AWS CCP 자격증 시험을 준비하면서 공부했던 AWS 서비스들을 간단 개념정리를 해보겠다. 시험을 위해 공부한 게 아니라 AWS에 대하여 전체적으로 기본 내용을 알고 싶어서 공부를 한 것이라 내 언어로 직접 정리한 개념정리 북을 만들고 싶었다!
0️⃣ IAM
1️⃣ EC2
✨ EC2 인스턴스 구매옵션
-
온디맨드 인스턴스
- 언제든 킬 수 있음, 단기 워크로드
- 가격 예측 가능, 초당 비용 지불 (but, Linux 기반 온디맨드 인스턴스는 30초 써도 60초 과금 - 최소 1분 요금 부과)
-
예약 인스턴스
- 1년 or 3년 기간, 장기 워크로드
- 온디맨드 인스턴스에 비해 약 72% 비용 절감
-
Saving Plans
- 1년, 3년 특정 사용량을 약정하여 달러 지불
- 장기 사용, 70% 절약, 초과 비용은 온디맨드 가격 부과
-
스팟 인스턴스
- 아주 짧은 단기 워크로드용 인스턴스
- 상당히 저렴하나 언제든 손실(중단 가능)하여 신뢰성이 낮음 (= 상태 비저장, 내결함성 워크로드)
- 온디맨드 비교 90% 절약
- 특정 시간에 실행될 필요가 없을 경우 사용
-
전용 인스턴스(Dedicated Instances)
- 하드웨어 공유 X, 전용 호스트 필요 X -> 물리적 서버
- 가장 비싼 옵션
- 사용자 하드웨어에 고유한 인스턴스를 갖는 것
-
용량 예약(Capacity Reservations)
- 특정한 AZ의 용량을 원하는 기간동안 온디맨드 인스턴스를 예약
- 시간 약정 X, 요금 할인 X
2️⃣ EC2 인스턴스 스토리지
EBS
AMI
EC2 이미지 빌더
EFS
Amazon FSx
3️⃣ ELB 및 ASG
비교
로드밸런서
오토스케일링 그룹(ASG)
4️⃣ S3
✨ S3 스토리지 클래스
-
S3 스탠다드
- 지연 시간이 짧고, 처리량 많음
-
Infrequent Access
- 자주 액세스 하지 않지만 필요할 때 빠르게 액세스
- 스탠다드보다 저렴
- 재해복구와 백업에 이상적(보조 백업 복사본 저장)
- One-Zone-1A (= 데이터에 거의 접근하지 않고, 필요한 경우 데이터를 재생성할 수 있다. 가장 비용 효율적인 스토리지 클래스)
-
Glacier 스토리지 클래스
- 아카이브와 백업에 적합
- 저비용 객체 스토리지
-
S3 Intelligent Tiering
- 사용 패턴 기반 계층이동
- 매월 모니터링과 자동화 요금
5️⃣ 데이터베이스
6️⃣ 기타 컴퓨팅 서비스
ECS
- Elastic Container Service
- AWS의 도커 컨테이너를 실행(docker = 컨테이너에 앱을 패킹)
- EC2 인스턴스를 사전에 만들고 사용
- 도커 컨테이너를 시작할 수 있지만 인프라를 프로비저닝하고 유지관리해야하는 서비스
Fargate
- 도커 컨테이너를 실행 but 인프라를 프로비저닝할 필요는 없음
- EC2 인스턴스 만들 필요 없음, 관리 필요없음
- 간단하고 서버리스. AWS의 컨테이너 서비스
- AWS는 우리가 필요한 컨테이너를 각 컨테이너 CPU와 RAM 사양에 맞게 실행.
ECR
- Elastic Container Resistry
- 사설 도커 레지스트리 = 도커 이미지 저장하는 곳 (이 이미지를 ECS나 Fargate로 실행)
Lambda
- 서버리스, 가상 Functions, 시간제한(Short executions)
- on-demand(수요에 따랄 실행)
- 함수가 필요하지 않다 -> 실행X, 구축X
- 스케일링도 자동화
- 이벤트 기반 호출 = 반응형 서비스
- 가격 정책이 쉬움(요청 시에만 지불), 전체 AWS와 통합 가능, 다양한 언어 지원
- 런타임이 짧고, 데이터 변경이나 시스템 상태 변화에 의해 호출된다. 운영 효율성을 극대화하고, 실행 비용을 최소화하는 솔루션
API Gateway
- 서버리스 API 구축한다
AWS Batch
- 시작과 끝이 있음(지속적임과 반대)
- 특정 시점, 비용최적화!, EC2 인스턴스에 의존
- ex) 회사는 수천개의 작업을 실행해야 하지만, 컴퓨팅 리소스를 관리하고 싶지 않다. 이 때 사용하는 서비스
✨ Batch vs Lambda
-
Batch - 시간제한 X, 도커이미지 패키징, EC2인스턴스 스토리지에 의존, EBS 볼륨, 서버리스X, EC2가 만들어져 있어야 함.
