sap
1
ec23 블로그 사이트 호스팅 elb 뒤 ec2
autoscaling 그룹 있음
블로그 컨텐츠 > efs 볼륨 저장
최근 블로그 컨텐츠 + 동영상 기능 추가 < 트래픽 10배 ㅇ상승
피크시간에 사이트 접속/ 비디오 시청하는동안 버퍼링 과 딜레이생김
amazon cloudfront 구성해 s3 버킷으로 배포 지정후 비디오efs 에서 s3 로 마이그레이션
2
회사는 재무 정보에 대한 규제 감사 를 받는중,
단일 aws ㄱㅖ정을 사용하는 외부 감사자는 회사의 aws 계정에 액세스 해야함.
안전한읽기전용 액세스 권한제공 및 보안모범사례는?
회사 aws 계정에서 감사자의 aws 계정을 신뢰하는 IAm 역할 생성 후
필요한 권한이 있는 IAM 정책을 생성함
정책을 역할에 연결후 역할의 시노리정체에 고유한 외부 id 할당
3
aws organizations사용하는 회사는 개발자가 aws 실험 할수있게 함
배포한 랜딩존의 일부로 개발자는 회사 이메일 주소 사용해 계정 요청함
개발자가 비용이 많이 드는 서비스/ 불필요한 서비스 사용하지 않게
aws 비용 제한, 고정된 월 예산 제공하려면?
aws 예산을 사용해 계정 생성 프로세스의 일부로 개발자 계정에 대한 고정된 월 예산을 생성
고가의 서비스 및 구성요소에 대한 액세스를 거부하는 scp 만듦 + 개발자 계정에 scp 적용
예산 금액 도달시 SNS 알림을 보내는 AWS budgets 알림 작업을 생성함 모든 서비스를 종료하려면 Labmda 함수를 호출함
4
vpc의 aws에서 이미지 처리 서비스 호스팅중 vpc는 두 가용영역 (az region) 에 걸쳐 확장중 각 가용영역에 public 서브넷 1 프라이빗 서브넷 1개 포함
서비스는프라이빗 서브넷 ec2에서 실행중
퍼블릭 서브넷 alb는 서비스 앞에 위치
서비스는 인터넷 과 통신해야하며 두개의 NAT gw로 통신중 이미지 저장을 위해 s3로 사용함. ec2는 매일 s3에서 1tb의 데이터를 검색합니다
서비스가 안정적이고, 서비스 보안상태를 손상시키거나 진행중인 작업에 소요되는 시간을 늘이지않으면서 지출을 줄이기 위해선?
vpa 에서 s3 게이트웨이 vpc 엔드포인트를 설정함. 엔드포인트 정책을 엔드포인트에 연결하여 s3 버킷에서 필요한 작업을 허용함
(vpa: vertical pod autoscaler - cpu 및 메모리 예약 자동 조정, 앱의 크기를 적절히 조절해준다
/클러스터 리소스 사용률 개선하고 다른 pod를 위한 cpu 및 메모리 확보하게 함)
수직 확장이라는데?
어떠케..?
recommendation engine 포함 후 가이드라인을 제공하기 위해 resource 사용량 계속 수집.
vpa를 사용한 autoscale을 사용하지 않고 recommendation engine만 사용하도록 설정해 req, limit을 정하고 hpa (수평적 확장) ca를 통해 autoscale 함
5
소매회사 aws 전자상거래 애플리케이션은 alb 뒤의 ec2 인스턴스에서 실행중 이회사는 rds db를 db 백엔드로 사용중 cloud front는 alb를 가르키는 하나의 오리진 구성. 정적 콘텐츠캐시. route53은 모든 퍼블릭 영역 호스팅 하는데 사용
앱 업데이트 후 alb는 때때로 502 상태(잘못된 gw) 오류 반환함
근본원인은 alb에 반환된 잘못된 형식의 http 헤더입니다. 오류 발생 직후 솔루션 설계자가 웹 페이지를 다시 로드하면? 웹페이지가 성공적으로 반환된다
회사에서 문제 해결하는 동안 솔루션 설계자는 방문자에게 표준 alb 오류 페이지 대신 사용자 지정 오류 페이지 제공해야하는데, 최소한의 운영 오버헤드는?
s3 버킷 생성 후 정적 웹페이지 를 호스팅 하도록 s3 버킷 구성함 사용자지정 오류페이지를 s3에 업로드함
cloudfront 사용자 지정 오류 페이지를 구성해 사용자 지정 오류 응답을 추가함. 공개적으로 액세스 할 수 있는 웹페이지를 가르키도록 dns 레코드를 수정함.
