Cloud Infra Architecture (AWS) 205

EC2란? (이론 및 실습) EC2 생성하기

EC2 개요 AWS 클라우드 컴퓨팅 서비스라고 하며 이는 클라우드 가상 서버라고 한다. (Virtual Machine) EC2 클라우드 가상 서버를 "인스턴스"라고 부른다. EC2는 크게 다음과 같은 순서대로 생성 실습을 진행한다. 이름 및 태그 설정 애플리케이션 및 OS 이미지 설정 인스턴스 유형 선택 키 페어 선택 네트워크 설정 스토리지 구성 고급 세부 정보 인스턴스 만들기 ec2 서비스에 들어가서 인스턴스 생성을 클릭한다. 별명 즉, 명칭인 이름 및 태그를 작성한다. 추가해도 상관없다 IAM, 즉 이미지는 운영체제 등이 미리 깔려있어서 EC2를 시작할때 바르게 시작할 수 있도록 도와준다. 이미지는 직접 생성할 수도 있고 여러가지 버전이 존재한다. (레드헷, MS, AWS, 리눅스, 윈도우 등등.....

IAM Policy Simulator란?

AWS 계정의 IAM 사용자, 사용자 그룹 또는 역할에 연결된 정책을 테스트하는 것이다. https://policysim.aws.amazon.com/home/index.jsp? policysim.aws.amazon.com 접속한다. USER로 접속하여 미리 설정해둔 정책으로 EC2 이미지, 태크 생성을 진행해본다. IAM 계정을 좌측에서 선택해주고 오른쪽에 EC2를 선택하고 [CreateImage], [CreateTags]를 선택하고 [Run Simulation]을 돌린다. 이 계정은 AmazonEC2FullAccess라는 권한을 가지고 있으므로 CreateTags와 CreateImage 부분은 allowed 된 것을 확인할 수 있다. User로 접속하여 기본 만들어진 정책으로 S3부분을 시뮬레이션을 돌..

IAM 보안 도구 (IAM Security Tools)

IAM 보안 도구에는 2가지가 있다. 1. IAM 자격증명 보고서 (Credentials Report) 계정의 모든 사용자와 암호, 액세스 키, MFA 디바이스 등의 자격 증명 상태에 대한 보고서를 다운로드할 수 있다. 이런 CSV 파일을 받아 감사에 사용할 수 있다. 2. IAM 액세스 관리자 (Access Advisor) 사용자 또는 역할이 허용된 서비스에 마지막으로 액세스 하려고 시도한 시간을 표시 이 정보를 사용해 필요이상으로 부여된 권한을 재정의 하는데 참고할 수 있다. IAM 자격증명 보고서 확인 IAM 서비스에 들어가 좌측을 보면 자격 증명 보고서가 있다. CSV 파일로 다운로드가 가능하다. 이름, 아이디, 비밀번호, 만들어진 날짜 등등 확인할 수 있는 보고서를 CSV 파일로 볼 수 있다. ..

IAM 역할 (이론 및 실습)

IAM 역할은? AWS 리소스에서 사용하는 자격증명으로 특정 AWS 서비스가 다른 AWS 서비스에 엑세스 하여 작업을 수행할 때 필요한 권한 정책을 연결하여 IAM 역할에 작업 수행에 필요한 권한을 부여 EC2에서 실행되는 애플리케이션이 AWS S3와 AWS RDS 액세스 권한이 필요할 때 역할 사용 직접 엑세스는 불가능하다. 하지만 IAM Roll(IAM 정책)을 연결하여 작업 수행에 필요한 권한을 부여할 수 있다. 위 그림처럼 EC2에서 실행되는 어플이 S3나 RDS에 직접 접근하는 엑세스 권한이 필요할 때 IAM 역할을 사용한다!! IAM - 역할 (신뢰정책) IAM 역할을 이용하여 AWS 계정간 액세스 권한 위임을 하는 기능 신뢰 정책 (Trust Policy)을 사용하여 다른 AWS 계정에 역할..

IAM - Policy(정책)이란? (이론 및 실습)

IAM 정책이란? AWS 리소스에 대한 액세스 권한을 정의한 것 사용자, 그룹, 역할에 이 정책을 연결하여 사용 정책외에 요청은 모두 거부(Deny)된다. JSON 형태로 이루어져 있음 JSON 구조 자세히 살펴보기 1. Effect Statement에 대한 Access 또는 Deny Effect뒤에 Access 혹은 Deny를 적어서 사용 2. Action 정책에 대한 작업 목록 EC2 생성 및 관련 허용 가능 3. Resource 권한이 적용되는 리소스 4. Condition 정책이 적용되는 세부조건 특정 ip 주소 및 리전에서만 적용되도록 할 수 있는 옵션사항 JSON 정책 구문 Version은 Language에 대한 날짜이고 Statement문으로 하나로 묶여있다. lambda 서비스에 대한 모든..

