My StudySpace

VIF (가상 인터페이스) [ AWS Cloud ] VPC ---------------------- DCG ----------------------- DX Location -------- On-Premise VGW Association VIF 여기서 VIF는 실제 DX 즉, 물리적인 연결 선을 말한다. AWS Cloud(VPC ↔︎ DCG) 내부 간의 연결은 물리적인 연결 선이 필요하지 않지만, AWS Cloud와 DX Location 간의 연결은 물리적인 연결 선이 필요하다. 여러 VPC (VGW) ↔︎ DX Location 구성일 경우, 물리적인 연결 선이 VPC 갯수만큼 필요하다. 하지만 DCG를 가운데에 프록시로 둘 경우, 실제로 물리적인 연결 선은 하나만 필요하고 나머지는 AWS Cloud 내부..

efs.util 헬퍼 사용하지 않고, nfs client 사용하였다. EFS 보안그룹 포트 2049 오픈 mount할 디렉터리 생성 $ sudo mkdir /efs 마운트 하고자하는 Server 접속하여, 마운트할 디렉터리를 생성한다. mount 명령어 실행 (영구X) $ sudo mount -t nfs4 -o nfsvers=4.1,rsize=1048576,wsize=1048576,hard,timeo=600,retrans=2,noresvport fs- 123abcd123abcd.efs.ap-northeast-1.amazonaws.com:/ /efsdir /etc/fstab 작성 (영구O) fs-123abcd123abcd.efs.ap-northeast-1.amazonaws.com:/ /efsdir nfs4..

참고 블로그: https://docs.aws.amazon.com/lambda/latest/dg/configuration-vpc.html Lambda VPC VPC 내부 서비스(EC2, DB)와 통신하려면 Lambda는 eni가 있어야 하므로, eni를 임시 부여받을 VPC를 지정해야한다. eni를 부여받을 VPC 및 서브넷, 보안그룹을 지정한다. IAM Role { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface", "ec2:DescribeNetworkInterfaces", "ec2:DescribeVpcs", "lambda:*", "ec2:DeleteNetworkInterface", "docdb-elast..

PCX(Peering) 는 다른 공간으로 접속할 네트워크 인프라를 제공하지만 접속 대상 서비스를 제공하지는 않는다.그러나 VPC 엔드포인트는 네트워크 인프라뿐만 아니라 서비스까지 제공한다. VPC 엔드포인트VPC 엔드포인트가 향하는 서비스는 VPC 엔드포인트가 속한 리전에 한정됨클라이언트가 엔드포인트만 액세스하면 서비스로 순간이동 할 수 있음 (따로 라우팅 필요 X)단방향 (트래픽 요청은  VPC상의 리소스 → 다른 VPC상의 리소스 OR non-VPC 서비스로만 가능) 엔드포인트 유형AWS PrivateLink든 Gateway Endpoint는 퍼블릭 링크냐 프라이빗 링크냐에 따라 개념을 나눈 것뿐이고링크를 생성하는 것은 모두 VPC Endpoint로 생성한다. VPC Endpoint 특징엔드포인트와 ..

참고 블로그 https://newstars.cloud/485역할 전환 실습Master 계정에서 DEV, PRD, STG 계정에 역할 전환하여 접속하려면1. 역할 변경할 계정의 IAM Role 생성 및 부여2. Master 계정 ID이나 별칭 및 Role 이름 기입3. 역할 전환 역할 변경할 계정에게 IAM Role 생성 및 부여역할 변경할 DEV, PRD, STG 계정 각각에게 Role 생성하고IAM 사용자에게 Role 부여해야 한다. 먼저, DEV 계정에 로그인하여 관리자 Role 생성 및 부여를 해보겠다.IAM Role을 생성한다.객체 유형은 AWS Account를 선택한다. 권한 추가 항목에서 AdministratorAccess 를 추가하면 모든 작업을 수행할 수 있는 전체 액세스 권한이 제공된다...

