달빛이 비추는 궁전에서

목적 : 온프레미스는 물리적으로 분리된 환경에 있다보니 허가된 사용자와 장소에서만 접근이 가능하지만, Public Cloud GCP는 공개된 특성상 기본적으로 Console에는 모두 다 접근이 가능합니다.개인이 아닌 기업의 경우에는 AWS는 Organization, SCP등을 이용하여 허가된 사용자와 장소에서만 접근이 가능하게 할 수 있고, GCP역시 VPC서비스 제어와 Access Context Manager를 이용하여 보안을 향상할 수 있습니다.본 문서에서는 예제 시나리오를 가지고 허가된 장소와 사용자만 GCP서비스를 사용하는 방안을 기술하겠습니다. 유의사항 :VPC 서비스 제어는 서비스의 제한을 발생시키기에 테스트 실행모드 (DryRun)가 있습니다.본 문서에서는 실행여부를 확인하기 위해 바로 시행..

쓰기도 애매하지만, VM (linux) 에서 GCS로 자동으로 로그 파일을 업로드하고, VM에 있는 기존 파일은 제거하는 요구사항이 생겨서 진행 목적 : Instance 에서 지속적으로 파일이 대량 생성되고 있어, 이것을 GCS로 저장하는 방안 중 하나 조건은 각 instance를 구분하기 위해 GCS상에 호스트명별로 디렉토리가 생성되며, GCS에 업로드 되고 난 뒤 최신의 파일을 제외하고서는 기존 instance내 파일은 삭제처리 GCS로 보내는거라 고민을 했는데, 다행인지 gcloud 명령어에 storage rsync가 있어 진행했다. 아.. 물론 엔딩은 rsync가 아닌 데몬으로 보내야한다고 해서 결국 Fluent Bit로 전환 - GCS에 호스트명대로 저장하고, gcp rsync로 저장한 뒤 10..

배경 단일 instance에서 다중 NIC을 사용할 때의 방안을 찾아보고, 정리 사실 잘 사용하는 구성이 아니지만, VM 1대로 외부 public IP2개가 필요하다면.. 뭐 어째든 이렇게도 된다는 것을 정리 이번 문서의 핵심은 다중 네트워크 인터페이스를 설정하더라도 기본적으로 0.0.0.0/0 즉 지정되어 있지 않은 모든 트래픽은 default route를 타도록 되어있습니다. 만약 꼭 기본 인터페이스 외 추가된 인터페이스를 사용한다면 OS의 소스라우팅을 통해서 설정은 가능합니다. on-premise, Cloud 공히 모두 다중 NIC설정은 됩니다. 기본적으로 0.0.0.0/0에 대한 모든 트래픽은 default route를 타도록 되어 있습니다. 다만, 보통은 아래와 같이 어플라이언스 장비처럼 외부로..

GCP에서 3-Tire를 구축해서 올린 적이 있다. https://seonggi.kr/148 GCP에서 3Tire로 구성하기 잠시 몸담았던 회사에서 입사시 내주었던 과제 Spring에서 공식적으로 제공하는 예제 프로젝트인데 전통적인 3Tire 구조이기 때문에 해보면 도움되는 것이 많다. 예제를 다운받을 수 있는 곳은 아 seonggi.kr 그 이후로..28장 PT를 만들어서 발표했는데, 우선 구성도만 정리하는 차원에서 작성해본다. 내용을 다 올릴지는 고민.. - WEB, WAS, DB 구성 WAS는 세션클러스터링으로 Redis 사용 - 집에있는 서버에 백업을 한다고 가정 VPN연결 후 DB Replication 및 rsync로 web, was의 파일 백업 - AWS를 DR로 구성 GCP - AWS간 VP..

