달빛이 비추는 궁전에서

문서의 목적Public Cloud 인 Google Cloud Platform은 리소스 생성, 삭제, 사용 여러가지 업무를 Web Console에서 지원하고 있습니다.On-premise의 경우 지정된 위치와 단말기에서만 사용이 가능하도록 물리적으로 가능하나, 공개된 망에서 서비스하는 GCP는 WebConsole 접근자체가 오픈되어 있습니다.하여, 정해진 장소의 IP에서만 접속하거나 VPN, interconnect 를 통해 내부 트래픽으로 전달받아 Web Console로 접근하는 방안들을 작성합니다.GCP Web Console은 Console로 표기합니다. 참고사항본 문서의 모든 기능은 GCP의 BeyondCorp 서비스를 사용합니다.  1. 지정된 장소에서만 접속 사무실이나 지정된 장소의 Public IP..

문서의 목적Public Cloud 인 Google Cloud Platform은 리소스 생성, 삭제, 확인 여러가지 업무를 Web Console에서 지원하고 있습니다.VPN을 통해 GCP의 리소스를 Public망이 아닌 VPN으로 접근은 가능하지만, Web Console의 경우에는 별도의 Web Proxy를 사용하는 방안이 있습니다.본 문서에서는 오픈소스인 Squid Proxy를 사용하여 사용자가 VPN을 통해 WebConsole로 접근하는 방안에 대해 작성합니다.  유의사항GCP에서는 별도의 secure web proxy라는 PaaS서비스를 제공하고 있습니다.위의 Squid  proxy는 사용자가 설치, 구축, 유지보수를 다 하여야 하나 GCP의 SWP를 사용한다면 간단한 설정으로도 사용이 가능합니다.별..

배경 : On-Premise에서는 외부, 내부 경계가 명확합니다. Cloud는 VPC로 구획을 나누기는 하지만, iaas, PaaS, SaaS는 자체 제공하는 서비스이기 때문에, Public망으로 서비스를 제공받게 됩니다.물론 CSP에서는 안전하다고는 하나, Public 구간에서의 문제는 사용자의 책임입니다.목적 : GCP의 Managed Service (PaaS)를 Public 망으로 접속하여 사용하는 것이 아니라 VPN, Cloud Interconnect로 연결 후  Private망으로 GCP로 접속 후 Private Service Connect를 통해  보안성을 향상하여 접속하는 방안으로  보안성을 향상하는 방안을 작성합니다. 내용 : 이번 문서 작성시에는 On-Premise와 GCP를 연결 하여 ..

GCP에서 GCE의 리소스 Monitoring을 하기 위해 운영 에이전트를 설치가 되지 않을때 내용을 정리하였습니다. 운영에이전트는 gcloud에서 설치할 수도 있고, GCE에서 진행할 수도 있습니다. 다만, gcloud에서 설치진행이 완료 되었다고 하지만, 실제로 Agent에서 “service google-cloud-ops-agent status” 명령으로 확인시 설치가 안된경우가 있습니다.수동 설치방안은 아래와 같습니다.   curl -sSO https://dl.google.com/cloudagents/add-google-cloud-ops-agent-repo.sh   sudo bash add-google-cloud-ops-agent-repo.sh --also-install docs : https://..

목적 : 온프레미스는 물리적으로 분리된 환경에 있다보니 허가된 사용자와 장소에서만 접근이 가능하지만, Public Cloud GCP는 공개된 특성상 기본적으로 Console에는 모두 다 접근이 가능합니다.개인이 아닌 기업의 경우에는 AWS는 Organization, SCP등을 이용하여 허가된 사용자와 장소에서만 접근이 가능하게 할 수 있고, GCP역시 VPC서비스 제어와 Access Context Manager를 이용하여 보안을 향상할 수 있습니다.본 문서에서는 예제 시나리오를 가지고 허가된 장소와 사용자만 GCP서비스를 사용하는 방안을 기술하겠습니다. 유의사항 :VPC 서비스 제어는 서비스의 제한을 발생시키기에 테스트 실행모드 (DryRun)가 있습니다.본 문서에서는 실행여부를 확인하기 위해 바로 시행..