// cloud front에서 cname이라고 하는 대체 도메인 이름 사용시,
cloudfront에서 배포에 할당한 도메인 이름을 사용하는 대신
파일 url 에 도메인 이름 사용가능
자체 도메인 이름도 배포사용가능.
6
보안설정 혹은 lambda 함수 감사하고 잇음
lamda 함수는 aurora 디비에서 최신 변경사항 검색함. lambda 함수와 db는 동일한 vpc에서 실행중. lamda 환경변수는 labmda 함수에 db 자격증명을 제공함
lambda 함수는 데이터 집계하고 KMS 관리형암호화 키(sse-kms)를 사용한 서버측 암호화용 으로 구성된 s3 에서 데이터 사용할 수있또록 함 데이터는 인터넷을 통해 이동해서는 안되고, db 자격 증명이 손상되면 회사는 손상의 영향을 최소화 해야함
aurodb 클러스터에서 Iam 데이터베이스 인증 활성화함. 함수가 IAM 데이터베이스 인증을 사용해 데이터베이스에 액세스 할 수 있도록 lambda 함수의 IAM 역할을 변경해야함. vpc에서 s3 게이트웨이 vpc 엔드포인트를 배포함.
// private link-= vpc 엔드포인트냐? 동일 vpc내 서비스간 프라이빗 연결
7
디지털 마케팅 회사는 다양한 팀에 속한 aws 계정 여러개.잇음.
크리에이티브 팀은 aws 계정의 s3 버킷을 사용하여 회사 마케팅 의 컨텐츠로 사용되는 이미지와 미디어 파일을 안전하게 저장함
크리에이ㅇ티브 팀은 전략팀이 개체를 볼수있또록 s3 공유하려함
전략 계정에서 strategy_review인 IAM 역할을 생성함. createtive 계쩡에 사용자 지정 AWS-KSM 키를 설정하고 s3 버킷과 연결함. 전략 계정의 사용자가 IAM 역할을 맡고 s3 버킷의 객체에 액세스 하려고 하면 액세스 거부 오류가 발생하는데, 전략 계정의 사용자가 s3 에 최소한의 권한만 가지고 액세스 할수 있으려면 어떤 단계 ?
s3 버킷에 대한 읽기권한을 포함하는 버킷 정책을 생성함. 버킷 정책의 주체를 전략
계정의 계정 id로 설정한다
creative 계정에서 사용자 지정 kms 키 정책을 업데이트해 strategy_reviewer IAM 역할에 암호 해독 권한을 부여
s3 버킷에 대한 읽기권한을 부여하고 사용자 지정 KSM 키에 대한 암호해독 권한을 부여하도록 strategy_reviewer IAM 역할을 업데이트합니다.
8
공장 및 자동화 애플리케이션이 단일 vpc 에서 실행중. 20개이상의 애플리케이션이 ec2,ecs 및 rds 조합에서 실행됨
세 팀에 sw 엔지니어가 분산되어 잇음 세팀중 한팀이 각 app을 소유해 매번 모든 앱의 비용과 성능을 책임짐 팀 리소스에는 앱과 팀을 나타내는 태그가 있음 팀은 일상 활동에 IAM 액세스를 사용함
aws 월별 청구서에 각 app 또는 팀에 귀속되는 비용결정해야함. 12웡ㄹ 비용을 비교후 향후 12개월 비용을 예측하는데 도움되는 보고서 생성하기 위해 AWS billing and cost management 솔루션을 추천하려면 ?
app 과 팀을 나타내는 사용자 정의 비용 할당 태그 활성화
billing and cost management 에서 각 앱에 대한 비용 범주 생성
비용 탐색히 활성화
9
솔루션아키텍트가 aws에서 실행되는 웹을 검토중 앱은 us-east-1 리전의 s3 버킷에 있는 정적 자산을 참조. 여러 aws 리전에서 복원력이 필요함. 회사는 이미 2번째 리전에 s3 버킷 생성. 최소한의 운영 오버헤드로 이러한 요구사항을 충족하려면?
