Cloud Trail 에서 캡처한 S3 버킷 수준의 API 동작이 사용자가 지정한 Cloud Watch 로그 그룹의 Cloud Watch 로그 스트림으로 전송
특정 API 모니터링 하는 Cloud Watch 경보를 생성하여 해당 API 동작이 발생 했을 때 이메일 알람 받기 가능
S3의 모든 로그정보 (리퍼러 및 처리시간 정보, 버킷에 전송되는 모든 액세스 요청에 대한 자세한 정보 처리) –> Cloud Trail 이용
AWS CloudHSM
클라우드 내에서 전용 HSM(Hardware Security Module) 인스턴스를 사용하여, 데이터 보안에 대한 기업, 계약 및 규제 준수 요구사항을 충족하는데 도움
Cloud HSM 은 기존의 데이터 보호 솔루션을 보완
안전한 키관리를 위한 정부 표준에 따라 설계되고 검증된 HSM 내에서 암화화 키를 보호 가능
Cloud HSM을 사용하면 데이터 암호화에 사용되는 암호화 키를 사용자만 액세스 할 수 있는 방법으로 안전하게 생성, 보관 및 관리할 수 있음
HSM 은 변조 방지 하드웨어 디바이스 내에서 안전한 키 스토리지와 암호화 작업을 제공
HSM 은 암호화 키 자료를 안전하게 저장, 해당 키 자료를 하드웨어의 암호화 경계 외부에 노출하지 않고 사용하도록 설계
물리적, 논리적 변조 감지와 대응 메커니즘 가짐,
하드웨어 키 삭제(제로화)가 트리거됨
하드웨어는 물리적 장벽이 침해되는 경우 변조를 감지하도록 설계
무작위 로그인 공격으로 부터 보호
CO(Crypto Officer) 자격 증명으로 CU(Crypto User) 자격 증명으로 HSM 에 액세스하려는 시도가 일정 회수 실패하면 사용자는 잠금 설정되어 CO 가 잠금을 해제해야함
HSM 에 대한 자격 증명 손실의 경우 Amazon은 사용자 키 또는 자격증명에 대한 권한이 없음, 손실된경우 볼구 불가능
AutoScaling Group
AutoScaling Group 자동조정 및 관리 목적의 논리적 그룹으로 취급되는 EC2인스턴스 모임이 포함됨
ASG 를 통해 상태 검사, 교체 조정정책과 같은 EC2 Auto Scaling 기능도 사용 가능
ASG 크기는 사용자가 원하는 용량으로 설정한 인스턴스 수에 따라 달라짐
수동 또는 자동 조정을 사용하여 수요에 맞게 크기 조정가능
대상 추적 조정 정책에 따라 조정 지표를 선택, 대상 값 설정
EC2 Auto Scaling 은 조정 정책을 트리거 하는 Cloud Watch 경보를 생성 및 관리하면서 지표와 목표 값을 기준으로 조정 정책을 트리거 하는 Cloud Watch 경보 생성 및 관리하면서 지표와 목표를 기준으로 조정값을 계산
조정 정책은 필요에 따라 용량 추가, 제거
특정 치를 지정한 목표 값으로 혹은 목표에 가깝게 유지
대상추적 조정 정책은 지표를 목표값에 가깝게 유지 이외에도 로드 패턴 변화로 인한 지표의 변화에 따라 조정도 가능
인스턴스가 더 많고 규모가 큰 ASG 의 경우 활용도가 더 많은 수의 인스턴스에 분산되므로, 인스턴스 추가 또는 제거하면 대상 값과 실제 측정치 데이터 포인트간 차이를 줄어듬
애플리케이션 가용성을 보장하기 위해서 ASG 는 가능한 빨리 측정치에 비례하여 확장되고, 서서히 축소됨
