달빛이 비추는 궁전에서

[Security] 서비스 경계 브리지를 사용한 GCP 리소스간 연결방법

목적 : GCP에서는 VPC서비스 제어라는 보안이 있습니다.그 중 서비스 경계를 통해 Google Cloud 리소스와 VPC네트워크 격리가 가능합니다.이를 통해 네트워크 통신을 차단, 허용하는 것 외에 GCP 리소스를 내외부적으로 허용, 차단을 할 수 있습니다.VPC서비스 제어에 대해서는 작성할 것이 많지만, 이번 문서에서는 같은 조직간 프로젝트에 있는 리소스를 연결시 사용될 수 있는 “경계 브리지"에 대해 어떤 것인지, 사용방법에 대해 기술합니다. 참고 Docs (VPC서비스 제어 개요)https://cloud.google.com/vpc-service-controls/docs/overview?hl=ko VPC 서비스 제어 개요  |  Google Cloud의견 보내기 VPC 서비스 제어 개요 컬렉션을 ..

멘토링 진행 시 실습환경 구성을 위해 미리 테스트했던 내용약 21일간 해당 구성을 유지할 수 있는지 조사 확인이 필요하여 작성개요GCP에서 기본적으로 제공하는 Free Tier ($300)으로 3-Tire로 구축이 가능한지 조사, 구축 한 내용을 정리구성도리소스 현황역활리소스명스펙비고HTTP LBCloud Load Balancing전역 HTTP(S) 부하 분산기(기본) TCP LBCloud Load BalancingTCP 부하 분산 WEBCompute Enginee2-small ( vCPU 2, 2GB) WASCompute Enginee2-medium( vCPU 2, 4GB) DBSQLCloud SQlvCPU 2Core, Memory 8GB, HDD : 10GB RedisCloud Memorystore표..

목적 : GCP에서는 SSH key 방식을 통한 접근방법을 기본적으로 지원합니다.ID/Password로 접근시에는 OS에서 sshd config을 변경해주어야합니다.GCP Console로 접근하는 방안은 편하지만, 시스템 운영자, 어플리케이션 담당자들에게 GCP Console 접근 권한을 주는 것은 IAM을 사용하여 권한을 적절하게 주어야 하고, 정책적으로 GCP관리자에 외에는 GCP Console에 접근 불가할 수도 있습니다.하여 본 문서에서는 ssh key 발급을 통해 비공개키를 가지고 GCP상에 존재하는 GCE에 접근하는 방법을 작성합니다. SSH key접속에 대한 GCP Docshttps://cloud.google.com/compute/docs/connect/create-ssh-keys?hl=ko..

목적 : 온프레미스는 물리적으로 분리된 환경에 있다보니 허가된 사용자와 장소에서만 접근이 가능하지만, Public Cloud GCP는 공개된 특성상 기본적으로 Console에는 모두 다 접근이 가능합니다.개인이 아닌 기업의 경우에는 AWS는 Organization, SCP등을 이용하여 허가된 사용자와 장소에서만 접근이 가능하게 할 수 있고, GCP역시 VPC서비스 제어와 Access Context Manager를 이용하여 보안을 향상할 수 있습니다.본 문서에서는 예제 시나리오를 가지고 허가된 장소와 사용자만 GCP서비스를 사용하는 방안을 기술하겠습니다. 유의사항 :VPC 서비스 제어는 서비스의 제한을 발생시키기에 테스트 실행모드 (DryRun)가 있습니다.본 문서에서는 실행여부를 확인하기 위해 바로 시행..

목적 : 도메인을 사용하여, 조직에 속하게 되면 사용자들에게 로그인시 2단계 인증을 강제할 수 있습니다. 단순히 ID/Password 보다 2차인증(문자, 앱, 통화등)을 받을 수 있으므로, 보안성 향상에 도움을 받을 수 있습니다. 무엇보다 Cloud ID(Free)를 사용해도 무료로 지원됩니다. 조직설정 admin.google.com 접속하여 아래의 메뉴로 접근합니다. 메뉴 → 보안 → 인증 → 2단계 인증을 선택합니다. 조직을 볼 수 있으며, 오른쪽 탭에서 인증 사용여부를 알 수 있습니다. 각 기능 옵션은 다음과 같습니다. → 사용자가 2단계 인증을 사용하도록 허용 체크시 : 사용자들은 2단계 인증을 자율적으로 설정 진행할 수 있습니다. 체크해제시 : 사용자들은 2단계 인증 자체를 사용할 수 없습니다..

