뭉게뭉게 학수의 클라우드 세상

인기 글

Network

2024.01.01 18:32

최신 글

OCI(Oracle Cloud Infrastructure)2024.12.03 19:46[OCI] 개발 환경 가상 머신 생성 및 도커

개발 가상 환경을 만들고, 마이크로서비스 개발과 컨테이너 빌드, 쿠버네티스 접속 환경 설정 등 추후 진행할 모든 실습을 생성할 가상 머신에서 진행할 예정이다. 1. 개발 환경 가상 머신 생성 및 접속1) 가상 머신 생성내비게이션 메뉴 -> [Compute -> Instances] Create instance 클릭 Name : oci-demo-appdevVCN : OCI_DEMOSubnet : public subnet-OCI_DEMO (regional)SSH Key : 1장에서 만들었던 Public Key를 이용해도 되지만, Public Key와 Private Key를 새로 다운 받아 진행할 것이다.(키 파일 이름을 인스턴스명으로 변경해 관리) 2) 개인키 권한 수정chmod 400 3) 원격 접속..

OCI(Oracle Cloud Infrastructure)2024.06.29 00:23[OCI] OCI CLI를 활용한 자원 정리 (Feat. OCI Cloud Shell)

초기에 생성했던 VCN을 제외한 나머지 모든 자원을 삭제할 것이다.직접 GUI 관리콘솔에서 삭제할 수도 있지만, 명령줄 인터페이스(CLI)를 통해 간편하게 지울 것이다. 1. OCI CLIOCI CLI를 사용하면 쉘 스크립트, crontab 등과 함께 활용해서 OCI 자원을 자동화하거나, 정기적인 작업을 쉽게 실행할 수 있다. OCI CLI 뿐만 아니라 프로그래밍 언어를 사용해서도 오라클 클라우드 자원을 제어할 수 있다. OCI CLI를 사용하는 방법은 두 가지가 있다.운영체제 환경에 OCI CLI를 설치하여 사용하는 방법OCI Cloud Shell을 활용하는 방법 2. OCI Cloud ShellOCI Cloud Shell을 사용하면 OCI CLI를 설치 및 설정하고, 별도 인증 과정을 거치는 과정 없..

OCI(Oracle Cloud Infrastructure)2024.06.28 23:27[OCI] 로드밸런서, 오토스케일링 설정 (+프리티어 계정 업그레이드)

https://haksuperman.tistory.com/71 [OCI] 애플리케이션 배포 (Feat. Flask, PyMySQL, Faker)https://haksuperman.tistory.com/70 [OCI] 데이터베이스 설치 및 기본 구성 (Feat. MySQL)https://haksuperman.tistory.com/69 [OCI] 통신을 위한 네트워크 설정 (Feat. 시큐리티 리스트, Bastion 세션, 서버 자체 방화벽 설정)haksuperman.tistory.com이렇게 배포한 애플리케이션에 접속하는 사용자 수가 증가하면서 애플리케이션 서버를 확장해야 하는 상황을 대비해 오토스케일링이 필요하다. 그리고 이 오토스케일링이 동작하는 상황에서 부하 분산을 하기 위한 로드밸런서 또한 필수적으..

Network

Routing 개념, 라우터 초기 보안 설정, Static Routing

Network

2024.01.01 19:39

R & S(Routing & Switching) Router WAN(50kbps ~ 44Mpbs)과 LAN(100Mbps~1000Mbps)의 인터페이스를 모두 가짐 라우터는 서로 다른 네트워크들을 연결해주는 역할 LAN 구간 안에서의 라우터 사용은 굳이, 고급 스위치를 놓고 높은 대역폭으로 높은 속도를 뽑아내는 것이 현명함 한 건물의 네트워크실은 지하에 두도록 설계함(ISP업체의 전용선들이 지하에 매설되어 있음) -> ISP업체의 회선이 각 내부 네트워크에 직접 연결되는 것이 아니라, 먼저 MDF실(Main 통신실 or Main Rack)에 연결되고 통신 전용 케이블 통로인 TPS를 통해 각 실로 분배됨 -> 하나의 사옥이라면 각 층마다 광케이블을 넣지 않고 백본 스위치(코어 스위치)에서 랜으로 넣으면 ..

GNS3 2.2.43 설치, 각 장비 별 ip 부여 실습

Network

2024.01.01 19:19

서브넷팅 복습 10.0.00/16의 대역을 아래 토폴로지에 맞게 서브넷팅 하여라. * 끝단 장비인 PCs들의 게이트웨이(디폴트 게이트웨이)는 일반적으로 네트워크의 첫 주소나 마지막 주소를 사용함 라우터 네트워크 구간은 각 장비 인터페이스의 IP만 있으면 되니까 2개씩만 주면 됨(5000, 4000, 6000개의 호스트를 기준으로 나눈 서브넷을 그냥 주기에는 낭비가 심함) -> 2개의 호스트는 /30이 적당(/31는 불가능, 네트워크 주소와 브로드캐스트 주소 빼야 하니까 안됨) -> /19로 서브넷팅 한 네트워크 하나를 다시 /30으로 서브넷팅 하면 됨 10.0.0.0/19 10.0.32.0/19 10.0.64.0/19 는 액세스 스위치 계층 애들 주고, 10.0.96.0/19 네트워크를 다시 서브넷팅 1..

IP, 서브넷팅(Subnetting), CIDR(Class Less Domain Routing)

Network

2024.01.01 18:55

1. Intarnet/Extranet Intra Net : 기업 내부 사설망 형태 Extra Net : 기업 내 인트라넷 이외의 사설망 형태 2. VPN Site to Site : 터널링 개념(ex. 서울지사와 부산지사를 연결 / 재택근무 시 서울지사와 User를 연결) ex) AWS망과 Private망(OpenStack)을 터널링 해서 같이 사용할 수 있게(하이브리드 클라우드) ex) AWS망과 GCP망을 터널링 해서 두 개 이상의 CSP를 이용할 수 있게(멀티 클라우드) 3. LAN Ethernet : CSMA/CD(MAC:Media Access Control, MAC주소 x) 기술 활용 Ethernet Switch(WAN Switch x)라는 장비를 통해 연결성을 확보(RJ45 포트) 시스코 장비의..