-
Lambda - 시간제한 O, 몇개의 언어만 접근, 임시 디스크 용량 제한, 서버리스
Lightsail
- 독립 실행형 서비스. 쉽다
- 사전 구성된 인스턴스 사용하려고 한다. (AWS 처음인 사람이)
CodeStar
- CI/CD 파이프라인 신속하게 구현
7️⃣ 대규모 배포 및 인프라 관리
CloudFormation
CDK
BeanStalk
codedeploy
8️⃣ 글로벌 어플리케이션
Route 53
- 도메인 등록, DNS, 상태 확인, 라우팅 정책
- 글로벌 DNS, 관리형 DNS
- 유저와 가장 가깝게 배포 리전에 라우팅하도록 함
- 재해 복구 계획
- 클라이언트가 URL을 통해 올바른 서버를 찾아갈 수 있게 함
- 라우팅 정책
- 심플 라우팅 정책 - 상태확인 X, 기본적
- 가중치 기반 라우팅 정책 - 상태확인 O, 여러기관 인스턴스에 분산, 지정된 비율로 여러 리소스로 라우팅
- 지연시간 라우팅 정책 - 거리에 따라 지연시간 최소화
- 장애조치 라우팅 정책 - 장애 시 장애조치 인스턴스로 리디렉션
CloudFront
- 콘텐츠 전송 네트워크 CDN
- 엣지에서 캐싱
- 어디에서나 이용 가능해야 하는 정적 콘텐츠 있을 때 유리
- S3 버킷 - OAC(Origin Access Control)
- Custom Origin(HTTP), 정적 S3 웹사이트 먼저 -> 모든 HTTP 백엔드 가능
- WAF 및 Shield와 통합하여 DDOS 프로텍션(웹공격으로부터 보호)
- 기업이 최종 사용자 가까이에 배포할 수 있게 해줌
S3 Transfer Acceleration
- 비교 도구로 S3 연결 테스트 가능
- S3에서 다운로드하고 업로드할 때 속도 개선
AWS Global Accelerator
- 가용성과 성능 개선 (캐싱은 안함)
- 2개의 정적 IP or 애니캐스트 IP로만 가능
- 자동으로 올바른 엣지 로케이션에 리디렉션
- 중간 복잡한 과정이 없어 속도가 빠름(TCP, UDP 같이 넓은 범위 성능 개선)
- 내부 AWS 네트워크 사용해 요청을 전세계에 빠르게 전달
AWS Outposts
- 하이브리드 클라우드
- Server racks(서버 랙)
- Outposts Racks를 설치하여 관리 -> 물리적 보안 책임져야함
- 일부 리소스 배포. 데이터가 로컬에 유지하고 AWS와 회사 리소스 사이의 지연시간은 낮아야 한다
Wavelength
- 5G 네트워크 엣지에 배포
AWS Local Zones
- AWS 로컬 영역
글로벌 애플리케이션 아키텍처
9️⃣ 클라우드 통합
SQS
- Simple Queue Service
- 완전 관리형, 서버리스
- 애플리케이션 분리할 때 사용
- 텍스트FIFO 대기열 처리 서비스
- 장기제공 서비스(10년 이상)
SNS
- Simple Notifiction Service
- 하나 메세지를 다수 리시버(이벤트 구독자)에게 전달(Pub/Sub)
- "알림, 게시-구독, 구독자" 키워드
- 텍스트와 이메일 메시지를 모두 보내는 데 사용
🔟 클라우드 모니터링
Cloud Watch
- 지표 제공 서비스
- 타임스탬프 갖는다
- 모니터링, 이벤트 및 경고. 요금 특정 임계값 초과 시 이메일 전송
- EC2 인스턴스의 CPU 및 네트워크 사용률 모니터링
Cloud Watch Logs
- 로그 파일 수집, 작업 내용 기록
- 로그에 대한 실시간 모니터링 지원
- 로그 보존 설정 가능
Amazon EventBridge
= Cloudwatch Events
- 크론 작업 예약(정기적으로 스크립트 예약)
CloudTrail
- AWS 계정에 대한 거버넌스, 규정준수, 감사 제공
- 계정 내 모든 API 호출 or 이벤트 기록 가져옴
- 일어나는 모든 이벤트 기록
ex) 사용자가 무엇을 삭제했다면 무엇을 누가 언제 삭제했는지 알 수 있음 - EC2 인스턴스가 종료된 시기를 식별할 수 있음
CodeGuru
- 머신러닝 기반 서비스
- 자동화된 코드 검토 (커밋 확인 후 정적 코드 분석) -> 버그 탐지
- 애플리케이션 성능 권장 사항
Comprehend
- 도서관 도서 내용에 따라 전자도서 분휴 자동화하려할 때 사용
1️⃣1️⃣ VPC
