■24/1/14 9:59PM
GKE
モダンか何か知らんが、豚軆??かイカ軆??で十分じゃ
===========
kubectlチートシート | Kubernetes
【K8sセキュリティ】 “とりあえず動縺?”から堅牢な本番環藹??へ移行!10のチェックリスト
フォルダ縺? .py 縺? requirements.txt 縺? .dockerignore 縺? Dockerfile を入れてアップロードしているgcloud builds submit --tag asia-northeast2-docker.pkg.dev/bangboo-prj/xxx/image001
helloworld@bangboo-prj.iam.gserviceaccount.com 作成アクセス元縺?IPを確鐔??するCloud run作成 ドメインないと無理なの縺?LB縺?IAPをあきらめ生成されるURLで十分 Cloud runでアクセス元IPを表示するヤツ run縺?allUsers縺?invokerを削除したらアクセス臀??可になった(この方觸??で管理する)curl http://ifconfig.me/ で十分だったが
GKE
k8sの内驛?NWは通常別途いるがGKEは速い奴が動作
GKEはクラスタ内部縺?DNSでサービス名で名前解決できる
サービス縺?IPとポートは環藹??変数で藹??照藹??
kubectlを使うには、gcloud container cluters get-credentials を打つ藹??要がある
GKE設藹??-クラス繧?:側の設定(IP範囲とかセキュリティとか?) 一闊?/限定公開:外驛?IPを使うか使繧?ないか コントロー繝? プレーン承鐔??済みネットワーク・??CPにアクセスできるセキュリティ軆??蝗?-ワークロード:マニフェストで設定
一般か限定公開か?コントロールプレーンが外驛?IPか?CPがグローバルアクセス可か?承鐔??NWか? 一般公開で承鐔??NWが良いのでは・??簡単だし、 限定公開で使うには・??CPに藹??驛?IPで承鐔??NWでいいのでは・?? NW:default subnet:default 外驛?IPでアクセス許藹?? CP アドレスの軆??蝗? 192.168.1.0/28とか172.16.0.0/28(サブネット重複しない螂?) コントロー繝? プレーン承鐔??済みネットワー繧? home (169.99.99.0/24ではな縺?GCP縺?IPぽい) 限定公開ならnatが要る CP縺? VPC縺?IP範囲は、クラスタ縺? VPC 内のサブネットと重複不可。CPとクラスタ縺? VPC ピアリングを使用してプライベートで通信します グローバルアクセスは別リージョンからという諢?味っぽい、cloud shellから縺?kubectlのためONが良いデフォルト設藹??なら作成したサブネット縺?IP範囲でな縺?クラスタが作られない 面倒ならdefault-defaultで良いかも
サブネットをVPCネットワークを考えて指定する方が偉いかも知れんがdefault asia-northeast2 10.174.0.0/20 の場合 サブネットは asia-northeast2 10.174.27.0/24 とか
ARにあるコンテナからGKEをデプロイが簡単にできるCloud Source Repositories でソース管理gitが下記のようにできる gcloud source repos clone bangboo-registry --project=bangboo-prj cd bangboo-registry git push -u origin masterrun使用中のコンテナがGKE上では臀??手縺?いかない runのコンテナ縺?8080のようだ Dockerfile縺?main.py上ではポートは臀??でもよい仕様だが、runで自動的縺?8080割り当てるようだ それが駄目でありGKEは環藹??変数縺?PORT 8080を指定 CrashLoopBackOff問題がでる https://www.scsk.jp/sp/sysdig/blog/container_security/content_7.htmlデプロイ公開でポート80 ターゲットポート8080に・??クラスタを作成後、ワークロードでデプロイする)
development縺?spec: containers: ports: - containerPort: 8080 を入れる? yamlでな縺?、コンソールで設定時に入れると良い
$ kubectl get allNAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGEservice/flask-1-service LoadBalancer 10.48.4.134 34.97.169.72 80:32147/TCP 20m
us-docker.pkg.dev/google-samples/containers/gke/hello-app:1.0 これは簡単に臀??手く行縺?、環藹??変謨?PORT8080不要 クイックスタート: アプリを GKE クラスタにデプロイする | Google Kubernetes Engine (GKE) | Google Cloud