네트워크 구성도 예시 및 각종 기술 정의

Network

2024.01.01 18:32

라우터를 두개 두는 이유 : 장애 대응(장비 이중화) DR(Disaster Recovery) 장애복구 솔루션 1. 이중화 Active/Standby(A.S) : 장애에 대비해 한 대는 예비로만 둠 Active/Active(A.A) 두 장비 모두 사용하면서, 장애 발생 시 다른 장비가 이어 받아서 가능 두 장비를 동시에 사용하기 때문에 로드 밸런싱(Load Balancing)이 가능 Fault Tolerance(FT) : 장애가 발생했을 때 결함을 허용해야 함, 장애극복(FO) 대비책이 있기 때문에 '무조건 결함 자체가 용납 못해'는 안됨 Fault Over(FO) : 장애가 발생했을 때 극복할 수 있는 대비책이 있어야 함 => A.S는 장애극복(FO:Fault Over)까지만 가능, A.A는 장애극복..

Routing 기본 개념

Network

2024.01.01 18:12

Routing 출발지(IP)에서 목적지(IP)까지 도달하기 위한 일련의 경로 탐색 과정 길찾기를 해주는 가이드 역할이 라우터 정확히는 몰라도 '일단 동쪽으로 가라' 가이드해 주는 동서남북 방향은 라우터의 인터페이스(s 0/0, fa 0/1 등)로 대응함 이러한 과정을 모든 라우터가 반복하는 것(점차 가까워지는 셈) * 라우팅으로 방향만 제시 후 해당 네트워크(LAN 구간)에 접근했을 때에는 MAC 통신을 하기 때문에 IP가 아닌 MAC 주소를 보고 찾아 감(ex. 어떤 PC가 호스트 주소 1에 해당하는지, 그 PC의 MAC 주소는 뭔지 파악 후 찾아 감) 1. Default Routing 어디로 가야 할 지 모를 때 일단 Default Routing(=Static Routing)으로 인천공항에 해당하는 ..

스위치의 3계층(CSW, DSW, ASW)

Network

2024.01.01 18:04

★ 네트워크 토폴로지 스위치 계층을 세 계층으로 디자인 할 수 있음, 아니 할 수 있어야 함 CSW(Core Switch : 코어 스위치) : 여러 개의 DSW(분배 스위치)를 결합 DSW(Distribution Switch : 분배 스위치) : 여러 개의 ASW(액세스 스위치)를 결합, 적절하게 논리적으로 분할시켜 줌(라우팅) ASW(Access Switch : 액세스 스위치) : 종단장치를 연결하는 스위치 Switch Block : 일반적인 Switch Block은 DSW(분배 스위치)와 ASW(액세스 스위치)를 지칭함 DSW, ASW를 하나의 구역으로 만들어 Office, Server Farm, Data Center / CSW를 DMZ 등과 같이 분리 시킬 수 있다.(ex. 하나투어 Office 망..

장비 별 케이블 연결 실습(Packet Tracer)

Network

2024.01.01 17:58

PacketTracer-7.3.0-win64-setup.exe 이용 * DCE(데이터 통신 장비) : 모뎀, 허브, 스위치 등 포함 / DTE(데이터 단말장비) : 두 대 이상의 컴퓨터 또는 프린터 끝단 장치와 스위치(or허브)의 연결은 다이렉트, 스위치(or허브)끼리의 연결은 크로스 (ex. PC - PC : 크로스 / PC - SW : 다이렉트 / SW - RO : 다이렉트 / RO - RO : 크로스 / SW - Hub : 크로스) * 라우터 장비는 close 상태로 출하, 스위치는 open 상태로 출하(라우터는 반도체 기술로 직접 해당 포트 on 시켜야 함, 흐름제어의 역할 가능)

Network 기본 개념(LAN, WAN 등)

Network

2024.01.01 17:17

Networking 1. 연결성 1) 데이터(Data) 2진수 형태의 값으로 만들어 각 스토리지나 Database에 ASCII 코드에 의해 정제된 데이터로 저장됨(DB의 경우 SQL로 조작) 8byte의 형태로 저장됨(1byte=1char) 1-1) 송신 측 구리로 이루어진 연결성이 보장된 미디어를 통해 전송 2진수로 변환 후 부호화(인코딩(전기 흐름 유무(0/1))하여 전송 1-2) 수신 측 전기 흐름 유무(0/1)를 이용해 복호화(디코딩)하여 원문으로 복원 => 연결성이 보장된 곳까지는 인코딩, 디코딩 과정을 거쳐 데이터 전송 가능(=데이터 통신) ※ 전압의 세기를 이용해 전류(구리)의 양을 전송하는 개념이기 때문에 배터리가 다 되면 0과 1의 양분면이 아닌 서서히 줄어드는 것(구리 선의 저항 때..

VPN

Network

2024.01.02 01:13

DHCP(Dynamic Host Configuration Protocol) - 내부 인트라넷에서 호스트들의 ip를 자동 부여 - 관리자가 편하기 위해 사용 -> 사용자가 편리한 인트라넷보다는 관리자가 편한 인트라넷을 구성 하는 것이 좋음 (사용자들의 모든 니즈를 만족시키기는 힘듦, 관리자가 편해야 원활한 정책을 세울 수 있음) * 정책은 보안적 측면에서 화이트리스트 형식으로 작성해야 함(기본값 거부 시켜 놓고 필요한 것만 허용) VPN(Virtual Private Network) - 보안의 목적으로 사용 - 사설망과 사설망을 가상의 터널을 통해 확장 시켜 줌(종단 간의 가상의 직접 회선을 연결하는 셈) - Public망(ISP)에서 지원을 해줘야 함(L2TP, GRE, PPTP 등의 방법으로 터널링) -..

DHCP

Network

2024.01.02 01:10

L2 Switch - L2 계층(Ethernet 기술 사용)에서 사용되는 장치 - 각 호스트들이 통신을 하려면 각각 1:1로 연결시켜야 하기 때문에 n-1개의 NIC카드가 필요함 - 각 호스트들 사이에 중간 다리 역할로 멀티포트가 있는 장치를 두어 하나의 호스트만 있어도 통신이 가능하도록 함 (MultiPort Bridge) -> Multi Access 환경을 가능하게 해줌 - Multi Access 환경에서 각 호스트들을 구분하기 위해 MAC 주소를 사용함, 각 호스트들의 원활한 통신을 위해 CSMA/CD 프로토콜을 사용함 * MAC - 각 호스트들 장비에서는 NIC마다 부여, 스위치에서는 포트마다 부여 - 24bit(6byte)로 구성 -- 앞 3byte : OUI(장비의 제조사 번호) -- 뒤 3b..