두번째 리전 s3에 개체 복제하도록 us-east-1 의 s3버킷에서 복제 구성함. 두개의 s3 버킷을 오리진으로 포함하는 오리진 그룹으로 cloudfront 배포를 설정함.
10
각 엔지니어링 팀을위해 AWs Oraganizations 에 OU 생성. OU는 여러 aws ㅅ계정 소유 조직에는 수백개의 aws 계쩡 있음 각 OU가 AWS 계쩡 전체의 사용비용 내역을 볼수있도록 설계하려면?
aws Organization 마스터 계정에서 aws 비용 및 사용보고서 CUR 생성. AWS QuickSight 대시보드를 통해 CUR 시각화 허용
11
서버에 대한 패치 프로세스 구현 온프레미스 서버와 ec2는 다양한 도구로 패치수행. 관리에 모든 서버 및 인스턴스 패치 상태를 보여주는 단일 보고서 필요
어떤 조치?
aws systmem manager를 사용해 서버 및 ec2 패치 관리. SystemManager 사용해 패치 규정 준수 보고서 생성
12
회사에 회사 비즈니스에 중요한 모놀로식 애플리케이션이 있음 linux2를 실행하는 ec2 에서 앱을 호스팅함. 애플리케이션 팀은 부서로부터 인스턴스의 암호화된 ebs볼륨에서 s3 버킷으로 데이터를 백업하라는 지시를 받음 앱팀에 인스턴스에 대한 관리 ssh키-쌍이 없음 앱이 무중단 제공되려면?
s3에 쓰기 권한이 있는 ec2에 역할을 연결 함. aws System Manager Session Manager 옵션을 사용해 인스턴스에 대한 액세스 권한을 얻고 s3에 데이터 복사하는 명령을 실행함
13
날씨 서비스 eu-west-1 의 aws 에서 호스팅 되는 웹의 고해상도 날씨지도 제공함. 날씨 지도는 자주 업데이트 되고, 정적 html 과 s3에 저장됨
웹 앞에 cloudfront가 있음
최근 us-east-1 지역 사용자에게 서비스 확장, 신규 사용자가 지도보기가 느리다고 보고됨
us-east-1 성능 문제를 해결하는 단계조합은?
us-east- 1 에서 새 s3 생성. us-west-1 의 s3 버킷에서 동기화하도록 s3 교차리전 복제 구성함
Lambda@Edge 사용해 북미에서 us-east -1 s3 버킷 사용하도록 요청 수정( 무중단 배포)
14
최근 다른회사 인수. 각회사에 청구 및 보고방식이 다른 별도 aws 계정있음 인수 회사는 모든 계정을 AWS Organizations 하나의 조직으로 통합함.
인수회사가 모든 팀에 대해 의미있는 그룹을 포함하는 비용보고서 생성시 어려움.
인수회사 재무팀이 자체앱을 통해 모든 회사 비용을 보고할 수 있으려면?
조직에 대한 aws 비용 및 사용보고서 생성. 보고서에 태그 및 비용 범주를 정의 athena에서 테이블 생성. athena 테이블을 기반으로 amazon Quicksight 데이터 세트 생성. 재무팀과 데이터 세트 공유.
//아테나 - 표준 sql 이용해 s3 의 데이터 직접 분석, 대화형 쿼리 시스템
15
웹 개발함. ALB 뒤의 ec2 그룹에서 앱을 호스팅하는중. 이회사는 앱 보안태세를 개선하기 원하고 waf 웹 acl을 사용할 계획. 앱에 대한 합법적인 트래픽에 부정적인 영향 안주려면?
웹 acl 규칙의 동작을 count로 설정함 waf 로깅을 활성화 가양성에 대한 요청 분석. 잘못된 긍정을 방지하도록 규칙 수정. 시간이 지남에 따라 웹 acl 규칙의 작업을 개수에서 차단으로 변경.
// 네트워크 acl 1개 이상으 ㅣ서브넷 내/외부의 트래픽 제어하기 위한 방화벽 역할을 하는 vpc 를 위한 선택적 보안계층
라우팅테이블을 지나> 서브넷으로 들어가는 > in.outbound 트래픽 관리
