create value with tech, not tool

안녕하세요. GCP의 네트워크 서비스 중 Border Gateway Protocol(BGP) 라우팅 프로토콜 요구 사항을 지원하기 위해 GCP Cloud Router를 제공합니다. 이번 글에서는 Cloud Router 서비스에 대해 알아보겠습니다.[지난 게시글 참고-BGP] Cloud Router는 Cloud NAT의 제어 영역 역할을 하며, 다음 Google Cloud 제품에 BGP 서비스를 제공합니다. [참고-GCP Cloud Router Docs] Cloud Interconnect Cloud VPN, 특히 HA VPN 라우터 어플라이언스(Network Connectivity Center 일부) BGP 세션 Cloud Router는 경계 경로 프로토콜(BGP)을 사용하여 Virtual Private ..

안녕하세요. AWS의 네트워크 서비스 중 Border Gateway Protocol(BGP) 라우팅 프로토콜 요구 사항을 지원하기 위해 AWS Transit Gateway와 AWS Direct Connect를 제공합니다. 이번 글에서는 Direct Connect 서비스에 대해 간단히 알아보겠습니다. AWS Direct Connect AWS Direct Connect는 AWS 리소스의 최단 경로입니다. 전송하는 동안 네트워크 트래픽은 AWS 글로벌 네트워크에 남아있으며 퍼블릭 인터넷에 닿지않아 병목 현상이 발생하거나 지연 시간이 예기치 않게 증가할 가능성이 줄어듭니다. 새 연결을 생성할 때 AWS Direct Connect 제공 파트너가 제공하는 호스팅 연결을 선택하거나 AWS의 전용 연결을 선택하고 전 ..

안녕하세요. BGP에 대해 간단히 알아보겠습니다. 아래 BGP에 대한 기본적인 내용은 AWS의 BGP 기술문서를 참고하였습니다.[참고- AWS ] Border Gateway Protocol(BGP)은 인터넷에서 데이터를 전송하는 데 가장 적합한 네트워크 경로를 결정하는 일련의 규칙입니다. 인터넷은 표준화된 프로토콜, 디바이스 및 통신 기술을 통해 서로 연결된 수천 개의 프라이빗, 퍼블릭, 기업 및 정부 네트워크로 구성됩니다. 인터넷을 검색하면 데이터는 목적지에 도달하기 전에 여러 네트워크를 통해 이동합니다. BGP의 역할은 데이터가 이동할 수 있는 모든 경로를 살펴보고 최적의 경로를 선택하는 것입니다. 인터넷의 핵심은 수십만 개의 자율 시스템(AS)으로 구성되기 때문에 BGP 라우팅은 매우 중요합니다. ..

안녕하세요. 이번 글에서는 GCP의 Infra Manager 서비스를 통해 테라폼으로 작성된 GCP의 리소스를 쉽게 프로비저닝하는 방법에 대해 설명하겠습니다. Infra Manager는 Google Cloud 인프라 리소스의 배포 및 관리를 자동화해주는 GCP Managed Service입니다. Infra Manager 특징 - 공개 Git 저장소, Cloud Storage 버킷 또는 로컬 머신에 Terraform 코드 또는 구성을 유지할 수 있음 - Infra Manager는 배포 버전을 생성하여 모든 Terraform 배포 버전을 유지함 - 모든 revision에 대해 Infra Manager는 로그, Terraform 소스 코드, 아티팩트 및 상태 파일을 Cloud Storage Bucket에 저장..

안녕하세요. 이번에는 다양한 IaC로 작성한 template의 취약점을 점검해주는 오픈소스로 terrascan을 사용해보겠습니다. Terrascan Terrascan은 코드형 인프라(Infrastructure as Code)를 위한 정적 코드 분석기입니다. 잘못된 구성이 있는지 코드형 인프라를 스캔 보안 취약점 및 규정 준수 위반을 탐지 클라우드 네이티브 인프라를 프로비저닝하기 전에 위험 완화 로컬로 실행하거나 CI\CD와 통합할 수 있는 유연성 제공 [참고] https://github.com/tenable/terrascan GitHub - tenable/terrascan: Detect compliance and security violations across Infrastructure as Code t..