L3 Switching, VLAN

Network

2024.01.02 01:06

1. 유니캐스트(Unicast) - 1:1(S:D) 통신 - 카톡의 갠톡 개념 2. 멀티캐스트(Multicast) - 1:Group(S:D) 통신 - 카톡의 단톡 개념 3. 브로드캐스트(Broadcast), 제한된 브로드캐스트(Limited Broadcast) - 1:ALL(S:D) 통신 - 동일 네트워크 내에서만 ALL - '제한되었다'의 의미 -- 송신자가 소속된 Network 내의 모든 Hosts -- 라우터가 브로드캐스트 도메인을 나누는 역할을 하는 것 -> 이렇게 제한된 영역을 브로드캐스트 도메인(Broadcast Domain)이라고 부름 - 1:1로 통신을 하고 싶어도 브로드캐스트 통신은 원하지 않는 호스트들에도 전달됨 -- 브로드캐스트 도메인을 분할하면 브로드캐스트 통신의 대상이 적어짐(=물..

ACL

Network

2024.01.02 00:52

OSI 7 Layer 4~7계층이 Service에 해당 ex) L7 Service단에서의 보안 1~3계층이 Network에 해당 ex) ACL 클라우드에서의 보안 1) Security Group 서비스를 운영하는 개체 단위에 하나의 보안 그룹을 하나 더 감쌈 (ex. UDP 안에 DNS(53)를 이용하려면 NACL을 통해 허용되고, Security Group을 또 들어가야 53번 포트로 DNS Query를 요청할 수 있음) 2) NACL Network ACL로 1~3계층의 네트워크적으로 필터 기능으로 ACL을 사용함 L7 http(s) : 80(443), 웹서비스에 대한 요청을 할 때 사용하는 프로토콜(약속) SMTP : 25 DNS : 53 FTP : 20, 21 * 서비스 : 클라이언트(다수의 요청자..

NAT

Network

2024.01.02 00:28

NAT(Network Address Translation) IPv4(2의 32 제곱, 약 43억개)의 개수로는 부족함을 느낌 공인IP와 사설IP의 개념이 나뉨 공인 IP : 유료, 큰 그룹이나 기업 A Class : 0.x.x..x ~ 127.x.x.x B Class : 128.x.x.x ~ 191.x.x.x C Class : 192.x.x.x ~ 223.x.x.x => D, E는 멀티캐스트용, 미래 연구용 사설 IP : 무료, 개인이나 작은 기업 10.x.x.x/8 172.16.x.x/16 ~ 172.31.x.x/12 192.168.x.x/24 ~ 192.168.x.x/16 => IP 유일성 규칙에 위배, 사설 IP로는 공용망에 접근을 제한하는 방법(폐쇄된 내부망에서만 사용하도록)을 제안함 사설 IP를..

Default Routing

Network

2024.01.01 20:19

SDN(Software Defined Network) - 라우팅과 같은 반복적인 작업을 해야 하는 것을 대신해 줌(네트워크의 지휘자 역할) - 소프트웨어 프로그래밍을 통해 네트워크 경로 설정과 제어 및 복잡한 운용관리를 편리하게 처리할 수 있는 차세대 네트워킹 기술 * 프로세스(Process) : 현재 메모리에 상주해 실행 중인 프로그램 라우터 장비는 라우팅 프로세서가 라우팅을 위해 라우터 메모리에 상주시키고, 1, 2, 3계층 통신으로 라우팅을 하는데, 이 과정도 생략하고 싶어져 3계층 정보, 2계층 정보를 복사해 1계층에서 바로 전송하도록 함 (control plain / data plain) Static Routing 복습 동일 네트워크(게이트웨이)와 connected 라인 핑 되는지 확인 ->..

클라우드(Cloud)의 개념

Network

2024.01.01 16:02

1. 퍼블릭 클라우드(Public Cloud) 인터넷을 통해 일반 대중에게 서비스를 제공하는 클라우드 컴퓨팅의 한 형태 일반적으로 서비스 제공업체가 관리하며, 사용자는 인터넷을 통해 액세스 가능 다수의 기업을 상대로 서비스 제공 ex) AWS, GCP, AZURE 등 2. 프라이빗 클라우드(Private Cloud) CSP 기업(AWS, GCP 등)에 설비와 관리 등을 맡기는 것이 아닌 고객이 직접 설계(회사 내부에서만 접근 등의 목적을 위해) 보안 상 퍼블릭 클라우드보다 뛰어남 자사 클라우드 직접 운용(사설 클라우드 개념) ※ CSP(Cloud Service Provider) : 기업들의 인프라 관리를 용이하도록 자신들이 인프라를 구축하고, 구축한 인프라를 바탕으로 시스템을 임대해주는 기업 ※ MSP(..

System

dpkg, apt, tar, sed 등

System

2024.01.02 01:35

기존의 리눅스는 c코드로 된 파일을 컴파일 시켜 프로그램을 실행 시켰지만, 해당 파일들을 패키지로 만들어 수월하게 설치되도록 함(ex. 윈도우의 exe, msi) dpkg - deb(데미안), ( rpm(레드햇)) - dpkg라는 명령을 통해 deb 패키지 설치 - 종속성의 단점이 있음(하나하나 설치를 직접 하기 때문에 종속성을 먼저 해결해야 해당 패키지를 설치할 수 있음, 이 과정이 뒤엉켜 있을 수 있음) apt - Update 서버를 인터넷 상에 설치해 놓고 인터넷 연결만 되어있으면 자동으로 다운받아 설치되도록 함(dpkg의 종속성 문제는 해결됨) - apt는 공용 인터넷망이 필요함(내부 인트라넷 환경에서는 불가) - 서버의 등록되어 있는 버전만 다운 가능(apt 서버에 최신 버전 정보가 업데이트 되..

vi에디터

System

2024.01.02 01:27

h, j, k, l의 키로 좌, 하, 상, 우 방향으로 커서 이동 가능 (화살표가 지원되지 않는 리눅스도 존재하기 때문에 h, j, k, l로 조작하는 것이 좋음) vi에디터로 내용을 바로 수정하고 싶을 때 :s/ms-wbt-server/rdp -> 현재 페이지에서 찾아서 대체하겠다/[기존문자열/[변경할 문자열] :%s/ms-wbt-server/rdp -> 전체 문서에서 찾아서 대체하겠다/[기존문자열/[변경할 문자열] u : 되돌리기 기능(여러 번 누르게 되면 누른 횟수만큼의 이전으로 돌아감) (undo의 의미) ctrl + r : u로 되돌린 것들을 앞으로 다시 돌림(여러 번 누르게 되면 누른 횟수만큼의 다시 앞으로 돌아옴) (redo의 의미) i 입력으로 insert모드 변환 가능 esc 눌러서 입력..

