AWS Cloud Practitioner Essentials (Korean)
위 aws skill builder 강의, 모듈별 요약 내용입니다.
01. 아마존 웹서비스 소개
클라우드 컴퓨팅 배포 모델
애플리케이션 구성 요소, 선호하는 리소스 관리 도구, 레거시 IT 인프라 요구 사항과 같은 요소를 고려해 선택
- 클라우드 기반 배포
- 온프레미스 배포(프라이빗 클라우드 배포)
- 하이브리드 배포
클라우드 컴퓨팅의 장점
- 선행 비용(데이터 센터, 물리적 서버 등)을 가변 비용으로 대체
- 운영 및 유지 관리에 비용 없음
- 인프라 용량 추정 불필요(사용한 컴퓨팅 시간에 대해서만 비용을 지불- 종량 과금제 모델)
- 규모의경제로 가변 비용이 낮아짐
- 속도 및 민첩성 향상
- 몇 분 만에 전 세계에 배포(글로벌)
02.클라우드컴퓨팅
EC2
클라우드에서 안전하고 크기 조정이 가능한 컴퓨팅 용량을 Amazon EC2 인스턴스로 제공함
EC2 의 장점
- 빠르게 프로비저닝과 시작이 가능함
- 워크로드 완료시 인스턴스 사용 중지가 가능함
- 종량제 과금 모델 사용(종료된 상태에서는 비용 지불 안함)
- 필요한 서버 용량만 비용 지불
인스턴스 유형
- 범용 인스턴스
- 컴퓨팅 최적화 인스턴스 - 고성능 프로세서 제공(ex. 배치처리)
- 메모리 최적화 인스턴스 - 고성능 데이터베이스에 적합
- 액셀러레이티드 컴퓨팅 인스턴스
- 스토리지 최적화 인스턴스 - 데이터 웨어하우징 애플리케이션에 적합
결제 옵션
- 온디맨드- 실행한 기간만큼만 비용 지불
- Amazon EC2 Savings Plans -약정 필요, but 저렴
- 예약 인스턴스 - 약정 필요, 사용량이 예측 가능할 때
- 스팟 인스턴스 - 약정 불필요, 중단 가능할 때
- 전용 호스트 - EC2 전용 물리적 호스트
Auto Scaling / 확장성
확장성: 필요한 리소스만으로 시작하고 확장 및 축소를 통해 수요 변화에 자동으로 대응하도록 아키텍처를 설계함
→ 확장성을 위해 Amazon EC2 Auto Scaling 서비스를 사용(동적 조정,예측 조정 가능 / 함께 사용 가능)
Auto Scaling: 필요할 때 새 인스턴스를 애플리케이션에 추가했다가 더 이상 필요하지 않으면 종료할 수 있다. (최소 용량, 희망 용량, 최대 용량 설정 가능)
ELB
애플리케이션 트래픽을 Amazon EC2 인스턴스와 같은 여러 리소스에 자동으로 분산하는 AWS 서비스
→ Amazon EC2 Auto Scaling과 연동가능 (뛰어난 성능과 가용성 제공)
SNS/SQS
Amazon SNS와 Amazon SQS는 마이크로 서비스를 위한 애플리케이션 통합을 촉진
→ MSA서비스 : 단일 구성 요소에 장애가 발생해도 소결합 때문에 전체 장애를 방지 가능한 설계방식
- Amazon Simple Notification Service(Amazon SNS) -게시/구독 서비스
- Amazon Simple Queue Service(Amazon SQS)- 메시지 대기열 서비스
서버리스 / 컨테이너
서버리스: 코드가 서버에서 실행되지만 이러한 서버를 프로비저닝하거나 관리할 필요가 없음
- AWS Lambda - 서버를 프로비저닝하거나 관리할 필요 없이 코드를 실행
컨테이너 : 애플리케이션의 코드와 종속성을 하나의 객체로 패키징하는 표준 방식을 제공
- Amazon ECS - Docker 컨테이너를 지원하는 관리 시스템
- Amazon EKS - Kubernetes를 지원하는 완전 관리형 시스템
- AWS Fargate - 컨테이너용 서버리스 컴퓨팅 엔진(ECS와 EKS에서 작동)