Stratozone이란 On-premise, 타 Cloud 인프라를 GCP로 마이그레이션 계획 진행하는데 있어, 사용할 수 있는 서비스 직접 마이그레이션을 진행하지는 않지만, 데이터를 수집 (strato probe)하고, 비용계산하고, 마이그레이션을 일정을 도와주는 도구 Stratozone 진행순서 ANALYZE PLAN BUY MIGRATE (직접 수행 되지는 않음) MANAGE INTEGRATE SECURE 특징 애셋을 검색할 때는 에이전트 없는 프로세스가 사용 배포할 어플라이언스, 하드웨어 또는 에이전트가 없는 상황 검색은 하이퍼바이저 및 물리적 애셋 또는 가상 애셋에 관계없이 적용됨 StratoProbe (데이터 수집기) 해당 네트워크에 서버를 두고, 해당 서버가 내부에서 스캔을 하여 정보를 수집..

IAP를 이용하여 접속시 아래의 형식으로 접속 gcloud compute ssh vm-internal --zone us-central1-c --tunnel-through-iap 옵션설명 vm-internal : 접속할 인스턴스명 --zone : 접속할 리전 선택 (ex : asia-northeast3)

GCP에서 GCE의 리소스 Monitoring을 하기 위해 운영 에이전트를 설치가 되지 않을때 내용을 정리 운영에이전트는 gcloud에서 설치할 수도 있고, GCE에서 진행할 수도 있다. 다만, gcloud에서 설치진행이 완료 되었다고 하지만, 실제로 Agent에서 “service google-cloud-ops-agent status” 명령으로 확인시 설치가 안된경우가 있다. 수동 설치방안 curl -sSO https://dl.google.com/cloudagents/add-google-cloud-ops-agent-repo.sh sudo bash add-google-cloud-ops-agent-repo.sh --also-install docs : https://cloud.google.com/monitor..

GCP Infra관련 보안을 정리 기본보안 MFA (Multi-Factor Authentication) : 다중인증 GCP Console접속시 1차 로그인 이후 OPT, 문자, 디바이스메시지, 백업코드등을 이용하여 로그인 아래 Google문서에서도 권장사항은 MFA를 필수로 사용하는 것을 권장하고 있습니다. 사용자들이 MFA를 강제로 사용하는 방법도 있습니다. (https://admin.google.com) 참고 : MFA적용 [bookmark](https://cloud.google.com/identity/solutions/enforce-mfa?hl=ko) 참고 : MFA 강제사용방법 [bookmark](https://cloud.google.com/blog/ko/products/identity-secur..

Cloud StorageCloud Storage을 이용한 웹서비스스토리지 클래스 Cloud Storage 가격책정이중 리전 / 멀티 리전 Cloud StorageAWS의 S3처럼 객체를 저장하는 객체스토리지 객체란? 모든 형식의 파일로 구성된 변경할 수 없는 데이터 조각 (pdf, jpg, png등의 모든 파일) GCP에서 설명하는 Cloud StorageCloud Storage란 무엇인가요? | Google Cloud이 페이지에서는 Cloud Storage와 작동 방식을 간략하게 설명합니다. Cloud Storage는 Google Cloud에 를 저장하는 서비스입니다. 객체는 모든 형식의 파일로 구성된 변경할 수 없는 데이터 조각입니다. 객체를 이라는 컨테이너에 저장합니다. 모든 버킷은 와 연결되며 프..

Memorystore의 기본 개념💡Redis 및 Memcached를 지원하는 GCP의 인메모리 서비스 In-Memory솔루션과 캐시 솔루션 프로비저닝, 복제, 장애 조치, 패치 전부 GCP가 알아서 해주는 SaaS Redis, Memcached키, 값 구조의 비정형 데이터를 저장하고, 관리하는 비관계형(NoSQL) 데이터 베이스Key, Value 구조이기 때문에 쿼리를 사용할 필요가 없음 메모리에서 데이터를 처리하기 때문에 속도가 빠름 Redis, Memcached차이점 Memcached를 선택하는 경우 - 상대적으로 작고 정적인 데이터를 캐싱하는 경우 - 여러 코어 또는 스레드가 있는 멀티 스레드의 경우 - 메모리 관리가 redis만큼 정교하지는 않지만, 메타 데이터에 대한 메모리 리소스를 비교적 적게..