리눅스 권한의 개념, sudo 명령 등

System

2024.01.02 01:24

SetUID - SetUID가 설정된 파일을 실행하게 되면 Shell에 접속한 사용자 -> 실행 파일의 소유자 권한으로 변경해 실행함 - 일반 사용자가 SuperUser의 권한을 행사하고 싶을때마다 해당 권한을 획득하는 것보다는 SetUID를 이용해 해당 파일을 실행할 때만 관리자(SuperUser) 권한으로 실행 -> 이러한 모든 실행 파일의 소유자는 root 소유자임(관리자 권한으로 무언가를 실행하고 싶을 때 사용할 일이 많기 때문 ex) find 같은 명령어가 SetUID 설정된 명령어 파일임 find로 SetUID 설정된 root 소유자 파일 찾아보기 sudo find / -user root -perm -4000 소유자 권한에 s(SetUID), 소유자에 root sudo 그룹에도 속해 있음 - ..

리눅스 기본 명령어(2)

System

2024.01.02 01:20

permission - r : 읽기 권한 - w : 쓰기 권한 - x : 실행 권한(디렉터리의 경우 접근 여부) - 보안적 측면으로 활용 ex) chmod 777 /a - /a 디렉터리에 대한 모든 권한 부여(소유자, 그룹, 일반 사용자) - 공유폴더와 같이 모든 사용자가 접근해야 하는 공유 목적으로 사용 * 시스템의 목적에 따라 디렉터리 별로 중요도도 달라짐 ex) chmod 774 /a : other 일반 사용자의 r 권한만 부여, 디렉터리의 경우 애초에 x 권한이 없어 접근이 안됨(보통 디렉터리는 x권한을 부여함) 8. mkdir - mkdir과 같은 디렉터리 생성 명령을 통해 디렉터리를 생성할 때 - disk 공간을 초과해서 사용할 경우 시스템 상 문제가 발생함 - 특정 사용자가 사용할 수 있..

리눅스 기본 명령어(1)

System

2024.01.02 01:19

리눅스는 대소문자를 구분함 시스코에서 사용하던 축약은 불가, tab으로 자동완성은 가능 파일명도 대소문자 구분 /usr/bin 디렉터리에 명령어들 저장 맨 앞의 l은 링크파일임을 의미 맨 앞의 l은 링크파일임을 의미 /usr/sbin 디렉터리는 시스템 관련 명령어들 저장 심볼릭 링크로 /usr/sbin을 /sbin으로 사용 리눅스는 파일, 디렉터리 구조기 때문에 파일 생성, 변경, 복사, 이동, 삭제 등의 작업이 자유로워야 함 (디렉터리는 윈도우의 폴더라고 생각하면 됨) 이때, 절대경로와 상대경로의 개념이 중요함 1. 절대 경로, 상대 경로(Absolute & Relative Pathnames) - 상대경로 ex) rm sbin : 현재 디렉터리에 있는 sbin 디렉터리(파일) 삭제 - 절대경로 절대값(..

Kubernetes

[K8S] 쿠버네티스 클러스터 구성

Kubernetes

2024.03.26 02:16

1. Control Plain 구성(마스터 노드에서만 진행) 1-1) 클러스터 초기화 Kubernetes의 마스터 노드가 설정되고, 지정된 네트워크 범위와 API 서버 주소를 사용하여 클러스터가 구성됨, 이후에는 클러스터에 노드를 추가하고 필요한 Kubernetes 구성 요소와 애플리케이션을 배포할 수 있음 더보기 kubeadm init --pod-network-cidr=10.11.0.0/16 --apiserver-advertise-address=192.168.108.100 kubeadm init - Kubernetes 클러스터를 새로 초기화 - kubeadm은 Kubernetes 클러스터를 쉽게 부트스트랩할 수 있도록 도와주는 도구 - init 명령은 마스터 노드를 설정하고 필요한 모든 구성 요소를 실..

[K8S] 쿠버네티스 설치(3)_kubelet, kubeadm, kubectl 설치

Kubernetes

2024.03.26 01:04

19. 쿠버네티스 설치 더보기 cat EOF deb https://apt.kubernetes.io/ kubernetes-xenial main kubelet, kubeadm, kubectl 패키지 설치 자동으로 업데이트 되지 않도록 패키지의 현재 버전을 고정 kubelet 활성화 containerd 데몬 재실행 쿠버네티스는 공부할 준비도 빡세다....

[K8S] 쿠버네티스 설치(2)_도커 설치

Kubernetes

2024.03.26 01:00

17. 도커 설치 apt update ca-certificates, curl, gnupg, lsb-release 패키지 설치 repository 추가 등록 비공식 repository로부터 패키지를 다운받아야 하기 때문에 인증키가 필요 더보기 curl -fsSL https://download.docker.com/linux/ubuntu/gpg | sudo gpg -dearmor -o /usr/share/keyrings/docker-archive-keyring.gpg k8s에 대한 기본 repository가 없기 때문에 인증키를 위해 추가 더보기 echo "deb [arch=$(dpkg --print-architecture) signed-by=/usr/share/keyrings/docker-archive-ke..

[K8S] 쿠버네티스 설치(1)_VMware 노드 구성

Kubernetes

2024.03.25 23:51

1. 준비사항 - VMware workstation 17 pro - ubuntu 20.04 LTS 2. 가상 머신 생성 master.labs.local RAM : 4G Disk : 20G+40G IP : 192.168.108.100/24 GW : 192.168.108.2 node1.labs.local RAM : 2G Disk : 20G+40G IP : 192.168.108.101/24 GW : 192.168.108.2 node2.labs.local RAM : 2G Disk : 20G+40G IP : 192.168.108.102/24 GW : 192.168.108.2 node3.labs.local RAM : 2G Disk : 20G+40G IP : 192.168.108.103/24 GW : 192.168...