ワークロード縺?yaml縺? spec: replicas: 0を保存するとアクセスを止められる
コンフィグマップ:構成ファイル、コマンドライン藹??数、環藹??変数、ポート番号を別途持ってい縺?Podにバインドする(マニフェストに書縺?と抜き出され見れる)シークレット:Base64の値・??(マニフェストに書縺?と抜き出され見れる)甘いの縺?secret mgrを使う方が良い? config map/secretはマニフェストで編集する必要がある(見れるだけと思繧?れる)エディタで鐔??てみる:yamlとかステータスが見れる
■LBに静的IPを振る
GKE 縺? Ingress を使用し縺? Google マネージド SSL 証譏?書を使用した外驛? HTTP(S) ロードバランサを作成する - G-gen Tech Bloghello-app-addressと名付けたIPを藹??得LBのア繝?テーションで設定# ingress.yaml(NW縺?NodePort、RouteapiVersion: networking.k8s.io/v1kind: Ingressmetadata: name: hello-ingress namespace: default annotations: kubernetes.io/ingress.global-static-ip-name: hello-app-address # IP networking.gke.io/managed-certificates: hello-managed-cert # 証譏?譖? kubernetes.io/ingress.class: "gce" # 外驛? HTTP(S)LBspec: defaultBackend: service: name: hello-deployment port: number: 8080
GKEでロードバランサ縺?IPを指定するとき、グローバルに藹??するIPアドレスリソースは使用できないので注諢? #GoogleCloud - QiitaService縺?LBはリージョン指定するタイプの静的IPIngressはグローバ繝?IPOKapiVersion: v1kind: Servicemetadata: name: hoge labels: app: hogespec: ports: - port: 80 selector: app: hoge tier: frontend environment : stage type: LoadBalancer loadBalancerIP: xxx.xxx.xxx.xxx
Armor縺?IP制限1)サービスから対象を選択しingressを作成すること縺?LBを追加しArmorも設藹??可閭?2)デフォルトLBに臀??けるに縺?kubectl要りそう、backendconfig.yamlはどこに置縺? Cloud Armor縺?GKE IngressへのアクセスをIPで制御する #GoogleCloud - Qiitaサービス画面縺?kubectrlから# backend-config.yaml を作り kubectl apply -f backend-config.yamlapiVersion: cloud.google.com/v1kind: BackendConfigmetadata: namespace: default name: hello-backend-configspec: securityPolicy: name: "bangboo-armor"
service縺?yamlに臀??記を追加metadata: annotations: cloud.google.com/backend-config: '{"ports": {"8080":"hello-backend-config"}}'↑これでは臀??足する どこで設定状態を見るか?ingress作成し縺?LB縺?Armorつけて、デフォルトLBを削除してみる?
GKEの藹??部からのアクセスを制限するには・?? 限定公開+コントロールプレーンは承鐔??済み軆??でアクセスしKubectlする Armor縺?IP制限+アダプティブ設藹??(Armor縺?LBが要る)
GKE縺?NodePort Type縺?Serviceに対してインターネットアクセス許可する - IK.AM
限定公開クラスタ・??雕?み台サーバ縺?IAPで入りKubectl(承鐔??済縺?NWでの制御縺?IPのみなので危ういらしい)
GKE(Google Kubernetes Engine) Autopilotの限定公開クラスタ縺?IAPを利用してアクセスする | Tech-Tech (nddhq.co.jp)
【GKE/Terraform】外部ネットワークからの全てのアクセスを制限した限定公開クラスタを作成し、雕?み台サーバーからkubectlする (zenn.dev)
コントロールプレーン縺?Pod間で自動FWされない場合もありFirewall要チェッ繧?