문서의 목적GCP의 장점이자 단점은 언제 어디에서나 Web Console로 접근하여 업무를 수행할 수 있습니다.고객사 내부에서 특정 IP, 사용자만 GCP에 접속할 수 있도록 방화벽등을 통해 가능하나, 외부에서 접속하는 것은 막기 어렵습니다.그래서 GCP자체에서 접근을 제어해주는 Chrome Enterprise Premium, Access Context Manager 보안 서비스를 사용하여 특정 IP에서만 접속하도록 하여 보안성을 향상해 보겠습니다.유의사항BeyondCorp Enterprise는 GCP 조직이 필요 합니다. 조직단위에서 GCP를 사용하여야 합니다. Kr도메인 기준 1년간 10,000원 정도이므로 발급하셔서 테스트 하는 방법과 ( .tk .ml .ga등) 무료 도메인도 존재하기에 freen..

배경 : 보통은 Front Proxy라고 하면 지역제한으로 접근 못하는 웹이나 여러 서비스를 우회하기 위해 일반 사용자들이 많이 사용합니다. (예를 들면 한국에서는 유튜브 구독료가 비싸서, 아르헨티나쪽으로 지역 변경해서 가입 한다던가...) IT Infra에서는 내부 시스템마다 다르겠지만, 요 근래에 보안성 향상을 위해 내부에 있는 시스템이 외부(인터넷)으로 나가지 못하도록 하는 구성이 많습니다. 하이브리드 (On-premise, cloud) 환경을 많이 사용하면서 외부로 나가는 통로를 On-Premise 쪽으로만 설정 하는 방안등이 있습니다. 목적 : NAT도 비슷한 맥락으로 사용할 수 있지만, NAT와 proxy는 동작하는 계층이 다릅니다. 이번 문서에서는 내부 시스템의 repository 업데이트가..

회사 내부에서 필요해서 작성하였는데, 도움이 될꺼 같으니 수정하여 포스팅해본다.이런면에서는 GCP가 AWS보다 좋긴하다.. 프리티어를 구분짓지 않고 기간과 비용으로만 주니그리고 도메인이 꼭 필요한 사유가 AWS와는 다르게, GCP가 도메인베이스로 굴러가기 때문이다.조직(도메인)이 있어야 돌아가는 서비스도 있다보니 GCP 지원하는 입장에서는 도메인으로 테스트를 해야된다. 목적 : GCP에서는 신규로 가입시 $300의 크레딧을 제공해주며 그것으로 GCP의 서비스들에 대해 테스트가 가능합니다. 다만, 우리의 고객들은 기업들이고 개인 Gmail 계정으로 테스트보다 Cloud ID, GWS을 사용하는 고객들이므로 저희도 그에 맞게 테스트가 필요합니다. 조직 권한이 필요한 BeyondCorp Enterprise 같..

쓰기도 애매하지만, VM (linux) 에서 GCS로 자동으로 로그 파일을 업로드하고, VM에 있는 기존 파일은 제거하는 요구사항이 생겨서 진행 목적 : Instance 에서 지속적으로 파일이 대량 생성되고 있어, 이것을 GCS로 저장하는 방안 중 하나 조건은 각 instance를 구분하기 위해 GCS상에 호스트명별로 디렉토리가 생성되며, GCS에 업로드 되고 난 뒤 최신의 파일을 제외하고서는 기존 instance내 파일은 삭제처리 GCS로 보내는거라 고민을 했는데, 다행인지 gcloud 명령어에 storage rsync가 있어 진행했다. 아.. 물론 엔딩은 rsync가 아닌 데몬으로 보내야한다고 해서 결국 Fluent Bit로 전환 - GCS에 호스트명대로 저장하고, gcp rsync로 저장한 뒤 10..

배경 단일 instance에서 다중 NIC을 사용할 때의 방안을 찾아보고, 정리 사실 잘 사용하는 구성이 아니지만, VM 1대로 외부 public IP2개가 필요하다면.. 뭐 어째든 이렇게도 된다는 것을 정리 이번 문서의 핵심은 다중 네트워크 인터페이스를 설정하더라도 기본적으로 0.0.0.0/0 즉 지정되어 있지 않은 모든 트래픽은 default route를 타도록 되어있습니다. 만약 꼭 기본 인터페이스 외 추가된 인터페이스를 사용한다면 OS의 소스라우팅을 통해서 설정은 가능합니다. on-premise, Cloud 공히 모두 다중 NIC설정은 됩니다. 기본적으로 0.0.0.0/0에 대한 모든 트래픽은 default route를 타도록 되어 있습니다. 다만, 보통은 아래와 같이 어플라이언스 장비처럼 외부로..