🙂 0525 [클라우드, AWS]

📌 1. 퍼블릭 클라우드

이미 만들어진 자원을 필요한 만큼 사용

☁️클라우드 컴퓨팅 기술

✔️ 인터넷 사용 가능해야 함.
-전세계 어딜 가든 인터넷만 되면 접근 가능.

✔️ 컴퓨터 처리 자원을 공유

✔️ 자원 ; 네트워크(NET), 서버(CPU,RAM,SSD), 스토리지(HDD) , 애플리케이션(APP)

☁️클라우드 종류

✔️하이브리드 클라우드 예시 ; AWS + OPENSTACK 연동

• 고객 정보 OPENSTACK에 둬서 AWS문제생기더라도 큰 타격 없도록 하는 경우 등

• direct연결은 비용이 비싸고, vpn은 비교적 저렴. 우리 실습환경에서는 vpn 이용 예정

✔️ 멀티 클라우드 : 여러 퍼블릭 클라우드 간의 연결

• 예시 ; AWS + AZURE

• 단일 클라우드 호스팅 공급업체에 대한 의존도를 줄임

✔️ 온프레미스 : 건물 내에 서버가 있다. <-> 오프프레미스 : 클라우드(IDC)

☁️퍼블릭 클라우드

✔️ 아마존(AWS), 마이크로소프트(Azure), 구글(GCP)
알리바바

✔️ 컴퓨팅 리소스의 공유 풀에 어디서나 편리하게 필요한 시점에 네트워크로 접근할 수 있도록 하는 모델
공유 풀 ; cluster 여러개의 하드웨어를 하나인 것처럼.

☁️퍼블릭 클라우드 서비스 마켓 쉐어

✔️ ibm - watson ; 인공지능 특화
✔️ azure ; ms-sql, win
✔️ gcp ; docker, kubernetes

☁️ 퍼블릭 클라우드를 사용 하는 이유

✔️ 용이한 IT 인프라 자원 관리
✔️ 빠른 인프라 구축 속도
✔️ 식속한 글로벌 서비스 전개 ( public IP)
✔️ 급증하는 과폭주 트래픽에 대한 자동 확대 조정 (auto scaling)
✔️ 다양한 서비스로의 확장성 제공

☁️ 서비스로서의 퍼블릭 클라우드 유형

✔️왼쪽으로 오른쪽으로 발전과정이 아님. 오른쪽으로 갈 수록 종속(Lock In)되기 때문에 모든 서비스가 SaaS 쪽으로 가는 것은 아님. 오른쪽으로 갈수록 종속력, 비용 커짐.

✔️ PaaS_beanstalk - 개발자가 개발해서(소스코드만 있으면) beanstalk에 올리면 알아서 서버 구축해줌 . 코드 알아서 분석(아파치면 아파치, MySQL필요하면 MYSQL) - 엔드유저가 접속만 하면 되는 단계까지.

✔️SaaS ; MS office같은. 설치할 필요 없이 아이디와 비밀번호만 입력하면 이용 가능. + ERP / 설치 개발 필요 없이 로그인만 하면 되게.

☁️ 가상화 비교

✔️ DOCKER 배울 때 자세히 살펴볼 예정

☁️ Scale UP과 Scale Out

✔️ scale up과 scale out중 상황에 따라 선택해야 함. 그런데, 보통 Scale OUT이 더 유익하다.

✔️ 반대개념 ; scale down / scale in

☁️ 클라우드 서비스 비교

📌 2. AWS 이용 초기 설정

- 루트 사용자 ; openstack admin 개념
- IAM 사용자 ; openstack 사용자 생성한 일반 사용자 개념

📙 management console

✔️ management console 접속해서 대시보드 진입. (최신 홈으로 접속하기)

📙 Region

✔️ region 제대로 되어있는지 확인해야함. 다른 지역으로 설정할 시 그 지역의 센터에 데이터 저장됨. 거리가 멀어짐에 따라 속도가 느려질 수 있음.

