My StudySpace

여러 계정에 로그인 하는 방식예를 들어, 회사에 DEV팀, PRD팀, STG팀이 있다고 가정하자.모든 팀이 AWS 프로젝트를 진행하려고 할 때, DEV팀은 DEV Account,PRD팀은 PRD Account,STG팀은 STG Account를 사용한다.각 팀은 각자의 계정에서 각자의 작업을 수행하면 된다. 하지만 우리 같은 관리자들은 DEV + PRD + STG Account에 모두 접속해야 하는 요구사항이 있다.보통 관리자들은 Master Account를 사용하여Master Account만 로그인하면 다른 DEV, PRD 계정도 접속할 수 있게 하는 방식을 사용한다. 우리에게 총 필요한 Account 개수 는 DEV+PRD+STG+Master = 4 개의 Account이다.  다음은 관리자가 여러 계정..

온프레미스와 연결(TGW or VGW ↔ DX)AWS 내부(다른 VPC)PCX(Peering Connection, VPC 피어링)TGW(Transit Gateway, TGW)다른 VPC 간 연결 하기 위해서는 PCX, TGW가 필요하다. AWS 외부(온프레미스)- DX(Direct Connect)- VPN AWS와 온프레미스를 중계하는 VGW (Virtual Private Gateway)를 VPC에 반드시 연결해야 한다.단, TGW(Transit Gateway)를 사용할 경우 예외다.TGW는 VPC와 온프레미스 모두 TGW에 연결해 서로 접속할 수 있다. VGW조차 불필요 하다. 여기서 간과한 점은 VGW ↔ DX Location에서 DCG가 필요하지 않은 경우는 같은 계정의 VPC들이랑만 연결될 때이다..

온프레미스13.246.100.25:80 으로 요청이 들어오면13.246.100.41:80 또는 13.246.100.82:80 으로 분산한다. 이와 같은 서버의 포트 분산 기능은 4계층 이상에서 처리할 수 있으므로,최소 L4(부하분산) 혹은 L7(HTTP) 스위치가 필요하다. L4 스위치- 외부망(인터넷망)과 내부망 분리 가능- L4 스위치에 Public IP를 할당하고, 하위 물리 서버는 Private IP를 할당한다.- 인터넷 트래픽은 Public IP로 L4 스위치에 접근해 Private IP로 물리 서버에 도달한다. 분산 방식1) 라운드 로빈- 순차적으로 분산2) 해시(Hash)- 클라이언트의 IP 주소를 기억해서 특정 클라이언트의 IP로 들어오는 트래픽은 고정 서버에게 전달. 항상 같은 서버에서 ..

방화벽의 접근 제어 방식1) 화이트 리스트(Whitelist)2) 블랙 리스트(Blacklist) 1. 화이트 리스트- 모든 트래픽을 기본 차단한 상태에서 접속이 필요한(화이트) 트래픽만 선별적으로 허용하는 방식 2. 블랙 리스트- 모든 트래픽을 허용 해놓고 거부할(블랙) 트래픽만 선별해 차단하는 방식 보안 그룹- 상태 저장(stateful) 방식으로, 클라이언트의 IP와 포트를 저장하므로 인바운드 허용하면 아웃바운드는 따로 설정할 필요가 없다. NACL- 상태 비저장(stateless) 방식으로, 클라이언트의 정보가 없어 인바운드 및 아웃바운드 규칙에 모두 허용해 둬야 한다. NACL을 화이트 리스트로 사용하면 다음과 같은 문제가 발생한다.1) 인바운드 규칙에 허용된 IP를 아웃바운드 규칙에도 적용해야..

VPC 기반 RDS용 ENI 퍼블릭 액세스 RDS O O O Neptune Amazon DocumentDB O O X ElastiCache Redis용 Amazon MemoryDB O X X DynamoDB Amazon QLDB Amazon Keyspaces Amazon Timestream X X X 인터넷에서 접속 가능한 퍼블릭 액세스 기능은 RDS에만 있다. 서브넷 그룹 RDS 인스턴스가 놓일 서브넷의 집합 가용성 및 확장성 서비스마다 서브넷 그룹의 특징이 다르므로, 각 서비스 사용법에 맞게 사용해야 한다. 서브넷 그룹은 VPC에 종속되며, 최소 2개 이상의 가용 영역을 지정해야 한다. 서브넷 그룹 변경 Amazon Aurora를 제외한 모든 엔진은 서브넷 그룹 변경을 지원한다. 단일 RDS 인스턴스..

