이전 포스팅에서 cloud shell 을 이용해서 terraform 을 사용하는 방법을 포스팅 했다. 이번에는 VPC 를 생성하는 방법을 포스팅 하기로 하였다. https://www.terraform.io/docs/providers/google/r/compute_subnetwork.html 다음 docs 를 참고하였다. resource name -실제 vpc name -에 대문자가 들어가면 Error: Error creating Network: googleapi: Error 400: Invalid value for field 'resource.name' 에러가 발생한다 참고하자. 이걸 몰라서 한참..테스트를 했다. main.tf resource "google_compute_subnetwork" "us-central1-subnet" { name = "${local.name_suffix}-us-central1-subnet" ip_cidr_range = "10.2.0.0/16" region = "us-central1" network = google_compute_network.linuxer-VPC.self_link } resource "google_compute_subnetwork" "europe-west1-subnet" { name = "${local.name_suffix}-europe-west1-subnet" ip_cidr_range = "10.3.0.0/16" region = "europe-west1" network = google_compute_network.linuxer-VPC.self_link } resource "google_compute_network" "linuxer-VPC" { name = "${local.name_suffix}-vpc" auto_create_subnetworks = false } ...

gcp 스터디를 위해서 테라폼의 사용을 익히려고 한다. 그러기 위해선 먼저 테라폼을 gcp cloudshell 에서 사용하는것이 우선이라 생각했다. 테라폼으로 aws내 에선 테스트 경험이 있으므로 gcp 의 네트워크 구성과 환경에 맞춰서 테라폼을 설정하는 방법을 익혀야 했다. gcp 에서 테라폼을 사용하려면 cloudshell 을 사용하는 방법과 인스턴스를 생성하여 사용하는 방법 아니면 클라이언트 PC에서 사용하는 방법 이렇게 3가지가 있는데 나는 cloudshell 을 매우 좋아하므로 cloudshell 로 진행 할것이다. 먼저 cloud shell 에서 테라폼을 사용하려면 몇가지 단계를 거쳐야 했다. ...

AWS sap 취득 다음 순번 자격증이 GCP PCA 였다. 사실 정리를 하는 편은 아니구.. 해서 참조한 URL 을 나열 하겠다. https://lifeoncloud.kr/gcp/gcp-diary/pca/ 이수진-님의 합격후기다. https://brunch.co.kr/@topasvga/728 서태호-님의 자격증 가이드다. 다른 사람후기는 한섭님의..첫번째 어드바이스가 있었다. 시험은 영어로 진행되서 많이 고민을 했다. 케이스를 책읽듯이 거의 외웠다. 케이스 에서 뭘 원하는지 스스로 그렸다. 이공부 덕분에 케이스 문제는 한번도 막힘없이 완벽하게 다풀었다. 그렇게 케이스 공부가 완료되고 서비스간의 연계와 사용방법을 gcp docs 를 위주로 봤다. aws sap 를 취득하면서 요령이 생긴터라 docs 를 보면서 공부하는건 어렵지 않았다. ...

route53 지역기반 라우팅(Geolocation)을 이용하여 허용한 지역 이외에는 내 사이트를 열 수 없도록 설정하려고 한다. 근래에 내 블로그가 좀 힘찼다. 잘 관리를 안해서 힘이 없었는데 자꾸 블로그 댓글로 비아그라 광고가 들어왔다.. 제길 ㅠㅠ 한30건 정도.... 독일쪽 스패머인것으로 보인다. 5.189.131.199 그래서 한국/남아메리카/북아메리카를 제외한 모두를 차단하기로 하였다. 먼저 기본값으로 지역기반 라우팅으로 set ID 1로 203.0.113.1 라우팅한다. 203.0.113.1 IP는 https://tools.ietf.org/html/rfc5737 사용할수 없는 IP로 보인다. RFC5737을 참조하기 바란다. 따라서 특정하지 않는 모든 라우팅은 203.0.113.1 로 연결되도록 설정하였다. ...

cloud storage 를 생성했다. cloudshell 로 생성하여 gsutil mb gs://linuxer-upload 명령어 한줄로 일단 생성은 잘됬다. 그래서 GUI로 생성해봤다. 멀티리전은 전 세계일거라 막연히 생각했는데 미국/유럽/아시아다. ..?너무 스토리지 분할이 애매한거 같은데..이럼 스텐다드만 써야 하는거 아닌가.. 객체별 제어도 가능하다. 생성을 누르니까 버킷이름을 DNS로 생성해서 도메인의 소유권을 인증해야 했다. DNS 레코드를 통해 도메인 소유권 인증 을 진행해야 한다. https://search.google.com/search-console/welcome 사이트로 이동해서 도메인을 입력하고 txt 레코드를 입력했다. -> set q=txt -> gs.linuxer.name 서버: [116.125.124.254] Address: 116.125.124.254 권한 없는 응답: gs.linuxer.name text = "google-site-verification=x1bcH219nXSYlS22cVVN7QNhROkqHWxjGmMtTKOxFCk" ...

