Unclebae
School Dev Ops Stubs
Learn Devops and Do Devops

AWS 용어정리 Part05

AWS Cloud Trail

  • 계정의 거버넌스, 규정 준수, 운영 감사, 위험 감사를 지원하는 서비스
  • AWS 인프라에서 계정 활동과 관련된 작업을 기록하고 지속적으로 모니터링, 보관
  • AWS Management Console, AWS SDK, 명령줄 도구 및 기타 AWS 서비스를 통해 수행된 작업, 계정활동 이벤트 기록
  • 계정의 비정상적인 활동 감지
  • 작업의 이벤트 로그를 자동으로 기록, 저장, 규정 준수 감사 간소화
  • Cloud Watch Logs와의 통합을 통해 간편하게 로그 데이터 검색, 규정위반 파악, 인시던트 조사 가속화, 감사관 요청에 신속히 응답

EBS

  • 내구성이 있는 블록 스토리지 디바이스, 인스턴스 연결이 가능
  • 연결을 통해 물리적 하드 드라이브 처럼 사용 가능
  • 크기를 동적으로 늘이고, 프로비져닝된 IOPS 용량 등 수정, 라이브 프로덕션 볼륨의 볼륨 유형 변경
  • 시스템 드라이브, 데이터베이스 애플리케이션용 스토리지등 자주 변경되는 데이터는 EBS를 기본 스토리지로 이용
  • 연속적인 디스크 스캔수행에도 사용가능
  • EBS볼륨은 EC2 인스턴스의 실행 주기와는 독립적으로 유지
  • 여러 EBS볼륨을 단일 인스턴스에 연결 가능
  • 볼륨 및 인스턴스는 동일 가용 영역에 위치해야함
  • 볼륨 및 인스턴스 유형에 따라 다중 연결 사용, 여러 인스턴스에 동시 탑재 가능
  • 종류
    • 범용 SSD(gp2)
    • 프로비저닝된 IOPS SDD(io1)
    • 처리량 최적화된 HDD(st1)
    • Cold HDD(sc1)
    • Magnetic(standard)
  • 특정 가용 영역에 위치하여, 자동으로 복제
  • 모든 EBS 볼륨 유형은 안정적인 스냅샷 기능 제공 99.99% 가용성 제공

접속 호스트 (bastion-host)

  • 보안 강화를 위해 특정 IP주소의 보안 그룹만 있는 작은 EC2 인스턴스를 생성
    • 접속 호스트에 대한 SSH 공격이 차단됨
  • VPC의 다른 인스턴스에 연결하는 점프 서버 역할만 수행하므로 작은 EC2 인스턴스가 되어야함
  • 보안 향상을 위해 SSH 인증 정보를 위해 고용 키 쌍을 추천

EBS Raid 구성

  • RAID 0
    • 여러 볼륨을 함께 스프라이트 가능하므로 속도가 향상됨
    • 더 빠른 읽기/쓰기 용도
  • RAID 1
    • 두개의 볼륨에 미러링 되므로 안정성을 향상
    • 중복성, 내결함성 향상