03.글로벌 인프라 및 안정성
리전과 글로벌 인프라
리전
AWS는 리전이라고 부르는 대규모 그룹에 자체 데이터 센터를 구축하여 재난 발생에 대비함
- 데이터 거버넌스 및 법적 요구 사항 준수 여부
- 고객과의 지리적 근접성
- 리전 내에서 사용 가능한 서비스 여부
- 요금 비교
가용 영역
리전 내의 단일 데이터 센터 또는 데이터 센터 그룹
→ 한 가용 영역에서 문제가 생겼을 경우 다른 가용 영역을 사용할 수 있도록(다른 가용 영역은 문제의 가용 영역의 영향을 받지 않을 만큼 먼 거리에 위치)
→ 한 리전에서 여러 가용영역을 사용해야 고가용성 확보 가능
CloudFront
데이터, 동영상, 애플리케이션, API를 전 세계 고객에게 짧은 지연 시간으로 빠르게 전달하는 서비스(= CDN)
엣지로케이션
CloudFront가 더 빠른 콘텐츠 전송을 위해 고객과 가까운 위치에 콘텐츠 사본을 캐시
AWS 프로비저닝
→ Amazon EC2 기반 환경 프로비저닝을 지원
접근방법
- AWS Management Console(학습하기에 좋고 시각적 정보 확인에 유용 but, 자동화에 어려움)
- AWS CLI
- 소프트웨어 개발 키트(SDK)
AWS Elastic Beanstalk
Amazon EC2 기반 환경 프로비저닝을 지원
AWS CloudFormation
코드형 인프라 도구로 CloudFormation 템플릿 사용
04.네트워킹
Amazon VPC
AWS 리소스에 경계를 설정하는 데 사용할 수 있는 네트워킹 서비스
→ 격리된 섹션을 프로비저닝 가능
→ 인터넷의 퍼블릭 트래픽이 VPC에 액세스하도록 허용하려면 인터넷 게이트웨이 를 VPC에 연결
→ VPC 내의 비공개 리소스에 액세스하려면 가상 프라이빗 게이트웨이 를 사용
→ Direct Connect 는 데이터 센터와 VPC 간에 비공개 전용 연결을 설정하는 서비스
서브넷(subnet)
보안 또는 운영 요구 사항에 따라 리소스를 그룹화할 수 있는 VPC 내의 한 섹션
- 퍼블릭 서브넷 - 누구나 액세스할 수 있어야 하는 리소스(ex.온라인 상점 사이트)
-
프라이빗 서브넷 - 프라이빗 네트워크를 통해서만 액세스할 수 있는 리소스(ex. 고객정보 DB)
네트워크 ACL
서브넷 수준에서 인바운드 및 아웃바운드 트래픽을 제어하는 가상 방화벽
→ 상태 비저장 패킷 필터링
→ 기본적으로 모든 인바운드 및 아웃바운드 트래픽을 허용
보안 그룹
Amazon EC2 인스턴스에 대한 인바운드 및 아웃바운드 트래픽을 제어하는 가상 방화벽
→ 상태 저장 패킷 필터링
→ 기본적으로 보안 그룹은 모든 인바운드 트래픽을 거부하고 모든 아웃바운드 트래픽을 허용
Amazon Route 53
웹 주소를 입력하면 이 웹 사이트에 액세스하는 DNS 서비스
(ex. Amazon Route 53와 Amazon CloudFront가 함께 작동하는 경우← 콘텐츠 전송)
05.스토리지 및 데이터베이스
다양한 데이터 사용 요구 사항과 데이터 유형에 따른 데이터 솔루션 구축 필요
EBS
EC2 인스턴스에서 사용할 수 있는 블록 수준 스토리지 볼륨을 제공((인스터스 종료시 데이터 손실 X)
→ 스냅샷으로 백업 가능(드라이브 손상시에도 데이터 손실 X / 블록 스토리지에서 파일을 수정하면 변경된 부분만 업데이트)
→ 복잡한 읽기, 쓰기, 변경 기능을 수행시 사용
인스터스 스토어
EC2 인스턴스에 임시 블록 수준 스토리지를 제공(인스터스 종료시 데이터 손실 O)
S3
대표적인 객체 스토리지(파일을 수정하면 전체 개체가 업데이트 ↔ EBS)
→ 완성 객체를 사용하거나 변경 횟수가 적다면 S3를 사용
