rygus 님의 블로그

안녕하세요. 오늘은 Azure 리소스에 이상 발생 시 경고 알람을 구성하는 방법에 대해 알아보겠습니다.# Azure Monitor 란? Azure Monitor는 클라우드 및 온-프레미스 환경에서 모니터링 데이터를 수집 및 분석하여 적절하게 대응하는 포괄적인 모니터링 솔루션입니다.즉, Azure Monitor 라는 하나의 서비스가 있는 것이 아닌 Azure Monitor 내에는 알람 자동화, 로그 분석, 시각화 등 다양한 서비스가 존재합니다. 저희는 그중에서도 알람 기능을 활용하여 리소스에 상태 이상 발생 시에 담당자에게 메일 또는 슬랙을 전송하는 자동화 기능을 테스트해 보겠습니다. # 배포이제 본격적으로 알람 구성을 해보겠습니다. 저희는 Azure VM이 중지되거나 호스트 레벨 장애가 발생되었을 때 ..

안녕하세요.오늘은 AKS 네임스페이스별 로그를 각 Log Analytics Workspace에 저장해 보겠습니다. Azure Monitor Private Scope(AMPLS) : Azure Monitor 리소스에 프라이빗 엔드포인트를 사용하여 Azure PaaS(Platform as a Service) 리소스를 가상 네트워크에 안전하게 연결할 수 있는 서비스로 공용 네트워크를 거치지 않고 Azure 백본망을 통해 통신됩니다. Data Collection Endpoint(DCE) : DCE는 관문 또는 진입점과 같습니다. 리소스가 DCR에서 처리되기 전에 데이터를 전송하는 보안 주소입니다. 데이터 수집 규칙(DCR) : DCR은 Azure에 어떤 종류의 데이터를 수집할지, 어디에서 수집할지, 필요한 ..

안녕하세요. 최근 Azure 환경에서 운영 중인 VM 한 대가 VPN을 맺고 있는 AWS 네트워크와 IP 대역이 충돌하여 통신이 불가능한 문제가 발생했습니다.이를 해결하기 위해 VM에 AWS와 겹치지 않는 새로운 NIC를 추가했지만, 여전히 정상적인 통신이 이루어지지 않는 현상이 확인되었습니다.이번 글에서는 해당 문제의 근본 원인과 실제로 적용했던 해결 방안을 정리해보려고 합니다.# 이슈위와 같이 AWS 대역과 겹치지 않는 Subnet2를 Azure에 만들고 통신을 했으나 통신이 되지 않던 이슈입니다.Azure VM에서 tcpdump를 뜨니 정상적으로 SYN 패킷을 받고 SYN + ACK 패킷을 던지고 있는 것까지는 확인이 되었으나 마지막 ACK가 확인되고 있지 않았습니다. 원인 파악을 위해 테스트 환..

안녕하세요.오늘은 AKS의 인증 및 권한 부여에 대해 알아보겠습니다. 여기서 말하는 인증 및 권한 부여는 컨트롤 플레인(= AKS API 서버)에 대한 인증 입니다. 설정은 보안 구성 → 인증 및 권한 부여에서 설정이 가능합니다. 이제 각 항목 별 차이점을 알아보겠습니다. # Kubernetes RBAC가 있는 로컬 계정이 방식은 Azure와 거의 관계없는 순수 Kubernetes 방식입니다. 저희가 익히 알고 있는 인증서, 토큰을 통해서 API를 호출하는 방식으로 kubeconfig 파일을 들고 있는 사람이 관리자가 됩니다. 보안상 가장 취약한 인증 방법으로 로그인과 권한 인증 모두 Kubernetes가 하게됩니다.사용자는 최초로 AKS 인증서를 불러올 권한만 있으면 됩니다. az aks get-..

안녕하세요.오늘은 Azure API Management 서비스에 대해 알아보겠습니다. # API Management 란?Azure API Management(APIM)는 기업 환경에서 API 게이트웨이 역할을 수행하는 서비스로,외부 요청을 안전하게 받아 내부 서비스로 전달하는 프록시 입니다. 저는 처음에 Application Gateway와 차이가 헷갈렸는데요.간단히 말하면 APIM은 “API 노출·인증·변환·정책 적용”에 특화된 서비스이고 Application Gateway는 Path 기반 라우팅 (/api, /static 등) Hostname 기반 라우팅“웹 서비스의 트래픽에 특화된 서비스입니다. # 배포하기API Management 서비스로 들어갑니다. 아래와 같이 기본적인 설정만 기입한 후 ..