쓰기도 애매하지만, VM (linux) 에서 GCS로 자동으로 로그 파일을 업로드하고, VM에 있는 기존 파일은 제거하는 요구사항이 생겨서 진행 목적 : Instance 에서 지속적으로 파일이 대량 생성되고 있어, 이것을 GCS로 저장하는 방안 중 하나 조건은 각 instance를 구분하기 위해 GCS상에 호스트명별로 디렉토리가 생성되며, GCS에 업로드 되고 난 뒤 최신의 파일을 제외하고서는 기존 instance내 파일은 삭제처리 GCS로 보내는거라 고민을 했는데, 다행인지 gcloud 명령어에 storage rsync가 있어 진행했다. 아.. 물론 엔딩은 rsync가 아닌 데몬으로 보내야한다고 해서 결국 Fluent Bit로 전환 - GCS에 호스트명대로 저장하고, gcp rsync로 저장한 뒤 10..

배경 단일 instance에서 다중 NIC을 사용할 때의 방안을 찾아보고, 정리 사실 잘 사용하는 구성이 아니지만, VM 1대로 외부 public IP2개가 필요하다면.. 뭐 어째든 이렇게도 된다는 것을 정리 이번 문서의 핵심은 다중 네트워크 인터페이스를 설정하더라도 기본적으로 0.0.0.0/0 즉 지정되어 있지 않은 모든 트래픽은 default route를 타도록 되어있습니다. 만약 꼭 기본 인터페이스 외 추가된 인터페이스를 사용한다면 OS의 소스라우팅을 통해서 설정은 가능합니다. on-premise, Cloud 공히 모두 다중 NIC설정은 됩니다. 기본적으로 0.0.0.0/0에 대한 모든 트래픽은 default route를 타도록 되어 있습니다. 다만, 보통은 아래와 같이 어플라이언스 장비처럼 외부로..

GCP에서 3-Tire를 구축해서 올린 적이 있다. https://seonggi.kr/148 GCP에서 3Tire로 구성하기 잠시 몸담았던 회사에서 입사시 내주었던 과제 Spring에서 공식적으로 제공하는 예제 프로젝트인데 전통적인 3Tire 구조이기 때문에 해보면 도움되는 것이 많다. 예제를 다운받을 수 있는 곳은 아 seonggi.kr 그 이후로..28장 PT를 만들어서 발표했는데, 우선 구성도만 정리하는 차원에서 작성해본다. 내용을 다 올릴지는 고민.. - WEB, WAS, DB 구성 WAS는 세션클러스터링으로 Redis 사용 - 집에있는 서버에 백업을 한다고 가정 VPN연결 후 DB Replication 및 rsync로 web, was의 파일 백업 - AWS를 DR로 구성 GCP - AWS간 VP..

Stratozone이란 On-premise, 타 Cloud 인프라를 GCP로 마이그레이션 계획 진행하는데 있어, 사용할 수 있는 서비스 직접 마이그레이션을 진행하지는 않지만, 데이터를 수집 (strato probe)하고, 비용계산하고, 마이그레이션을 일정을 도와주는 도구 Stratozone 진행순서 ANALYZE PLAN BUY MIGRATE (직접 수행 되지는 않음) MANAGE INTEGRATE SECURE 특징 애셋을 검색할 때는 에이전트 없는 프로세스가 사용 배포할 어플라이언스, 하드웨어 또는 에이전트가 없는 상황 검색은 하이퍼바이저 및 물리적 애셋 또는 가상 애셋에 관계없이 적용됨 StratoProbe (데이터 수집기) 해당 네트워크에 서버를 두고, 해당 서버가 내부에서 스캔을 하여 정보를 수집..

IAP를 이용하여 접속시 아래의 형식으로 접속 gcloud compute ssh vm-internal --zone us-central1-c --tunnel-through-iap 옵션설명 vm-internal : 접속할 인스턴스명 --zone : 접속할 리전 선택 (ex : asia-northeast3)