aws training session

Jae Hoon Shin, 신재훈, Noah·2021년 1월 21일
0

AWS Budget,

  • 예산초과시 알림 설정 가능,
  • 비용 예산
  • 사용량 예산
  • 예약 예산

savings plan

비용 이상 탐지 기능도 있어서 돈새는거 막을수 있다.
임계값 설정 가능, 알림 빈도 ,수신자,

특정 서비스나 계정, 정할수 있다
서비스마다 돈 나가는 정도가 달라서, 서비스마다 비용 이상 탐지 기능을 설정할 숭 있다.

메소드 1: 리소스에 알맞는 사이즈의 이느턴스 사용

리소스 최적화,

이걸 할수 적용할 수 있는지 보기 위해서 클라우드 와치, 컴퓨트 옵티미마이저 (대시보드로 알려준다.퍼포먼스 초점), 코스트 익스 플로어(비용 초점)
2주간 cpu 사용량 기반으로, 추천해주고,

성능에초점, 비용에 초점, 둘중 하나 선택해서 정할수있다 ,(리소스 최적화)

메소드 2 : 탄력적인 리소스 운영

수요에 따라 유연하게 운영,

테스트환경은 24시간 내내 켜둘 필요 없어서, 주말은 꺼놔도 된다.
타이트하게 업무시간에만 켜두면 많이 절감할수있다 (테스트 인스턴스)
(물론 실제 서비스 인스턴스는 7/24 켜놔야겠지)

인스턴스 스케줄러
ec2, rds를 언제 시작하고 중지할지 정할수있다.

aws 오토 스케일링,
리소스 성능과 비용을 최적화

메소드3: 총 4개

온디맨드, 트래픽 예측 불가 시, 사용, 돈 많이 나감,
예약 인스턴스, 세이빙스 플랜 - 온디맨드보다 싸다, 기간 약정 필요, 1년, 3년이상 필요 (일정/항시 켜두어야 하는 워크로드
예약인스턴스랑 세이빙스 다른점: 적용되는 서비스가 다르다, 예약은 ec2, rds, redshift, elasticcache
elasticsearch
세이빙스는 ec2, fargate, lambda
잠시 종료되어도 되는 배치성이나 테스트에는 스팟 인스턴스
세이빙스 플랜에도 2개로 나뉘는데, compute savins plan, 
예약 인스턴스를 marketplace로 재판매할 수 있다. 1년 3 년 약정했지만 너무 길고 이제 안쓰면 이거 다시 팔수 있다.
그래서 여기 마켓플레이스에서 1달정도 사볼 수 있다.

메소드 4 : 알맞은 storage class 사용 - s3

스탠다드 = 제일 자주 엑세스 하는 스토리지, 자주 쓰는 데이터들 모아 놓는 곳,
스탠다드-infrequent Access =
글래이셔 - 저장비용이 제일 낮지만, 데이터를 다시불러오는 시간과 비용이 많이듬

데이터 엑서스 패턴파악이 가능하면, 만약 더 많이 불러오면 글래이셔에서 위쪽으로 자동으로 옮길수 있는 기능
데이터 엑서스 패턴 파악을 모르면, Intelligent Tier를 써서 자동으로 서로 데이터를 옮겨준다.

비용관리 메커니즘 만들기,

비용최적화는
비용에대한 굳 이해
재무팀과의 협력
자동화 해서 비용절감
공통목표를 세우고 follow up 하는 것!

aws.amazon.com/training

루트 키 잠그기

IAM 사용자를 다수의 사용자가 공유하면 안댄다.

자격증명을 정기적으로 교체

최소 권한 부여

일정기간 또는 한번도 접근 ㅎ안한 서비스들에 대한 권한은 점차적으로 회수할 것을 권장

보안 역시 꾸준한 관심과 관리가 필요

서비스간 권한 제어에 역할 사용
IAM ROle 을 부여하는 액션자체에도 권한 관리가 피룡,

보안강화를 위해 조건 정책사용

IAM advanced

모든권한에 걸쳐져 있다,
AWS 계정의 활동 모니터링 및 감사

CloudTrail
고의 모든 감사활동에대한 활동 기록 알수 있다, 누가 언제 무엇을 어떻게 했는지 알수 있다.
예방이 아니라 문제 발생시 트러블 슈팅을 위해 좋다.

GuardDuty 는 예방

security hub = 환경 전반에대한 통합 디새보드 로 관리

속성 기반 접근 제어,

세션 2

AWS IAM 과 친해지기,

Identity and Access Management
Why security?

처음에는 콘솔기반으로 작업하지,
쉽게 시작할수 있지만
반복작업이나 대략에는 적합 노노
시간이 오래걸림,

이제 아마존에 적응하면
CLI , Script 로 한다,
반복작업에 적합
원하는 항목에 대한 수정 용이

더 나아가면
프로비저닝 엔진 사용 코드기반
말그대로 인프라를
자동화 구현에 용이
반복작업 고

DOM 기반, CDK 로
코드기반으로,
원하는 형상에 대한 정의

공통점은 어떤걸로 하든
결국 API 로 하는 건데 ,
클라가 어떤 요청을 하든 결국 API 로 하고
요청응답도 API 형태를 띄게 된다.,,

aWS 에서 API 처리방법
자격증명 포함되이쓴ㄴ데
Access key 랑 비밀키로 표시 되있다 (헤더에)
비밀키는 HMAC 서명값,

Shared Responsibility model
아마존이 제공하는 클라우드 보안은 아마존이 책임
그외엔 우리가 책임,

IAM 구성은 우리가 한다, 기업별로 천차만별이라

AWS 전체의 권한 통제 시스템 = IAM

인가는 클라에게 권한이 있는지,

IAM User는 보안 취약,
IAM Role 은 임시 자격증명, 일정시간 만료 토큰,

IAM 보안주체의 적법한 서명값이 포함 (아ㅣㄴ즈즈즈즈즈즈)

AWS 정책의 json 구조,
하용 or 차단?
어떤행위를?
어떤객체들에 대해?>
어떤 조건에서?

통합 access control이지,,

웹어플이케션

사진찍음

동적인 섭시느는 엘라스틱,
동적인 요청을 처리하는 것은 로직처리,

M, T 타입쓰는게 좋다,
머신 이미지,

디비 사용량 증가시 용량 자동 확장 시킬수 있다.

질문: 11/9 의 내구성? ??? S3 첫화면,

ㄷECS 는 도커,
EKS 는 설치없이 관리 할수있는 오픈 툴

서버가 없는게 , 아니라 서버 걱정없이 일 가능

DYnamo DB

용량을 자동으로 확장.축소한다

profile
🇰🇷🇺🇸 #Back-End Engineer

0개의 댓글