AWS IAM (Identity and Access Management)란? (이론 및 실습)

IAM이란? AWS 계정 및 권한 관리 서비스 AWS 서비스와 리소스에 대한 액세스 관리 사용자, 그룹, 역할, 정책으로 구성 Region에 속하는 서비스가 아닌 글로벌 서비스 다양한 리전 관리 가능 계정 보안 가능 루트 계정 사용을 지양 IAM 계정으로 사용하며 최소한의 권한만을 부여 (최소권한의 원칙) 암호 정책 확인 및 의무 교체 필수 IAM 엑세스 관리 1. 사용자 (User) 사람, ID, 계정 2. 그룹 (Group) 사용자의 그룹별 모음 팀 단위의 모음 ex) 재무팀 3. 역할 (Role) AWS 리소스에서 제공하거나 사용하는 자격증명 S3, RDS EC2 등등에 대한 권한 부여 4. 정책 (Policy) 어떤 사용자에게 어떤 것을 부여하고 어떤 역할만 할 수 있는지 JSON형태로 되어 있음..

AWS 결제 및 비용

AWS Budgets (예산)이란? 예산 지정 후 비용과 사용량 추적하여 확인 RDS / EC2 등 알람을 받거나 리소스 보고서를 작성할 수 있다. AWS => AWS Budgets 누르기 AWS Cost Explorer (비용 탐색기) AWS 서비스에 대한 비용 및 사용량을 분석하는 서비스 월별, 일별 등 사용량 등을 그래프로 시각화하여 볼 수 있음 AWS => Cost Explorer 누르기 AWS 글로벌 인프라 전 세계에 곳곳에 수십개의 지리적 리전에 가용영역(AZ)를 운영하고 있다. 리전 (Region)이란? 여러개의 데이터 센터를 클러스터링 하는 물리적 위치 (워시텅리전, 서울리전, 도쿄리전) 전세계 주요 국가에 위치 (수도 나 큰 도시) 1개의 Region은 2개 이상의 가용영역으로 구성 물론..

On-Premise에서 AWS로 마이그레이션(이전)하기 - WAS & OS

온프레미스 환경에서 스토리지를 운영하다가 AWS(WAS EC2)로 이전하는 경우 CloudEndure를 통해 WAS EC2 Apache로 마이그레이션을 진행한다. 이전 단계 CloudEndure Agent 설치 Staging Area로 복제 마이그레이션 테스트 및 삭제 마이그레이션 수행 및 복제 자원 삭제 순서로 진행한다. 1. CloudEndure Agent 설치 VMware 상에서 Source Machine에 Agent를 설치 설치 완료시 Console Machine탭에 등록 Agent가 Staging Area로 복제 시작 2. Staging Area로 복제 초기 동기화 후 모든 블록 수준 수정을 동기화 초기 복제가 완료된 후 비동기식으로 복제되며 지속적인 모니터링 복제 서버와 볼륨은 15 : 1 비..

On-Premise에서 AWS로 마이그레이션(이전)하기 - WEB

온프레미스 환경에서 스토리지를 운영하다가 AWS(WEB EC2)로 이전하는 경우 Apache를 통해 WEB EC2 Apache로 마이그레이션을 진행한다. 이전 단계 기존 서버 Source 압축 AWS 서버 구축 및 세팅 Source - Target 간 테스트 DNS 서버 설정 순서로 진행한다. 1. 기존 서버 Source 압축 OnPremise환경에서 사용하던 Server의 Source들을 압축 2. AWS 서버 구축 및 세팅 AWS 내의 네트워크를 구성하고 EC2를 구축 WEB Server로 사용할 EC2에 Apache 설치 3. Source - Target 간 테스트 기존 Server에서 AWS 서버에 Source를 복사 복사가 완료되면 PC Host가 무결성 테스트 4. DNS 서버 설정 테스트가 ..

On-Premise에서 AWS로 마이그레이션(이전)하기 - DB

온프레미스 환경에서 스토리지를 운영하다가 AWS(Aurora DB)로 이전하는 경우 AWS DMS를 통해 Aurora DB로 마이그레이션을 진행한다. 이전 단계 복제 인스턴스 생성 Target & Source 엔드포인트 생성 SCT를 이용하여 스키마 변환 마이그레이션 Task 생성 및 Test 순서로 진행한다. 1. 복제 인스턴스 생성 DMS를 설치할 AZ 선택 및 Subnet 선택 2. Target & Source 엔드포인트 생성 Sourece의 경우 On-Premise이므로 소스 엔진, 서비 이름, 포트 등 작성 3. SCT를 이용하여 스키마 변환 AWS Schema Conversion Tool을 사용하여 Source DB에서 TargetDB로 스키마를 변환 4. 마이그레이션 Task 생성 및 Tes..