AWS 용어정리 Part04

AWS Trusted Advisor

• AWS 모범 사례에 따라 리소스를 프로비저닝 하는데 도움이 되도록 실시간 지침을 제공하는 온라인 도구
• 인프라의 최적화
• 보안과 성능 향상
• 비용 절감

• 서비스 한도 모니터링

• Trusted Advisor 에서 제공하는 구너장 사항 활용하여 최적의 프로비저닝된 상태로 유지

• 5가지 카테고리
  • 비용최적화: AWS Trusted Advisor 는 미사용 및 유휴 리소스를 제거하거나 예약 용량을 약정하여 AWS 에서 비용 절감
  • 성능: 서비스 한도 점검, 프로비저닝된 처리량 활용여부 검사, 과다 사용되는 인스턴스 모니터링으로 성능 개선
  • 보안: 결함 없애고 보안기능 사용하여 권한 점검, 애플리케이션 보안 개선
  • 내결함성: Auto Scaling, 상태확인, 다중 AZ 및 백업 기능 활용, 가용성과 중복성 향상
  • 서비스한도: 서비스 사용량이 서비스 한도의 80%를 넘는지 점검, 같은 스냅샷을 기반으로 하므로 현재 사용량은 다를 수 있음 변경반영 최대 24시간 걸릴 수 있음

Cloud Watch

• 제공 메트릭 기능
  • CPU 사용률
  • 네트워크 사용률
  • 디스크 성능 및 디스크 읽기/쓰기 모니터링
• 사용자 지정 메트릭
  • 메모리 활용
  • 디스크 스왑 활용
  • 디스크 공간 활용
  • 페이지 파일 활용
  • 로그 수집
• 멀티 플랫폼 CloudWatch Agent: Window, Linux 기반 모든 인스턴스에 설치 가능
• 단일 에이전트 사용으로 EC2 인스턴스와 온프레미스 서버에서 시스템 메트릭과 로그 파일을 모두 수집 가능
• 확장 모니터링 옵션 설정 : (Cloud Watch 대시보드에서 메모리 및 디스크 사용율 볼 수 있음)RDS 에서는 제공하나 EC2에서는 제공하지 않음

Lambda@Edge:

• Amazon Cloud Front의 기능중 하나로 애플리케이션의 사용자에게 더 가까운 위치에서 코드를 실행하여 성능 개선, 지연시간 단축 가능
• 전 세계 여러 위치에 있는 인프라를 프로비저닝 하거나 관리 하지 않아도 됨
• 사용한 컴퓨팅 시간만큼만 비용 지불, 코드가 실행되지 않으면 부과 안됨
• 서버 관리 부담이 없이 웹 애플리케이션을 전 세계로 배포
• 성능 개선에 효과 향상
• CDN 에 의해서 생성된 이벤트에 대한 응답으로 코드 실행
• 코드 업로드 –> 가장 가까운 AWS 로케이션에서 뛰어난 가용성으로 코드 실행, 확장
• Lambda@Edge 와 Kinesis 함께 사용 –> 실시간 스트리밍 데이터를 처리하여 전 세계에 분산된 사용자들이 고객 웹 사이트 및 모바일 애플리케이션 수행에 클릭 스트림 및 추적, 분석 가능

정책 유형

• 자격증명 기반 정책:
  • 관리형 및 인라인 정책을 IAM 자격증명 (사용자, 사용자가 속한 그룹, 또는 역할)에 연결.
  • 자격증명 기반 정책은 자격 증명에 권한을 부여한다.
• 리소스 기반 정책:
  • 인라인 정책을 리소스에 연결, 리소스 기반 정책의 가장 일반적인 예제는 S3버킷 정책 및 IAM 역할 신뢰 정책이다.
  • 리소스 기반 정책은 정책에 지정된 보안 주체에 권한을 부여함, 보안 주체는 리소스와 동일한 계정 또는 다른 계정에 있을 수 있음
• 권한 경계:
  • 관리형 정책을 IAM 엔터티(사용자 또는 역할)에 대한 권한 경계로 사용,
  • 해당 정책은 자격 증명 기반 정책을 통해 엔터티에 부여할 수 있는 최대 권한을 정의 하지만, 권한을 부여하지 않음,
  • 권한 경계느 ㄴ리소스 기반 정책을 통해 엔터티에 부여할 수 있는 최대 권한을 정의하지 않음
• 조직 SCP:
  • AWS Organization 서비스 제어 정책(SCP)을 사용하여 조직 또는 조직단위 (OU) 의 계정 멤버에 대한 최대 권한을 정의함
  • SCP는 자격 증명 기반 정책이나 리소스 기반 정책을 통해 계정 내 엔터티(사용자나 역할)에 부여하는 권한을 제어하지만, 권한을 부여하지는 않음
• 엑세스 제어 목록(ACL)
  • ACL을 사용하여 ACL에 연결된 리소스에 엑세스 할 수 있는 다른 계정의 보안 주체를 제어
  • ACL은 리소스 기반 정책괴 유사
  • JSON정책 문서 구조를 사용하지 않은 유일한 정책 유형
  • ACL은 지정된 보안 주체에 권한을 부여하는 교차 계정 권한 정책
  • ACL은 동일 계정 내 엔터티에 권한을 부여할 수 없음
• 세션 정책
  • AWS CLI또는 AWS API를 사용하여 역할이나 연합된 사용자를 수임할 때 고급 세션 정책을 전달
  • 세션 정책은 역할이나 사용자의 자격 증명 기반 정책을 통해 세션에 부여하는 권한 제어
  • 세션 정책은 생성된 세션에 대한 권한을 제한하지 않지만, 권한을 부여하지도 않음