안녕하세요. 이번에는 AWS의 서로 다른 계정 간 KMS 키를 공유하여 AWS Backup Vault에 백업을 해보겠습니다. 서로 다른 계정 간 키 공유 https://repost.aws/ko/knowledge-center/share-kms-account AWS 계정 간 KMS 키 공유 다른 AWS 계정에 내 AWS Key Management Service(AWS KMS) 키에 대한 액세스 권한을 안전하게 부여하고 싶습니다. repost.aws 위 글을 참고하여 다른 계정과 KMS 키를 공유하려면 아래와 같은 절차가 필요합니다. AWS KMS 키를 다른 계정과 공유하려면 보조 계정에 다음 권한을 부여해야 합니다. 키 정책: 보조 계정에는 AWS KMS 키 정책을 사용할 수 있는 권한이 있어야 합니다. 이..

안녕하세요, 이번 글에서는 AWS의 Control Tower에서 Organization의 정책을 적용시키는 방법에 대해 알아보겠습니다. AWS의 Organization 공식문서를 보면 Organization와 연동되는 서비스들이 정의되어있습니다. Control Tower는 이 연동서비스 중 하나입니다. 이번 글에서는 조직 정책 중 백업 정책을 적용하는 방법에 대해 알아보겠습니다. 1. 조직 정책 활성화 - 아래와 같이 Organization - 정책 - 백업 정책을 활성화해줍니다. 2. 조직 정책 생성 - 백업 정책(예: DailyBackupPolicy)을 생성해줍니다. - 백업 계획 및 백업 규칙, 리소스를 할당해줍니다. - 백업 규칙을 설정해줍니다. - 백업 리소스를 할당해줍니다. - 아래처럼 백업 ..

안녕하세요. Control Tower 내 Account Factory 기능을 활용하여 Service Catalog 제품을 프로비저닝하며 제품 유형인 Cloudformation에 대해 좀 더 깊게(Deep Dive) 알아보고자 작성한 글입니다. Cloudformation[참고] CloudFormation 템플릿은 JSON 또는 YAML 형식의 텍스트 파일입니다. .json, .yaml, .template와 같은 확장자로 이러한 파일을 저장할 수 있습니다 스택을 생성할 때 AWS CloudFormation은 AWS에 대한 기본 서비스 호출을 수행하여 리소스를 프로비저닝하고 구성합니다. CloudFormation은 수행 권한이 있는 작업만 수행할 수 있습니다. 예를 들어 CloudFormation을 사용하여 ..

안녕하세요. Control Tower 내 Account Factory 기능을 활용하여 Service Catalog 제품을 프로비저닝하며 최근 적용된 제품 유형인 Terraform Engine에 대해 좀 더 깊게(Deep Dive) 알아보고자 작성한 글입니다. 2023년 4월 3일부터 AWS Service Catalog에서 AWS CloudFormation을 사용하는 것 외에도 Hashicorp Terraform을 사용하여 코드형 인프라(IaC) 리소스를 정의할 수 있습니다. [참고] Service Catalog를 사용할 때 Terraform 템플릿에 대한 Service Catalog 제품을 생성한 다음 여러 제품을 Service Catalog 포트폴리오로 통합할 수 있는 옵션이 있습니다. 위와 같이 Cl..

안녕하세요. Google Workspace의 다양한 서비스 중에서도 계정 관리를 위해 별도로 만들어진 서비스인 Cloud ID로 조직을 생성하고 테라폼으로 배포해보겠습니다. Cloud ID는아래와 같은 기능을 지원합니다. 직원의 사용자 계정 및 그룹 관리 조직 구조를 만들고 조직의 모든 프로젝트 및 리소스를 중앙에서 제어 보안 가드레일 구성 사전 단계 1. Google Cloud 콘솔 내 ID 및 조직 접속 우선 Google Cloud 콘솔에서 아래 [IAM 및 관리자 — ID 및 조직]에 접속합니다. 2. 조직 계정 생성 접속 후 admin.google.com 콘솔에서 조직을 위한 계정을 생성해줍니다. 3. Cloud ID용 도메인 확인 후 등록 아래 자료를 참고해서 가지고 있는 도메인 호스팅 영역에 ..