본문 바로가기

Security Group10

[AWS EKS] 보안그룹 최소 필요사항 정리 - 폐쇄망 기준- VPC Endpoint는 필요한 것 모두 생성되어 있다고 가정- inbound / outbound 모두 제어 (any는 없음)- Node의 보안그룹 / Cluster의 보안그룹은 각자의 클러스터 아키텍처에 맞게 생각 보안그룹typeprotocolport대상설명Node 보안그룹ingresstcp443, 10250Cluster 보안그룹필수 통신 포트Node 보안그룹egresstcp443, 10250Cluster 보안그룹필수 통신 포트Node 보안그룹egresstcp, udp53Cluster 보안그룹DNSNode 보안그룹egresstcp443VPC Endpoint 보안그룹endpoint 통신Node 보안그룹egresstcp443S3 Prefix Listendpoint 통신      Clust.. 2024. 7. 1.
[AWS EKS] 클러스터 보안그룹 vs 추가 보안그룹 (Cluster SG vs Additional SG) # 결론클러스터 보안그룹과 추가 보안그룹은 다르다.클러스터 보안그룹 (EKS 생성 시 자동 생성되며, self rule도 자동으로 생성되어 있음) 은 eks api로 만든 컴퓨팅 리소스 (fargate, managed ec2 node group) 들에 적용된다.즉,컨트롤플레인의 cross-eni : 클러스터 보안그룹 & 추가 보안그룹 사용fargate, managed node group 노드 : 클러스터 보안그룹 사용자체 런치템플릿 사용한 managed node group, self managed 노드 : 커스텀 보안그룹 사용 (내가 지정하는걸로) # 일단 용어정리클러스터 보안그룹 : eks 클러스터 생성 시 자동으로 생성되는 "Cluster security group"추가 보안그룹 : eks 클러스터 .. 2024. 4. 28.
[Terraform] CSV -> AWS Security Group : fileset 함수 활용 위와 같이 보안그룹별 csv 파일들을 만들어 두었을 때, 자동으로 sg_csv 폴더 내의 파일들을 한꺼번에 읽어오게 하고 싶었다 알아보니 테라폼엔 fileset이란 함수가 있었다 https://www.terraform.io/docs/language/functions/fileset.html fileset - Functions - Configuration Language - Terraform by HashiCorp The fileset function enumerates a set of regular file names given a pattern. www.terraform.io locals { sg_csvs = fileset("./sg_csv/", "*") sg = toset([for f in local... 2021. 12. 11.
[Terraform on AWS] CSV 파일 참조해서 Security Group Rule 만들기 CSV 파일 형식 module/main.tf variable "sg_id" {} variable "rule_type" {} # ingress / egress variable "from_port" {} variable "to_port" {} variable "protocol" {} # tcp / udp / icmp variable "src_or_dst_type" {} # cidr(list) / pl(list) / sg variable "destination" {} variable "description" {} # Rule with CIDR Blocks resource "aws_security_group_rule" "sg_cidr_rule" { count = var.src_or_dst_type == "cid.. 2021. 10. 10.
[AWS] VPC - 관리형 접두사 목록(Managed Prefix list) ...혹시 다들 이 서비스 아셨나요? 저만 몰랐나요? AWS Console > VPC > 관리형 접두사 목록(Managed Prefix list) 접두사 목록 생성을 눌러서,,,대충 아무렇게나 생성해보자 용인 IDC의 IP대역들을 모아뒀다고 생각하자,,,이러고 생성을 마치면 이렇게 뜬다 참고로 목록 내의 항목들은 언제든지 수정이 가능하지만, 최대 항목 수는 변경할 수 없으니 처음 만들 때 넉넉하게 만들자 이제 이렇게 CIDR 그룹이 만들어지면, 보안그룹에서 참조가 가능해진다 이렇게 접두사 목록 자체로 참조를 하게 되면, 해당 목록 내의 모든 CIDR들이 한꺼번에 참조된다 이렇게 편한 일이...! IP 대역들 여러 개를 그룹지어 사용할 일이 있으면 사용하자 또한 임시로 사용하다가 빼야 할 대역이 있더라도 .. 2021. 7. 27.
