에서 PSC대역으로 찾아가도록 자동으로 GCP VPC 경로를 추가해줍니다.아래는 실행시 예제 화면 입니다.- 스크립트 실행- 스크립트 실행 ..

GCP는 조직 = 도메인 이란 개념을 사용합니다. seonggi.kr / seonggi.com / seonggi.co.kr 모두 개별의 조직으로 운영할 수 있습니다. (물론 대표도메인 하나만 사용하고, 나머지는 alias(별칭)으로 둘 수 도 있습니다.)사용자의 메일이 계정이 되기 때문에 꼭 메일을 수발신 되어야 하는지에 대한 물음이 있습니다. 그에 대한 설명을 정리하였습니다. 도메인에 대한 문의Cloud ID 가입 시 입력하는 도메인은 메일 도메인 기준으로 진행해야 하는지별도의 도메인을 사용해도 되는지사용할 도메인은 메일 서버(MX) 구성 없이 도메인만 보유한 상태이 경우에도 TXT 기반 도메인 소유권 인증만으로 Cloud ID 설정/운영이 가능한지 도메인 인증 및 메일 서버(MX) 구성 관련Clo..

개요Google Cloud의 Model Armor는 LLM(대규모 언어 모델) 서비스 이용 시 발생할 수 있는 보안 위협을 실시간으로 탐지하고 차단하는 핵심 보안 솔루션입니다. 프롬프트 인젝션, 탈옥(Jailbreak) 시도, 개인정보(PII) 유출 및 부적절한 콘텐츠 생성 등의 위협은 기업의 데이터 자산과 서비스 신뢰도에 직접적인 타격을 줄 수 있습니다. 본 가이드는 Model Armor를 통해 생성되는 SanitizeOperation 로그를 실시간으로 탐지하고 , 복잡한 JSON 형식의 감사 로그를 파싱하여 운영자가 즉시 위협 상황을 인지할 수 있도록 알림 체계를 구축하는 방안을 제시합니다. 구성도Log Explorer 이동 Log 검색resource.type="modelarmor.googleapis..

목적 : GCP 계정인증을 PSC로 사용하기인증 트래픽의 사설 경로화: 온프레미스(On-Premise) 환경에서 GCP 계정 인증 요청 시, 공인 인터넷이 아닌 Cloud VPN과 PSC를 거치는 사설망 경로를 통해 Google OAuth Server에 도달하도록 구성하는 것 계정 유형별 호환성 검증: 개인 계정(gmail.com)뿐만 아니라 조직 계정(예: mz.co.kr) 등 다양한 도메인의 계정들이 PSC 경로를 통해 문제없이 인증되는지 확인하는 것이 주요 테스트 방안 보안성 강화: 내부 서버가 인터넷 게이트웨이를 통하지 않고도 외부 구글 API 서버와 안전하게 통신할 수 있는 환경을 구축 구성도테스트 방안DNS 조작: 온프레미스 서버의 /etc/hosts 파일을 수정하여, 구글 인증 서버 주소인 ..

AI 기반의 Cloud 마이그레이션 전략 수립 도구 'Migration AI 전략' (Feat. Gemini / 그리고 2개월간의 사이드 프로젝트 회고)프로젝트 보러가기: https://ai-migration.seonggi.kr Migration AI 전략 ai-migration.seonggi.kr 안녕하세요.온프레미스, 클라우드 인프라 아키텍처, 엔지니어 업무를 하고있는 최성기입니다. 온프레미스 시스템을 클라우드로 이전할 때마다, 항상 반복되는 고민이 있었습니다."운영문서에는 없던 배치 작업이 왜 여기서 돌아가고 있지?" "이 서버는 도대체 누구와 통신하고 있는 걸까?"프로젝트 기간동안 꼬박 준비해서 이전을 진행했지만, 실제 운영정보 수집과 운영 문서에 기록되지 않은 다른 서버와의 6개월마다 주기적 통..

AWS에서 ACL (Access Control List)과 Security Group의 차이점AWS는 가끔하다보니 정리차원에서 작성참고 Docs : https://docs.aws.amazon.com/vpc/latest/userguide/infrastructure-security.html#VPC_Security_Comparison Infrastructure security in Amazon VPC - Amazon Virtual Private CloudInfrastructure security in Amazon VPC As a managed service, Amazon Virtual Private Cloud is protected by AWS global network security. For informa..