달빛이 비추는 궁전에서

GCP VPC간 Classic VPN 생성 스크립트

목표 VPN간 테스트를 위해 GCP VPC 간 VPN을 구축하는 스크립트 추가적으로 Private Service Connect (PSC)연결을 위해 PSC IP 라우팅을 추가한 설치 쉘스크립트를 설명합니다.사용방법소스코드를 Cloud Shell, ADC인증을 받은 local CLI(CMD)에서 실행합니다.쉘스크립트는 gcloud 명령을 이용하여, 인증된 GCP 프로젝트의 VPC를 조회하고, 선택된 VPC의 subnet을 조회합니다.사용자는 각 VPC, Subnet을 선택합니다.PSC를 테스트 할 경우 해당 PSC IP대역을 입력하면 On-premise (VPC2번측)에서 PSC대역으로 찾아가도록 자동으로 GCP VPC 경로를 추가해줍니다.아래는 실행시 예제 화면 입니다.- 스크립트 실행- 스크립트 실행 ..

GCP 메일 계정과 도메인

GCP는 조직 = 도메인 이란 개념을 사용합니다. seonggi.kr / seonggi.com / seonggi.co.kr 모두 개별의 조직으로 운영할 수 있습니다. (물론 대표도메인 하나만 사용하고, 나머지는 alias(별칭)으로 둘 수 도 있습니다.)사용자의 메일이 계정이 되기 때문에 꼭 메일을 수발신 되어야 하는지에 대한 물음이 있습니다. 그에 대한 설명을 정리하였습니다. 도메인에 대한 문의Cloud ID 가입 시 입력하는 도메인은 메일 도메인 기준으로 진행해야 하는지별도의 도메인을 사용해도 되는지사용할 도메인은 메일 서버(MX) 구성 없이 도메인만 보유한 상태이 경우에도 TXT 기반 도메인 소유권 인증만으로 Cloud ID 설정/운영이 가능한지 도메인 인증 및 메일 서버(MX) 구성 관련Clo..

개요Google Cloud의 Model Armor는 LLM(대규모 언어 모델) 서비스 이용 시 발생할 수 있는 보안 위협을 실시간으로 탐지하고 차단하는 핵심 보안 솔루션입니다. 프롬프트 인젝션, 탈옥(Jailbreak) 시도, 개인정보(PII) 유출 및 부적절한 콘텐츠 생성 등의 위협은 기업의 데이터 자산과 서비스 신뢰도에 직접적인 타격을 줄 수 있습니다. 본 가이드는 Model Armor를 통해 생성되는 SanitizeOperation 로그를 실시간으로 탐지하고 , 복잡한 JSON 형식의 감사 로그를 파싱하여 운영자가 즉시 위협 상황을 인지할 수 있도록 알림 체계를 구축하는 방안을 제시합니다. 구성도Log Explorer 이동 Log 검색resource.type="modelarmor.googleapis..

목적 : GCP 계정인증을 PSC로 사용하기인증 트래픽의 사설 경로화: 온프레미스(On-Premise) 환경에서 GCP 계정 인증 요청 시, 공인 인터넷이 아닌 Cloud VPN과 PSC를 거치는 사설망 경로를 통해 Google OAuth Server에 도달하도록 구성하는 것 계정 유형별 호환성 검증: 개인 계정(gmail.com)뿐만 아니라 조직 계정(예: mz.co.kr) 등 다양한 도메인의 계정들이 PSC 경로를 통해 문제없이 인증되는지 확인하는 것이 주요 테스트 방안 보안성 강화: 내부 서버가 인터넷 게이트웨이를 통하지 않고도 외부 구글 API 서버와 안전하게 통신할 수 있는 환경을 구축 구성도테스트 방안DNS 조작: 온프레미스 서버의 /etc/hosts 파일을 수정하여, 구글 인증 서버 주소인 ..

개요 GCP(Google Cloud Platform) 환경에서 IAM(Identity and Access Management) 권한 변경은 보안 및 거버넌스 측면에서 가장 핵심적인 모니터링 대상입니다. 권한의 오남용이나 잘못된 설정은 데이터 유출 및 리소스 손상으로 직결될 수 있기 때문입니다. 본 가이드는 권한 부여 및 수정 시 발생하는 복잡한 JSON 형식의 감사 로그(Audit Log)를 실시간으로 탐지하고, 이를 운영자가 즉시 인지할 수 있도록 이메일 알림 체계를 구축하는 방안을 작성하였습니다. 시스템 구성도 및 워크플로우본 시스템은 Google Cloud의 Serverless 아키텍처를 활용하여 비용 효율적이고 확장성 있는 실시간 알림 파이프라인을 구성 합니다.탐지 (Cloud Logging): ..