[AWS CloudFormation] Security Group Ingress 예제 (YAML) 참고로 Egress(OutBound)는 설정 안하면 0.0.0.0/0에 ALL로 열려있는게 Default다 1. ICMP 허용 Resources: [SG 리소스 이름]: Type: AWS::EC2::SecurityGroup Properties: GroupDescription: Allow ICMP GroupName: [SG 이름] SecurityGroupIngress: - IpProtocol: icmp FromPort: -1 ToPort: -1 CidrIp: [허용할 IP/bit] VpcId: !Ref [VPC 리소스 이름] 2. 모든 TCP 트래픽 허용 Resources: [SG 리소스 이름]: Type: AWS::EC2::SecurityGroup Properties: GroupDescription: A.. 2021. 6. 14.
[AWS] NACL vs Security Group (Stateless와 Stateful 차이) # 요약만 확인하기 NACL과 Security Group에 대한 전반적인 개념은 아래 글을 참조하자 https://cleverdj.tistory.com/122 위의 글에서 볼 수 있듯이, NACL은 "서브넷 단위"이고, Security Group은 "서버 단위" 이다 따라서 외부 통신의 경우 NACL과 Security Group을 모두 거쳐야 하고, 내부 통신의 경우 Security Group만 거친다 또한 각 규칙에 대해서 Allow 또는 Deny를 지정할 수 있으며 규칙별 중요도(규칙을 적용할 순서)가 있는 NACL과는 다르게, Security Group에선 기본적으로 모두 Deny이며 Allow 하는 규칙만을 만들어낼 수 있으며 순서따윈 없이 한꺼번에 모두 적용시킨다 더 보다보면 Stateless/.. 2021. 5. 31.
[Terraform on AWS] 간단한 VPC 구성 & 웹서버용 EC2 생성하기 테라폼으로 간단한 네트워크 구성을 해보겠다 생성할 것 VPC : 10.0.0.0/16 Subnet Public : 10.0.1.0/24, igw와 연결 Private : 10.0.10.0/24, NAT gw와 연결 EC2 Public(WebServer용) : httpd 실행, 22/80 포트 오픈 Private(DB용) : WebServer에서의 22 포트 오픈 (DB 설치는 pass...) 1. init.tf provider "aws" { region = "ap-northeast-2" } data "aws_availability_zones" "available" { state = "available" } 기본 프로바이더와 가용 영역을 설정해주었다 프로바이더 구문에서 AWS ACCESS KEY와 SECR.. 2021. 3. 23.
[AWS CloudFormation] #3 웹서버용 EC2 만들기 (SG, EC2, UserData) >>진행한 실습 GitHub 위 그림과 같이 만들어볼건데, RDS는 추후에 하도록 하겠다 오늘은 APM 설치되어있는 EC2 생성까지만 기본적인 VPC 설정에 대한 설명은 생략하겠다 전체 코드는 밑에 있으니 설명이 필요한 사람은 이전 글을 보고 오자 1. Security Group AWS::EC2::SecurityGroup SGforWeb: Type: AWS::EC2::SecurityGroup Properties: GroupDescription: allow 22, 80 GroupName: webaccess SecurityGroupIngress: - IpProtocol: tcp FromPort: 80 ToPort: 80 CidrIp: 0.0.0.0/0 - IpProtocol: tcp FromPort: 22 .. 2021. 1. 5.
[AWS] VPC랑 EC2 만들어보기 먼저 아마존에 로그인한 후 계좌를 등록해야한다 1달러 빠져나가면 그 때부터 시작할 수 있다 https://aws.amazon.com/ko/ 클라우드 서비스 | 클라우드 컴퓨팅 솔루션| Amazon Web Services 피트니스 글로벌 인터랙티브 피트니스 플랫폼이 어떻게 AWS를 사용하여 사업을 성장시키고 회원에게 더 나은 서비스를 제공하는지 알아보십시오. 자세히 알아보기 홈 피트니스의 혁신 2012년에 aws.amazon.com 난 미국 동부(오하이오) : us-east 리전에서 실습을 진행했다 1. VPC 만들기 서비스 - VPC(검색)해서 들어간 후 가상 프라이빗 클라우드 - VPC - VPC 생성을 누른다 알기 쉽게 이름 태그를 작성해준 후 생성을 누른다 만들어진 vpc를 선택한 후 작업을 눌러 .. 2020. 7. 22.