☁️🏗️ AWS에서 인프라 환경 구성하기

1️⃣ 시스템 아키텍처 구성도

---

2️⃣ 작업 순서

[STEP 1] vpc 생성

ec2는 생성한 후 vpc 변경이 불가하므로 vpc 먼저 만들기

[STEP 2] 서브넷 생성

안정성을 위해 2개 이상의 AZ에 나눠서 생성하는 것이 좋음
최소 구성은 한 AZ에 public, private 하나씩

[STEP 3] 인터넷 게이트웨이 생성

만들고 target vpc에 연결

[STEP 4] 라우팅 테이블 생성

환경에 따라 다르게 구성하면 되지만 우선 public, private으로 나눠서 구성함

public subnet 연결
public route table은 igw에서 라우팅 되도록 설정

public subnet에 public route table 연결

[STEP 5] 보안 그룹 생성

inbound/outbound를 white list 방식으로 설정

[STEP 6] EC2 생성

네트워크 설정에서 vpc, subnet, security group 등 지정
public으로 사용할 EC2에서는 퍼블릭 IP 자동 할당 활성화

private ec2에 web server 설치

① NAT Gateway를 통한 방법(인터넷 연결 O)(권장)
비용이 드므로 설치하고 바로 삭제해도 됨

② 설치파일 복사(인터넷 연결 X)
1. bastion host로 사용 가능한 public ec2에서 의존성있는 패키지까지 전부 다운로드
1) sudo dnf download --resolve --alldeps <package name>
2) sudo dnf install <package name> --downloadonly --downloaddir=<download path> --setopt=keepcache=1

2. 패키지를 private ec2으로 복사
scp -i <key file name> <rpm files> ec2-user@<private ec2 ip addr>:<dest path>

3. 설치하기
1) 캐시된 메타데이터만 사용
sudo dnf localinstall *.rpm -C
2) 네트워크 접근 완전 차단
sudo dnf localinstall *.rpm --disablerepo="*"
3) 메타데이터 갱신 없이 로컬 RPM만 설치
sudo dnf localinstall *.rpm --nogpgcheck --assumeyes
4) 의존성 무시하고 설치
sudo rpm -ivh *.rpm --nodeps --force

[STEP 7] 대상 그룹 생성

하나의 로드밸런서에서 트래픽이 분배될 대상 EC2들을 그룹으로 묶어주기

[STEP 8] 로드밸런서 생성

application load balancer -> HTTP(S) 트래픽 처리

• 체계
  - 인터넷 경계
  인터넷에서 들어오는 트래픽을 처리함
  - 내부
  내부에서 전달된 트래픽을 처리함
  

[STEP 9] Route53 레코드 생성 (도메인 연결)

레코드 생성해서 별칭 체크하고 트래픽 라우팅 대상에 인터넷 경계용 LB 연결

[STEP 10] Subnet Group 생성

[STEP 11] RDS 생성

private subnet에 생성하기

접속할 때는 ssh 터널링으로 public ec2를 통해 접속
bastion host에서 port forwarding을 통해 private subnet에 있는 DB에 접속
ssh -i <key file path> -L 3306:<db endpoint>:3306 ec2-user@<bastion host ip>

---

3️⃣ 명명 규칙

용도에 따른 접두사

구분	접두사
개발	dev-
테스트	uat-
운영	prod-

key 명명 규칙

[인스턴스 이름] + -key

• key file 보관 폴더명
  .ssh(숨김폴더)
  리눅스에는 기본 생성되어 있음
  윈도우는 만들어줘야 함

• 서버 접속
  ssh -i <key file path> ec2-user@<public IPv4 addr>
  절대 경로는 쌍따옴표(") 안에 넣고 상대경로는 따옴표 없이 입력

• 서버로 파일 복사
  scp -i ‪<key file path> <file to be copied> ec2-user@<public IPv4 addr>:/<dest path>

• 서버로 키 파일 복사한 후 권한 변경
  chmod 400 <key file name>

• 보안그룹 설정 잘 적용됐는지 확인하고 싶으면
  netstat -an | grep :22

---

4️⃣ 서로 다른 VPC를 연결하기

1. VPC Peering

서브넷과 서브넷 연결
각 서브넷에 연결된 라우팅 테이블 편집해야 함
연결된 서브넷이 속한 VPC IPv4 CIDR 블록 추가
대상 피어링 연결(콤보박스에서 만들어놓은 피어링 선택)

2. Transit Gateway

네트워크 중앙 허브 서비스

1. 이름은 연결된 vpc 이름을 알 수 있도록 지어주기
2. 생성 후 transit gateway의 라우팅 테이블 편집
   1) transit gateway와 transit gateway 연결(양방향)
   연결하려는 다른 vpc 등록하고 내가 만든 transit gateway 연결
   2) transit gateway attachment 생성(단방향)
   transit gateway와 vpc 연결

3. Peering vs. Transit Gateway

VPC Peering 방식에서는 n개의 VPC를 연결하려면 n(n-1)/2개의 피어링 연결을 만들어야 함.
Transit Gateway를 사용하면 모든 VPC가 이용할 수 있는 Transit Gateway를 몇 개를 허브로 사용 가능
네트워크 연결망 복잡도 완화

---

5️⃣ Monitoring

1. Log Group 생성
2. 서브넷 > 플로우 그룹 생성

---

6️⃣ Network Manager

모니터링 및 문제 해결 > Reachability Analyzer 에서
리소스 포인트 간의 연결 상태를 확인할 수 있음
경로 소스(출발지) - 경로 대상(도착지)에 원하는 인스턴스, GW, 인터페이스 등을 입력하여 경로를 생성하면 해당 경로를 분석하여 어디서 연결이 막히는지 확인할 수 있음

---

7️⃣ 리소스 삭제하는 순서

의존성때문에 먼저 지울 수 없는 리소스가 있어서 순서를 지켜주는 게 좋음
RDS(+서브넷 그룹), S3, ECS(+ECR), EC2, Cognito, CloudFront

VPC 엔드포인트 →
로드 밸런서, 대상 그룹 →
Auto Scaling 그룹 →
Security Group →
탄력적 IP →
route table →
Internet GW →
transit GW →
Subnet →
VPC