AWS

AWS SAA-C03 일주일 합격 후기

AWS(Amazon Web Service)

2024.03.01 19:44

드디어 Solution Architect Associate를 땄다! 응시료가 만만치 않아서 덜덜 떨면서 접수했다... 현재 나는 클라우드 엔지니어 혹은 아키텍처 취업을 준비 중이다. 클라우드 국비 과정을 듣고 있고, 이 자격증은 거의 필수라고 생각해서 국비 과정이 끝나기 전에 무조건 따려고 마음을 먹었다. 약간의 동기부여 자극을 주신 상담쌤의 역할도 컸고...ㅎ 아무튼 SAA-C03은 아마존 벤더사의 솔루션 아키텍트 자격증이다. 제미나이 피셜 전 세계에서 AWS 점유율이 약 33%, Azure가 약 22%, GCP가 약 10%로 AWS가 여전히 1위이다. 이게 내가 AWS 자격증이 필수라고 생각한 이유 중 하나이다. 우선 제목에 적은 것처럼 오로지 시험 공부로만 일주일 정도 공부했다. 국비 과정을 수강 ..

[AWS] 기본 웹 서비스 인프라 구성(VPC, Security Group, Web, DB, NAT 등)

AWS(Amazon Web Service)

2024.06.09 19:42

1. VPC 생성Create VPC test VPC의 이름으로 10.0.0.0/16 CIDR를 가진 VPC 생성 생성 완료 2. IGW 생성 및 AttachCreate internet gateway testVPC-IGW 이름으로 생성 생성된 IGW를 VPC에 Attach Attach 할 VPC 선택 Attach 확인 3. Public Subnet, Private Subnet 생성Create subnet Public Subnet, Private Subnet 1 생성 확인 Public과 Private의 차이는 라우팅 테이블에 의해 정해지므로 동일한 방법으로 Name과 CIDR만 신경써서 우선 생성한다! 4. Public 라우팅 테이블(Route tables) 생성 및 경로 설정, Subnet 할당1) Pub..

OCI

[OCI] 컴파트먼트(Compartment), 그룹(Group), 유저(User), 정책(Policy) 생성 (Feat. 유저 로그인)

OCI(Oracle Cloud Infrastructure)

2024.06.16 20:33

1. 오라클 클라우드에서의 권한 관리유저(User)를 업무 요건에 따라 그룹(Group)으로 묶고, 해당 그룹에 정책(Policy)을 통해 권한을 부여한다.권한을 부여할 때는 특정범위를 지정할 수 있는데 이는 특정 컴파트먼트 또는 테넌시로 범위를 특정할 수 있다. ex) NetworkAdmins 그룹을 생성하고 이 그룹에 네트워크 관리 유저를 추가한다. 그리고 아래와 같은 정책을 만들어 NetworkAdmins 그룹에 테넌시 내 가상 네트워크 자원을 관리할 수 있는 권한을 부여한다.Allow group NetworkAdmins to manage virtual-network-family in tenancy -> 그룹의 구성원은 해당 정책에 따라 네트워크 관련 작업을 수행할 수 있게 된다. 2. 도메인(Do..

[OCI] 가상 클라우드 네트워크(VCN) 주요 구성 (Feat. VCN 생성 실습)

OCI(Oracle Cloud Infrastructure)

2024.06.16 19:17

1. 가상 클라우드 네트워크(VCN, Virtual Cloud Network)1) VCN소프트웨어적으로 정의된 네트워크인 소프트웨어 정의 네트워크(SDN, Software-Defined Network)로 구현된다.물리 네트워크 외에 서브넷, 라우팅 테이블, 게이트웨이 등의 네트워크 장치들도 물리적인 네트워크가 아닌 소프트웨어적으로 정의된 형태로 구성할 수 있다.리전 레벨의 자원으로 리전 내에서 여러 개의 가용 도메인에 걸쳐 구성(리전 내의 존재하는 모든 가용 도메인을 사용)→ 가용 도메인 간의 고가용성 및 이중화 구현 가능2) VCN과 서브넷VCN 내에서 네트워크를 더 잘게 나누는 단위인 서브넷을 생성해 사용할 수 있다. 서브넷은 특정 가용 도메인을 지정해서 만들 수도 있고, 리전 내의 여러 가용 도메인..

[OCI] Oracle Cloud의 기본 사항

OCI(Oracle Cloud Infrastructure)

2024.06.12 20:41

1. 물리적 아키텍처 개념(Physical Architecture Concepts)1) 리전(Regions)OCI는 리전(Regions) 및 가용성 도메인(Availability Domains)에서 물리적으로 호스팅된다. 리전(Regions)은 제한된 지리적 영역이며, 가용성 도메인(AD)은 리전에 위치한 하나 이상의 데이터 센터이다.Oracle Cloud 리전은 안전하고 고성능의 로컬 환경을 제공하는 전 세계적으로 분산된 데이터 센터입니다. 이러한 리전을 통해 기업은 지역 데이터 규정을 준수하면서 클라우드의 모든 워크로드를 인프라에서 애플리케이션으로 마이그레이션, 구축 및 실행할 수 있습니다.https://docs.oracle.com/en-us/iaas/Content/General/Concepts/re..

[OCI] Oracle Cloud에 액세스하는 방법

OCI(Oracle Cloud Infrastructure)

2024.06.11 20:11

1. Oracle Cloud ConsoleConsole은 사용자 및 권한 외에도 인스턴스, 클라우드 네트워크 및 스토리지 볼륨을 생성하고 관리하기 위한 직관적인 그래픽 인터페이스이다.https://docs.oracle.com/en-us/iaas/Content/GSG/Concepts/console.htm#top Get to Know the ConsoleUse the Launch resources tiles to navigate directly to common tasks, such as creating a VM instance, setting up a network with a wizard, and setting up a load balancer. Use these links to set up your e..