데이터를 검색빈도와 데이터 가용성에 따라 S3 스토리지 클래스 선택
- S3 Standard - 자주 액세스하는 데이터
- S3 Standard-IA - 자주 액세스하지 않지만 필요에 따라 고가용성이 요구되는 데이터
- S3 One Zone-IA - 단일 가용 영역
- S3 Intelligent-Tiering - 불규칙한 액세스 패턴
- S3 Glacier - 데이터 보관용 / 분,시간 이내 검색가 능
- S3 Glacier Deep Archive - 데이터 보관용 / 12 시간 이내 검색가능
EFS
여러 가용 영역에 걸쳐 데이터를 저장
→ 여러 인스턴스가 EFS의 데이터에 동시에 액세스 가능( EBS는 단일 가용영역에서만)
RDS
관계형 데이터베이스는 정형 쿼리 언어(SQL)를 사용하여 데이터를 저장하고 쿼리
Amazon Aurora
데이터베이스 리소스의 안정성 및 가용성을 유지하면서도 불필요한 입/출력(I/O) 작업을 줄여 데이터베이스 비용을 절감
→ 고가용성 확보
DynamoDB
NoSQL 데이터베이스로 키-값 데이터베이스 서비스
→ 서버리스와 크기 자동조정 기능
Redshift
빅 데이터 분석에 사용할 수 있는 데이터 웨어하우징 서비스
DMS
데이터 저장소를 마이그레이션할 수 있는 서비스
→ 온프레미스의 데이터베이스를 AWS의 대상 데이터배이스로 가져옴
추가 데이터베이스 서비스
- Amazon DocumentDB - MongoDB 워크로드를 지원
- Amazon Neptune
- Amazon Quantum Ledger Database(Amazon QLDB)
- Amazon Managed Blockchain
- Amazon ElastiCache - Redis /Memcach
- Amazon DynamoDB Accelerator - DynamoDB용 인 메모리 캐시
06.보안
공동책임 모델
- 고객 책임 - 클라우드 내부의 보안 (ex. 텐츠에 대한 보안 요구 사항)
- AWS 책임 - 클라우드 자체의 보안(ex. 물리적 보안, 인프라)
IAM
- IAM 사용자 - 사용자가 AWS에서 생성하는 자격 증명
- IAM - 그룹 - IAM 사용자의 모음( 그룹별 정책 할당 가능)
- IAM 역할 - 액세스 권한을 일시적으로 부여해야 하는 상황
- IAM 정책 - AWS 서비스 및 리소스에 대한 권한을 허용하거나 거부하는 문서( 최소 권한 보안 원칙)
- Multi-Factor Authentication - 인증을 위해 여러 가지 정보 제공을 요구
Organizations
중앙 위치에서 여러 AWS 계정을 통합하고 관리 , 계정을 조직 단위(OU)로 그룹화
→ 서비스 제어정책 이용(SCP)
AWS Shield
DDoS 공격으로부터 애플리케이션을 보호하는 서비스
기타 보안 서비스
- KMS - 암호화 키를 생성, 관리 및 사용
- WAF - 특정 네트워크 요청을 허용하고 차댄
- Inspector - 추적
- GuardDuty - 지능형 위협 탐지 기능/ 모니터링
07.모니터링 및 분석
Amazon CloudWatch
- 다양한 지표를 모니터링 및 관리하며 이를 기반으로한 알람(경보)기능 생성가능
- 대시보드 기능을 사용하면 단일 위치에서 리소스에 대한 모든 지표에 액세스 가능
AWS CloudTrail
- 계정에 대한 API 호출을 기록 및 확인(로그의 추적)
- Insights기능으로 CloudTrail이 AWS 계정에서 비정상적인 API 활동 감지 가능
AWS Trusted Advisor
- 환경을 검사하고 AWS 모범 사례에 따라 실시간 권장 사항 제시
- 비용 최적화, 성능, 보안, 내결함성, 서비스 한도 5개 범주
