본문 바로가기

MC에몽30

[GCP] OS로그인을 사용한 VM 접속 시 MFA 설정 안녕하세요 MC에몽입니다. 이번주는 GCE 인스턴스에 접속 시 MFA를 적용하여 보안을 강화하는 방법에 대해 알아보겠습니다. GCP에서는 VM 인스턴스 접속 시 MFA 인증을 거치게 하는 방법으로 OS 로그인을 사용하도록 제공하고 있습니다. 1. OS 로그인 OS 로그인이란 개별 SSH 키를 생성하고 관리할 필요 없이 IAM으로 VM 인스턴스에 SSH 접속을 관리하는 방식으로 다음과 같은 장점이 있습니다. 1) Linux 계정 수명 주기 자동 관리 - Linux 사용자 계정을 사용자의 Google ID에 직접 연결할 수 있으므로 같은 프로젝트 또는 조직의 모든 인스턴스에서 동일한 Linux 계정 정보가 사용됩니다. 2) Google IAM을 사용한 세부 승인 - 프로젝트 및 인스턴스 수준의 관리자는 더 .. 2022. 12. 30.
GCP 계층식 방화벽 정책 적용 방법 안녕하세요 MC에몽입니다. 오늘은 계층식 방화벽 정책을 사용하여 조직 혹은 폴더 전체에 일관된 방화벽 정책을 적용하는 방법을 알아보도록 하겠습니다. 계층식 방화벽 정책을 사용할 경우, 조직 전체 관리자가 중요한 방화벽 규칙을 한 곳에서 관리할 수 있습니다. 계층식 방화벽 정책의 특징은 다음과 같습니다.. - 규칙 평가는 리소스 계층 구조를 기반으로 합니다. > 조직 노드와 연결된 모든 규칙이 평가된 다음 첫 번째 수준의 폴더 규칙이 평가됩니다.(조직>폴더>프로젝트) - 계층식 방화벽 정책 규칙은 대상으로 VPC 네트워크 및 서비스 계정을 사용하며, 특정 VPC 네트워크 및 해당 SA를 사용하는 VM을 대상으로 지정할 수 있습니다. > 계층식 방화벽 정책 규칙은 인스턴스 태그별 타겟팅을 지원하지 않습니다... 2022. 12. 27.
AWS Shield 안녕하세요 MC에몽입니다. 오늘은 AWS 기반 서비스에 대한 DDoS 방어를 하는 AWS Shield 서비스에 대해서 알아보도록 합시다. Shield란? 분산 서비스 거부 공격(DDoS)으로부터 웹 애플리케이션을 보호하는 서비스 DDoS: 다수의 좀비 PC를 이용하여 무의미한 서비스 요청을 서버에 퍼부어 기능을 마비시키는 공격을 말합니다. AWS Shield는 AWS에서 실행되는 애플리케이션을 보호하는 관리형 분산 서비스 거부(DDoS) 보호 서비스입니다. 애플리케이션 다운타임과 지연 시간을 최소화하는 동적 감지 및 자동 인라인 완화를 제공하므로 DDoS 보호 혜택을 받기 위해 AWS Support에 참여할 필요가 없습니다. AWS Shield에는 Standard와 Advanced라는 두 가지 티어가 있.. 2022. 12. 16.
[GCP] 사용 중인 GCE 인스턴스에 추가 Disk 적용하는 법 안녕하세요 MC에몽입니다. 이번주는 GCP에서 사용 중인 GCE 인스턴스에 추가 Disk 적용하는 방법을 알아보겠습니다. 추가 Disk를 부착 후 적용하기 위해서 인스턴스를 중단할 필요는 없습니다. Disk를 적용하는 방법은 아래와 같습니다. 1. 추가 Disk를 생성합니다. - Console > Compute Engine > Disks > Create Disk ※ Disk type 중 Local SSD는 Compute Engine 생성 시에만 추가 Disk로 사용할 수 있는 타입입니다. - Disk 이름과 위치(failover에 대비하기 위해 같은 리전의 다른 zone에 replica를 생성할 수 있음), source type, disk type, size 등을 설정합니다. - 사용할 수 있는 Disk.. 2022. 12. 9.
