달빛이 비추는 궁전에서

배경 : GCP와 On-Premise간 VPN통신을 구축해보기 위한 문서입니다. 많은 On-Premise 사이트에서는 VPN기능이 포함된 UTM들을 사용하고 있습니다. UTM장비의 엔트리, 미들레인지급은 보통 네트워크 프로토콜인 BGP를 지원하지 않으므로 GCP의 HA VPN으로는 구성이 불가하기에, Classic VPN(기본형)을 사용하도록 하겠습니다. 고객사 장비가 엔터프라이즈급으로 BGP를 지원한다면 HA VPN을 사용하는 것을 권고합니다. 또한, UTM장비마다 설정 하는 방법과 용어는 조금씩 다르지만 필요한 설정 값 들은 동일합니다. 목적 : 데이터의 안전한 흐름을 위해 Public망이 아닌 Private망을 사용합니다. GCP와 고객사간 전용선 (Cloud Interconnect)가 가격을 생각..

Stratozone이란 On-premise, 타 Cloud 인프라를 GCP로 마이그레이션 계획 진행하는데 있어, 사용할 수 있는 서비스 직접 마이그레이션을 진행하지는 않지만, 데이터를 수집 (strato probe)하고, 비용계산하고, 마이그레이션을 일정을 도와주는 도구 Stratozone 진행순서 ANALYZE PLAN BUY MIGRATE (직접 수행 되지는 않음) MANAGE INTEGRATE SECURE 특징 애셋을 검색할 때는 에이전트 없는 프로세스가 사용 배포할 어플라이언스, 하드웨어 또는 에이전트가 없는 상황 검색은 하이퍼바이저 및 물리적 애셋 또는 가상 애셋에 관계없이 적용됨 StratoProbe (데이터 수집기) 해당 네트워크에 서버를 두고, 해당 서버가 내부에서 스캔을 하여 정보를 수집..

목적 : Windows Server 계열은 RDP를 사용하여 원격접속을 합니다. 해당 서비스는 기본으로 3389를 사용하며, 잘 알려진 well-known port이기 때문에 포트 변경을 통해 무작위 대입 공격을 방지할 수 있습니다. 이 문서에서는 Windows에서 사용할 수 있는 Powershell 명령어를 통해 GCP의 메타데이터를 적용하여, 템플릿이나 프로젝트 전체에 적용하는 방법을 설명합니다. Windows 운영 중인 상태에서 변경하기 (레지스트리 변경) 레지스트리 편집기를 시작합니다. (검색 상자에 regedit을 입력합니다.) 다음 레지스트리 하위 키로 이동합니다. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinS..

목적 : SSH(Secure Shell)는 원격 호스트에 접속하기 위해 사용되는 보안 프로토콜입니다. 기본으로 22 Port를 사용하며, 이미 알려진 well-known port 이므로, 무작위 대입 공격을 방지 하는 방법 중 하나로 포트를 변경해서 사용합니다. 본 문서에서는 기운영 중인 OS의 config파일을 변경하여 적용하는 방법과 GCP의 템플릿, 메타데이터를 사용하여 프로젝트 전체에 적용하는 방법을 기술합니다. 유의사항 : 이번 문서에서 GCP 메타데이터, 시작 스크립트를 통한 SSH Port를 변경하는 방법은 다양하게 있습니다. 기본적인 이해를 위해 확인하되, Docs를 참고하여 고객사 상황에 맞게 적용하는 것이 좋습니다. 또한 SSH 접속포트가 변경 되었으므로, 변경한 포트에 대한 방화벽 규..

