인생은 여행

이 글은 도서 "테라폼으로 시작하는 IaC"를 교재로 하여 진행하는 가시다님의 Terraform 101 스터디 4기에 참여하여 기록으로 남긴 것입니다.IaC"IaC는 컴퓨터에서 읽을 수 있는 정의 파일을 사용해 인프라나 서비스를 관리하고 프로비저닝하는 프로세스"긍정적인 측면- 속도와 효율성- 버전 관리- 협업- 재사용성- 기술의 자산화우려되는 측면- 코드 문법 학습- 파이프라인 통합- 대상 인프라에 대한 이해 필요 테라폼의 세 가지 중요한 철학- 워크플로에 집중- 코드형 인프라(IaC)- 실용주의 테라폼 제공 유형- On-Premise- Hosted SaaS- Private Install 실습 1: 테라폼 설치사용하는 컴퓨터 환경이 mac이므로 brew 명령을 이용하여 설치할 수도 있지만 다루는 테라폼 ..

Just wrapping the board with tape and cooking foil.

백틱(backtick)의 정의 IEEE Open Group의 정의에 의하면, 리눅스 쉘에서 백틱은 $()과 함께 명령어 대체(command substitution)로 분류되는 표현식입니다. 백틱 또는 $() 괄호 안에 기술하는 명령어를 하위 쉘이 실행하고 그 출력 결과를 문자열로 대체하여 줍니다. 참고: Shell Command Language [user1@ip-x-x-x-x ~]$ echo "I am `whoami`" I am user1 [user1@ip-x-x-x-x ~]$ echo "I am $(whoami)" I am user1 권장 사항 백틱은 오래된 표현법으로 중첩되는 괄호나 이스케이프 문자 관련하여 혼란이 있을 수 있으므로 달러괄호-$() 표현이 권장됩니다. 참고1: Bash scriptin..

빌드 서버가 하나 있는데, 빌드 과정에 docker 빌드를 수행하고 있습니다. 이 과정에서 도커 이미지가 버전별로 쌓이고 있어서 디스크 용량이 부족한 상황이였습니다. docker rmi 명령으로 이미지를 지울 수 있지만 이미지 종류도 많았고 매 번 수작업할 수도 없는 노릇입니다. 게다가 개발팀의 요구사항은 마지막 버전을 남겨두고 나머지를 삭제해 달라는 것이였습니다. 기존에 수행하던 정리작업 명령은 다음과 같았습니다. sudo docker rmi \ -f $(sudo docker images -a --filter "before=:" -q) 검색을 해 봤지만 딱히 상황에 맞는 해법을 찾을 수 없어서 쉘 스크립트를 작성하고 crontab에 등록해서 자동 수행되도록 하였습니다. 스크립트 작성도 여기 저기 검색해..

이 문서는 Hashicorp 홈페이지의 Vault High Availability with Consul 라는 문서에 주석을 더하여 번역하였습니다. 일부 오역이 있을 수 있음을 감안하여 주십시오. Vault는 오픈소스 버전과 유료의 Enterprise 버전이 있습니다. Vault는 오픈소스 버전 만으로도 실 업무에 사용하기에 부족함이 없을 것으로 보입니다(많이 사용해 보지는 않아서 확신은...). Vault를 프로덕트에 적용하기 위해서는 고가용성(HA) 구성이 필수적이라 할 수 있는데, Vault 만으로는 HA 구성이 불가능하고 비밀 저장 백엔드를 Consul이나 Zookeeper 같은 서비스의 클러스터로 구성하여야 합니다(v1.4 부터는 raft라는 이름의 통합 저장소(Integrated Storage)..

Vault는 어플리케이션 내의 데이터베이스 접속 비밀번호나 API 접근 토근 같은 민감한 정보를 저장할 수 있도록 Key-Value 저장소를 지원합니다. 이 kv 저장소는 두 가지 모드를 지원하는데 v1과 v2가 그것입니다. 각 버전은 스토리지 생성시 목적에 맞게 취사 선택이 가능합니다. KV Version 1 버전 관리 없음 버전 메타 정보가 없기 때문에 저장 공간 절약 스토리지 호출이 적고 잠금이 없기 때문에 성능에 이득 KV Secrets Engine - Version 1 KV Version 2 버전 관리 있음 기본 10개 버전까지 관리되고 설정 가능 삭제해도 저장소에서 제거되지 않고 삭제된 것으로 표시, 완전 제거를 위해서는 destory 명령 사용 ACL 정책 설정시 아래처럼 data, meta..

Vault 서버는 sealed(봉인) 상태로 시작 됩니다. 이 상태에서 저장된 정보는 어떤 경우에도 평문으로 볼 수 없습니다. Unsealing(개봉) 전에는 거의 모든 작업이 불가능합니다. Vault 데이터를 암호화하여 저장합니다. 암호화 키로 데이터를 암호화하고 이 암호화키는 키링에 보관하여 데이터와 함께 저장합니다. 이 키링은 마스터 키로 알려진 다른 암호화 키로 암호화합니다. 따라서 Vault는 데이터를 복호화하기 위하여 먼저 암호화 키를 마스터 키를 이용하여 복호화하여야 합니다. Unsealing(복호화)는 이 마스터 키에 접근하는 프로세스입니다. 마스터 키도 다른 모든 데이터와 함께 저장되지만 또 다른 메커니즘인 봉인해제 키(unseal key)에 의해 암호화됩니다. 요약하면, 데이터는 키링의..

이 글은 Hashicorp사의 Vault에 관련된 문서중 "Recommended Pattern for Vault AppRole Use"를 번역하며 약간의 의역을 더한 것입니다. 프로그램 소스 내에 존재하는 민감 정보를 소스에서 분리하여 Vault에 안전하게 보관하고 이를 CI 단계에서 안전하게 다시 주입하는 구체적인 과정을 설명하고 있습니다. 목표 하시코프 볼트는 아이덴티티 기반의 비밀, 암호화 관리 시스템입니다. 안전하고 감사 가능하며 제한된 접근을 제공하기 위해 인증(authentication) 및 권한 부여(authorization) 방법으로 제어되는 암호화 서비스를 제공합니다. UI, CLI 또는 HTTP API를 사용하여 토큰, 암호, 인증서, 비밀 보호를 위한 암호화 키 및 민감 정보에 대한 ..