Deep Dive

1. Custom SSH Key로 로그인하기 접속 테스트를 할 VM을 하나 생성한다. Cloud Shell에 아래 명령어로 Key를 생성한다. ssh-keygen -t rsa -f mykey -C ACCOUNT 3. mykey를 콘솔에 출력한다. 4. VM 편집을 누르고 SSH 키를 추가한다. cat mykey.pub 맥북 환경에서는 PowerShell을 켜고 내컴퓨터명@컴퓨터명.local을 USER란에 넣는다. ex) HvQ0ucIgysbCP609Y8XUzRLWPO/QF1PDtJOwDq7hiedXPU= 내컴퓨터명@컴퓨터사용자명 5. 생성한 키로 접속이 되는지 확인한다. ssh -i mykey ACCOUNT@[VM-IP]

VM Security Compute Engine의 API 액세스 설정 Service Account는 API를 활성화하게 되면 구글에서 관리하는 default로 생성된다. default는 많은 권한을 가지고 있고 Compute Engine에 들어가는 default라는 계정은 Editor 권한을 가지고 있어서 사용 범위가 너무 넓다. 따라서 Compute Engine에서는 Service Account는 사용하지 않는다. 그 대신 VM 인스턴스의 API 액세스 설정으로 해당 인스턴스에 대한 API 호출을 허용 또는 제한하는 방법을 정의한다. 액세스 범위는 인스턴스에서 호출할 수 있는 특정 API의 범위를 정의한다. 이는 인스턴스에 할당된 IAM 역할 및 서비스 계정에 적용된다. 액세스 범위는 각 API에 대해..

Security Command Center 보안상으로 잘못 설정(Access All)되어 있지 않은지 일일이 수동으로 점검 해야 한다. SCC를 켜두면 자동으로 체크리스트를 스케일링한다. SCC 기능 Assets Browser: 현재 내 클라우드 콘솔에서 가진 리소스에 대한 API 리스트를 보여준다. 가진 리소스들을 알아야 보안, 고려사항 등을 점검할 수 있다. 이 브라우저는 free 버전에서도 지원한다. Prevent threats: Security Health Analytics(SHA): 현재 설정된 값을 스캔하고 보안 상 문제가 될 만한 것들을 등급을 나누어서 알람표시를 해준다. (안전-조금 위험-많이 위험) Web Security Scanner: 웹 설정을 할 때 웹 서비스를 통해 보안 취약점이 ..

1. Cloud Identity 인터넷을 통해 클라우드에 어디에서나 액세스 할 수 있다. 그러므로, 접속 제어(Controlling Access) 과정을 거쳐 보안을 강화한다. Controlling Access Authentication(인증): 계정을 확인하는 것 Authorization(인가): IAM ex) Azure AD Auditing Cloud ID가 제공하는 기능 Life Cycle 관리 2단계 인증 SSO(Signel Sion On) 사용에 대한 auditing 및 reporting Google Account Type Cloud Identity managed account: 수명주기 관리, 2단계 인증, SSO, 감사 보고서, API 제어 등의 기능을 제공한다. Google consumer..

오토스케일링 설정된 인스턴스는 다이렉트로 삭제가 안된다. 최소 유지 인스턴스가 있기 때문에 인스턴스를 삭제해도 다시 재생성된다. 따라서 이 순서대로 삭제해야 된다. 1. 로드밸런서 삭제 2. 오토 스케일링 그룹 3. 대상 그룹(타겟 그룹) 삭제 타겟 그룹은 오토 스케일링과 연결되어서 오토 스케일링이 삭제돼야 타겟 그룹을 삭제할 수 있다. 4. 인스턴스 삭제 그룹은 자동 삭제된다. 5. 보안그룹 삭제 보안그룹은 인스턴스를 삭제 후 보안그룹을 삭제할 수 있다. default 제외하고 삭제한다. 6. 시작 템플릿 삭제 6. 이미지 삭제 작업 > AMI 등록 취소 7. 스냅샷 삭제 8. 대시보드에서 검토 EC2 대시보드로 가서 다음과 같은지 확인한다. EC2 대시보드 > EC2 글로벌 보기를 눌러서 검토한다.

'오토 스케일링'은 왜 쓸까? 클라이언트 요청이 너무 많으면 서버를 확장해야 한다. 온프레미스 환경에서는 고객의 요청을 예상하고 똑같은 서버를 스케일 업 또는 스케일 아웃 해야 한다. 그런데 일년에 1번만 부하가 걸린다면 기업은 서버 투자를 안 한다. 그런데 퍼블릭 환경에서는 시스템에 사양을 모니터링(CPU, 요청수)을 하여 자동으로 서버를 늘려준다. 그러면 사용자는 부하 없이 원활하게 서비스를 제공받을 수 있다. 따라서 오토 스케일링은 확장성을 위해 사용한다. 스케일업: 단일 시스템 HW 사양 높이는 것 스케일 아웃: 서버수를 늘리는 것 Amazon Auto Scaling Scale Out: 수요가 많으면 자동으로 인스턴스 수 증가 Scale In: 수요가 없으면 자동으로 인스턴스 수 감소 오토 스케일..

GC 실습을 하는데 비전공자다 보니까 모르는 용어들이 한가득 나온다 ㅋㅋ 실습 중 나온 ICMP이란 무엇인지 정리해봤다. 한마디로 ICMP 포트는 외부 IP 주소로 ping할 수 있는 방화벽 규칙이다. ICMP란 무엇인가? ICMP은 Internet Control Message Protocol의 약자로 한국어로 하면 인터넷 제어 메세지 프로토콜이다. ICMP는 네트워크 내 장치가 데이터 전송을 대상에 도달하는지, 도달 시간이 적절한지 확인하고 오류를 보고한다. 즉, 오류 보고 및 네트워크 진단할 때 사용한다. ICMP를 검색했더니 ping이라는 것과 함께 나왔다.. ICMP과 ping의 관계 ICMP: 디바이스 간에 메세지가 전송되는 방법을 제어하는 규약이다. ping: ICMP 프로토콜이 보내는 에코 ..

VPC Networks를 생성한 후 VM 인스턴스를 생성하는데 You must select a subnetwork 에러를 만났다. VPC Netowork에 서브넷은 자동 할당을 선택했는데 왜 안 만들어질까..? Network를 만들었다고 바로 인식은 안되는듯 네트워크가 올라갈 때 까지 시간이 소요되기 때문이었다... 3분 정도 후에 VM 인스턴스 생성을 다시 시도했더니 정상적으로 생성 됐다. 성질 급한 한국인..

VPC Network를 생성할 때 Firewalls를 선택하지 않은 채로 VM 인스턴스를 생성하고 SSH에 연결하여 VM 인스턴스를 생성하려다가 위 같은 에러를 만났다. VPC Network에서 방화벽 규칙을 생성한 후 SSH 연결을 하면 해결된다.

Cloud Marketplace를 사용하여 Compute Engine 인스턴스에 빠르고 쉽게 LAMP 스택을 배포해보자. 배포하기 Cloud Marketplace에 접속하여 GCP 탐색 메뉴 > Marketplace > 스택 검색 > regions에 배포 영역 선택 > 약관 동의 > deploy 클릭 배포 확인하기 visit the site > get started 축하 메세지 확인 > SSH 클릭 cd /opt/bitnami # 현재 작업 디렉터리를 /opt/bitnami로 변경 sudo sh -c 'echo "" > apache2/htdocs/phpinfo.php' # 설치 디렉터리에서 웹 서버 문서 루트 아래의 공개적으로 액세스할 수 있는 위치로 phpinfo.php 스크립트를 복사 # phpinf..