✔️ region 명 기억해두자. 서울 ; ap-northeast-2 - 기본 VPC 172.31.0.0/16

✔️ ap-northeast-2a, ap-northeast-2b, ap-northeast-2c, ap-northeast-2d ; 가용영역 (Availability Zone ; AZ)
-가용 영역별로 2개 이상의 데이터 센터(100KM이내)가 존재
-가용 영역별로 subnet 세팅이 되어있다.
-subnet [172.31.0.0/20, 172.31.16.0/20, 172.31.32.0/20, 172.31.48.0/20]
-가용영역에 vm생성

✔️ 만약, 클라이언트가 두 서버 간의 거리가 500KM이상 되어야 한다면 다른 하나는 서울 region이 아닌 오사카 region이라든지 다른 region에 두어야 함.

📙 결제대시보드

✔️ 상단 이름(메뉴) 클릭 - 결제 대시보드 통해서 비용 나가는 것 확인 가능.

📙 서비스

✔️상단 메뉴바 이용

✔️ 위 메뉴창 뿐만 아니라 상단 검색창 통해서 서비스 진입 가능. ex) EC2

📙 일반 사용자 만들기

✔️ 0. 검색 통해서 IAM 대시보드 진입

✔️ 1. 사용자에게 권한 그룹별로 부여하기 위해 사용자 그룹 필요 (그룹이 없다면 사용자에게 개개인별로 권한 부여해야 할 것.)

✔️ 2. 액세스 관리 - 사용자 그룹 - 그룹 생성 - 사용자 그룹 이름 : admin

✔️ 2-1. 권한 정책 연결 - administrator 검색

✔️ 2-2. 목록에서 AdministratorAccess 체크 - 그룹생성 클릭

-결제대시보드 볼 수 없음,root 사용자 삭제할 수 없음 빼고는 root 권한에 준하는 권한을 가짐.

✔️ 3. 액세스 관리 - 사용자 - 사용자 추가 - 사용자 이름 : MJ - AWS 자격 증명 유형 선택 : 액세스 키, 암호 둘 다 체크 - 콘솔 비밀번호 : 자동 생성 - 비밀번호 재설정 필요 체크 - 다음:권한

✔️ 3-1. 그룹에 사용자 추가 - 아까 생성한 admin 체크 - 다음:태그

✔️ 3-2. 태그 추가 : 비워둠 - 다음:검토

✔️ 3-3. 생성한 정보 검토 후 - 사용자 만들기

✔️ 3-4. .csv파일 다운로드 - 닫기

✔️ 4. 액세스 관리 - 계정 설정 - 암호 정책 변경

✔️ 4-1. 암호정책설정 상황에 따라 체크 - 변경 내용을 저장합니다.

📙 생성한 일반 사용자로 진입해보기(파이어폭스)

-chrome에 root사용자 로그인 되어있음.

✔️ 0. chrome root 계정에서 계정 ID 확인

✔️ 1. 파이어폭스에서 aws management console 진입 - iam사용자 - 계정 ID 입력 - 다음

✔️ 2. 사용자 이름 : MJ - 암호 : 다운로드 해둔 .csv 파일에서 password 복사 붙여넣기 - 로그인

✔️ 3. 비밀번호 변경 후 일반사용자로 진입한 콘솔 홈 확인.

📙 MFA 이용하기 - 핸드폰 google OTP

-iphone에 어플 "google authenticator" 준비

✔️ 0. 상단 계정 메뉴 - 보안 자격 증명

✔️ 1. 멀티팩터인증 - MFA디바이스 할당 - 할당할 MFA디바이스의 유형 선택 : 가상 MFA 디바이스 - 계속 - QR코드 표시 - google otp 앱으로 qr 스캔 - MFA 코드 입력 ( 코드 1, 코드 2 6자리 순서대로 ; 시간 바뀜에 따라 입력. [시간 동기 맞추는 과정]

📢 주의사항 : root계정으로 otp만든경우 절대절대 함부로 어플을 삭제해서는 안됨. 일반 사용자로도 AWS 계정에서 먼저 otp 해제(삭제) 한다음 어플 삭제할 것.
-> MFA 디바이스 할당과 똑같이 멀티 팩터 인증에서 MFA 디바이스 관리 통해서 제거 가능.

📌 3. AWS Compute Service

-EC2 (=VM)
-Compute ; CPU , RAM
-VM을 위한 CPU와 RAM 을 설정해보자!

