create value with tech, not tool

안녕하세요. GCP 환경 내 프로젝트의 계정 생성 및 리소스 권한 설정 등 정책 관련 부분을 알아보며 GCP와 AWS의 계층 구조와 API 및 API Gateway 등 관련 내용에 대해 간단히 정리한 글입니다. IAM 1. GCP ID 및 액세스 관리는 GCP와 같은 클라우드 인프라 환경에서 가장 중요한 보안 제어 중 하나입니다 . 리소스의 프로비저닝, 디프로비저닝 및 조작을 포함하여 수행되는 거의 모든 작업이 API 호출이므로 악의적인 행위자가 환경에 침투하기 위해 필요한 모든 권한은 잘못된 ID에 대한 잘못된 바인딩 또는 손상된 ID입니다. 이런 이유로 사람과 서비스를 포함한 모든 ID에 대해 항상 최소 권한을 유지해야 합니다.[참고] illustration of the objects relevant..

안녕하세요, Google cloud의 관리형 kubernetes 서비스인 Google Kubernetes Engine(GKE)를 테스트한 내용을 정리했습니다. 사전환경 gcloud CLI 설치 OS 환경에 맞게 Google Cloud CLI를 설치합니다 Quickstart: Install the Google Cloud CLI | Google Cloud CLI Documentation Send feedback This quickstart guides you through installing and initializing the Google Cloud CLI and running a few… cloud.google.com kubectl 설치 kubectl를 설치합니다. https://cloud.google...

안녕하세요. Developing on AWS 실습 내용을 진행하며 aws 내 cli, sdk, api 사용 관련 주요 내용을 정리한 글입니다. 개발 환경 구성 # IDE 설치 확인 $ python --version# AWS CLI 설치 확인 $ aws --version$ aws configure $ aws sts get-caller-identity# IAM 권한 확인 $ aws s3 ls$ bucketToDelete=$(aws s3api list-buckets --output text --query 'Buckets[?contains(Name, `deletemebucket`) == `true`] | [0].Name')# s3 삭제 시도 $ aws s3 remove-bucket s3://$bucketToDe..

안녕하세요. AWS Blueprints Hands On 내용을 공유하기 위해 작성한 글입니다. 참고 : https://d2gp23xds933l5.cloudfront.net/ CLUSTER PROVISIONING AND MANAGEMENT WITH EKS-A BARE METAL DEPLOY WORKLOADS TO EKS-A BARE METAL COST MANAGEMENT WITH KUBECOST ON EKS-A BARE METAL Kubecost is a comprehensive cost monitoring & optimization solution for teams running Kubernetes and is a recommended cost monitoring tool for Amazon EKS an..

안녕하세요. AWS Blueprints Hands On 내용을 공유하기 위해 작성한 글입니다. 참고 : https://catalog.workshops.aws/eks-blueprints-for-cdk/en-US 1. Create multiple EKS clusters using Pipelines 2. Implement Blueprints add-ons 3. Deploy your teams’ workloads GitOps를 쓰는 이유 개발자에게 익숙한 절차 빠른 복구와 자동화 여러 배포 모드 작동 가능 확장성 및 안정성 실행 중인 환경에서 애플리케이션 분리됨 ArgoCD Argo CD is a declarative, GitOps continuous delivery tool for Kubernetes. The..

안녕하세요. AWS EKS Hands On 내용을 공유하기 위해 작성한 글입니다. 참고 : https://www.eksworkshop.com/ PREREQUISITES https://www.eksworkshop.com/020_prerequisites/ https://www.eksworkshop.com/030_eksctl/ Beginner os 보안 적용 운영적인 측면에서 중요 SELinux(using 컨텍스트)를 이용한 컨테이너 호스트 격리 AppArmor unix : CHROOT container image 보안 image 저장소 보안 k8s user/service account user account service account : application level 권한 컨트롤 RBAC Role-bas..

안녕하세요. AWS EKS Hands On 내용을 공유하기 위해 작성한 글입니다. 참고 : https://www.eksworkshop.com/ PREREQUISITES https://www.eksworkshop.com/020_prerequisites/ https://www.eksworkshop.com/030_eksctl/ Beginner DEPLOY THE EXAMPLE MICROSERVICES DEPLOY OUR SAMPLE APPLICATIONS apiVersion: apps/v1 kind: Deployment metadata: name: ecsdemo-nodejs labels: app: ecsdemo-nodejs namespace: default spec: replicas: 1 selector: m..

안녕하세요. 최근 CloudNet@ AWS Security Study를 진행하며 해당 내용을 이해하고 공유하기 위해 작성한 글입니다. 해당 내용은 ‘쉽게 적용하는 AWS 보안 레시피’ 책과 AWS Docs 내용을 기반으로 했습니다. Guardducy, Macie, Inspect는 aws security service 중 detect 기능을 담당하는 서비스로 보안 위협을 감지해줍니다. AWS security services GuardDuty Amazon GuardDuty는 AWS 계정 및 워크로드에서 악의적 활동을 모니터링하고 상세한 보안 결과를 제공하여 가시성 및 해결을 촉진하는 위협 탐지 서비스입니다. 아래와 같은 기능을 제공합니다. AWS 계정, EC2 워크로드, 컨테이너 애플리케이션 및 S3 모니터..

안녕하세요. 최근 CloudNet@ AWS Security Study를 진행하며 해당 내용을 이해하고 공유하기 위해 작성한 글입니다. 해당 내용은 ‘쉽게 적용하는 AWS 보안 레시피’ 책과 AWS Docs 내용을 기반으로 했습니다. SNS(Simple Notification Service) SNS는 메시지 전송 서비스 입니다. 메시지를 게시할 때 암호화 하기 위해 KMS에서 제공하는고객마스터키(CMK)를 사용합니다. SNS 서비스 → 주제생성 유형 : 표준 이름 : yhshimsec 표시이름 : yhshimsec SNS 서비스 → 구독생성 주제 : yhshimsec 선택 프로토콜 : 이메일 선택 엔드포인트 : SNS 알림을 수신할 이메일 주소 작성 SNS 서비스 → 주제 → yhshimsec → 구독자상..

안녕하세요. 최근 CloudNet@ AWS Security Study를 진행하며 해당 내용을 이해하고 공유하기 위해 작성한 글입니다. 해당 내용은 ‘쉽게 적용하는 AWS 보안 레시피’ 책과 AWS Docs 내용을 기반으로 했습니다. ELB ELB를 통해 트래픽을 부하분산합니다. 아래 그림과 같이 ELB Owner/IAM User가 console, api, cli 등으로 ELB를 생성하게 되고 사용자 트래픽에 따라 ALB, NLB 등이 서버 앞단에 배치되어 트래픽을 부하분산해줍니다. Overview of AWS Elastic Load Balancer (ELB) 여기에 도메인을 붙이기 위해 AWS route53 서비스를 사용하거나 인증서 발행을 위해 ACM 서비스를 사용해서 TLS 설정으로 보안을 강화해줄 ..