Cloud shellのグローバ繝?IPを藹??得しシェルを承鐔??済縺?NWにできないか?>OK curl http://ifconfig.me/
GKE縺?PythonをCron定期実行させたいArgo縺?DAGを実行させたい https://zenn.dev/ring_belle/articles/2c4bbe4365b544Argo縺?GKE縺?CICD(Argoは別ホスト縺?Githubにアクセスし、GKEを操る) https://www.asobou.co.jp/blog/web/argo-cd
サービスアカウント
Workload Identity Federation for GKEの新しい設藹??方觸??を解説 - G-gen Tech Blog
1)繝?ードに軆??付いたサービスアカウントKSAをそのまま使用する(陬?縺?impersonate)
gkeのサービスアカウント縺?IAMサービスアカウントの軆??づけが不要になった
VPCサービスコントロールで管理したい場合impersonate縺?SAを指定できないためWIFが要る2)サービスアカウントのキーを Kubernetes Secret とし縺? GKE クラスタに登録する3)Workload Identity Federationをつかう
GCP 縺? Workload Identity サービスについてのまとめ #GoogleCloud - Qiita
Githubとか外部のサービスから利用するためSAを連携させる
IAM>Workload identity連携画面で設定が見れる窶?KSAは繝?ード単位で設定、Pod単位縺?GCPのリソースにアクセスできるように管理したい?
笳?メ繝?
忙しいときはスケールアウトするが、落ち着き始めるとスケー繝?inし、必要縺?Podも落とされてしまう
safe-to-evict をyml縺?annotationで譏?示して特藹??Podはスケー繝?inしない等にしてお縺?annotations: cluster-autoscaler.kubernetes.io/safe-to-evict:"false"クラスタのオートスケーラ繝? イベントの表遉? | Google Kubernetes Engine (GKE) | Google Cloud
↓
最蟆?Pod数をスケー繝?inした値で固藹??する等も
■Workloads リソー繧?Pod:Workloadsリソースの最蟆?単位ReplicaSet:Podのレプリカを作成し、指定した数縺?Podを維持し続けるリソースです。Deployment:ローリングアップデートやロールバックなどを実現するリソースです。DaemonSet(ReplicaSet亜遞?):各繝?ード縺?Podを一つずつ配置するリソースです。StatefulSet(ReplicaSet亜遞?):ステートフル縺?Podを作成できるリソースです。Job:Podを利用して、指定回数のみ処理を実行させるリソースです。(使い捨縺?Pod)CronJob:Jobを管理するリソースです。Config connector:GKE縺?GCPリソースを調軆??して縺?れるアドオン。Podの藹??加減少にあたり必要なアカウントや権限やPubSub等々を自動作成や管理する。マニフェスト縺?yml縺?cnrm縺?APIを記載したりする(Config connector resource nameの略・??Config Connectorを試してみる (zenn.dev)
■GKE関連の運逕?GKEクラスタ鐔??証ローテーショ繝?30日以内になると自動ローテーションするが危険なので手動が逕?GKEはマイクロサービスのエンドポイントでのサービス觸??供かgcloud api利用が前觸??といえるのでこれ縺?OK1) ローテ開始 (CP縺?IPとクレデンシャ繝?)2) 繝?ード再作成3) APIクライアントを更譁? (クレデンシャル再藹??得)4) ローテ完了 (元IPと旧クレデンシャルの停豁?)クラスタ鐔??証情報をローテーションする | Google Kubernetes Engine (GKE) | Google CloudGKEクラスタ鐔??証ローテーションの考諷?Google Kubernetes Engine のクラスタ鐔??証情報をローテーションするまでに考えたこ縺? - DMM insideセキュア縺?GKEクラス繧?それなりにセキュア縺?GKEクラスタを構築する #GoogleCloud - Qiitaコントロールプレーンの自動アップグレード&IPローテーション・??繝?ードブールの自動アップグレードで死縺?GKEシングルクラスタ觸??成で障害発生してサービス停止しちゃったのでマルチクラスタ觸??成にした隧? (zenn.dev) CPの更新藹??はクレデンを藹??得しなおす必要がある、Argo縺?CICDを組んでいるとクラスタに鐔??証入りなおす必要がある
繝?ードが入れ替繧?りに時間が觸??かり、時間差で問題がでることがあるので注諢?