📙 root계정으로 EC2 서비스 이용하기

✔️ 0. 상단 검색창에 EC2 검색해서 서비스 대시보드 진입

📢 주의사항 : 왼쪽 메뉴 인스턴스에서, 스팟 요청 , saving Plans, 예약 인스턴스, 전용 호스트, 용량 예약은 과금이 될 수 있으니 조심할 것. ( 이 부분은 실무중의 실무. 잘못 누르면 바로 과금이 됨.)

📙 인스턴스 생성

✔️ 1. 인스턴스 - 인스턴스 - 인스턴스 시작 (L)
S; 만들어진 인스턴스 시작(실행)
L; 인스턴스 생성

✔️ 1-1. 이전버전으로 전환한 화면.

이미지 뿐만 아니라 인스턴스 생성에 필요한 것들이 포함되어 있는 형태로 제공.(편리)

✔️ 1-2. AMI목록에서, 프리티어만 보이도록 체크 후 가장 상단의 Amazon Linux 2 AMI (HVM) - Kernel 5.10, SSD Volume Type(x86) 선택 클릭

✔️ 2. 인스턴스 유형 선택 - t2.micro - 다음 : 인스턴스 세부 정보 구성

• t; 범용 cpu (앞 알파벳은 용도를 의미)
• 2; 2세대
• EC2의 핵심 기능 ; vCPU, 메모리

✔️ 3. 인스턴스 세부 정보 구성 - 다음:스토리지 추가

⚙️ 위 3개가 VPC설정 (네트워크, 서브넷, 퍼블릭 IP자동 할당)

⚙️ 가용영역 목록

⚙️ 배치그룹 ; 가용영역 안에 어디에 둘지 설정 .가용성문제.

⚙️ 용량 예약 ; 상시 켜두어야 하는 서버가 아닌 경우 설정. 꺼두면 EC2의 비용이 나가지 않음. 예약비용 내더라도 공간 확보해두어 서버를 다시 켤 때 공간부족으로 문제 생기지 않도록. (용량예약에 비용이 필요하지만 상시 켜두는 것보다는 비용이 들지 않음.)

⚙️ 도메인 조인 디렉터리 ; AD ; 인증서버. 누군가 접속할 때 서버에 접근 할 수 있다 없다 결정.

⚙️ IAM역할 ; 사람이 모든 것을 제어하는 것이 아니라 서비스에게 다른 서비스 제어를 맡길 때

⚙️ 종료방식
-중지 ; stop
-종료 ; ternminate(delete, 삭제)

⚙️ 최대 절전 중지 동작 ; 체크 시 절전모드로 들어가서 특정 하드디스크 일부에 공간 마련해서 저장해놓았다가 전원 들어오면 다시 읽어와서 마지막 작업 상태 다시 보여주는 것 사용 가능.

⚙️ 종료, 중지 방지 기능 활성화 ; 쉽게 삭제되거나 중지되지 않도록.

⚙️ 모니터링 ; 5분마다 한번씩 환경체크, 그래프 그려줌. 체크하면 5분이 아닌 1분으로 자주 확인할 수 있도록 변경 가능. (5분은 무료이나 1분으로 좁히는 것은 추가 요금 발생.)

⚙️ 태넌시 ; 서버 호스팅 서비스. 데이터 센터 내에 오로지 우리 회사만 쓰는 전용으로 임대. 공유가 아닌 전용.

⚙️ Elastic Interface ; 지금 자원 내에서 딥러닝 추론 추가.

⚙️크레딧 사양 ; 사양 내에서 갑자기 사용자가 너무 많이 몰려서 서버가 끊기는 경우 자동으로 scale up 시켜주는 것. ex) CPU 1C -> 2C

⚙️ EFS 만들고 들어오면 활성화 되어있음. mount 해주는 작업. 이거하고 인스턴스 만들면 EFS와 마운트 되어있는 상태로 만들어짐.

⚙️ 랜카드 inline 방식으로 추가할 때 필요

⚙️ 자동으로 http 설치하고 실행되게 하기 위해.

#!/bin/bash
yum  install -y httpd
systemctl enable --now httpd

✔️ 4. 스토리지 추가 - 다음:태그추가

⚙️ 루트볼륨 서버 실행 중에도 확장 가능.

