성덕이의 개발공간

1) Lambda 생성- 기존에 root가 member의 권한을 다 가지고 왔으므로 lambda를 통해 원격으로 ec2를 시작 및 종료가 가능하다. - Lambda 규칙은 기존에 만들어놨던 Role를 적용한다. (ou_user_access_role) ec2 명 : access_another_user_ec2_testimport boto3 import botocore import logging import sys import datetime from datetime import date, datetime, timezone, timedelta def setup_logging(): """ AWS Lambda Log formatter: https://gist.github.com/niranjv/fb95e716151..

1) S3 버킷 생성- Cloudformation문을 (templete) 가지고 있는 create-ec2ff-role.yml 파일을 s3 버킷에 올리고, 외부에서 access할 수 있도록 변경한 뒤 배포한다. - 버킷 명 : cto-cloudformation-template 생성 2) ACLs 비활성화 3) 버킷 정책 등록외부에서 접근할 수 있도록 버킷의 정책을 수정해준다.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": "s3:GetObject", "Resource": "arn:aws:s3:::cto-cloudformation-template/create-ec2ff-rol..

1) CloudFormation Templete 생성 (Root)- 조직 Member들에게 모두 조종당할 IAM을 (전작에 만들어 놨던) 배포하기 위해 CloudFormation을 생성한다. - 즉, IAM 역할을 생성하고 이 역할에 EC2 인스턴스에 대한 전체 액세스를 부여하는 정책을 추가한다.AWSTemplateFormatVersion: '2010-09-09' Description: CloudFormation template to create an IAM Role with EC2 full access. Resources: EC2FullAccessRole: Type: AWS::IAM::Role Properties: RoleName: ec2ff_for_root(곧 member에서 생성될 IAM Role ..

1) Root IAM Policy 작성 (Member 리소스 권한)- Member의 권한을 가져오기 위해 Root에서 IAM 정책이 필요하다.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:*" }, { "Effect": "Allow", "Action": [ "ec2:Start*", "ec2:Stop*", "ec2:DescribeInstanceStatus" ], "Resource": "*" } ] } 첫 번째 문장 arn:aws:log이 작업이..

#14 A라는 회사는 하이브리드 아키텍처를 사용한다. 회사는 서비스 작성자에게 DNS 레코드를 등록할 수 있는 액세스 권한을 부여하여 DNS 등록 프로세스를 업데이트 시킨다. 비용 효율성을 극대화, 구성 변경 횟수를 최소화 하는 솔루션은? 공유 계정 VPC에 Route 53 Resolver 인바운드 엔드포인트를 생성한다. 온프레미스 DNS 서버에 도메인에 대한 조건부 전달자를 생성한다. 전달 IP 주소를 생성된 인바운드 엔드포인트의 IP 주소로 설정한다. 공유 AWS 계정에 Amazon Route 53 프라이빗 호스팅 영역을 생성한다. 이 도메인에 대한 쿼리를 해결한다. 서비스를 실행하는 각 계정에 대해 공유 AWS 계정에 프라이빗 호스팅 영역을 생성한다. 도메인을 포함하도록 프라이빗 호스팅 영역을 구성..

1) Transit Gateway Attachments - 네트워크 패킷을 주고 받는 소스 및 대상 2) Transit Gateway - 서로 TG에 연결된 VPC들은 CIDR이 겹치면 안된다. - 각 VPC에 Attachment 생성 후 연결한다. - TGW Routing Table에 각 VPC가 연결되어야 한다. 최종 구성본 1) A VPC 생성 후 IGW 생성 2) A VPC Routing table에서 IGW 추가 3) B VPC 생성 4) 각각의 VPC별로 attachment 생성 5) Transit Gate 생성 후 TGW Routing Table에서 각각의 attachment 연결 6) 각각의 VPC Routing table에 서로 tgw를 추가 1) VPC A 생성 VPC 생성 : VPC-..

1) NAT Instance private IP를 가지고 있는 인스턴스가 외부와 통신하고 싶을 때 NAT Gateway를 사용한다. NAT는 Private IP를 Public IP로 변환 NAT Instance는 이 IP를 변환해주는 역할을 EC2 인스턴스에 설치 (여기에 ip주소 변환해주는 소프트웨어 등이 설치됨) private ec2의 routing table에 public vpc의 nat 인스턴스를 target으로 두면 된다. 즉 흐름은! private ec2 -> private routing table -> public routing table -> nat ec2 nat ec2 -> public routing table (IGW) -> IGW -> Internet 이런 느낌 2) NAT Gatew..

1) EC2 생성 - ec2_public - Windows 2016 - ec2_key (키페어) - test-vpc -> public subnet - 보안그룹 rdp_access-sg - rdp : 모두 허용 생성 - ec2_private - linux - ec2_key - test-vpc -> private subnet - 비활성화 - all_access_sg - 모두 제거 후 모든 트래픽 - 위치 무관 1-1) windows 원격 접속 - 원격 데스크탑 클릭 - 연결 후 public ip 넣기 - Administrator - 암호 가져오기 (연결 키 페어) 1-2) windows에서 linux 원격 접속 - key pem을 winodows 안으로 복사 붙여넣기 - putty 다운로드 후 windows..

최종 생성 아키텍처 1) VPC 생성- VPC 대역은 10.1.0.0/16 사용 2) Subnet 생성- public subnet : 10.1.100.0/24 - private subnet : 10.1.200.0/24 참고로 다음과 같은 Ip는 사용할 수 없다.x.x.x.0 - network idx.x.x.1 - gatewayx.x.x.2 - DNSx.x.x.3 - Reservedx.x.x.255 - Boradcast public은 외부 통신을 해줄것 이므로 edit subnet settings -> auto-assign IP settings를 체크해준다. 3) Routing Table 생성 private routing table과 public routing table에 각각 10.10.0.0/16 (v..

IPv4 주소는 32비트 길이의 식별자로 이루어지며 12 자리의 10진수 번호로 이루어짐 32 bit => 8bit, 8bit, 8bit + 8bit 이 중에서 24bit는 네트워크 주소/ 나머지는 호스트 주소 같은 네트워크 끼리만 통신이 가능하다. 192.168.1.11 = 192.168.1.10 192.168.2.11 = 192.168.2.10 이런식으로.. 기본 게이트웨이를 통해 라우터에 있는 라우팅 규칙에 의해 전달된다. ip subnetting 작은 네트워크 단으로 잘개 쪼개는거 이때 cidr이라는 표현 방식을 사용 (192.168.10.1/24) 24같은거 class a의 127.0.0.0 ip 대역 대 사용 cidr 표현방식 : 127.0.0.0/8 이 경우 앞의 8비트 부분만 네트워크로 사..