Devops 직군뿐 아니라, 최근에는 Helm이 널리 이용되고 있다. 그래서 자주 사용하는 Helm Command에 대해서 정리해보고자 한다. 아직은 많이 많이 부족하고 배우는 단계라서 단순한 것만 사용하고 있으니, 참고만 하도록 한다. 아래 Helm 공식 Docs를 통해서 더 많은 명렁어를 확인할 수 있고, 직접 사용해보면서 업무에 필요한 명렁어를 습득하면 된다. Helm Get 헬름 - 쿠버네티스 패키지 매니저 helm.sh Command Tip 1. 현재 배포되어 있는 Helm release 와 배포 이력 찾기 helm list를 통해 현재 배포하고 있는 helm release를 알 수 있다. 1개가 될 수도 있고, 2개 이상이 될 수도 있다. 그리고 간략하게 REVISION과 배포 시간 그리고 C..
All Posting
업무를 하다보면 kubernetes, EKS를 사용할 일이 있다. 그리고 이때 빠짐없이 등장하는것이 Helm이다. 그렇다면 Helm 이란 무엇이고? Helm은 어떻게 사용하는것인지에 대해서 알아보자!! Helm이란? Helm Docs에는 "Helm is the package manager for Kubernetes"로 소개되어 있다. 즉 쿠버네티스의 패키지 매니지먼트이다. Docs Home Everything you need to know about how the documentation is organized. helm.sh 쉽게 이해하자면 Python의 pip, 그리고 Linux에서 쉽게 패키지를 다운로드 할 수 있게 도와주는 yum, apt와 비슷하다고 보면 된다. Helm도 기타 다른 패키지와 마..
Python을 활용한 업무의 일부를 공유하는 게시물입니다. 아직 공부하는 입장이기에 부족한 부분이 있을 수 있습니다. 지적해주시면 적극 반영하도록 하겠습니다. 퍼가시거나, 업무에서 도움이 되었다면 댓글 하나씩 부탁드립니다 :) 감사합니다. Summary 대외에 공개하는 CloudFront 또는 ALB는 WAF 등으로 접근제한 또는 Managed Rule을 사용하는 경우가 많다. 이때 각 리소스별로 WAF 연결이 누락된게 없는지 확인하기 위한 코드이다. - 최종적으로는 아래 코드로 WAF 연결이 누락된 CloudFront 또는 ALB 리소스를 확인해서 Slack으로 알람을 받고 알람을 받을 때 대응을 해주는 프로세스로 가면 될 것 같다. - check_alb_waf_usage 함수의 경우 WAFv2에서 리..
Data : 2022.12.17일 Agenda AWS Security Security를 해야할 때 어떤것을 기준으로 삼으면 좋을까? 가장 쉬운 접근은 BP를 찾아보고 이용하는것이다. 그리고 조금 더 발전한다면 법적 요건을 먼저 찾아보고 요구사항을 먼저 준수하면서 위험평가와 타사 위험들을 참고하여 보안성을 강화하는것으로 한다. Security만 하는게 아니라 Security도 같이 하고, 서비스를 계획할 때 Security도 참여하는것으로 변화해야한다. 가장 공감이 되는 말이였다. 물론 서비스도 중요하지만, Security도 중요하다. 나중에 Security를 보완하기 위해 구성을 변경하고 서비스를 구성하는 것만큼 비효율적인게 없다고 생각한다.. Shard Responsibility Model 책임 공유 ..
Python을 활용한 업무의 일부를 공유하는 게시물입니다. 아직 공부하는 입장이기에 부족한 부분이 있을 수 있습니다. 지적해주시면 적극 반영하도록 하겠습니다. 퍼가시거나, 업무에서 도움이 되었다면 댓글 하나씩 부탁드립니다 :) 감사합니다. Summary Trivy 점검 코드의 전체적인 로직은 ECR Image를 다운로드 받고 > 취약점 점검을 하고 > 이미지를 삭제하는것으로 한다. - 물론 사전에 코드를 구동하는 환경에 Trivy 패키지를 설치한다. 실행하면 ECR Repo.txt로 각 Repo의 취약점 점검 결과를 받을 수 있으며 Trivy는 많은 옵션이 있으므로 필요한 부분은 수정하면 된다. #! /usr/bin/python3 #ECR LOGIN aws ecr get-login-password --r..
AWS Workspace는 스타트업에서 가장 많이? 사용하는 망분리 환경을 위한 서비스이다. 환경을 만드는것은 AD만 있으면 가능하기에 어렵지 않다. 하지만 Local PC와Workspace간에 데이터 교환 방법이 문제이다. S3 브라우저, S3 Mount 등 다양한 방법이 존재하며 각자의 상황에 맞는 방법이 채택하면 된다. 필자는 아래와 같은 로직으로 Local PC -> Workspace로 파일을 반입하고 있다. - 물론 이 방법이 정답은 아니다. 솔루션을 도입하면 더 좋고 효과적인 방법으로 반입할 수 있고 다른 방법도 많다. - 각 회사와 상황에 맞는 방법을 채택하면 되고, 필자가 선택만 방법을 제시함으로써 담당자에게 여러가지 방법을 알려주기 위함이다. Workspace 파일 반입 구성도 우선 Wo..
Python을 활용한 업무의 일부를 공유하는 게시물입니다. 아직 공부하는 입장이기에 부족한 부분이 있을 수 있습니다. 지적해주시면 적극 반영하도록 하겠습니다. 퍼가시거나, 업무에서 도움이 되었다면 댓글 하나씩 부탁드립니다 :) 감사합니다. Summary NACL_ID를 입력받아서 해당 NACL에 지정된 IP/Port 기반으로 차단 정책을 넣는 코드이다. NACL_ID, def change_nacl에서 CidrBlock, PortRange를 변경하여 사용하면 된다. #! /usr/bin/ python3 from multiprocessing.sharedctypes import Value import boto3 from requests import session import re #Define AWS Acco..
Python을 활용한 업무의 일부를 공유하는 게시물입니다. 아직 공부하는 입장이기에 부족한 부분이 있을 수 있습니다. 지적해주시면 적극 반영하도록 하겠습니다. 퍼가시거나, 업무에서 도움이 되었다면 댓글 하나씩 부탁드립니다 :) 감사합니다. Summary workspace_id를 입력받아서 해당 workspace의 사용자 + 마지막 사용일자를 구하는 코드이다. 그리고 각 정보를 check_workspace_use-yyyy-mm-dd 파일명의 Output으로 생성된다. #!/usr/bin/python3 import boto3 import json from datetime import datetime import sys #Define AWS Account Profile PROFILES = 'service-na..
서비스, 보안, 데이터 등 어느정도 규모 있는 회사의 경우 AWS 계정을 나눠서 사용한다. 계정을 분리하면 계정간의 데이터를 공유해야 하는 일이 생기는데 이때 S3의 객체 소유권 설정/업로드할 때의 파라미터에 따라 읽기에 제한이 생긴다!! CrossAccount S3 버킷 정책 기본적으로 계정이 다르면 서로의 S3에 업로드가 불가하다. 하지만 S3 버킷에 아래와 같이 다른 계정의 ARN에 대해 설정한다면 CrossAccount의 S3 Object가 가능하며 필요에 따라서 Action, Resource를 제한하는것도 좋은 방법이다. 아래와 같이 설정하게 되면 Deny 정책이 먼저 적용되기 때문에 test-cross-account의 게정은 test 버킷에 test.txt의 이름을 제외하고 모두 업로드가 가능..