OCI(Oracle Cloud Infrastructure)의 주요 서비스명(feat. AWS)

OCI(Oracle Cloud Infrastructure)

2024.05.10 20:48

채택할 클라우드 서비스와 관련하여 보다 현명한 의사 결정을 내리려면 솔루션 설계자 및 CloudOps 관리자가 경쟁 업체의 서비스를 Oracle Cloud Infrastructure의 유사한 서비스와 비교해야 한다.혹은 Public Cloud를 AWS로 시작했거나 AWS에 대한 경험이 많다면 AWS와 비교하여 공부하는 것이 훨씬 이해하기 쉽다. 리전 및 가용성 도메인(Regions and Availability Domains)개념Amazon Web Service(AWS)Oracle Cloud Infrastructure(OCI)데이터 센터 및 서비스 클러스터(Cluster of data centers and services)Region Region 추상화 된 데이터 센터(Abstracted data cen..

Terraform

[Terraform] terraform.tfvars를 통한 변수 값 저장(feat. AWS Credentials)

Terraform

2024.05.28 22:48

https://haksuperman.tistory.com/31# [Terraform] 테라폼 작업을 위한 사전 준비(feat. AWS Credentials, IAM 등)1. 테라폼 작업용 AWS IAM User 생성 Terraform으로 작업할 최소한의 권한만 부여 해야 함!실습을 위해 AdministratorAccess 권한을 부여한 것, 절대 위험!!!(추후 권한 관련 IAM 공부는 꼭 하기) 사실 테라폼haksuperman.tistory.com 1. terraform.tfvars의 필요성기존에는 AWS에 계정 인증을 aws configure 명령을 통해 진행했었다. ~/.aws/config 파일과 ~/.aws/credentials 파일을 통해 확인할 수 있었다. 이 파일들이 손상된다면 AWS와의 ..

[Terraform] IAM Group 생성 후 정책 적용 및 IAM User 추가

Terraform

2024.05.28 16:41

1. IAM Group 생성// IAM Group 생성resource "aws_iam_group" "develop_group" { name = "develop"} 더보기develop 이라는 IAM Group 생성 정상적으로 생성된 것 확인 2. IAM User 생성// IAM User 생성resource "aws_iam_user" "haksu" { name = "haksu.god"}더보기haksu.god 이라는 IAM User 생성정상적으로 생성된 것 확인 3. Policy 생성 및 생성한 develop 그룹에 Attach// Policy 생성data "aws_iam_policy" "administrator_access" { name = "AdministratorAccess"}// 생성한 devel..

[Terraform] terraform 기본 명령어 및 프로바이더 선언(feat. init, plan, apply, destory)

Terraform

2024.05.21 16:21

1. Terraform 기본 명령terraform init테라폼 초기화 - 백엔드 설정 - 프로바이더 플러그인 설치 - 모듈 다운로드 - 환경 초기화terraform plandry-run(테스트) - 현재 상태 파일 확인 - 설정 파일(.tf) 읽고 파싱 - 현재 상태와 설정 파일의 상태 비교 - 변경 사항 요약 출력terraform apply (auto-aprove)실제 적용 - 현재 상태 파일 확인 - 설정 파일(.tf) 읽고 파싱 - 현재 상태와 설정 파일의 상태 비교 - 인프라 변경 사항을 클라우드 제공 업체에 반영 - (auto-aprove 옵션은 진행 자동 승인)terraform destroy (auto-aprove)삭제 - 현재 상태 파일 확인 - 설정 파일(.tf..

[Terraform] 테라폼 작업을 위한 사전 준비(feat. AWS Credentials, IAM 등)

Terraform

2024.05.20 20:26

1. 테라폼 작업용 AWS IAM User 생성 Terraform으로 작업할 최소한의 권한만 부여 해야 함!실습을 위해 AdministratorAccess 권한을 부여한 것, 절대 위험!!!(추후 권한 관련 IAM 공부는 꼭 하기) 사실 테라폼 작업 시 꼭 필요한 설정은 아닌 것 같긴 하지만, 나중을 위해 태그는 많을수록 좋다 했으니 설정 :) 2. MFA 설정이대로 진행해도 되긴 하지만, 보안을 위해 2차 보안 인증을 설정해야 한다. 장비 추가AWS에서 출력한 QR 코드 스캔장비 추가 완료 3. WSL CLI 환경에서 AWS Credentials 인증을 위한 Access Key 생성 Access key와 Secret access key는 추후 다시 확인할 수 없다! (적어도 내 얕은 지..

[Terraform] awscli, terraform 설치 및 VSC(Visual Studio Code) 연동

Terraform

2024.05.19 22:51

1. awscli 설치더보기sudo apt-get install python3-php 더보기sudo pip3 install awscli 2. Terraform 설치gnupg : 데이터와 통신의 암호화와 서명을 위해 사용되는 무료 소프트웨어software-properties-common : 소프트웨어 저장소와 관련된 유틸리티들을 포함한 패키지더보기sudo apt-get install -y gnupg \software-properties-common 1) Hashicorp의 GPG 키 다운2) 다운로드한 키를 바이너리 형식으로 변환3) 변환된 키를 '/usr/share/keyrings/hashicorp-arvchive-keyring.gpg' 파일에 저장4) 저장된 키의 지문을 출력하여 키가 올바르게 저..

[Terraform] DevOps의 등장, 코드형 인프라, 테라폼의 작동 방식, 코드형 인프라 도구 조합

Terraform

2024.05.19 20:52

1. 데브옵스(DevOps)의 등장1) 일반적으로 개발팀(Devs), 운영팀(Ops)으로 역할이 분리되어 불림개발팀은 애플리케이션을 만들어 운영팀으로 넘겨줌운영팀은 애플리케이션을 어떻게 배포하고 운영할 것이 결정함→ 서버를 랙에 설치하거나 네트워크 케이블을 설정하는 등의 배포 작업이 수동으로 이루어짐2) 조직이 커지면서 수동으로 진행하는 작업은 느리고 반복적인 작업이 됨운영팀의 실수로 모든 서버가 똑같이 설정되지 않고 일부 설정이 미묘하게 다른 '구성 드리프트(Configration Drift)'가 발생함3) 데이터 센터를 직접 운영하는 대신 AWS, Azure, GCP 같은 클라우드 플랫폼을 이용함하드웨어에 돈과 노력을 투자하는 대신 소프트웨어 작업에 더 많은 시간을 소모함개발팀과 운영팀 모두 소프트웨..

