My StudySpace

공통 Source IP들을 대상으로 여러 포트를 Open해야할 경우, Source IP들을 리스트로 만들면 보안그룹을 만들때마다 일일이 지정하지 않고 한 번에 지정할 수 있어 편리하다. 이는 SG in SG 으로는 불가하고, Prefix List 를 생성하여 지정해야 했다. Managed Prefix List(관리형 접두사 목록) 접두사 목록의 최대 항목이 30인데, 처음에 생성될 때 접두사 목록을 2개만 작성해도 최대 사이즈인 30으로 잡히므로 접두사 목록 크기 조정으로 조정이 필요하다. 접두사 목록이 5개 항목이 있다고 가정할 경우, 단점은 보안그룹을 생성할 때, 규칙 하나에 포트와 접두사 목록을 연결한다면 규칙이 5개 (포트* 접두사 항목 수)로 카운팅 된다는 것이다. 그래서 보안그룹 내 규칙 갯수..

ALB 규칙을 사용해 http를 https로 리다이렉션다음은 ALB 리스너 및 규칙이다.크게 HTTP:80과 HTTPS:443으로 리스너를 구성하였다http로 들어온 트래픽은 https로 리다이렉션하기 위해 http:80으로 들어온 트래픽은 https로 리다이렉션한다. 다음은 HTTPS:443 리스너 규칙이다.기본값은 고정 응답 코드 200을 반환하도록 구성한다.400으로 구성할 경우, ALB HealthCheck할 때 정상적으로 확인이 안되므로 유의한다. ALB TargetGroup HealthCheck보통 개발자들에게 healthcheck 용 더미(웹페이지)를 제공 받는다.상태 검사 경로는 상대경로이다.서버 내 해당 트래픽 포트로 돌고 있는 응용 프로그램의 루트 경로에서부터 healthcheck 페이..

참고 사이트: https://www.lgcns.com/blog/cns-tech/aws-ambassador/40970/ Landing Zone(랜딩 존) 랜딩 존은 확장성과 안전성을 갖춘 잘 설계된 다계정 AWS 환경이다. 매번 집을 지을 때마다 수도관, 가스관 작업을 일일이 하면서 복잡해졌다. 기존 구성의 보수작업 및 신규 작업이 더 어려워지고 시간, 비용, 효율성, 관리 면에서 문제가 발생한다. 바로 여기서 랜딩존의 장점이 나타난다. 처음 기반 작업을 할때 아예 언제든 확장이 가능한 구조로 수도관, 가스관, 전기선을 포설한다. 즉, 이후 들어오는 집은 그저 연결만 하면 된다. 랜딩 존도 계정 및 네트워크, 보안 요소가 이미 완성되어 있기 때문에, 랜딩 존 위에 또다른 새로운 시스템을 구축하고자할 때, ..

참조 사이트: https://aws.amazon.com/ko/blogs/networking-and-content-delivery/hosting-internal-https-static-websites-with-alb-s3-and-privatelink/ 온프레미스에서 VPC Endpoint를 사용하여 S3로 프라이빗 액세스 internal ALB vpc endpoint 사용하여 s3 접근 url로 리다이렉션 1. VPC Endpoint 생성 S3 액세스 가능한 VPC Endpoint 유형은 Gateway, interface 두 가지가 있다. 퍼블릭 액세스의 경우 Gateway, 프라이빗 액세스의 경우 interface를 사용한다. 우리는 프라이빗 액세스를 위해 interface 유형을 선택한다. ENI가 생..

클라우드 컴퓨팅(클라우드)이란, 컴퓨터와 소프트웨어를 자신이 '소유'하는 것이 아니라, 네트워크를 통해 클라우드 사업자(CSP)의 컴퓨터와 소프트웨어를 서비스로서 '이용'하는 것이다. 기업이 클라우드를 이용할 경우, 모든 작업은 클라우드 사업자의 데이터 센터 안의 시스템에서 처리하게 된다. 클라우드 보급 배경 다양한 기술의 발전 CPU의 처리 속도 고속화 가상화 기술과 분산 처리 기술의 발전 빨라지고 저렴해진 네트워크 거대해진 데이터 센터 당시 기업의 과제 IT 투자 비용의 절감 유연한 서비스 설계와 이용, 구축 및 운용 부담 클라우드의 특징 주문형 셀프 서비스 사용자의 개별 관리화면을 통해 서비스를 이용할 수 있다. 광범위한 네트워크 접속 모바일 기기 등의 다양한 디바이스를 통해 서비스에 접속할 수 있..