IAP를 이용하여 접속시 아래의 형식으로 접속 gcloud compute ssh vm-internal --zone us-central1-c --tunnel-through-iap 옵션설명 vm-internal : 접속할 인스턴스명 --zone : 접속할 리전 선택 (ex : asia-northeast3)

GCP에서 GCE의 리소스 Monitoring을 하기 위해 운영 에이전트를 설치가 되지 않을때 내용을 정리 운영에이전트는 gcloud에서 설치할 수도 있고, GCE에서 진행할 수도 있다. 다만, gcloud에서 설치진행이 완료 되었다고 하지만, 실제로 Agent에서 “service google-cloud-ops-agent status” 명령으로 확인시 설치가 안된경우가 있다. 수동 설치방안 curl -sSO https://dl.google.com/cloudagents/add-google-cloud-ops-agent-repo.sh sudo bash add-google-cloud-ops-agent-repo.sh --also-install docs : https://cloud.google.com/monitor..

💡 문서의 목적 Site To Site VPN은 Public망이 아닌 Private 한 통신을 하기 위해 만들어진 방식 GCP, AWS간 VPN 구성 후 통신까지가 본 문서의 목적이며 인터넷에 있는 대부분의 문서들이 2021년전 문서입니다. 2023년 현재 AWS, GCP메뉴가 많이 달라져 작성하게 되었습니다. 💡 주의사항 AWS VPN은 기본적으로 HA로 구성되게 되어있다. 이말의 뜻은 VPN 생성시 기본적으로 Tunnel을 2개 생성되며 삭제는 불가능하다. GCP에서 HA VPN이라 하면 NIC Interface 2개를 사용하여 터널을 맺는 것인데, 이를 AWS적용하자면 GCP Interface 2개, AWS VPN연결을 2개 생성하여 총 4개의 Tunnel을 맺어야 HA VPN으로 구성됩니다. 아래..

GCP Infra관련 보안을 정리 기본보안 MFA (Multi-Factor Authentication) : 다중인증 GCP Console접속시 1차 로그인 이후 OPT, 문자, 디바이스메시지, 백업코드등을 이용하여 로그인 아래 Google문서에서도 권장사항은 MFA를 필수로 사용하는 것을 권장하고 있습니다. 사용자들이 MFA를 강제로 사용하는 방법도 있습니다. (https://admin.google.com) 참고 : MFA적용 [bookmark](https://cloud.google.com/identity/solutions/enforce-mfa?hl=ko) 참고 : MFA 강제사용방법 [bookmark](https://cloud.google.com/blog/ko/products/identity-secur..

Cloud StorageCloud Storage을 이용한 웹서비스스토리지 클래스 Cloud Storage 가격책정이중 리전 / 멀티 리전 Cloud StorageAWS의 S3처럼 객체를 저장하는 객체스토리지 객체란? 모든 형식의 파일로 구성된 변경할 수 없는 데이터 조각 (pdf, jpg, png등의 모든 파일) GCP에서 설명하는 Cloud StorageCloud Storage란 무엇인가요? | Google Cloud이 페이지에서는 Cloud Storage와 작동 방식을 간략하게 설명합니다. Cloud Storage는 Google Cloud에 를 저장하는 서비스입니다. 객체는 모든 형식의 파일로 구성된 변경할 수 없는 데이터 조각입니다. 객체를 이라는 컨테이너에 저장합니다. 모든 버킷은 와 연결되며 프..

Memorystore의 기본 개념💡Redis 및 Memcached를 지원하는 GCP의 인메모리 서비스 In-Memory솔루션과 캐시 솔루션 프로비저닝, 복제, 장애 조치, 패치 전부 GCP가 알아서 해주는 SaaS Redis, Memcached키, 값 구조의 비정형 데이터를 저장하고, 관리하는 비관계형(NoSQL) 데이터 베이스Key, Value 구조이기 때문에 쿼리를 사용할 필요가 없음 메모리에서 데이터를 처리하기 때문에 속도가 빠름 Redis, Memcached차이점 Memcached를 선택하는 경우 - 상대적으로 작고 정적인 데이터를 캐싱하는 경우 - 여러 코어 또는 스레드가 있는 멀티 스레드의 경우 - 메모리 관리가 redis만큼 정교하지는 않지만, 메타 데이터에 대한 메모리 리소스를 비교적 적게..