달빛이 비추는 궁전에서

[GCP] Mobile Device Alerting 설정

목적 : GCP 에서 Alerting 설정시 SMS, slack 여러 방안이 있지만, Mobile Device에서도 알림이 가능합니다.기존에는 Console에서 Add 후 QR코드 등으로 등록하는 방법이었는데, 2024년 5월 현재 방법이 변경되어 해당내용 공유하기 위해 작성합니다. 특이사항 : 위의 목적에 작성한 것처럼 별 다른 설정이나 기술이 필요한 건 아니지만, 아래 GCP Docs에서 명확히 설명되어있지 않아 혼란스런 부분이 있어 문서를 작성하게 되었습니다. 관련 URL : https://cloud.google.com/monitoring/support/notification-options?hl=ko#mobile-app 알림 채널 만들기 및 관리  |  Cloud Monitoring  |  Goog..

목적 : GCP에서는 VPC서비스 제어라는 보안이 있습니다.그 중 서비스 경계를 통해 Google Cloud 리소스와 VPC네트워크 격리가 가능합니다.이를 통해 네트워크 통신을 차단, 허용하는 것 외에 GCP 리소스를 내외부적으로 허용, 차단을 할 수 있습니다.VPC서비스 제어에 대해서는 작성할 것이 많지만, 이번 문서에서는 같은 조직간 프로젝트에 있는 리소스를 연결시 사용될 수 있는 “경계 브리지"에 대해 어떤 것인지, 사용방법에 대해 기술합니다. 참고 Docs (VPC서비스 제어 개요)https://cloud.google.com/vpc-service-controls/docs/overview?hl=ko VPC 서비스 제어 개요  |  Google Cloud의견 보내기 VPC 서비스 제어 개요 컬렉션을 ..

멘토링 진행 시 실습환경 구성을 위해 미리 테스트했던 내용약 21일간 해당 구성을 유지할 수 있는지 조사 확인이 필요하여 작성개요GCP에서 기본적으로 제공하는 Free Tier ($300)으로 3-Tire로 구축이 가능한지 조사, 구축 한 내용을 정리구성도리소스 현황역활리소스명스펙비고HTTP LBCloud Load Balancing전역 HTTP(S) 부하 분산기(기본) TCP LBCloud Load BalancingTCP 부하 분산 WEBCompute Enginee2-small ( vCPU 2, 2GB) WASCompute Enginee2-medium( vCPU 2, 4GB) DBSQLCloud SQlvCPU 2Core, Memory 8GB, HDD : 10GB RedisCloud Memorystore표..

문서의 목적Public Cloud 인 Google Cloud Platform은 리소스 생성, 삭제, 확인 여러 가지 업무를 Web Console에서 지원하고 있습니다.VPN, Interconnect를 통해 GCP의 리소스를 Public망이 아닌 Private망으로 접근은 가능합니다.다만, Web Console의 경우에는 Proxy Server를 통하여 접근하거나, 본 문서에서 작성하고자 하는 Bestion 역할이 가능한 VM을 이용하는 방안이 있습니다.Windows VM의 경우 사용이 간편하고 좋지만, 비교적 큰 자원의 VM을 사용하는 것과 라이선스 비용이 있습니다.본 문서에서는 linux에 X-windows(GUI)를 사용하여, 사용자가 Private망으로 GCP의 VM 원격터미널에 접근 후 Webco..

목적 : GCP에서는 SSH key 방식을 통한 접근방법을 기본적으로 지원합니다.ID/Password로 접근시에는 OS에서 sshd config을 변경해주어야합니다.GCP Console로 접근하는 방안은 편하지만, 시스템 운영자, 어플리케이션 담당자들에게 GCP Console 접근 권한을 주는 것은 IAM을 사용하여 권한을 적절하게 주어야 하고, 정책적으로 GCP관리자에 외에는 GCP Console에 접근 불가할 수도 있습니다.하여 본 문서에서는 ssh key 발급을 통해 비공개키를 가지고 GCP상에 존재하는 GCE에 접근하는 방법을 작성합니다. SSH key접속에 대한 GCP Docshttps://cloud.google.com/compute/docs/connect/create-ssh-keys?hl=ko..