참고 사이트 https://docs.aws.amazon.com/ko_kr/elasticloadbalancing/latest/application/enable-access-logging.html https://docs.aws.amazon.com/ko_kr/elasticloadbalancing/latest/network/load-balancer-access-logs.html 여러 Account 및 VPC에서 S3 공유(로그 중앙화) 여러 Account 및 VPC에서 각 AWS Config 및 CloudTrail, VPC FlowLog, ELB Log가 수집한 로그를 중앙 계정의 S3에 쌓도록 로그 중앙화 하는 과정이다. S3는 같은 리전 내 고유한 버킷명을 가지고 있어서 환경별 계정의 IAM Role을 주지..

여러 Account 및 VPC에서 온프레미스 간 연결(VGW ↔ DX) 사전 조건: AWS DX 신청(네트워크 대역폭) 및 확보 1. Direct Connect Gateway 생성 2. 가상 인터페이스(VIF) 연결 사전 조건으로 AWS DX 신청(네트워크 대역폭) 및 확보가 되었을 경우, 가상 인터페이스 유형(Public/Private/Transit) 선택 새 가상 인터페이스가 프로비저닝될 물리적 연결 기타 설정 값들을 입력하여 VIF를 생성할 수 있을 것이다. 1. 가상 프라이빗 게이트웨이(VGW) 생성 Direct Connect > 가상 프라이빗 게이트웨이(vgw) > 가상 프라이빗 게이트웨이 생성 생성 후 VGW 붙이고자하는 대상 vpc와 연결한다. 2. Direct Connect Gateway ..

참고 블로그 : https://easyitwanner.tistory.com/463#cloudtrail CloudTrail 사용자, 역할 또는 AWS 서비스가 수행하는 작업들을 이벤트로 기록 S3 최대 90일 보관 일부 AWS 서비스는 “글로벌”(작업은 로컬로 호출할 수 있지만 다른 AWS 리전에서 실행됨)로 표시되지만, 글로벌 서비스 이벤트는 CloudTrail에 기록되지 않음 로그인 이벤트 글로벌 서비스 이벤트로서 미국 동부(버지니아 북부)의 다중 리전 트레일에 기록됨 단일 리전에는 기록이 되지 않음 이벤트 기록 이벤트 이름 이벤트 시간 사용자 이름 이벤트 소스 리소스 유형 리소스 이름 읽기 전용 AWS 리전 이벤트 ID AWS 액세스 키 소스 IP 주소 오류 코드 요청 ID JSON 형태의 Cloud..

Auto Scaling 설정 시작 템플릿 생성 EC2 > Auto Scaling 그룹 > Auto Scaling 그룹 생성 시작 템플릿에서 인스턴스 유형 및 세부정보를 지정할 수 있고 또는 Auto Scaling 그룹에서도 인스턴스 유형 및 세부정보를 지정할 수 있다. (시작템플릿 or AS 그룹 둘중 하나에서 설정) 동적 조정 정책 생성 필요 기존 로드밸런서 연결 할 경우, 기존 로드밸런서의 AZ가 2 곳이라면 Auto Scaling 그룹의 인스턴스 갯수 최소치(minimum)를 1로 할 경우, 인스턴스는 지속적으로 2개를 유지하기 위해 인스턴스 생성, 삭제를 반복하는 문제 발생하니 유의하도록 한다. Auto Scaling 그룹에 수동적으로 기존 인스턴스 추가 EC2 > 작업 > 인스턴스 설정 > Au..

참고 블로그: https://support.bespinglobal.com/ko/support/solutions/articles/73000544819--aws-aws-transfer-family%EB%A5%BC-%EC%9D%B4%EC%9A%A9%ED%95%9C-s3-sftp-%EC%95%A1%EC%84%B8%EC%8A%A4-%EB%B0%A9%EB%B2%95 작성중 AWS Transfer Family AWS Transfer Family를 이용한 S3 SFTP 액세스 AWS Transfer Family는 AWS Transfer for SFTP, FTPS, FTP를 통해 Amazon S3 혹은 EFS에서 파일을 송수신할 수 있는 완전관리형 지원 서비스이다. 1. AWS Transfer Family에서 SFTP ..