AWS Cloud Formation

  • 클라우드 환경에서 AWS및 타사 애플리케이션 리소스 모델링 및 프로비저닝 수행하는 공용 언어
  • 프로그래밍, 간단한 텍스트 파일을 사용하여 자동화, 안전한 방식으로 모든 리전과 계정에 걸친 애플리케이션을 모델링 및 프로비저닝
  • 섹션
    • 포맷버젼(선택)
      • 템플릿이 따르는 Cloud Formation Template의 버젼
      • API 및 WSDL 버젼과 상관없이 변경될 수 있음
    • Description(선택)
      • Template을 설명하는 텍스트 문자열, 포맷 버젼 다음에 와야함
    • Metadata(선택)
      • 템플릿에 대한 추가 정보 제공
    • Parameters(선택)
      • 스택을 생성하거나 업데이트시, 실행시점에 템플릿에 전달하는 값
      • 템플릿의 Resources 및 Outputs 섹션에서 파라미터를 참조 가능
    • Mapping(선택)
      • 조건부 파라미터 값을 지정하는데 사용할 수 있는 키와 관련 값의 매핑
      • 조회 테이블과 유사
      • Resources 및 Outputs 섹션의 Fn::FindInMap 내장 함수를 사용하여 키를 해당 값으로 매핑
    • Conditions(선택)
      • 스택 생성 또는 업데이트 시 특정 리소스 속성에 값이 할당되는지 또는 특정 리소스가 생성되는지 여부를 조사
    • Transform(선택)
      • 변환을 지정하는 경우 구문을 사용하여 템플릿에 리소스를 선언할 수 있음
      • 사용할 수 있는 구문과 처리 방식을 정의
      • AWS::Include 변환을 사용하여 기본 AWS CloudFormation 템플릿과는 별도로 저장되는 템플릿 코드 조각으로 작업 가능
      • 버킷에 코드 조각 파일을 저장한 다음 여러 템플릿 간에 함수를 재사용
    • Resources(필수)
      • EC2 인스턴스, S3 버킷등과 같은 스택 리소스 및 해당 속성 지정
      • Resources 및 Outputs 섹션에서 리소스 참조 가능
    • Outputs(선택)
      • 스택의 속성을 볼 때마다 변환되는 값을 보여줌

RDS DR

  • 다중 AZ배포는 데이터베이스 인스턴스를 위해 향상된 가용성 및 내구성 제공
    • 프로덕션 데이터베이스 워크로드에 적합
  • 다중 AZ배포를 수행하면 하나의 기본 DB 인스턴스를 생성하고, 동시에 다른 가용 영역(AZ) 의 예비 인스턴스에 데이터를 복제
  • 각 AZ는 물리적으로 분리된 자체 독립 인프라에서 실행, 높은 안정성을 제공하도록 설계
  • RDS 한군데 장애가 발생하면, 예비 인스턴스로 자동으로 장애 조치 수행, 데이터베이스 작업 재개 바로 진행가능
  • 장애조치 후에도 엔드포인트는 동일하게 유지됨
  • 읽기 전용 복제본은 다른 AZ에서 자체 예비 인스턴스와 함께 설정가능
  • Aurora 의 경우 여러 가용 영역에 걸쳐 읽기 전용 복제본을 배치하도록 선택가능
  • 장애 조치는 RDS가 자동으로 처리, 관라자가 개입하지 않고 최대한 신속하게 데이터베이스 작업 재개
  • 인스턴스의 정식이름 (CNAME)가 예비 복제본을 가리키도록 변경 –> 예비 복제본이 승격되어 기본 복제본이 됨

NACL

  • 액세스 제어 목록은 1개 이상의 서브넷 내부와 외부 트래픽을 제어하기 위한 방화벽 역할
  • VPC를 위한 선택적 보안 계층
  • 보안 그룹과 비슷한 규칙을 이용
  • VPC는 수정 가능한 기본 네트워크 ACL과 함께 자동으로 제공
  • 기본ACL은 모든 인바운드 및 아웃바운드 IPv4 트래픽 허용
  • 사용자 지정 NACL을 생성하여 서브넷과 연결
    • 서브넷은 한번에 하나의 NACL만 연결이 됨
    • 새로 연결하면 기존 NACL은 서브넷에서 제거
  • 생성된 사용자 지정 NACL은 기본적으로 모든 In/Out 트래픽 거부
  • 각 서브넷을 NACL과 연결해야함 서브넷을 네트워크 ACL에 명시적으로 연결하지 않는 경우, 서브넷은 기본 네트워크 ACL에 자동으로 연결
  • NACL은 번호가 매겨진 규칙 목록이 포함됨
    • 가장 낮은 번호부터 시작
    • 가장 높은번호는 32766
  • 별개의 인바운드/아웃바운드 규칙이 존재하며, 트래픽을 허용/거부 가능
  • 상태 비저장
    • 허용되는 인바둔드 트래픽에 대해 응답은 아웃바운드 규칙에 따라 처리됨 (즉, 인바운드가 허락 되더라도, 아웃바운드는 규칙에 따라 별도로 처리 된다는 의미)

Table of Contents