회사에서 gcp 사용을 하게 돼 처음에 끄적이며 공부한 내용입니다. 미약하지만 조금이라도 도움이 됐으면 하는 마음에 공유합니다.
네트워크 시큐리티
VPC firewall
- VM류의 제품을 보호할 때 사용
VPC Service Controls
- API 콜에 대한 보호에 사용
패킷 미러링
- IDS 구성 사용 가능
Cloud NAT
- 외부 ip를 구성하지 않은 vm이 외부와 통신할 때 사용
Cloud Firewall
- VM 레벨에서의 allow, deny. mgfw가 아님. NIC에 acl 거는 레벨
- 하나의 방화벽 정책은 하나의 VPC 에 대응
- stateful(커넥션 연결되면 양방향 통신 가능)
- 최초 명시적 inbound(all deny), outbound(all allow)
- 로깅은 기본적으로 cloud logging 에 저장됨, storage에 장기 보관 혹은 bigquery로 분석 가능
- Firewall log는 기본적으로 off. ingress/egrees 룰 별로 on/off 설정 가능
- VPC Flow log는 샘플링. 소스포트, dst포트, 타임스탬프, 볼륨 확인 가능
- 다른 siem 이나 장비에 export 가능
Cloud NAT
- 공인 ip 없이 사설 Ip 만 가지고 vm의 외부통신 위한 서비스
- 관리형 서비스 형태로 제공
hybrid connectivity
- GCP ↔ On-prem IDC or CSP or GCP VPC 연결
- On-prem 의 VPN이 BGP를 제공한다면 HA VPN 권장
Classic VPN
- 라우팅 옵션
- 다이나믹 : BGP
- 스태틱 : route or policy based
- 매뉴얼 HA 셋업
- 게이트웨이는 싱글 인터페이스와 외부 ip를 갖는다
HA VPN
- 다이나믹 라우팅만 지원 ( BGP )
- 쉬운 HA 셋업
- gw는 두개의 완전 다른 인터페이스 있음(물리적, 논리적으로)
- 99% SLA 제공
Interconnect
- 전용선 옵션을 활용해 GCP와 직접 연결
I live fullest