각각 다른 측정치를 사용하는 전제 하에 다수의 대상 추적 조정 정책을 ASG 에 구성가능
대상 추적 조정 정책을 위해 구성된 CloudWatch 경보는 편집/삭제 하면 안됨, 대상 추적 조정 정책과 연관된 CloudWatch 경보는 AWS 에서 관리, 더이상 필요없을때 자동 제거됨
정책 옵션
단계 조정 정책
클라우드 와치 경보 생성
경보 위반의 크기에 따라 단계적으로 증감
중간에 추가 조정 활동 진행 가능
단순 조정 정책
클라우드 와치 경보 생성
추가 경보에 응답하려면 기존 추가 조정 활동이 완료되어야 가능
스토리지 볼륨
HDD 볼륨은 부팅 가능한 볼륨으로 사용 불가, SSD를 사용해야함 (부탕가능 볼륨)
범용 SSD (gp2) 볼륨:
광범위환 작업에 이상적임
3000IOPS 버스트 기능까지 지원 (지연 시간이 한자릿수 밀리초에 불과)
최소 100IOPS(33.33Gib이하) ~ 최대 16,000IOPS(5,334Gib) 사이
볼륨 크기의 Gibekd 3 IOPS 로 일정하게 확장
gp2 볼륨의 크기는 1Gib ~ 16Tib
향상된 고성능 네트워크 (HPC)
단일루트 I/O가상화 (SR-IOV) 를 사용하여 고성능 네트워킹 기능 제공
SR-IOV 는 기존 가상 네트워크 인터페이스에 비해 높은 I/O 성능 및 낮은 CPU 사용률을 제공하는 디바이스 가상화 방법
향상된 네트워킹을 통해 대역폭과 PPS(Packet Per Second) 성능이 높아지고, 인스턴스간 지연시간이 지속적으로 낮아짐
향상된 네트워킹 사용에 따른 추가요금 없음
ENA(Elastic Network Adapter) 를 통해 향상된 네트워킹 제공
사용하려면 ENA 모듈 설치 및 ENA 지원 활성화 해야함.
인스턴스 종료 정책
기본 종료 정책: 인스턴스를 고르게 분포 시켜 가용 영역을 높이도록 설계
동작 방식
인스턴스가 가장 많으며, 축소로 부터 보호되지 않은 인스턴스가 최소 하나 이상있는 가용 영역을 확인
종료할 인스턴스를 결정하고 종료 중인 온디멘드 또는 스팟 인스턴스의 할당 전략에 나머지 인스턴스 맞추기, 할당 전략을 지정하는 Auto Scaling 그룹에만 적용
인스턴스가 시작 된 후 기본 설정 인스턴스 유형의 우선순위 변경의 경우, 축소 이벤트가 발생했을 때 EC2 Auto Scaling 이 온디맨드 인스턴스를 우선순위가 낮은 인스턴스 유형에서 점진적으로 이동하려고 시도함.
이중 가장 오래 된 시작 템플릿 또는 구성을 사용하는 인스턴스가 있는지 확인
시작 템플릿을 사용하는 ASG 인경우
시작 구성을 사용하는 인스턴스가 없는 한 가장 오래된 시작 템플릿을 사용하는 인스턴스가 있는지 확인, EC2 Auto Scaling 은 시작 템플릿을 사용하는 인스턴스 이전에 시작 구성을 사용하는 인스턴스를 종료한다.
시작 구성을 사용하는 Auto Scaling 그룹
이 중 가장 오래된 시작 구성을 사용하는 인스턴스가 있는지 확인
위 기준에 따라 종료할 비보호 인스턴스가 여러개인경우, 다음 결제 시간에 가장 근접한 인스턴스가 무엇인지 확인합니다. 다음 번 결제 시간에 가장 근접한 비보호 인스턴스가 여러 개 인 경우 이러한 인스턴스 중 하나를 임의로 종료하다.
