Cloudflare 방화벽 예외처리하기
unsplash-logoErik Mclean Cloud Native의 시대니까 요새는 어떤 써드파티 서비스와 연동해도 동적으로 변화는 환경에 맞춰야 한다. 예를 들어 New Relic Synthetics의 서버군이 항상 동일한 IP 주소를 사용하면 너무나 일이 쉽겠지만 그들도…
unsplash-logoErik Mclean Cloud Native의 시대니까 요새는 어떤 써드파티 서비스와 연동해도 동적으로 변화는 환경에 맞춰야 한다. 예를 들어 New Relic Synthetics의 서버군이 항상 동일한 IP 주소를 사용하면 너무나 일이 쉽겠지만 그들도…
Kubernetes는 Credentials을 Secret이라는 리소스 단위로 관리한다. 만약 당신이 ClusterAdmin 중 한 명이라면 Secret이든 ConfigMap이든 별 차이가 없어 보일 수 있다. 하지만 Secret과 RBAC를 엮으면 그 둘은 완전히 다른 용도임을 깨닫는다.…
oauth proxy 활용 사례 이 패턴은 주로 인증체계가 없는 애플리케이션에 OAuth 2.0 인증체계를 부여하는데 유용하다. 여기서는 GitHub 사용자만 Kafka Manager에 접근하는 사례를 보인다. 알아둘 점 https://github.com/bitly/oauth2_proxy GitHub에 OAuth 애플리케이션을 등록하려면…
AWS 내의 서버가 GitHub의 OAuth 서비스를 이용하려면 필연적으로 방화벽을 열어야 한다. 다행히 GitHub의 서버 주소는 Meta API를 호출해 받아올 수 있다. ~ # curl https://api.github.com/meta { "verifiable_password_authentication": true, "github_services_sha": "2f2313161ed4f940a57ae3f0936eb8e9695bb8a8",…
Google 타이탄 키를 주문했으나 물량이 없어서 한달 두달을 기다려야 한다. 그러다 보니 정가 50$ 짜리를 이베이에서 배가 넘는 가격에 판다. Yubikey 5로 바꿀까? 하아...
언제나 그렇듯 알게 모르게 고객의 안전을 최우선으로 생각하는 데일리에서... 개발 및 운영 환경에서 EC2 인스턴스에 터미널로 접속하는 건 매우 많은 제약을 받습니다. 방화벽, MFA로 방비한 VPN 등으로 여러 안전장치를 통해야…
제대로 된 기업용 서비스라면 의례 다중 계정과 권한 제어 기능을 함께 제공하기 마련이다. 그래서 공용 계정을 굳이 만들 이유가 하나도 없다. 하지만 일부 서비스(그리고 대부분의 한국의 기업 서비스)는 단일 계정만…
Hashicorp의 Vault 도입을 2, 3년부터 관련 이슈가 있을 때마다 검토했는데 결국 기술보다는 실제 서비스를 관리하는 주체인 사람과 정책 그리고 시스템이 문제였다. 하지만 더 현실적으로 생각해 보자. 이런 작업을 한두 번…
'텔레그램'보다 안전한 보안 메신저 4종최근 보안 메신저 '텔레그램'을 스마트폰에 설치하는 이들이 늘어났다. 지난 2014년 10월에도 이 같은 움직임이 있었는데, 당시엔 이른바 '카카오톡 국정원' 사태가 있었다. 2016년 3월에는 무슨 일이 생긴…