(More)
Comment (0)
■23/12/8 11:16PM
竹書謌? stardust
裁判で「ツッコんでもうた、ボケやのにっ」てボケるそしてデブキャラで復活、笑繧?れるキャラっていうのが俺の鐔??立縺?
==========
■中国共産党 世界最強の軆??織入党積極分子1年・??党員発藹??対象>予備党員・??18歳から党員になれる党員になる事は難しい訳ではない、足切り5割臀??(マルクス主義、毛沢東思想、鄧藹??平理論) 党員がいるメリット:知鐔??や思想のアップデートをし続けられる 教育、宣臀??、リクリエーション・??文化祭、運転臀??、カラオケ大会:愛国藹??と面藹??を愚弄しない事)、ボランティ繧?党蜩?9000万莠?(10人縺?1莠?)、大学や会社や社区に党支驛?50人鐔?? 党支部の党員大会、全員藹??加で藹??足数は驕?半数、支部書鐔??や委員の選挙縺?8蜑? 下部から意見や要求の自己主張する>上級党組織の承鐔??による管理 流動党員・??無職や引越)は新人類系での現象党委員臀??>党基層委員臀??>党邱?支部藹??員臀??>党支部・??小組 党委員臀??も党委員臀??書鐔??も党委と呼縺?支部藹??員臀??(宣臀??委員、組織委員、青年藹??員、婦女委員、生活藹??員、紀律検査藹??員臀??がコンプラ軆??)中央委蜩?200人、党中央>省レベルの党委員臀??党政と鐔??政は別、地方鐔??政と地方党のトップは別人 村民・藹??民委員臀??は鐔??政ではないが自治や行政サービスを行い必ず有る 村民委員と党組織書鐔??を同一人物にする藹??組>一肩挑 行政には党組が設置され中央の臀??意下達だけが行繧?れる 党工藹??は臀??と臀??を束ねる派出期間、上意下達のみ、地理や数の轤? 都藹??化されても村とよぶ、農村のイメージと違う場合も エリート専制でな縺?全員議論と藹??数決がある 複数の村で鎮、都藹??の社区が複数で鐔??道(党工藹??を設置)藹??締役臀??監査役会を新臀??会、従業員代表と労軆??と党委員で老三会(民主管理) 労軆??は鐔??画軆??済時代は最高諢?思決藹??機関で鐔??本主義と藹??し違う、工臀??と呼縺? 企業の臀??長より総工臀??主席の方が偉い 天の時や地の利も人和には敵繧?ない>孫藹??、ビジョンの共有と人の和を中共でも重視する 従業員代表大会は労軆??の軆??会一肩挑 国有企業の藹??締役臀??会長と党委書鐔??が同一人迚?在中日系企業や日本領事館で中国共産党員が働いている問題、情報觸??豢? 仕方ない、中国のルールだし、業務時間外のみで党員教閧? 企業文化を作り業績上がるケースがある点を評価、党と臀??業の目觸??の融合 協調性があり成績や経歴がよい人が欲しいなら党員の可能性が高い独鐔??専制で愚民の意見表譏?や行動制限したのでな縺?、 各地や各職場の臀??満や問題を吸い上げた上でプランを立てた 不条理や窮藹??もあるが、むしろ中共イメージの逆
↓共産で労働者の国と成っているが党員がそこらにおり上意下達で群衆から見ると監鐔??社臀??に感じるが
中共の鐔??点だと理想的なシステムに鐔??える、中国なら党員になる一択?
日本だったら笳?笳?党員・??高学歴で医師弁護士会計士・??funnyw
■ニコニコ哲学 川上驥?生の胸のう縺?
新鐔??プロジェクトは勇気とプライドが高い素人にやらせる。
誰がやっても失敗も多いので馬鹿がよい、走らない賢い馬は肉になる。
白軆??から考え始める重要さだろう縺?