다음 결제 시간에 가장 근접한 인스턴스를 종료하면 시간당 청구되는 인스턴스의 사용을 극대화 할 수 있다. 또한 Auto Scaling 그룹에서 Amazon Linux Ehsms Ubuntu 를 사용하는 경우 EC2 사용량은 초 단위로 요금이 부과된다.
AWS DataSync
온라인 데이터 전송 서비스, Direct Connect 를 통해서 AWS 스토리지 서비스에서 송수신 되는 대량의 데이터 복사를 간소화, 자동화 및 가속화 합니다.
DataSync 는 NFS(Network File System)/SMB(Server Message Block) 파일 서버 또는 AWS Snowcone과 Amazon Simple Storage Service(Amazon S3) 버킷, Amazon Elastic File System(Amazon EFS) 및 Amazon FSx for Window File server 파일 시스템 간에 데이터를 볼 수 있음
DataSync 를 사용하면 오픈소스 도구를 사용하여, 사용자 지정 솔루션을 구축하거나 비싼 상용 네트워크 가속화 소프트웨어 라이센스를 사용 및 관리할 필요 없이, 수백만 개의 파일이 포함된 대규모 데이터 세트를 이동, 복사 및 동기화 가능
DataSync 를 사용하여 활성 데이터를 AWS 로 마이그레이션하고, 분석 및 처리를 위해 데이터를 클라우드로 전송
데이터를 아카이브 하여 온프레미스 스토리지 용량을 확보하거나 비즈니스 연속성을 위해 데이터를 AWS 로 복제가능
DataSync 는 온라인 데이터 전송의 복잡성과 비용을 절감하여 온프레미스 스토리지 시스템과 S3, EFS 및 FSx 간에 데이터 세트 전송을 간소화 합니다.
DataSync 표준 스토리지 프로토콜 (NFS 또는 SMB) 를 통해 기존 스토리지 시스템 및 데이터 원본과 연결되고, 특별히 구축된 네트워크 프로토콜 및 확장 아키텍처를 사용하여 AWS에서 송수신을 가속화
DataSync 는 자동으로 확장하여 파일 및 객체 이동, 데이터 전송 일정 예약, 전송 진행 상황 모니터링, 암호화, 데이터 전송 확인 및 문제에 대한 고객 알림을 처리합니다.
DataSync를 통해 최소 약정 또는 선결제 금액 없이 복사된 데이터만큼만 지불하면 됨
DataSync는 NFS/SMB 파일 서버 또는 AWS Snowcone과 S3버킷 EFS 및 FSx 파일 시스템간 데이터 전송 가능
ELB 트래픽 분산
ELB 이용하여 웹 사이트에 대한 트래픽을 인스턴스간 분산
상태 체크를 수행하며, 상태가 양호한 인스턴스에 대해서 트래픽 전달
별칭 레코드: Route53 을 이용하여 로드 밸런서를 지정하는 별칭 레코드를 생성, 별칭 레코드는 DNS에 대한 Route 53확장
Route 53-DNS 기능에 고유 활장명 제공
CloudFront 배포와 Amazon S3 버킷 등 선택한 AWS 리소스로 트래픽 라우팅
호스팅 영역의 한 레코드에서 다른 레코드로 트래픽 라우팅 가능
CNAME: 하위 도메인에 대해서만 생성할 수 있음
zone apex 라고 하는 DNS 네임스페이스의 최상위 노드에 별칭 레코드 만들 수 있음
example.com 을 등록하면 zone apex 는 example.com 이며 이에 대한 별칭 레코드 만들 수 있음
example.com 에 대해서는 CNAME 생성 불가
example.com 의 별칭 레코드가 lb1-1111.north-east-2.elb.amazon.com 의 ELB 로드 밸런서를 가리킨다고 가정
로드 밸런서의 IP 주소가 변경 된다면 Route 53은 자동적으로 새로운 IP 주소를 사용하여 DNS 쿼리에 응답하기 시작