Windows11 WSL 활성화 및 Ubuntu-20.04 배포판 설치

Terraform

2024.02.18 18:19

PowerShell 관리자 권한으로 실행 ( https://learn.microsoft.com/ko-kr/windows/wsl/install-manual ) 이전 버전의 WSL 설치 Enable-WindowsOptionalFeature -Online -FeatureName Microsoft-Windows-Subsystem-Linux 해당 명령으로 필요한 기능 활성화 Online True 확인 Linux용 WIndows 하위 시스템이 체크 되어있어야 WSL 가능 가상 머신 플랫폼 체크 확인 현재 설치된 wsl 배포판 리스트 확인(아직 설치한 것이 없음) wsl version 2만 사용하도록 고정 설치할 수 있는 배포판 확인 Ubuntu-20.04 배포판 설치, 해당 리눅스에서 사용할 계정 생성 wsl --..

Network Security

[Network Security] 근거리 네트워크 공격의 개념과 종류

Network Security

2024.05.26 17:23

1. 근거리 네트워크 공격LAN 범위 내에서 수행될 수 있는 공격에 한정하여 OSI 7 Layer 중 2계층에서 이루어지는 공격을 의미 2. 근거리 네트워크 공격의 주요 공격ARP를 이용한 MITM 공격Man In The Middle의 약자로 중간자 공격이라고도 불림통신하는 두 단말 사이에 중간자가 침입하여 양단의 통신을 도청하거나 조작중간자 공격을 막기 위해 TLS/SSL 프로토콜을 이용한 공개키 기반 인증을 사용2계층에서 주로 활용하는 공격으로는 ARP 스푸핑을 연계한 공격이 존재STP(Spanning Tree Protocol) 공격STP는 스위치 네트워크 환경에서 사용되는 프로토콜루핑(정상적인 연결을 수행하지 못하고 통신이 빙빙 도는 현상) 공격을 방지하는 프로토콜STP를 이용하여 스위치의 연결 흐..

[Network Security] 네트워크 스캐닝 대응방안

Network Security

2024.05.26 17:06

OS 설치 시 기본적으로 탑재되어 실행 되는 서비스 중에는 보안에 취약한 서비스들이 있다. 그러한 서비스를 중지하는 것만으로도 어느 정도 방어가 가능하다. 1. 네트워크 장비에 의한 필터링Router/Switch에서 ACL을 이용하여 허용하지 않은 사용자의 네트워크 접근 차단 2. 서버에서 실행중인 불필요한 서비스 중지불필요한 Port 닫기 3. 침입 탐지 시스템(IDS) 및 침입 차단 시스템(IPS) 연동syslog를 점검하더라도 스캔이 끝난 상황이라면 대응이 늦어질 수 있음침입 탐지 시스템을 이용하여 침입자를 감지하고 침입 차단 시스템에서 공격자의 IP를 차단

[Network Security] hping3 명령을 통한 SYN 스캔, UDP 스캔, ICMP 스캔

Network Security

2024.05.24 21:26

홈페이지의 경우 보안상의 이유로 ICMP 패킷을 차단하는 경우도 존재한다. 이러한 경우 서버가 구동이 되고 있는지 확인하기 위해서는 활성화 된 서비스가 있는 포트를 대상으로 서버가 존재하고 실행되고 있는지 스캔할 수 있다. 예를 들면 웹 서버에 HTTP 패킷을 보내 확인하는 방법이 있다. 1. SYN 스캔1) wireshark를 통한 스캔 결과 확인Half Open 방식(SYN -> SYN/ACK -> RST)더보기hping3 -S 192.168.0.18 -p 80 -c 2 2) hping -8 옵션으로 각 포트번호를 늘려가며 스캔지정한 20-25번 포트를 하나씩 스캔더보기hping3 -8 20-25 -S 192.168.0.18 22번 포트만 활성화 되어 있기 때문에 22번으로만 RST 응답을 보냄, 나..

[Network Security] 배너그래빙(Banner Grabbing)(+기본 hping3 명령)

Network Security

2024.05.24 20:31

Telnet과 같이 원격지의 시스템에 로그인을 시도하였을 때 나타나는 안내문을 배너(Banner)라고 한다. 이러한 배너는 기본적으로 애플리케이션의 버전 등을 나타내기 때문에 이를 통해 기본적인 정보 수집이 가능하다. 80, 25, 3306 포트를 통해 각 서버의 정보 확인 가능(21, 23, 25, 110, 143 포트에서도 가능) 1. 운영체제 버전과 커널 버전 확인 가능1) CentOS 7.6 웹 서버 설정httpd 설치 방화벽 밀어버리기 데몬 재실행 2) 웹 서버 접속으로 배너 그래빙운영체제와 웹 서버의 종류 확인 가능 3) hping3 명령으로 기본 네트워크 정보 수집(ping 명령과 유사)네트워크 패킷 생성 및 분석 도구로, 주로 네트워크 테스트, 방화벽 규칙 검증, 포트 스캔 및 네트워크 공..

[Network Security] Nmap을 활용한 네트워크 스캐닝

Network Security

2024.05.24 00:15

1. nmap을 활용한 활성화 된 Host 스캔Nmap Option-sTconnect() 함수를 이용한 Open 스캔(오픈)-PSTCP SYN 패킷 만을 보내 시스템 활성화 여부 검사-sS세션을 성립시키지 않는 SYN 스캔(하프오픈)-PI시스템 활성화 여부를 ICMP로 검사-sFFIN 패킷을 이용한 스캔-PBTCP와 ICMP 둘 다 사용하여 HOST 활성화 여부 검사-sNNULL 패킷을 이용한 스캔-O시스템 운영체제 수정-sXX-MAS 패킷을 이용한 스캔-IIdent 프로토콜(RFC1413)을 사용해 열려있는 프로세스가 어떤 사용자에 의한 것인지 검사-sPping을 이용한 HOST 활성화 여부 확인-nDNS Lookup을 하지 않음-sUUDP 포트 스캔-RDNS Lookup을 함-sRRPC 포트 스캔-P..

[Network Security] 네트워크 스캐닝 공격

Network Security

2024.05.23 22:48

스캔을 통해 서비스를 제공하는 서버의 작동 여부와 제공하고 있는 서비스를 확인할 수 있다. 스캐닝에 사용하는 프로토콜은 ICMP(3계층), TCP(4계층), UDP(4계층)로 나눌 수 있다. 1. 네트워크 스캐닝 개요개요스캐닝은 네트워크를 통해 제공하고 있는 서비스, 포트, HOST 정보 등을 알아내는 것을 의미TCP 기반의 프로토콜의 질의(Request) 응답(Response) 메커니즘대표적인 스캔 프로그램으로는 nmap목적열려 있는 포트 확인제공하는 서비스 확인동작 중인 Daemon의 버전운영체제 종류 및 버전취약점★ 인터넷을 하기 위해서는 MAC 주소, IP 주소, Port 주소를 알아야 통신이 가능함MAC(하드웨어 주소) : 이더넷으로 물리적으로 내장되어 있는 고유한 주소 -> 2계층IP(논리적..

