2장 확장성과 안정성 높은 서버 만들기

김신영·2023년 4월 2일
awsebsec2security group
0

AWS Discovery Book

목록 보기
2/10
post-thumbnail
post-custom-banner

서버

  • EC2 (Elastic Computing Cloud)

보안

  • AWS IAM (Identity & Access Management)
    • AWS 리소스에 대한 사용자 액세스 및 암호화 키 관리 서비스
  • Amazon GuardDuty
    • 관리형 위험탐지 서비스
  • AWS Shield
    • DDoS 보호
  • AWS WAF (Web Application Firewall)
    • 악성 웹 트래픽 필터링

방화벽

  • 외부 사용자 또는 외부 시스템이 내부의 서버 및 자원에 접근하기 위해서는 반드시 방화벽을 거쳐야 한다.
  • Security Group
  • nACL
  • AWS WAF

Region

AZ (Availability Zone)

  • 우리가 흔히 알고 있는 데이터 센터 (IDC, Internet Data Center)
  • 하나의 가용영역(AZ)이 재해, 정전, 테러 화재 등 다양한 이유로 작동 불능이 되더라도, 다른 가용영역에서 서비스를 재개할 수 있도록 하기 위함.

Edge Location

  • AWS의 CDN 서비스인 CloudFront를 위한 캐시 서버들의 모음을 의미한다.

CDN (Content Delivery Network)

콘텐츠(HTML, 이미지, 동영상, 기타 파일)를 서버와 물리적으로 사용자들이 빠르게 받을 수 있도록 전세계 곳곳에 위치한 캐시 서버에 복제해주는 서비스

EC2

On-Premise vs AWS

https://post-phinf.pstatic.net/MjAxOTAyMTlfNDMg/MDAxNTUwNTM1NTkyOTA4.NcD2WXmB_7ToiNMr6kEZrVlcCSM61NaOMMQs4Lznq84g.Y92qfvXSF1OY4EBFOnXrApJFixLE5mdYdwlQG7M1ecEg.JPEG/mug_obj_201902190919537670.jpg?type=w1080

EC2 인스턴스 유형

Amazon EC2 인스턴스 유형 – Amazon Web Services

  • 범용
    • M 시리즈
    • T 시리즈
  • 컴퓨팅 최적화
    • C 시리즈
  • 스토리지 최적화
    • I 시리즈
    • D 시리즈
  • GPU
    • G 시리즈
    • P 시리즈
  • 메모리 최적화
    • R 시리즈
    • X 시리즈

https://post-phinf.pstatic.net/MjAxOTAyMTlfMjQx/MDAxNTUwNTM1NTkzMzk0.1hdjCekp96JJBqRPxJB5z34fO4_NWByLiIoPZoYakyYg.73U3W7h92Oik2H9lVZUcju3XWfjcN7iVevD-z8xoCsYg.JPEG/mug_obj_201902190919531235.jpg?type=w1080

https://justkode.kr/post_image/just-cloud-computing/01-02.jpg

EC2 인스턴스 구매 옵션

  • On-Demand
  • Reserved
  • Spot
  • Dedicated
구분내용
온디맨드 인스턴스
(On-Demand)		필요할 때 바로 생성해서 사용하는 방식
인스턴스에 대해 초 단위 비용을 지불
예약 인스턴스
(Reserved)		1년 또는 3년의 기간에 대한 약정을 통해 온디맨드보다 최대 75% 저렴한 비용을 지불
스팟 인스턴스
(Spot)		경매 방식의 인스턴스로 스펙을 정해 비용을 입찰
전용 인스턴스
(Dedicated)		고객 전용의 하드웨어에서 인스턴스 서비스를 제공

EBS (Elastic Block Storage)

EC2에 연결되는 Block Level의 스토리지 서비스

https://t1.daumcdn.net/cfile/tistory/99B2714C5BF77EC713

EBS 볼륨 유형

볼륨 유형범용 SSD프로비저닝된 IOPS처리량 최적화 HDD콜드 HDD마그네틱
설명다양한 트랜잭션 워크로드 처리지연 시간에 민감한 고성능 처리자주 액세스 하며 처리량 집약적 HDD액세스 빈도 낮은 저비용 HDD빈도가 낮으며 성능 낮은 HDD
사례부트 볼륨I/O 집약적인 NoSQL, RDBMS빅데이터, 로그 처리일별 스캔 횟수 작업 데이터드문 데이터 액세스
API 이름gp2io1st1sc1standard
볼륨 크기1GB~16TB4GB~16TB500GB~16TB500GB~16TB1GB~1TB
최대 IOPS10,00032,000500250200
최대 처리량160 MB/s500 MB/s500 MB/s250 MB/s4~90 MB/s

EBS Snapshot

EBS 볼륨의 데이터를 Snapshot으로 만들어 S3에 백업 및 보관할 수 있는 기능

  • Snapshot 진행 과정 중에도 EBS나 EC2의 서비스 중단 없이 기존 서비스를 즉시 사용 가능합니다.
  • EBS 볼륨 크기 조정에 사용될 수 있다.
  • Snapshot을 통해 권한이 있는 다른 사용자에게 공유할 수 있다.
  • 다른 Region으로 복사 가능

EBS 암호화 기능

  • 암호화 키는 AWS KMS 에서 직접 생성하거나 기본키를 사용할 수 있다.
  • 암호화된 EBS Snapshot은 키 없이는 공유 되어도 사용할 수 없다.

Security Group

인스턴스에 대한 Inbound, Outbound의 네트워크 트래픽을 제어하는 가상의 방화벽 역할을 수행

  • 각 인스턴스 당 최대 5개의 Security Group 할당 가능
  • Allow 만 가능
  • Deny 설정 불가능

💡 Deny 를 적용하기 위해서는 nACL을 통해 Subnet 수준에서 네트워크의 흐름을 제어할 수 있다.

https://www.whizlabs.com/wp-content/uploads/2016/12/AWS-Article1-1.jpg

Security Group 특징

  1. 생성 가능한 Security Group 개수와 규칙에 제한이 있다.
    • 하나의 VPC당 생성할 수 있는 Security Group 개수는 기본 한도 500개
    • 각 Security Group당 추가할 수 있는 Rule의 개수는 50개로 제한
    • 네트워크 인터페이스당 5개의 Security Group을 적용 가능
    • 단, 필요한 경우 AWS Support를 통해 한도 증가 요청 가능
  2. 네트워크 트래픽을 위한 Allow ✅, Deny
  3. Inbound 트래픽과 Outbound 트래픽을 별도로 제어 가능
  4. 초기 설정에는 Inbound 보안 규칙이 없다.
    • EC2를 생성하고, Security Group 설정하지 않으면 통신이 불가능
profile
김신영
Hello velog!
이전 포스트

1장 클라우드와 아마존 웹 서비스

다음 포스트

3장 무한대로 저장 가능한 스토리지 만들기

post-custom-banner

0개의 댓글