- 가상 사설 클라우드 (Virtual Private Cloud)
- EC2 인스턴스에 리소스 배포
- 여러 리전 -> 여러 VPC
- VPC 내에 서브넷
- 논리적으로 격리된 AWS 섹션
- VPC는 AWS 지역 내의 모든 가용성 영역(AZ)에 걸쳐있을 수 있음
NAT Gateway
- 프라이빗 서브넷이 프라이빗 상태를 유지하면서 인너넷 연결
NACL
- VPC 내의 네트워크 보안
- 서브넷 들어오고 나가는 트래픽 제어 방화벽
- 상태 비저장 방화벽
Security groups
- EC2 들어오고 나가는 트래픽 제어 (허용그룹)
VPC Flow Logs
- 인터페이스 통과하는 모든 IP 트래픽에 대한 로그
VPC Peering
- AWS 네트워크 사용해 두 VPC를 프라이빗으로 연결
(두 VPC 간에 데이터를 비공개로 공유하는 최적의 방법) - 동일한 네트워크처럼 만듦
- 비전이적(A->B, B->C일 때, A->C 안됨)
Hybrid Cloud
-
Site to Site VPN
- CGW와 VGW 필요
-
Direct Connect
- 물리적 연결
- 안전한 비공개 연결
- 비쌈, 한달 이상 소요
VPN
- 데이터센터와 VPC 간의 암호화된 연결
- 공용 인터넷 통해 연결
- AWS 사이트 간 VPN 연결 구성 요소
: 가상 사설 게이트웨이, 고객 게이트웨이 - 온프레미스 데이터센터와 AWS 연결할 때 VPN 사용하는지?
-> 사설 네트워크인지, 빠른 설정 필요한지 여부로 CGW와 VGW 필요 판단
Transit Gateway
- 수백~수천 개의 VPC와 온프레미스를 연결
- 여러개의 VPC, VPC 간의 네트워크 연결을 연결하고 중앙에서 관리
AWS X-RAY
- 서버리스 애플리케이션의 성능문제를 디버그
1️⃣2️⃣ 보안 및 규정 준수
- 침투테스트
- 사이버 보안기관 없이 자체 AWS 인프라에서 보안평가 수행
WAF
- DDOS 공격 방어(DDOS란 분산서비스 거부 공격)
- 웹 어플리케이션 방화벽
- SQL 명령어 삽입 XSS 일반공격 보호
- geo-match로 특정국가 차단
Shield
- DDOS 공격만 방어!
- 무료 서비스, 모든 고객 기본적으로 활성화
- 상시탐지 및 자동 인라인 완화를 통해 분산서비스 거부 공격으로부터 보호
Firewall Manager
- VPC 보안 그룹들을 관리
Secret Manager
- 암호 저장, 며칠마다 암호 강제 교체
- RDS 비밀번호 자동 생성
- RDS에서 관리되고 교체되는 암호
Artifact
- 규정준수 보고서, AWS 계약 온디맨드 제공
- 리포트(사내 내부 감사) 다운로드 가능
- 외부 감사인이 보안이나 규정 준수 문서 볼 수 있도록 지원
- AWS ISO 인증 문서 제공
GuardDuty
- 지능형 위협 검색으로 보호
- 머신러닝 알고리즘 사용
- 이벤트 로그 살펴봄
- 악의적인 활동과 무단 동작을 지속적 모니터링하는 위협감시 서비스
Amazon Inspector
- 자동화된 보안 평가 실행
- EC2 인스턴스만 적용
Macie
- 완전관리형 데이터 보안, 프라이버시 서비스
- 머신러닝과 패턴 매칭 사용 -> 민감한 데이터 경고
- 개인식별정보(민감한 정보)를 S3 안에서 식별해서 분류해 보호
Security Hub
- 여러 계정의 보안 관리
- 보안검사 자동화
Amazon Detective
- 잠재적인 보안 문제의 근원을 빠르게 찾아 조치
Inspector
- 보안 자동화하여 인스턴스 보안 및 취약성을 평가
1️⃣3️⃣ 머신러닝
Polly
- 딥러닝 사용해 텍스트->음성 변환
- 대화하는 어플리케이션 만듦
SageMaker
- 완전 관리형 머신러닝 서비스
- 개발자와 데이터 과학자를 위한 완전한 기능
Lex
- 대화형 봇(like 채팅봇)
Kendra
- ML 기반의 문서 검색 엔진
- S3에 저장된 문서에서 텍스트를 검색
Personalize
- 고객을 위한 실시간 맞춤형 추천
1️⃣4️⃣ 계정관리, 청구, 지원
Service Catalog
- 관리자가 사전 정의해둔 스택에 접근할 수 있게 함
Saving Plans
- 시간당 비용을 향후 1년 또는 3년 동안 일정 금액으로 나눠서 지불한다고 약정.