Organizations 내 OU 혹은 Account 간 리소스 공유 AWS Resource Access ManagerRAM(Resource Access Manager)를 사용하면 Organizations 내 여러 AWS OU 혹은 계정에 있는 리소스를 공유할 수 있다.내가 소유한 리소스를 공유하고자 한다면  내가 공유 > 리소스 공유 > 리소스 공유 생성 을 선택한다.다른 계정이 소유한 리소스는  나와 공유 > 리소스 공유 >  내가 소유한 리소스를 공유할 경우, 리소스 공유를 생성하여 세부 정보를 지정하면 된다.해당 화면은 내가 소유한 리소스인 Transit Gateway를 선택하여 공유할 리소스에 올린 것이다. 공유할 Transit Gateway에 대한 생성, 삭제, 수정 etc. 권한을 부여한다...

여러 계정에 로그인 하는 방식예를 들어, 회사에 DEV팀, PRD팀, STG팀이 있다고 가정하자.모든 팀이 AWS 프로젝트를 진행하려고 할 때, DEV팀은 DEV Account,PRD팀은 PRD Account,STG팀은 STG Account를 사용한다.각 팀은 각자의 계정에서 각자의 작업을 수행하면 된다. 하지만 우리 같은 관리자들은 DEV + PRD + STG Account에 모두 접속해야 하는 요구사항이 있다.보통 관리자들은 Master Account를 사용하여Master Account만 로그인하면 다른 DEV, PRD 계정도 접속할 수 있게 하는 방식을 사용한다. 우리에게 총 필요한 Account 개수 는 DEV+PRD+STG+Master = 4 개의 Account이다.  다음은 관리자가 여러 계정..

온프레미스와 연결(TGW or VGW ↔ DX)AWS 내부(다른 VPC)PCX(Peering Connection, VPC 피어링)TGW(Transit Gateway, TGW)다른 VPC 간 연결 하기 위해서는 PCX, TGW가 필요하다. AWS 외부(온프레미스)- DX(Direct Connect)- VPN AWS와 온프레미스를 중계하는 VGW (Virtual Private Gateway)를 VPC에 반드시 연결해야 한다.단, TGW(Transit Gateway)를 사용할 경우 예외다.TGW는 VPC와 온프레미스 모두 TGW에 연결해 서로 접속할 수 있다. VGW조차 불필요 하다. 여기서 간과한 점은 VGW ↔ DX Location에서 DCG가 필요하지 않은 경우는 같은 계정의 VPC들이랑만 연결될 때이다..

온프레미스13.246.100.25:80 으로 요청이 들어오면13.246.100.41:80 또는 13.246.100.82:80 으로 분산한다. 이와 같은 서버의 포트 분산 기능은 4계층 이상에서 처리할 수 있으므로,최소 L4(부하분산) 혹은 L7(HTTP) 스위치가 필요하다. L4 스위치- 외부망(인터넷망)과 내부망 분리 가능- L4 스위치에 Public IP를 할당하고, 하위 물리 서버는 Private IP를 할당한다.- 인터넷 트래픽은 Public IP로 L4 스위치에 접근해 Private IP로 물리 서버에 도달한다. 분산 방식1) 라운드 로빈- 순차적으로 분산2) 해시(Hash)- 클라이언트의 IP 주소를 기억해서 특정 클라이언트의 IP로 들어오는 트래픽은 고정 서버에게 전달. 항상 같은 서버에서 ..

방화벽의 접근 제어 방식1) 화이트 리스트(Whitelist)2) 블랙 리스트(Blacklist) 1. 화이트 리스트- 모든 트래픽을 기본 차단한 상태에서 접속이 필요한(화이트) 트래픽만 선별적으로 허용하는 방식 2. 블랙 리스트- 모든 트래픽을 허용 해놓고 거부할(블랙) 트래픽만 선별해 차단하는 방식 보안 그룹- 상태 저장(stateful) 방식으로, 클라이언트의 IP와 포트를 저장하므로 인바운드 허용하면 아웃바운드는 따로 설정할 필요가 없다. NACL- 상태 비저장(stateless) 방식으로, 클라이언트의 정보가 없어 인바운드 및 아웃바운드 규칙에 모두 허용해 둬야 한다. NACL을 화이트 리스트로 사용하면 다음과 같은 문제가 발생한다.1) 인바운드 규칙에 허용된 IP를 아웃바운드 규칙에도 적용해야..