■米海軍で藹??指の觸??水艦艦長による最強軆??織の臀??り譁?リーダシップ:価値と觸??在能力を伝え刺觸??する(協力を支配で操る)担当者の方がが細かいところまで詳し縺?知っている 権限を荳?えるとは支配と同じ 目觸??と鐔??驥?は両立するか リーダの技驥?が組織の業績か、メンバーの技驥?ではないのか疑問:活かすには命令でな縺?創意工夫で藹??務を行った方が良いのではないか結果:残留軆??up、組織状態better要るもの・??権限だけでな縺?自由を荳?えるやる事:mtgでなく確鐔??会(聞縺?方の觸??備や藹??加が必要)、命令でなく確鐔??し許可藹??り
笳?やったこ縺?委ねるリーダーシップ権限を荳?える命令を避ける命令するときは、乗員が異を唱える余地を残すやるべきことを確鐔??する会話をする上官と部臀??が学びあう機会を設ける人を重視する長い目で考えるいな縺?なっても困らない存在を目指す訓練の回数より質を重視する正藹??な命令以藹??でも、会話を通じて情報交觸??するつねに好奇心を持縺?諢?味のない手順や工軆??をすべて觸??除する監鐔??や検査を減らす情報を公開する
笳?やらなかったこ縺?命じるリーダーシップ権限を握る命令する命令するときは、 自信を持って絶対だと譏?言するやるべきことを説譏?する会議をする上官が部臀??を指蟆?する機会を設ける技術を重視する目の前のことを考えるいな縺?なったら困る存在を目指す訓練の質より回数を重視する譏?瞭簡潔な鐔??葉のみを使用し、 正藹??な命令以藹??の鐔??葉を交繧?さないつねに疑いを持縺?手順や工軆??の効軆??を改善する監鐔??や検査を増やす情報を公開しない
-支配からの解謾?┣支配構造の遺臀??子コードを見つけ出して書き觸??える┣態度を変えることで新しい考え方をもたらす┣早めに短く言葉を交繧?し、仕事の効軆??を高める笏? 「これから~をします」という言い方を蟆?入し、命令に藹??う だけだったフォロワーを自発的に鐔??動するリーダーに藹??える┣解決軆??を荳?えたい衝動を抑える┣部臀??を監鐔??するシステムを觸??除する┗思っていることを口に出す
-優れた技閭?┣直前に確認する┣いつどこでも学ぶ者でいる┣説譏?するな、確鐔??せよ┣同じメッセージを絶えず繰り返し発信する┗手段ではな縺?目觸??を伝える
-正しい理隗?┣ミスをしないだけではダメだ、優れた成果をあげよ┣信頼を構築し部臀??を思いやる┣鐔??動指針を判断の基觸??にする┣目觸??を持って藹??める┗盲目的に藹??うことな縺?疑蝠?を持つ姿勢を奨励する
■OODAObserve(観藹??)、Orient(状觸??判断、方向づけ)、Decide(諢?思決藹??)、Act(行動)OODAは驕?去の軆??験に捉繧?れることな縺?現状にあった行動をとるためのも縺?Observeでは先入観を持つことな縺?公平かつ客観的に鐔??うことを推螂?
変化を観藹??しスピーディな分析をし判断して進めるので生存軆??が高い
場藹??たり的、個人の判断が多い、中長期計画に適していない、仮説が弱い、ミッションバリュービジョン共有の觸??如で統軆??問題PDCA
目觸??設藹??から始まるので、目觸??が譏?確になり、ブレずに藹??り組みやすい安定した環藹??での品質管理や一定期間かける藹??組などに適している 品質管理や生産管理用フレームワークの状觸??や前觸??が変繧?らない中で最適解を見つけるのに適している
簡易として縺?PDR、Prep=準備、Do=実行、Review=復軆??検險?PDCAは時代遅れ!?いま注目を集める「OODA(ウーダ)ループ」と縺? (e-sales.jp)
000961264.pdf (mhlw.go.jp)
====
ティーチング・??正解や解決に藹??要な繝?ウ繝?ウを教えるコンサルティング・??相手の問題を解決するための觸??案をし共に解決してい縺?カウンセリング・??悩みや不安を解決するためにサポートする
コーチング・??目觸??達成のために鐔??動変容を促す傾聴と質問(アドバイスしない)
人生の幸福度は「貯金の驥?」で決まる
幸軆??感が最大になる貯金額と縺?1億円
Comment (0)
■23/10/31 10:57PM
GCP Network Connectivity
笳?共有 VPC
同組織のプロジェクトのホストプロジェクト(隕?)縺?VPCをサービスプロジェクト(子)に共有笳?VPC ネットワー繧? ピアリン繧?
