마짱짱의 지식창고

Kubernetes Cluster 실행에 대한 주요 보안 문제 중 하나는 각 Pod 내에서 어떤 컨테이너 이미지가 실행되고 있는지 파악하고 해당 이미지의 출처를 설명할 수 있어야 합니다. 컨테이너의 출처를 설정 한다는 것은 컨테이너의 소스를 신뢰할 수 있는 원본 지점으로 추척할 수 있는 기능을 보유하고 조직이 아티팩트(컨테이너) 생성 중에 원하는 프로세스를 따르도록 보장하는 것을 의미합니다. 주요 관심사로는 다음과 같다. 1. Cluster에서 실행 중인 모든 컨테이너가 승인된 소스에서 왔는지 2. 모든 컨테이너 빌드 및 모든 배포에 대해 유효성 검사 단계가 성공적으로 완료 되었는지 3. 출처가 확인되고 컨테이너가 동작시 기존 빌드된 소스에서 수정되지 않았는지 이미지의 출처를 강제하지 않으면 다음과 같은..

Apigee X 의 위협보호정책을 통해 콘텐츠 기반 위협으로부터 API를 보호 https://cloud.google.com/apigee/docs/api-platform/security/content-based-security 콘텐츠 기반 보안 | Apigee X | Google Cloud cloud.google.com 또한 GCP의 Cloud Armor(WAF) 제품을 연계하여 L7 LB에 DDoS, OWASP 상위 10가지 위협, IP 및 지역 기반 엑세스 제어를 설정합니다 https://cloud.google.com/armor Cloud Armor 네트워크 보안 | Google Cloud Armor Google Cloud Armor는 DDoS 및 애플리케이션 공격을 방어하고 다양한 WAF 규칙 집합을..

목표 Apigee Instance에서 BackendService로의 요청에 대해 NAT IP주소를 사용설정하여 허용 목록에 추가할 수 있는 예측 가능한 IP주소를 만듬 Apigee API 문서에서 Apigee API 호출 Apigee 런타임에서 오는 Apigee 요청에 대한 NAT IP 주소 생성 및 활성화 백엔드 서버에 대한 요청이 구성된 NAT IP 주소를 사용하는지 확인 작업 1 . Apigee API 문서 살펴보기 https://developers.google.com/explorer-help https://cloud.google.com/apigee/docs/reference/apis/apigee/rest Google API Explorer을 이용하여 Apigee API 문서 탐색 샘플 테스트로 o..

Apigee User 및 Role Apigee에 대한 엑세스권한은 GCP를 따라간다. User는 Environment 및 API Proxy와 같은 Apigee 조직 및 조직 내의 항목에 엑세스 할 수 있는 인증된 계정을 나타낸다. Role은 사용자에게 할당된 Role에 따라 다름 Apigee 조직에 새 사용자를 추가하려면 먼저 Cloud 프로젝트에서 사용자 계정에 대한 엑세스 권한을 부여한 다음 선택적으로 Apigee UI 에서 엑세스 권한을 부여함 GCP User에게 Apigee Role이 할당된 경우 User는 해당 역할에서 조직 내의 모든 Apigee 리소스에 엑세스 할 수 있다. Apigee UI내에서 특정 환경의 사용자에게 Apigee 역할을 할당할 수있다. 이 권한은 프로젝트 수준에서 설정된 ..

API 관리 플랫폼 OpenAPI Spec 3.0 지원 다양한 과금정책 전체 API 트래픽 수집 및 분석 통합 모니터링 기반 메트릭 지원 Configuration & Code 모두 지원 (Java, JS, Python등 50여개 빌트인 정책 지원) End to end Security, ACL 및 침입방지, Simple OAuth 구현 통합 개발자 포탈 지원 유연한 배포정책, 확장성 Apigee Architecture 개요 ApigeeX 조직에는 두개의 GCP 프로젝트가 필요 하나는 고객이 관리, 하나는 Apigee X Runtime에 대해 Google에서 관리 각 프로젝트는 자체 VPC에서 사용되며 기본적으로 통신이 불가능함 그렇기에 피어링을 맺어줘야합니다. Apigeee Runtime은 API Prox..

모니터링 Namespace 생성 kubectl create ns monitoring Helm Repo 가져오기 helm repo add prometheus-community https://prometheus-community.github.io/helm-charts helm repo update 상세 설정을 위한 values.yaml 가져오기 git clone https://github.com/prometheus-community/helm-charts.git cd prometheus/helm-charts/charts/prometheus 해당 예제에선 prometheus 서버를 노출하기 위한 설정만 함 vi values.yaml service: ## If false, no Service will be cre..

공식홈페이지 : https://k9scli.io/ K9s - Manage Your Kubernetes Clusters In Style Who Let The Pods Out? K9s is a terminal based UI to interact with your Kubernetes clusters. The aim of this project is to make it easier to navigate, observe and manage your deployed applications in the wild. K9s continually watches Kubernetes for changes k9scli.io 설치방법 K9S_VERSION=v0.26.7 curl -sL https://github.com/dera..

1. User 분리하여 접근할 VM(Server) 접속 2. root 권한 sudo -i 3. User생성(test01) useradd test01 (추가) useradd 후 /home/[User] 가 생성 되지 않았다면 mkhomedir_helper [User] 4. 비밀번호 설정 passwd test01 --- 5. 사용자변경 su - test01 비밀번호입력 6. .ssh 폴더 만들기 mkdir .ssh 7. .ssh 권한변경 chmod 700 .ssh 8. Key 생성 ssh-keygen 실행 후 default 값으로 생성 id_rsa , id_rsa.pub 생성완료 9. 퍼블릭키 이름 변경 mv id_rsa.pub authorized_keys 10. authorized_keys 권한변경 chmo..

Cloud Code, Cloud Build, Google Cloud Deploy, GKE를 사용한 앱 개발 및 제공 원문: https://cloud.google.com/architecture/app-development-and-delivery-with-cloud-code-gcb-cd-and-gke?hl=ko GCP 만 이용하여 GKE 통합(CI), 배포(CD) 시스템을 설정하고 개발하는 방법 Architecture 특징 더 빠르게 개발하고 배포 다양한 환경에서 구성을 재사용 opensource인 Skaffold 이 활용 됨 워크플로의 초기에 거버넌스를 적용 독자적인 도구로 소프트웨어 배포 및 관리 Cloud Shell, Code Cloud Build 어플리케이션 빌드 및 테스트 하는 곳 - 파이프라인의 ..

GCP VM에서 Linux OS를 이용할 시 다음과 같은 오류가 확인된다. 한글팩이없어서 발생하는 오류이기에 해결 방법은 다음과 같다. locale -a C C.UTF-8 POSIX 밖에 보이지 않아 발생한 것이다. Locale 추가하는 패키지 설치 apt update apt install locales 한글 Locale 정의 localedef -f UTF-8 -i ko_KR ko_KR.UTF-8 다시 확인을 해보면 ko_KR.utf8 이 생겼다. LC_ALL 가 우선 순위가 높기에 해당 변수를 선언하면 해결완료. export LC_ALL=ko_KR.UTF-8 영구적으로 반영하려면 해당 쉘에 적용하면된다 vi ~/.bashrc 맨마지막에 추가 export LC_ALL=ko_KR.UTF-8 참고 : htt..