Amazon Simple Workflow Service(SWF)

• 분산 애플리케이션 구성 요소에서 작업을 쉽게 조정할 수 있도록 해주는 웹 서비스
• 사용사례
  • 미디어 프로세싱
  • 웹 어플리케이션의 백 엔드
  • 비즈니스 프로세스 워크 플로우
  • 분석 파이프라인
• 애플리케이션 다양한 처리 단계의 호출
• 실행코드, 웹서비스 호출, 사람의 활동, 스크립트 등이 이에 해당
• 작업 조정은 실행 종속성, 일정 및 동시성을 애플리케이션의 논리적 흐름에 따라 관리
• 처리단계 구현, 단계를 계속 진행할 작업의 조정을 개발자가 제어 가능
• 진행상황 추적, 상태정보 유지 등은 개발자가 진행할 필요 없음
• SWF의 Flow Framework 를 사용하면 개발자가 비동기 프로그래밍을 통해 애플리케이션 개발 가능
• 프로그램의 편의성, 애플리케이션의 리소스 사용량, 지연 및 처리량 개선이 가능 한 장점

스노우볼 vs 스노우볼 엣지

• 스노우볼
  • 80테라 까지 가능
  • 비용이 저렴
  • 방대한 데이터를 이관 S3로 이관함
• 스노우볼 엣지
  • 100테라 까지 가능
  • 이동하면서 프로세상까지 함께 수행 가능
  • CPU 인텐시브, 용량 인텐시브 옵션이 존재

Aurora 장애조치

• 자동으로 처리, 수동관리 없이 데이터베이스 작업을 가능한 빠르게 재개
• 동일하거나, 다른 가용 영역에 Aurora 복제본이 있는경우 장애 조치시 DB 인스턴스의 표준 이름 레코드 (CNAME) 를 정상 복제본을 가리키도록 하여 새로운 복제본으로 승격
• 장애 조치는 일반적으로 30초 이내
• 복제본이 없고, Aurora 서버리스를 실행하지 않는경우 원래 인스턴스와 동일한 가용 여역에 새 DB 인스턴스를 생성하려고 시도

연결 드레이닝

• 기존 연결이 열려 있는 상태에서 Classic Load Balancer가 등록 취소 중이거나 비정상 상태인경우 인스턴스로 요청을 중단 함
• 로드 밸런서가 등록 취소 중이거나, 비정상 상태인 인스턴스로 진행 중인 요청을 완료함
• 연결 드레이닝으로 로드 밸런서가 등록 취소를 보고하기 전에 연결을 유지할 수 있는 최대 시간 지정 가능
• 최대 제한 시간 값의 범위는 1 ~ 3,600초이다. (기본은 300초)
• 제한 최대 시간에 도달하면 로드 밸런서는 등록 취소중인 인스턴스로 연결을 강제로 종료함
• 인스턴스가 ASG에 속해 있고, 로드 밸런서 Auto Scaling 에서 연결 드레이닝이 활성화 된경우, 진행 중인 요청이 완료 되거나, 최대 제한 시간이 만료될 때 까지 기다렸다가 조정 이벤트나 상태 확인 대체로 인해 인스턴스를 종료함
• 등록 취소 중이거나, 비정상 상태가 된 인스턴스에 대한 연결 즉시 종료를 원하는 경우 연결 드레이닝을 비활성화 할 수 있음, 비활성화 되면 등록 취소 중이거나, 비정상 상태인 인스턴스로 진행중인 요청이 완료되지 않음

교차 영역 로드 밸런싱

• 교차 영역 로드 밸런싱을 사용하면 Classic Load Balancer에 대한 각각의 로드 밸런서 노드가 활성화된 모든 가용 ㅇ역역에 있는 등록된 인스턴스 간에 요청을 균등하게 분산
• 교차 영역 로드 밸런싱이 비활성화 된 경우 각각의 로드 밸런서 노드가 해당 가용 영역에만 있는 등록된 인스턴스 간에 요청을 균등하게 분산

• aws
• exam