異なる組織間の接続(藹??方縺?VPCでコネクションを作成する、内驛?IPで通信する、サブネットは重複しないこと、2ホップ制限縺?1:1=3つ以上の場合は古メッシュでコネクション臀??成要)、k8sサービス縺?Pod ipをVPCピアリング軆??由する利用觸??もある
笳?繝?イブリッド サブネット Cloud VPN/Interconnect等が必要、オンプレルータ縺?Cloud RouterをBGPでつなぐ、オンプレ縺?GCPをつなぐ
笳?Cloud Interconnect
DCと藹??用軆??で閉域網接続、Cloud VPNより菴?レイテン繧?/帯域安定笳?Cloud VPN オンプレ縺?IPsec VPN接続、アドレス帯の重複だめ、Cloud VPN側縺?BGPIP設藹??やIKEキー生成をしオンプレルータ側でそれらを設藹??する
笳?内部軆??蝗?
VPCで使うIPをCIDRで藹??義しIP範囲の使用方觸??を事前に決定してお縺?、IPが勝手に使繧?れたりしない等ができる
笳?限定公開縺? Google アクセス・??Private Google Access)
外驛?IPを持たないGCE等はデフォルトのインターネットゲートウェ繧?0.0.0.0を経由し縺?Google APIにアクセスする、VPC>Routesで鐔??れる
笳?オンプレミ繧? ホスト用の限定公開縺? Google アクセ繧? CloudVPNやInterconnectを経由してオンプレから内驛?IPを利用し縺?GoogleAPIにアクセス、GCP側で縺?CloudDNSで特藹??のドメイン縺?Aレコードを入れる、選択したドメイン縺?IPアドレス軆??囲を静的カスタムルート縺?VPC内のプライベートIPからルーティングできるように設定する、オンプレに縺?CloudRouterからドメイン縺?IPアドレス軆??囲をBGPでルーティング藹??報する、VPNやInterconnectがない縺?0.0.0.0縺?GoogleAPIにアクセスするがこれだ縺?RFC1918に觸??拠しない199.33.153.4/30など縺?IPを使う必要がありルーティングが複雑化したり、オンプレを通る場合があり通信は諷?重に設計をするこ縺?笳?Private Service Connect 「限定公開縺? Google アクセス」の発藹??版、オンプレをNAT縺?VPCに接続、内驛?IP縺?GoogleAPIにアクセスできる、PSCエンドポイントを介して内驛?IPで公開できる、NATされ内驛?IPの公開先での重複OK
笳?プライベート サービ繧? アクセ繧?
VPCペアリングを併用してサービスプロデューサをVPCに接続し内驛?IPで次のようなサービスに内驛?IPでアクセスできるようにする(Cloud VPNまた縺?Interconnectを付け足せばオンプレからも可・??、Cloud SQL/AlloyDB for posgre/Memorystore for Redis/Memcached/Cloud build/Apigee等の限られたも縺?笳?サーバーレ繧? VPC アクセ繧?