AWS Spot Instance 안녕하세요 MC에몽입니다. 이번에는 AWS Spot Instance에 대해서 알아보는 시간을 가지도록 하겠습니다. 1.Spot Instance # 정의 스팟 인스턴스는 사전에 약정 없이 사용할 수 있는 EC2 Instance 입니다. AWS 스팟 인스턴스는 사전 약정 없이 On-demand 요금보다 70~90% 절감된 비용으로 사용할 수 있는 EC2 Instance(VM)이다. 시작하려는 인스턴스에 대해 현재 시간에 유효한 가격만 지불하시면 됩니다. 간단하게 이야기하면 서비스 배포중인 Region에 남는 EC2 리소스를 Bidding해서 실 가격보다 싸게 이용합니다. 그래서 Spot Instance의 가격은 Region별, AZ별, EC2 수요와 공급에 따라서 결정되며, 어느 순간 수요가 급증할 때는 O.. 2022. 11. 28.
[GCP]IAM 리소스 기반 접근 제어 설정 가이드 안녕하세요 MC에몽입니다. 이번주는 GCP에서 IAM 권한 부여 시, conditional role binding을 이용한 특정 리소스에 대해 액세스를 관리하는 방법을 알아보겠습니다. 1. conditional role binding 이란? conditional role binding은 IAM 권한 부여시 특정 조건(condition)을 추가하여 해당 조건이 충족되는 리소스 혹은 시간에만 IAM 권한을 사용할 수 있도록 세부적으로 제어하는 방법입니다. 2. resource condition의 종류 conditional role binding 중 resource condition의 종류는 다음과 같습니다. 1) Type Type은 resource 유형에 대한 조건입니다. 예를들어 Compute Engine.. 2022. 11. 14.
Composer DAG 자동 실행 방지 설정 방법 안녕하세요 MC에몽입니다. 이번 주는 GCP Composer 서비스의 DAG 자동 실행 방지 설정 하는 방법을 설명하겠습니다. Composer란, 클라우드 및 온프레미스 데이터 센터 전체의 워크플로를 생성, 예약, 모니터링, 관리할 수 있는 완전 관리형 워크플로 조정 서비스입니다. 워크플로는 데이터 수집, 변환, 분석, 활용을 위한 일련의 Task를 뜻합니다. DAG란, 관계 및 종속 항목을 반영하는 방식으로 구성된 Task의 모음입니다. [1] 이러한 DAG는 기본적으로 생성을 하게 되면 아래와 같이 자동 실행이 되게끔 설정이 되어있습니다. 이러한 기본 설정은 DAG Migration을 할 경우에 수동으로 스위치를 OFF 시켜야 하는 경우가 있는데요. 이를 Airflow 옵션 설정을 통해서 방지할 수 .. 2022. 11. 11.
AWS EKS와 ECS의 차이점! 오늘은 EKS와 ECS의 차이점에 대해서 알아보도록 합시다! > 첫번째로 EKS! Amazon Elastic Kubernetes Service(Amazon EKS)는 자체 Kubernetes 컨트롤 플레인 또는 노드를 설치, 운영 및 유지 관리할 필요 없이 AWS의 Kubernetes 실행에 사용할 수 있는 관리형 서비스입니다. Kubernetes는 컨테이너화된 애플리케이션의 배포, 확장, 관리를 자동화하기 위한 오픈 소스 시스템입니다. 요점은 EKS란 자체 쿠버네티스 컨트롤 플레인이나 작업자 노드를 설치 및 운영할 필요 없이 AWS에서 쿠버네티스를 손쉽게 실행할 수 있도록 지원하는 관리형 서비스 입니다. > 두 번째로 ECS! Amazon Elastic Container Service(Amazon EC.. 2022. 11. 4.