목적 : 개인계정이나 테스트 및 운영중에 프로젝트를 삭제할 필요가 있을때 사용합니다. GCP 사용하지 않는 프로젝트에 대한 종료 방안정리 GCP Console에 로그인 후 IAM → Settings 메뉴로 진입합니다.종료(삭제)하고자 하는 프로젝트가 맞는지 확인하고, “Shut Down”을 선택합니다.프로젝트 ID를 입력하면 종료가 됩니다.설명대로 해당 프로젝트의 최종 종료는 30일 뒤이며, 기존까지는 삭제 중지가 가능합니다.

개요 : 서비스 계정 키 대신 GCP 워크로드 아이덴티티 사용방안 외부 신원 공급자(IdP)와 구글 클라우드 간의 신뢰 관계를 구축하여, "Keyless 인증" 환경을 실현하는 것을 목적으로 합니다. 기존 방식의 한계 극복: 외부 연동 시 보안 취약점이 될 수 있는 정적 자격 증명(SA Key)의 생성 필요성을 원천적으로 제거합니다. 운영 오버헤드 감소: 주기적인 키 로테이션, 만료 관리, 폐기 절차 등의 수동 관리 업무를 자동화된 토큰 교환 방식으로 대체합니다. 통합 신원 관리 (IdP Integration): Keycloak, Okta, AD 등 기존에 사용 중인 중앙 집중식 인증 시스템을 활용하여 클라우드 자원에 대한 액세스를 통제합니다. 규정 준수 (Compliance): 장기 자격 증명 사용을 ..

개요 본 문서는 GCP Workload Identity Federation(WIF)의 외부 신원 공급자(IdP)로 활용될 Keycloak의 설치 및 구성 방법을 다룹니다. Keycloak은 Red Hat에서 주도하는 오픈소스 IAM 솔루션으로, Okta, Auth0, Gluu Server와 같이 엔터프라이즈급 인증 및 인가 기능을 제공합니다. 1.1 주요 구성 요소Keycloak: OIDC 프로토콜 기반의 사용자 인증 및 ID 토큰(JWT) 발급 서버ngrok: 로컬 서버를 외부 HTTPS 엔드포인트로 노출하여 GCP WIF의 Discovery를 지원 1.2 구축 목적Keyless 인증: 정적 서비스 계정 키 없이 외부 신원을 GCP 권한과 매핑표준 준수: OIDC 표준을 활용한 확장 가능한 인증 체계 ..

목적 GCP PSC 구성 후 Vertex AI (Gemini API)에 대해 정상동작 되는지 테스트하는 방안 GCE, 외부서버 모두 가능인증은 SA키파일을 먼저 찾으며, 키가 없으면 ADC 통해 확인 후 진행 동작방식requests, google-auth, google.auth 라이브러리 설치 여부 확인 후 없으면 설치gemini_config.json 파일이 있으면 환경변수 값 가져옴 없으면, 아래의 설정을 입력- PSC IP 주소 :- 프로젝트 ID : - 리전 (Location) : [us-central1]: - 모델 ID :gemini-2.5-flash- 키 파일 경로 (없으면 엔터) []: /home/linux1547/ctu-gcp-dsa2-unit-57e5dc4dcee4.json서비스 키 (외..

링크드인에도 올렸지만, 내 블로그에도 정리해서 업로드# 필요한 도구를 직접 만드는 시대요즘 대세는 필요한 도구를 AI를 통해 만들어서 사용하는 것이라고 느껴집니다. 저의 짝궁이 식단을 관리를 하고 있고, Zepp이라는 스마트워치 앱을 사용하는데, 매번 먹은 음식을 일일이 검색해 등록하는 과정을 꽤 불편해하더라고요. 기존 식단 앱들은 음식 데이터베이스가 부족하거나, 무엇보다 기존에 쓰던 관리 앱으로 데이터를 옮기는 과정을 생각하니 번거로웠습니다.Google antigravity를 이용해서, 캡쳐화면과 같이 음식사진을 찍으면 Gemini API로 보내어 음식을 분석하고, 칼로리, 당, 탄수화물을 정보를 찾아서 보여주는 어플을 만들어보았습니다.간단하게 만들기 위해 antigraviry가 Reac Native ..