[Qwiklabs] VPC Networks - Controlling Access

VPC 네트워크 - 액세스 제어

 

 

개 요

두개의 nginx 웹 서버를 만들고 태그가 지정된 방화벽 규칙을 사용하여 웹 서버에 대한 외부 http 액세스를 제어한다.

그런다음 iam 역할 및 서비스 계정을 탐색한다.

 

 

목 표

• nginx 웹 서버 생성
• 태그가 지정된 방화벽 규칙 만들기
• iam 역할이 있는 서비스 게정 생성
• 네트워크 관리자 및 보안 관리자 역할에 대한 권한탐색

 

---

1. 웹 서버 생성

[블루/그린서버 생성]

vm instance 생성
- name : blue
- zone : us-central1-a
- networking
  * networkk tags : web-server

- name : green
- zone : us-central1-a

[nginx 설치 및 시작 페이지 사용자 지정]

 

blue ssh >

sudo apt-get install nginx-light -y

sudo nano /var/www/html/index.nginx-debian.html

/var/www/html/index.nginx-debian.html 내용 수정
<h1>Welcome to nginx!</h1>줄을 <h1>Welcome to the blue server!</h1>로 변경


green ssh > 동일하게 내용 수정
<h1>Welcome to nginx!</h1>줄을 <h1>Welcome to the green server!</h1>로 변경

---

2. 방화벽 규칙 만들기

default-allow-internal 확인
 * default-allow-internal 방화벽 규칙 은 기본 네트워크 내의 모든 프로토콜/포트에서 트래픽을 허용 합니다. 네트워크 태그 web-server 를 사용하여 이 네트워크 외부에서 블루 서버 로만 트래픽을 허용하는 방화벽 규칙을 생성하려고 한다.

 

firewall 생성

• Name : allow-http-web-server
• Network : default
• Targets : Specified target tags
• Target tags : web-server
• Source filter : IP Ranges
• Source IP ranges : 0.0.0.0/0
• Protocols and ports : tcp:80, icmp
  
  

[테스트 vm 만들기]

gcloud compute instances create test-vm --machine-type=f1-micro --subnet=default --zone=us-central1-a

[http 연결테스트]

test-vm ssh > 

curl [blue-server internal ip]

-> 웰컴 투 블루서버!! 표시

curl -c 3 [green-server internal ip]

-> 웰컴 투 그린서버!!

curl [blue-server external ip]

-> 웰컴 투 블루서버!! 표시

curl -c 3 [green-server external ip]

-> fail!! 아무것도 안떠야한다.

---

3. 네트워크 및 보안 관리자 역할 살펴보기

 

[현재 권한 확인]

test-vm ssh > 

gcloud compute firewall-rules list

-> fail 작동하지 않아야한다

gcloud compute firewall-rules delete allow-http-web-server
y

-> fail 권한부족!

[서비스 계정 만들기]

iam & admin > service accounts > create service account

- name : Network-admin
- role : Compute network admin

create 후 점 세개 눌러 managed key 선택 > add key > json 선택 후 create > 닫기 누르면 다운댐 > json 파일 이름 변경 'credentials.json'



vm-test ssh > 
json 파일 업로드

gcloud auth activate-service-account --key-file credentials.json
#vm 승인

gcloud compute firewall-rules list

-> 작동

gcloud compute firewall-rules delete allow-http-web-server

-> 작동안함!


iam&admin > iam > network-admin role 변경 : compute security admin

gcloud compute firewall-rules list

-> 작동

gcloud compute firewall-rules delete allow-http-web-server

-> 작동

curl -c 3 [blue-server external ip]

-> 작동안함!