2024년 4월 Google Cloud Next 참석차 라스베가스에 다녀왔다. 그 중 나는 Infra, Security 분야를 열심히 듣고 다녔고, 회사에서 보안 분야와 관련된 내용을 정리한 영상에 참여요청을 해서 이번에 업로드가 되어 올려본다.자신의 목소리를 듣는 건 여전히 어색하고.. 어디 이불킥 하고 싶지만 ㅠㅠ이번 기회를 통해 많은 것을 배웠다.. 어째든 해보고, 공부하고, 써봐야 느는법이니 https://youtu.be/_woWZrrnREY?si=j1fh5hRGJtpsJOzl

문서의 목적Public Cloud 인 Google Cloud Platform은 리소스 생성, 삭제, 사용 여러가지 업무를 Web Console에서 지원하고 있습니다.On-premise의 경우 지정된 위치와 단말기에서만 사용이 가능하도록 물리적으로 가능하나, 공개된 망에서 서비스하는 GCP는 WebConsole 접근자체가 오픈되어 있습니다.하여, 정해진 장소의 IP에서만 접속하거나 VPN, interconnect 를 통해 내부 트래픽으로 전달받아 Web Console로 접근하는 방안들을 작성합니다.GCP Web Console은 Console로 표기합니다. 참고사항본 문서의 모든 기능은 GCP의 BeyondCorp 서비스를 사용합니다.  1. 지정된 장소에서만 접속 사무실이나 지정된 장소의 Public IP..

문서의 목적Public Cloud 인 Google Cloud Platform은 리소스 생성, 삭제, 확인 여러가지 업무를 Web Console에서 지원하고 있습니다.VPN을 통해 GCP의 리소스를 Public망이 아닌 VPN으로 접근은 가능하지만, Web Console의 경우에는 별도의 Web Proxy를 사용하는 방안이 있습니다.본 문서에서는 오픈소스인 Squid Proxy를 사용하여 사용자가 VPN을 통해 WebConsole로 접근하는 방안에 대해 작성합니다.  유의사항GCP에서는 별도의 secure web proxy라는 PaaS서비스를 제공하고 있습니다.위의 Squid  proxy는 사용자가 설치, 구축, 유지보수를 다 하여야 하나 GCP의 SWP를 사용한다면 간단한 설정으로도 사용이 가능합니다.별..

배경 : On-Premise에서는 외부, 내부 경계가 명확합니다. Cloud는 VPC로 구획을 나누기는 하지만, iaas, PaaS, SaaS는 자체 제공하는 서비스이기 때문에, Public망으로 서비스를 제공받게 됩니다.물론 CSP에서는 안전하다고는 하나, Public 구간에서의 문제는 사용자의 책임입니다.목적 : GCP의 Managed Service (PaaS)를 Public 망으로 접속하여 사용하는 것이 아니라 VPN, Cloud Interconnect로 연결 후  Private망으로 GCP로 접속 후 Private Service Connect를 통해  보안성을 향상하여 접속하는 방안으로  보안성을 향상하는 방안을 작성합니다. 내용 : 이번 문서 작성시에는 On-Premise와 GCP를 연결 하여 ..

AWS 별도 스터디 하다가..기본인 것을 정리하기 위해 작성공통적으로 Sercurity Group, NACL은 VPC의 트래픽을 통제하고 제어하는 서비스방화벽 서비스인데, 위치와 동작방식이 다르다. Security Group : 상태를 저장하는 Stateful 방식개별 인스턴스만 설정 할 수도 있고, 그룹으로 선택하여 할 수도 있음허용만 가능하며, 차단(Deny)은 불가함 기본적으로 허용정책이 없다면 모두 차단NACL :Security Group은 인스턴스 기반이라면 NACL은 Subnet 단위로 설정을 함Security Group보다 상위위치에서 차단, 허용을 함규칙에 숫자가 있으며, 숫자 값이 적을 수록 우선적으로 적용됨(보통  아는 방화벽이 NACL이긴 하나, 상태저장이 안되는 Stateless라는..