⚙️ 디바이스 이름에 'x'가 붙는 이유 ; xen이라는 하이버바이저 서버 이용하고 있기 때문에.

⚙️ 스냅샷; 내가 앞서 선택한 이미지(AMI)의 실체.

⚙️ 크기 ; 30GB 이하로 설정 .(과금 피하기 위해)

⚙️ 볼륨유형 ; 범용 = general purpose / 프로비저닝 된 =provisioned / 마그네틱 ; 하드디스크같은..
거의 똑같은데 범용보다는 general purpose가, 프로비저님됨 보다는 provisioned가 성능 좋음.(IOPS수치 참고)

⚙️ 종료시 삭제 ; terminate(삭제)했을 때 이 EBS도 삭제할 것인지 여부

⚙️ 암호화 ; 파일들을 쉽게 볼 수 없도록 암호화하는 설정. 포렌식 장비로 접근하기 어렵게 해줌. 설정하면 key를 가진자만 데이터를 볼 수 있도록 함.

✔️ 5. 태그 추가 - 태그 추가 - 키 : Name - 값 : SERVER이름 - 다음 : 보안그룹 구성

⚙️ EC2이용 시 인스턴스에 태그 꼭 달아주자. 여러개 만들 경우 어떤게 어떤 서버인지 알기 어렵기 때문에.

⚙️ 인스턴스, 볼륨 ,네트워크인터페이스 체크박스 ; 체크 시 값(인스턴스이름)과 동일 하게 설정.

✔️ 6. 보안 그룹 구성 - 새 보안그룹 생성 - 보안 그룹 이름 : SG-WEB - 규칙추가 - HTTP - 규칙추가 - 모든 ICMP-IPv4 - 소스 드랍다운 : 위치무관 - 검토 및 시작

⚙️ 포트범위 ; destination port

⚙️서버 접근 위해 ssh는 기본적으로 열려 있음 . win이었으면 rdp 열려 있었을 것.

✔️ 7. 인스턴스 시작 검토 - 시작하기 - 새 키 페어 생성 - 키 유형 : RSA - 키 페어 이름 : test-key - 키 페어 다운로드 - 인스턴스 시작 - 인스턴스 보기

✔️ 8. 세부정보에서 퍼블릭 ip주소 및 퍼블릭 DNS 확인 가능 . 여기로 접속하면, 웹 test 서버 확인 가능.

📌 기타

⭐️ OPENSTACK CLI환경에서 key pair 새로 생성하는 방법

# openstack keypair create --private-key my-key.pem my-key
// 새로운 퍼블릭키와 프라이빗 키 동시 생성 

⭐️ NoOPS?

✔️ DevOps + cloud

⭐️ AWS - root사용자 보다는 일반사용자 이용

✔️ 해킹되거나 문제 발생시 일반사용자 삭제하는 방식으로 조치 가능.

✔️ root 사용자에 준하는 권한을 부여해서 일반사용자로서도 불편함이 없게 이용 가능.

⭐️ AWS 사용자 추가 자격증명 유형 - 액세스 키, 암호

✔️ 액세스 키 – 프로그래밍 방식 액세스 ; openstack cli keystone과 유사.

✔️ 암호 ; openstack web UI로 접근한 것과 유사.

⭐️ AWS 자격증명 암호 - 콘솔 비밀번호

✔️ 누군가에게 사용자 생성해서 준다면 자동생성된 비밀번호로 생성하고, 비밀번호 재설정 필요 체크해서 그 누군가가 직접 바꿔서 본인만 비밀번호 알 수 있도록 해야함.

✔️ 본인이 직접 사용자 생성해서 이용할 예정이라면 사용자 지정 비밀번호 만들면 됨.

⭐️ AWS - 사용자 생성 후 .csv파일

✔️ .csv 파일에 cli 로 접근할 수있는 key 들어있음. 유출되지 않도록 주의해야 함.

⭐️ MFA ; Multi-Factor Authentication 다요소 인증

-PW유출되더라도 보안을 유지하기 위한 인증 수단

✔️ 지식 : ID/PW
✔️ 속성 : OTP
- android : google otp
- iphone : google authenticator
✔️ 소유 : 홍채, 지문

⭐️ Amazon Linux 2 와 CentOS7, Redhat7, Fedora 유사함.