2-2. AWS Cloud Practitioner Essentials 공부하기 (Module 3~4)

minjeong·2025년 1월 6일
0

AWS Certification

목록 보기
4/4
  • Module 3: Global Infrastructure And Reliability
  • Module 4: Networking

Module 3

  • AWS Gloal Infrastructure
  • Availability Zones
  • Amazon CloudFront
  • Provisioning AWS services

AWS Global Infrastructure

Region

서비스, 데이터, 애플리케이션 등을 위한 지역을 결정할 때, 사업적인 요인을 고려해야 한다.

  • location-specific data regulations 정책 상 지역 제한
  • proximity 거리상 인접하게
  • availablity
  • pricing 비용적 측면

Availability Zone = AZ

  • 단일/복수 개의 데이터 센터를 가진 지역
  • AZ는 서로 10 마일씩, 지연이 적을 수 있는 만큼씩 떨어져 있다.
  • regionally scoped service

us-west-1이라는 AZ가 있다고 하자. us-west-1a 안에 인스턴스가 있고 서비스를 운영 중인데 문제가 생기게 될 경우, us-west-1b에서 동작하도록 할 수 있게 된다.

Edge Locations

Amazon CloudFront = cache storage

Provisioning AWS Resources

Ways to interact with AWS services

  • AWS Management Console
    • web-based
  • AWS Command Line Interface (CLI)
  • AWS Software Development Kits (SDKs)
    • C++, JAva, .NET 등의 언어를 지원

AWS Outposts
Extend AWS infrastructure and services to different locations including your on-premises data center.

AWS Elastic Beanstalk
EC2 인스턴스(+로드 밸런서)로 이루어진 구성 환경을 자동으로 구성, 조정

AWS CloudFormation
JSON, YAML 형식으로 템플릿 작성하여 전체 인프라를 모델링, 관리.

Module 4

Networking

VPC = Virtual Private Cloud

AWS 리소스의 바운더리를 조직하는 네트워킹 서비스를 말한다.

Subnet = EC2 인스턴스 같은 리소스를 포함한, VPC의 일부가 될 수 있는 부분. 보안 또는 운영적 필요에 의해 그룹으로 만들게 된다.

  • Public subnet = 웹 사이트 등 접근 자체가 public 해야 하는 자원들로 이루어져 있다.
  • Private subnet = 로그, 유저 정보 등을 다루는 데이터베이스와 같이 private한 네트워크에서만 접근해야 하는 자원들로 이루어져 있다.

1) 일반적인 VPC
Client의 Public traffic ---> Internet Gateway ---> VPC 방향으로 접근하게 한다. 인터넷 게이트웨이는 AWS Cloud에 속해, VPC에 접근하기 위한 유일한 방법으로써 제공된다.

2) private한 자원만 가진 VPC일 경우
Public/Private traffic ---(VPN Connection)---> Virtual Private Gateway ---> VPC

AWS Direct Connect

Which component can be used to establish a private dedicated connection between your company’s data center and AWS?

Data center와 VPC 사이의 네트워크 연결이 private하게 이뤄지도록 설정하는 서비스. (카페 예시에 따르면 특정 복도를 거쳐야만 카페에 입장할 수 있다고 보면 된다.)

Network hardening

Internet Gateway --- Network access control list (ACL) ---> Subnet

Network ACL = 서브넷 레벨에서의 in/outbound 트래픽을 컨트롤하는 가상의 방화벽.

AWS 계정은 기본적으로 설정된 Network ACL을 가진다. VPC를 구성할 때 기본 값을 사용하면 되고, 커스텀도 가능하다.

기본적으로는 모든 in/outbound 트래픽을 모두 허용한다. 조건을 커스텀하여 제한을 두면, 허용되지 못한 패킷은 무시된다.

Security Group = Amazon EC2 인스턴스 레벨에서의 in/outbound 트래픽을 컨트롤하는 가상의 방화벽.

Security Group은 기본적으로는 모든 inbound 트래픽을 허용하지 않고 있고, 커스텀하여 사용한다.

Security Group, Network ACL

Network ACL에 허용된 출처로부터 온 패킷만 전달되는 등의 보안 규칙 설정이 가능하다. Network ACL은 서브넷 바운더리에서의 패킷 in/out을 컨트롤한다. 따라서 서브넷 내의 EC2 인스턴스 레벨에서의 보안성을 보장하진 못한다.

EC2가 받는 트래픽(패킷)을 컨트롤하기 위해서는 Security Group을 규정함으로써 특정 프로토콜, 출처 등 트래픽을 제한하여 받을 수 있다.

Security Group (Stateful) <-> Network ACL (Stateless) 라는 차이가 있다.

  • Security Group: Stateful 패킷 필터링. 이전의 필터링 결정을 기억한다. 요청할 때 확인했던 패킷에 대한 응답이 인스턴스에 도착할 경우, 이전 요청(에 대한 확인)을 기억하고 있으므로 다시 새로운 확인 없이 허용한다.
  • Network ACL: Stateless 패킷 필터링. 서브넷 간 in/outbound 되는 모든 패킷에 대해 항상 필터링을 거친다. 동일한 요청자나 데이터의 패킷 여부는 알 수 없다. 요청 패킷에 대한 응답 패킷이어도 상관 없이 정해진 규칙을 기준으로 확인한다.

Amazon Route 53

AWS의 DNS (도메인 네임 시스템) 웹 서비스.

DNS = Domain Name System. 웹 사이트 주소를 IP 주소로 변환해주는 역할을 한다.

Module 3-4 Summary: Keywords

  • AWS Region
  • AZ = Availiability Zone
  • Edge Location
  • Amazon CloudFront
  • AWS Outpost
  • AWS Elastic Beanstalk
  • AWS CloudFormation
  • VPC
  • Subnet
  • Internet Gateway
  • Virtual Private Gateway
  • AWS Direct Connect
  • Network ACL = Access Control List
  • Security Group
profile
minjeong
프론트엔드 개발자 👩‍💻
이전 포스트

2-1. AWS Cloud Practitioner Essentials 공부하기 (Module 1~2)

0개의 댓글