안녕하세요. 오늘은 Azure DevOps를 이용하여 간단한 테스트를 해보겠습니다. # Azure DevOps란? Azure DevOps는 Azure에서 제공하는 DevOps 서비스로,소프트웨어 개발의 계획 → 개발 → 빌드 → 테스트 → 배포 → 운영 전 과정을 지원합니다.즉 운영자가 GitHub + Jenkins + Jira + Artifactory 같은 다양한 툴을 따로 쓰지 않고,하나의 플랫폼 안에서 모든 것을 해결할 수 있도록 만든 클라우드 기반 DevOps 서비스입니다. # DevOps 가입하기DevOps 서비스는 포탈이 따로 있기 때문에 아래 사이트로 들어가 가입을 해주어야 합니다. 가입은 기존 갖고 계신 Azure 계정으로 하시면 됩니다. https://aex.dev.azure.com/me..

안녕하세요.오늘은 Fortigate 차세대 방화벽 배포를 위한 Azure 설정을 알아보겠습니다. 이번에 Fortigate를 Azure 환경에 도입할 일이 생겨서 관련하여 공부 겸 블로그에 올려보겠습니다.# FortiGate란? FortiGate는 Fortinet이라는 회사에서 만든 차세대 네트워크 방화벽 솔루션입니다.차세대 방화벽(NGFW)은 기존 전통적인 4 계층 방화벽에서 한 단계 발전된 방화벽으로 단순 IP, Port 기반 제어가 아닌 Application 단위까지 세밀하게 식별하고 제어할 수 있는 방화벽입니다.따로 Azure에서 Fortigate를 PaaS 형태로 제공하고 있지 않기 때문에 IaaS로 배포해야 합니다. # 배포 방법앞서 말씀드렸듯이 IaaS로 배포를 해야 하기 때문에 VM을 배포..

안녕하세요. 오늘은 Vnet Peering에 대해 확인해보겠습니다. # Vnet Peering 이란?Vnet은 하나의 독립된 사설 네트워크 공간이기 때문에 애저 내 다른 사설 대역과는 통신이 불가능한데요.이를 가능하게 해주는 것이 Vnet Peering 입니다.피어링을 통해 각 VNet에 배포된 리소스들(VM, DB 등)이 마치 같은 네트워크에 있는 것처럼 사설 IP로 직접 통신할 수 있게 됩니다. # Peering 생성하기생성 방법은 되게 간단한데요.생성하고 싶은 Vnet에 들어와 설정에 피어링 부분에 들어가 "추가"를 누릅니다. 피어링 추가를 들어가면 아래와 같이 원격 가상 네트워크를 설정하는 부분이 나오는데요.이건 말 그대로 원격 네트워크를 설정하는 부분입니다.즉, 연결할 Vnet의 대한 정보를 ..

안녕하세요.오늘은 거의 쓰이지는 않지만 알아두면 좋은 아키텍쳐에 대해 확인해보겠습니다. 위 그림만 보시면 무슨 이런 아키텍쳐가 있나 하실 수도 있습니다. 저 또한 처음보고 왜 굳이 이렇게 통신을 하지? 그냥 외부용 VNET과 내부용 VNET 끼리 Peering만 맺으면 끝나는 일을 굳이 AWS를 거쳐서 통신할 필요가 있나 싶었는데요. 하지만 보안팀에서는 내부용 VNET과 외부용 VNET은 절대 망을 공유하면 안되는 조건이 있었어서 위 그림과 같은 아키텍쳐가 탄생되었습니다. 설명을 간단히 드리자면 외부용 VNET의 VM에서 EC2로 인터넷을 통해 통신을 하면 EC2에서 DNAT / SNAT를 하여 내부 VM에 전달되는 아키텍쳐입니다. 처음에는 EC2에서 DNAT만 진행해주고 Azure의 Local N..

안녕하세요. 오늘은 지난 AWS - 네트워크 라우팅 포스팅에 이어서 Azure의 네트워킹 라우팅에 대해 알아보겠습니다. # Azure 네트워킹Azure는 기존 On-Prem. 환경과는 큰 차이가 있습니다. 기존 On-Prem. 환경에서의 라우팅은 가운데 라우터가 있고 같은 망내의 모든 통신은 중앙 라우터를 통해 이루어집니다.Azure는 기존 On-Prem 환경과는 많이 다른데요.Azure의 경우 각 VM의 NIC가 미니 라우터 역할을 하여 같은 VNET 내부의 모든 NIC들 간 full mesh를 맺게 됩니다. 기존 전통적인 On-Prem. 환경 Azure 환경 ..