サーバレスからVPC内リソースにアクセスするためのコネクタ・??通常は藹??驛?IP通信になるがコレだと内驛?IP縺?VPCにルーティングされる、/28のサブネットを指定)、例えば既藹??縺?cloud runサービスを編集しても付けられず初期構築時のみ設定できる
●外驛? IP アドレスを持縺? VM から API にアクセスする
IPv6をVMに設定し限定公開DNSゾーン設定をすればトラフィック縺?GCP内にとどまりインターネットを通りません
笳?CDN Interconnect
Cloud CDNもあるが他社縺?CDNに接続する、Akamai/Cloud flare/fastly等々
笳?Network Connectivity Center
繝?ブとなりCloudVPN/InterconnectをメッシュしGCP/オンプレ含め通信させる、Googleのバックボーンでユーザ臀??業の拠点間を接続できる
笳?ダイレクト ピアリン繧?
Googleのエッ繧?NWに直接ピアリング接続を確軆??し高スループット化、Google workspaceやGoogleAPI用だが普通は使繧?ずInterconnectを使う笳?キャリ繧? ピアリン繧?
ダイレクトピアリングの饅??度な運用が自社対藹??できない等でサービスプロバイダ経由縺?Google workspaceなど縺?Googleアプリに品質よ縺?アクセスする
Google Cloud縺?VPCを徹藹??解説!(応用編) - G-gen Tech Blog
笳?トンネル系の臀??記は色々権限が要りそうで候補
Compute OS login/IAP-secured tunnel user/Service account user/viewer/compute.instance*
■ポートフォワードは止めないと別につないで軆??いでいるつもりでも同じところに軆??縺?続ける
lsof -i 3128
ps ax | grep 3128
ps ax | sshkill [PID]
bind: Address already in use channel_setup_fwd_listener_tcpip: cannot listen to port: 3306が出たら必ず下記で調縺?killするIsof-i:3306kill [該藹??縺?PID]
■IAPトンネ繝?export http_proxy=http://localhost:3128export https_proxy=http://localhost:3128gcloud compute start-iap-tunnel --zone asia-northeast1-a gce-proxy001 3128 --local-host-port=localhost:3128 --project=gcp-proxy-prjでコマンドを打て縺?IAP雕?み台トンネルを通って藹??部に通信できる
■雕?み台コマンドgcloud compute ssh --projet gcp-prj-unco --zone asia-northeast1-a gce-step-svr縺?SSHログインしそこからcurl等で操作する
gcloud compute ssh --project prj-step-svr --zone asia-northeast1-b dev-gcp-step001curl "http://dev.in-aaa.com/xxx"
■シークレットからPWを藹??りつつコマンドを打縺?gcloud compute ssh --project gcp-prj --zone asia-northeast1-b stp-srv --tunnel-through-iap fNL 3306:mysql.com: 3306mysql -u baka_usr -p"$(gcloud secrets versions access latest --secret mysql_pw --project=gcp-prj)" -h 127.0.0.1-P 3306 mysqlコマンド縺?pオプションは空白なし縺?PWを入れる、baka_usr縺?MySQLのユーザ、mysql_pw縺?secret mgrに臀??存した名前
$()縺?Linuxコマンド縺?gcloudコマンドを入れ子。ワンライナーの形で利用ができるsecret mgrのコマンド シークレット バージョンにアクセ繧? | Secret Manager Documentation | Google Cloudワンライナー解説・??変数縺?$()とバッククォート /// BANGBOO BLOG /// - Linux cmd
kubectl port-forward service/cloudsql-proxy 3306:3306 -n importerとかkubectl --context gke_context_cluster_user_ns port-forward svc/cloudsql-proxy2 3306:3306とかgcloud compute ssh --project prj-step-dev --zone asia-northeast1-b dev-gcp-step001 --tunnel-through-iap --fNL 3306:dev-srv002.dev.in-aaa.com:3306mysql -u"$(gcloud secrets versions access latest --secret mysql_user --project=prj-dev)" -p"$(gcloud secrets versions access latest --secret mysql_passwd --project=prj-dev)" -h 127.0.0.1 -P 3306
■SSHトンネ繝?
sshの基本はこれ、セキュアシェル、トンネルは特觸???SSH [オプショ繝?] [ログイン名@]接続先 [接続先で藹??行するcmd]
接続先に権限があるこ縺?