[Network Security] 실습 환경 준비(feat. Start-Up K-Shield Jr.)

Network Security

2024.05.23 20:29

1. 압축 파일 해제해당 파일들이 192.168.0.x 대역으로 설정되어 있기 때문에 VMware도 192.168.0.x 대역으로 맞춰줘야 한다.VMware Player는 해당 기능이 없으니 vmnetcfg.exe 파일을 C:\Program Files (x86)\VMware\VMware Workstation 경로에 복사 해서 설정(VMware Workstation Pro를 사용하는 경우는 Edit 탭 - Virtual Network Editor로 설정하면 됨) 2. VMware NIC 설정 및 가상 머신 실행192.168.0.0 대역으로 설정 VMware가 가상 머신의 위치 변경을 감지 했을 때 나타나는 메시지I Moved It : VMware는 가상 머신이 다른 위치로 이동되었다고 가정하고, 가상..

Web Security

[Web Security] XSS(Cross Site Script) - Reflected XSS(반사형)

Web Security

2024.05.27 22:28

XSS 취약점은 외부의 공격자가 클라이언트 스크립트를 악용하여 웹 사이트에 접속하려는 일반 사용자로 하여금 공격자가 의도한 명령이나 작업을 수행하도록 하는 공격이다. 공격자는 이 공격을 이용해서 악성 서버 유도, 사용자 쿠키 정보 추출을 통한 세션 가로채기 공격 등을 수행할 수 있다. SQL 구문이 아닌 스크립트를 악용하는 기법으로, 로그인 한 피해자의 쿠키 값을 탈취하거나 악성 서버로 유도 되어서 악성코드를 감염시킬 수 있다. 웹 페이지의 경우 개발 편의성이나 시간 단축 측면에서 효율적인 동적인 메커니즘으로 제작되는 경우가 많은데 변수를 활용하는 이런 동적인 페이지의 유연성은 XSS 취약점을 유발하는 원인이 되기도 한다.1. 취약성 및 위험성메시지를 매개변수로 받는 동적인 페이지 -> 개발 편의성 및..

[Web Security] SQL Injection(2)_인증 우회, DB 획득

Web Security

2024.05.27 00:40

이러한 실습은 항상 단순 실습용으로, 공부용으로만 진행하기! 실제 운영 중인 사이트에 시도조차 하지 말기!!! 철컹철컹 웹 서버와 DB 서버가 연동되는 웹 서비스 중 사용자의 입력을 받는 화면(로그인, 검색 입력 창 등)이 존재하고 입력 받는 문자열에 별도의 처리 없이 데이터베이스 조회를 위한 SQL 구문이 사용될 경우 정상적인 SQL 구문 인자 값의 변조를 통해 데이터베이스 접근 및 임의의 SQL Query문을 실행할 수 있다. ※ 이전 게시물에 이어 진행(여기서부턴 다시 진행하면서 캡처한 내용이 아닌, 캡쳐본을 따온 사진들이기 때문에 말끔하지 못함..)https://haksuperman.tistory.com/44 [Web Security] SQL Injection(1)_Burp Suite, 프록시 설..

[Web Security] SQL Injection(1)_Burp Suite, 프록시 설정, CA인증서 등

Web Security

2024.05.26 23:22

웹 서버와 DB 서버가 연동되는 웹 서비스 중 사용자의 입력을 받는 화면이(로그인, 검색 입력 창 등) 존재하고 입력 받는 문자열에 별도의 처리 없이 데이터베이스 조회를 위한 SQL 구문이 사용될 경우 정상적인 SQL 구문 인자 값의 변조를 통해 데이터베이스 접근 및 임의의 SQL Query문을 실행할 수 있다. * Burp Suite와 Chrome 진행 예정1. Burp Suite 설치 및 기본 설정https://portswigger.net/burp/releases/professional-community-2024-4-4?requestededition=community&requestedplatform= Professional / Community 2024.4.4This release introduce..

[Web Security] 쇼단(Shodan), Censys, GHDB

Web Security

2024.05.26 22:44

1. 쇼단(Shodan)구글이 컨텐츠를 검색하는 웹 서비스라면, 쇼단(Shodan)은 인터넷에 연결된 장치를 검색하는 웹 서비스이다. https://www.shodan.io ShodanSearch engine of Internet-connected devices. Create a free account to get started.www.shodan.io로그인을 진행해야 완전한 Searching을 할 수 있다. 인터넷에 노출되어 있는 정보들을 가공해서 보기 편하게 모아 놓은 것(실제 해킹의 작업은 x) IP와 서버 종류들도 확인 가능(더 취약한 웹 서버의 경우 버전 정보까지도 나올 수 있음 -> 버전 별로 노출된 취약점 확인 가능) IP 혹은 IP 대역대로 검색할 때는 net: 을 붙여서 검색 2. Cen..

[Web Security] 웹 서비스 공격(웹 해킹, Web Hacking)

Web Security

2024.05.26 20:27

웹 해킹은 웹 서비스를 대상으로 발생하는 해킹을 말한다. 주로 웹 사이트 취약점을 이용하여 권한이 없는 시스템에 접근하거나 데이터 유출 또는 파괴와 같은 행위를 말한다. 1. 웹 해킹(Web Hacking)웹 서비스를 대상으로 하는 해킹웹 사이트 취약점을 이용하여 권한이 없는 시스템에 접근하거나 데이터 유출 및 파괴하는 행위 2. 종류웹 엔진을 이용한 해킹(Apache, IIS 취약점 등)웹 서버 및 미들웨어를 이용한 해킹(OS, JEUS, WebLogic, WebShere 취약점 등)주로 웹 애플리케이션을 이용한 해킹(SQL Injection, XSS, 파일 업로드/다운로드 취약점) 3. 웹 취약점의 위험성웹에서 이용되는 구간 전 범위에서 1차 피해 발생 가능웹 서비스 공격에서 2차 공격으로 인한 추가..

티스토리툴바