- 달러만 생각. 장기. 선불 지불 시 더 큰 혜택.
Pricing Calculator
- 연간 비용을 정확히 알 수 있음. 서비스 비용 측정!
ex) 사내 IT 인프라를 실행하는 비용과 AWS 클라우드를 비교
Trusted Advisor
- 설치할 필요 없음. 높은 수준의 평가 의견 제공.
- 특정 포트에 대한 무제한 액세스를 허용하는 잘못된 보안그룹 모니터링
- 인프라 분석하여 연결되지 않았거나 활용도가 낮은 EBS 볼륨을 식별
- 확인사항 카테고리 6가지 - 비용최적화, 성능, 보안, 결함 허용성, 비용 제한, 운영 우수성
- Business & Enterprise Support Plan - AWS Support API 사용해 모든 체크사항 확인
Budgets
- 사용비용 추적하고 인스턴스 예약하고 실시간 알림받기
Cost Explorer
- 시간에 따른 비용과 사용량을 시각화, 이해 및 관리
Config
- 시간별 리소스 규정 & 규정 준수 기록
Conito
- 사용자에게 자격 증명을 제공 -> 통합된 로그인 자격 증명!
ex) 새로운 애플리케이션 만들고, 간단하고 안전한 사용자 가입, 로그인, 액세스 제어 기능을 추가
ex) 웹사이트를 소셜 로그인 자격 증명과 통합
AppStream 2.0
- 완전 관리형, 비영구, 어플리케이션 및 데스크톱 스트리밍 서비스
ex) 브라우저를 통해 데스크탑 어플리케이션을 액세스
IoT 코어
- 서버리스이며, 수십억 개의 디바이스를 AWS 클라우드에 연결
☑️ CAF
클라우드 도입 프레임워크(Cloud Adoption Framework) - 서비스가 아닌 백서
비즈니스, 인재, 거버넌스, 플랫폼, 보안, 운영과 같은 6가지 관점에서 해당 기능을 그룹화
- 비즈니스 : 목표 달성, 성과 가속화, 전략 관리, 혁시 ㄴ관리, 포트폴리오 관리, 데이터 수익화
- 사람 : 기술과 비즈니스 연결, 학습, 조직문화, 조직구조, 리더십, 클라우드 숙련도, 조직설계, 변화 가속화
- 거버넌스 : 조직이 누리는 이점 극대화, 혁신 관련 위험 최소화, 혜택 관리, 위험 관리, 프로젝트 관리, 애플리케이션 포트폴리오 관리
- 플랫폼 : 플랫폼 아키텍처, 데이터 엔지니어링, 프로비저닝, 지속적 통합/배포
- 보안 : 기밀성, 무결성, 가용성 확보, 위협탐지, 인프라 준비상태, 데이터 보호
- 운영 : 비즈니스 요구사항 충족, 가시성, 이벤트 관리, 성능 용량 관리, 구성 관리
☑️ Well-Architected 프레임워크
-
운영 우수성 : 작업을 코드로 함(cloudformation), 코드로서의 인프라 유지 관리, 작고 되돌릴 수 있는 변경 자주 수행, 운영 절차 개선, 실패를 예상하고 실패에서 배우기, 관리형 서비스 사용, 수동 프로세서 피하기
-
보안 : 강력한 자격 증명 기반, 권한 최소화, 추적 기능 활성화, 자동화된 보안규칙, 데이터 보호, 암호화, 보안 이벤트에 대비
-
안정성 : 중단 문제를 완화, 복구 절차를 테스트, 장애 예측&조치, 수평 확장, 용량 추측 피하기, IAM, VPC, 오토스케일링, 백업, Route 53
-
성능 효율성 : 고급 기술 사용, 몇분안에 글로벌 배포, 서버리스 아키텍처, 오토스케일링, Lambda, EBS, S3, RDS -> Cloudwatch로 확인
-
비용 최적화 : 사용한만큼만 지불(Lambda), Cloudwatch로 효율성 측정, 태그 사용
-
지속 가능성 : 관리형 서비스 사용, 지속적으로 디바이스를 업그레이드해야 할 필요성 줄여, 스토리지 계층화, 서버리스 서비스들, S3 Intelligent Tiering, RDB 읽기전용 복사본
CLF-C02: AWS Certified Cloud Practitioner 자격증 취득!
풀스택 개발자의 공부기록 📖