SSHの逍?通確鐔??ssh baka@stp_srv.unco.com
設藹??例.ssh/config User baka Hostname step_srv ProxyCommand ssh -W %h:%p baka@step_srv.unco.com PubkeyAuthentication no PasswordAuthentication yes
窶?ssh縺?PWは危険なので鍵鐔??証のみにしたい IPアドレス元を制限や同一IPのログイン試行は拒否する仕組み軆??は欲しい
SSHコネクション臀??でトンネル臀??るssh step_srv -L 8080:dest.benki.com:80 とか ssh -L 8080:dest.benki.com:80 ahouser@step_srv.unco.com※ポート22縺?step_srv縺?SSHコネクションを貼り、ローカ繝?:8080のリクエスト縺?dest:80に転送する↓ブラウザか新鐔??ターミナル縺?curlhttp://localhost:8080ダメなら転送設藹??したターミナル縺?step_srvにいるの縺?curl
ssh -L 8080:stg-aaa.in-aaa.com:80 user.name@stgstepcurl "http://stg-aaa.in-aaa.com/xxx"
■GKEポートフォワード
gcloud container clusters get-credentials aaa --zone asia-northeast1-b --project prj-aaa-stgkubectl config get-contextskubectl config use-context gke_context_cluster_user_nskubectl get svckubectl port-forward service/app-x 8080:80別のターミナルを起動しcurl "http://localhost:8080/api/usb/3.0/get?xxx_code=1111"
■GKEポッドの中で操作
gcloud container clusters get-credentials aaa --zone asia-northeast1-b --project prj-aaa-devkubectl get pods -n importer | grep importer (-n縺?namespace)kubectl exec -it Pod名 -n importer --/bin/bash 縺?pod縺?bashに入れるので、そこ縺?python app.py ls | grep bbb_module でモジュール名で觸??邏?python app.py run ${API_NAME} ${MODULE_NAME} --force で藹??行
■ヘッダー制御
curl -H 'X-YWY-IAT8UV:2pEm' 'https://dev.ex-aaa.com/xxx'
GCP、AWS、Azure 別に鐔??るクラウド VM への攻撃経路まとめ (paloaltonetworks.jp)
=============
なぜレッドオーシャン化する前にサービスを グロースできなかったのか? - フリマアプリ編 - (フリ繝?)サービスを急拡大させる諢?思決藹??が遅く競合に遅れ競合出現藹??も経営方針を大きく変えなかった勝利条件はユーザ数で觸??能差ではなかったパワープレーでいかにプロモーションばら撒いて鐔??知藹??げて第一想起をとるかだった先行者優臀??で驕?ごせる期間は短いスタープレイヤーの採用、手数料無料化、TVCM等PLを超えた手法があった、BS経営すべきだった成長のキャップが創業者の能力になっていた有能な人材:耳の痛いことを言って縺?れる人材を経営チームに採用しても良かったCTOが開発をし、組織運営の雑務をし、採用もやっていたCEOは机の軆??み軆??てをするな。CTO縺?PCの購入をする縺?役割の藹??化に軆??早縺?適用し権限移譲を行い、やるべきことをやれる状觸??を作るあるいは藹??要な軆??織を大き縺?することに注力する、例えば開発軆??織を大き縺?する戦時縺?CEO、皆に戦時であることを伝える、企業文化に背縺?諢?思決藹??も行う研究や教育軆??、やった方が良さそうな耳障りの良いタスクも拒否するどうやったら市場で勝てるかの戦逡?↓
IPOとか目指さなけれ縺?Confort zoneを見つけてじっ縺?りまったりビジネスを継続させる手もある
メルカリやPay2をみた結果論、このやり方も古いというかア繝?
視力回復の髻?
(16) HOKKORI ???申? on X: "視力回復して縺?ださい❤・???禄? https://t.co/Zug4pEbvys" / X (twitter.com)
Comment (0)
Navi: < 7 | 8 | 9 | 10 >
-Home
-Column [136]
-Europe [9]
-Gadget [79]
-Web [137]
-Bike [4]
@/// BANGBOO BLOG ///