12월 29일 미션으로 Cloud Functions 이 포함되어있다. 미션은 이미지 업로드 후 리사이즈. 먼저 cloud functions 이 뭔지부터 알아야 한다. aws 에서 말하는 서버리스 컴퓨팅 서비스이다. 일반적으로 코어나 메모리를 정적으로 할당받아서 사용하는 방식이 아닌것이다. 먼저 Cloud Functions을 사용하기 위해서 진행해야 할 작업이 있다. gcp의 큰장점을 cloudshell 을 지원한다는 것이다. 인스턴스쉘 이긴 하나 언제 어디서나 shell을 사용할수 있다. 먼저 cloudshell을 실행하면 이런 창이뜬다. 여기에 Cloud Functions 을 사용하기 위한 환경을 우선적으로 구성해야 한다. ...

1.Pub pri.db네트워크 만들고 2.elb설정해오기 .서버는 private만 존재 3.nat도 만들고 서버에서 인터넷접속 확인하기까지. 가 일단 나는 목표인데 청개구리 속성상 미션대로 진행할리가 없다 나는.. 먼저 구글은 bastion host 가 대부분의 구성도에서 빠져있다. 외부IP가 없는 상태로 pri 에 속한 네트웤에도 gcp console로 접속을 할수 있는것. 어떤 원리도 작동되는것인지 먼저 파봐야 겠다. 외부IP는 없는상태이다. 방화벽에서 22번만 any 로 열어준 상태로 ssh 가 붙는다. ????? ssh가 맞는지 확인해본다. 다른 세션을 이용하거나 에이전트 방식일줄 알았으나 아니다. 외부의 접속을 받는 상태인거다. 이상태라면 aws 식으로 말하자면 igw 에 연결되어있는 퍼블릭상태에서 퍼블릭IP만 없는 요상한 상태인것으로 정확한 의미에서 망분리가 아닌것이다. ...

11월 25일 12시쯤 시험의 필요성이 생겨서 27일 2시30분 시험으로 예약했다. saa - sap 시험의 경험이 있고 기본적인 aws 에 대한 경험이 있기 때문에 시험에 대한 걱정은 없었다. 대략적인 개념을 정리했다. 민첩성 탄력성 리전 가용영역 엣지 로케이션 쉴드 waf tco 책임공유모델 마켓플레이스 고객책임 RDS EC2 통합빌링 조직 s3 서포트 플랜 cloudfront 문제에서 봤던 내용을 정리해봤다. practitioner 자격증은 깊은 지식을 요구하지 않으나 비슷한 유형의 다른 답안을 요구하는 문제들이 많았다. 예를 들면 ddos 를 막는 문제를 냈다면 기본적으로 쉴드가 ddos 를 막지만 waf의 경우에도 ddos 를 막는 방법이 있으므로 문제가 의미하는 바를 정확하게 알아야 한다. ...

오늘의 주제는 인스턴스에서 발생하는 로그를 cloudwatch 로 전송하여 사용하는 법을 포스팅 할거다. 먼저 역할에 정책부터 생성해 보자. 사용하는 정책은 아래와 같다. { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents", "logs:DescribeLogStreams" ], "Resource": [ "arn:aws:logs:*:*:*" ] } ] } 역할을 인스턴스에 부여하고 인스턴스 내부에서 패키지를 설치해야 한다. 나는 이미 이전에 테스트로 설치해 뒀다. 설치로그이다. Nov 18 17:17:19 Installed: aws-cli-plugin-cloudwatch-logs-1.4.4-1.amzn2.0.1.noarch Nov 18 17:17:20 Installed: awslogs-1.1.4-3.amzn2.noarch 실제 설치방법은 yum install 이나 wget 으로 받아 실행하는 방법이 있다. ...

오픈카톡에서 받은 질문이다. 질문을 다시정리하자면 linuxer-blog-alb-1657105302.ap-northeast-2.elb.amazonaws.com <- 허용하지 않음. 이름: linuxer-blog-alb-1657105302.ap-northeast-2.elb.amazonaws.com Addresses: 13.125.124.26 15.164.132.46 13.125.124.26 <- 허용하지 않음 15.164.132.46 <- 허용하지 않음 test.linuxer.name <-허용하지 않음 linuxer.name <- 허용 www.linuxer.name <-허용 리눅서.com <-허용 iptables 마냥 deny 정책 위에 allow 를 올려준다 생각하면 간단하다 그럼 여기에서 필요한건 ALB limit 인것 같다. 왜냐? 룰이 많아 질수도 있으니까. https://docs.aws.amazon.com/ko_kr/elasticloadbalancing/latest/application/load-balancer-limits.html 여러번 공개된 리스너 규칙이다. 80->443으로 연결하고 443리스너는 linuxer-blog-wg 로 전달.. tg인데 왜 wg로 했는지는 아직도 의문이다..생성하면서 졸았나... ...