# List networksgcloudcomputenetworkslistgcloudcomputenetworksdescribe<network># List subnetworksgcloudcomputenetworkssubnetslistgcloudcomputenetworkssubnetsget-iam-policy<name>--region<region>gcloudcomputenetworkssubnetsdescribe<name>--region<region># List FW rules in networksgcloudcomputefirewall-ruleslist--format="table(name,network,direction,priority,sourceRanges.list():label=SRC_RANGES,destinationRanges.list():label=DEST_RANGES,allowed[].map().firewall_rule().list():label=ALLOW,denied[].map().firewall_rule().list():label=DENY,sourceTags.list():label=SRC_TAGS,sourceServiceAccounts.list():label=SRC_SVC_ACCT,targetTags.list():label=TARGET_TAGS,targetServiceAccounts.list():label=TARGET_SVC_ACCT,disabled)"# List Hierarchical Firewallsgcloudcomputefirewall-policieslist (--folder <value>|--organization<value>)gcloudcomputefirewall-policiesdescribe<fw_policy>gcloudcomputefirewall-policieslist-rules<fw_policy># Get Firewalls of each regiongcloudcomputenetwork-firewall-policieslist## Get final FWs applied in a regiongcloudcomputenetwork-firewall-policiesget-effective-firewalls--network=<vpc_name>--region<region>
# Get list of zones# It's interesting to know which zones are being usedgcloudcomputeregionslist|grep-E"NAME|[^0]/"# List compute instances & get infogcloudcomputeinstanceslistgcloudcomputeinstancesdescribe<instancename>gcloudcomputeinstancesget-iam-policy<instance>--zone=ZONEgcloudcomputeinstancesget-screenshot<instancename># Instace must have "Display Device" enabledgcloud compute instances os-inventory list-instances # Get OS info of instances (OS Config agent is running on instances)
# Enumerate disksgcloudcomputediskslistgcloudcomputedisksdescribe<disk>gcloudcomputedisksget-iam-policy<disk>
Compute Engine 시리얼 콘솔 로그는 가상 머신 인스턴스의 부팅 및 운영 체제 로그를 보고 진단할 수 있는 기능입니다.
시리얼 콘솔 로그는 인스턴스의 부팅 프로세스를 저수준으로 보여줍니다. 이는 커널 메시지, init 스크립트 및 부팅 중에 발생하는 기타 시스템 이벤트를 포함합니다. 이는 부팅 문제의 디버깅, 구성 오류 또는 소프트웨어 오류 식별, 또는 네트워크 연결 문제 해결에 유용할 수 있습니다.
이러한 로그는 일반적으로 저레벨 사용자가 보지 못하는 시스템 로그에서 민감한 정보를 노출할 수 있지만 적절한 IAM 권한이 있으면 읽을 수 있을 수 있습니다.
시리얼 포트 로그를 쿼리하기 위해 다음 gcloud 명령을 사용할 수 있습니다(필요한 권한은 compute.instances.getSerialPortOutput입니다):
OS 구성 관리 서비스를 사용하여 VM 인스턴스(VM)에 일관된 구성(원하는 상태 및 소프트웨어)를 배포, 쿼리 및 유지할 수 있습니다. Compute Engine에서는 VM에 일관된 소프트웨어 구성을 유지하기 위해 게스트 정책을 사용해야 합니다.
OS 구성 관리 기능을 사용하면 설치해야 하는 소프트웨어 패키지, 활성화해야 하는 서비스 및 VM에 있어야 하는 파일 또는 구성을 지정하는 구성 정책을 정의할 수 있습니다. VM의 소프트웨어 구성을 관리하기 위해 선언적 접근 방식을 사용할 수 있어 구성 관리 프로세스를 자동화하고 확장할 수 있습니다.
또한 IAM 권한을 통해 인스턴스에 로그인할 수 있도록 허용하므로 권한 상승 및 피벗에 매우 유용합니다.
프로젝트 전체 또는 인스턴스에서 os-config를 활성화하려면 원하는 수준에서 enable-oslogin 메타데이터 키를 **true**로 설정하면 됩니다.
또한 2단계 인증을 활성화하려면 메타데이터 **enable-oslogin-2fa**를 **true**로 설정할 수 있습니다.
인스턴스 생성 시 활성화하면 메타데이터 키가 자동으로 설정됩니다.
OS-config의 2단계 인증에 대해 더 알아보면, 사용자인 경우에만 적용되며, 컴퓨트 SA와 같은 SA의 경우 추가 조치가 필요하지 않습니다.
그런 다음 export를 사용하여 여러 형식으로 이미지에서 가상 디스크를 내보낼 수 있습니다. 다음 명령은 qcow2 형식으로 이미지 test-image를 내보내어 파일을 다운로드하고 추가 조사를 위해 로컬에서 VM을 빌드할 수 있습니다:
gcloudcomputeimagesexport--imagetest-image \--export-format qcow2--destination-uri [BUCKET]# Execute container inside a dockerdockerrun--rm-tigcr.io/<project-name>/secret:v1sh
권한 상승
Compute Instances 권한 상승 섹션을 확인합니다.
사용자 지정 인스턴스 템플릿
인스턴스 템플릿은 일관된 구성을 배포하는 데 도움이 되는 인스턴스 속성을 정의합니다. 이들은 실행 중인 인스턴스의 사용자 정의 메타데이터와 동일한 유형의 민감한 데이터를 포함할 수 있습니다. 다음 명령을 사용하여 조사할 수 있습니다:
# List the available templatesgcloudcomputeinstance-templateslist# Get the details of a specific templategcloudcomputeinstance-templatesdescribe [TEMPLATE NAME]
스냅샷
스냅샷은 디스크의 백업입니다. 이는 디스크를 복제하는 것과는 다른 기능임을 유의하십시오.
스냅샷은 가져온 디스크와 동일한 암호화를 사용합니다.