인스턴스 명명 규칙c6i.largec: 인스턴스 유형6: 세대(버전). 높을수록 비용 저렴i: CPU 추가기능 (i: 인텔 프로세서, g: Graviton)large: 인스턴스 크기 CPU 추가기능e: 확장메모리n: 최대 100Gbps 향상된 네트워킹i: 인텔 프로세서g: AWS에서 자체 개발한 서버인 Graviton 서버. Arm 기반 프로세서. 모바일 앱 개발 외 사용 Xa: AMDm: M 인스턴스 제품군s: 작은 vCPU 및 메모리d: 로컬 NVMe 기반 SSD 스토리지z: 최대 4.5GHz의 프로세서 주파수b: EBS 성능의 대역폭 증가베어메탈 인스턴스의 이름은 이러한 규칙을 따르지 않는다.베어메탈 인스턴스m6g.metalc6g.metalu-6tb1.metal  : 6TiB 메모리 제공u-9tb1..

필요시 AWS Support Center에 증설 요청하면 된다. VPC리전마다 생성할 수 있는 최대 한도: 최대 5개Subnet한 VPC 당 생성할 수 있는 서브넷: 최대 20개Peering한 VPC당 뻗어나가는 Peering: 최대 125개Transit Gateway(TGW)계정당 생성할 수 있는 TGW: 5개한 Transit Gateway당 생성 가능한 Routing Table: 최대 20개Elastic IP리전별 EIP 제한: 최대 5개Routing Table한 VPC당 라우팅 테이블: 50개TGW는 20개로 제한

글로벌 영역 서비스특정 리전에 종속되지 않은 서비스ex) IAM, S3 S3 같은 일부 서비스는 글로벌에서 리전 전체 버킷을 관리한다.S3 버킷은 리전 위에 생성하지만 글로벌 영역으로 관리한다.리전 영역 서비스특정 리전에 종속되는 서비스ex) AWS Certificate Manager etc.

인터넷 게이트웨이IGW와 VPC는 1:1 관계필요한 VPC 마다 하나씩 생성해야 한다. ENI 및 보안그룹ENI 및 보안그룹과 EC2는 N:1 관계여러 ENI 및 보안그룹이 EC2 하나에 연결 가능라우팅 테이블 및 NACL서브넷 단위로 1개씩만 가능다중 연결 불가기본 VPC와 그 기반 요소들은 모든 리전에 기본 생성돼 있어 비용 납부 의무가 없다.인터넷 게이트웨이를 지나는 트래픽이 발생한다면 그에 따른 요금은 부과된다. 온프레미스에서는 서버팜 내부에 여러 서버들은 서버팜 스위치와 연결된 서버의 NIC들로 연결된 상태다.중간에 연결된 서버는 각기 다른 CIDR를 가진 NIC 2개와 연결된 상태이다. 한 서브넷당 예약된 IP 주소10.0.0.0: 네트워크 주소.10.0.0.1: AWS에서 VPC 라우터용으로..

참고서적: AWS 토폴로지로 이해하는 Amazon VPC 네트워킹 원리와 보안 VPC 네트워킹의 3요소는 공간, 연결, 컴퓨팅이다. VPC 네트워킹네트워킹 서비스의 분류VPC 네트워킹 필수 서비스가상 머신에 ENI(네트워크 인터페이스, LAN카드 역할)를 연결해 통신하는 서비스를 의미한다.ENI가 연결된 서비스만 VPC 네트워킹 서비스이다.서브넷, 보안그룹이 있어야 ENI를 생성할 수 있다.ex) EC2, RDSVPC 네트워킹 선택 가능 서비스사용자의 선택에 따라 ENI 연결 혹은 연결을 안할 수 있다.ex) Amazon Redshift 온프레미스와 Cloud 장비 비교온프레미스 장비Cloud 장비L4 S/WLB방화벽보안 그룹, NACLL3 S/W가상 라우터