Let there be Light

오토 스케일링 정리하면서 나머지 조금 남은 부분이 있어서 짧은 글로 정리해보려고 한다. #0 Auto Scaling group 내의 스케일링 프로세스들에 대해✅ Launch(런치) 프로세스 : EC2 인스턴스를 그룹으로 추가해서 용량을 증가시키는 프로세스✅ Terminate 프로세스 : 그룹으로부터 EC2 인스턴스를 제거해 용량을 줄이는 프로세스✅ Health Check 프로세스 : 인스턴스의 상태를 점검하는 프로세스✅ ReplaceUnhealthy 프로세스 : 비정상 인스턴스를 종료하고 재생성하는 프로세스✅ AZRebalance 프로세스 : ASG를 확인해 EC2 인스턴스의 개수가 전체 가용 영역에 걸쳐 동등라게 균형을 이루고 있는지를 점검하는 프로세스✅ AlarmNotification 프로세스 : 스..

#0 Auto Scaling Groups(ASG) - 정책을 알고가자Dynamic Scaling Polices(동적 스케일링 정책)의 세 가지 종류에 대해 알아보자 ☑️ Target Tracking Scaling(대상 추적 스케일링) : 가장 단순하고 설정이 쉬운 정책예) ASG CPU라는 지표에 대상 값을 지정한다고 할 때 ASG 전반에 걸쳐 40%라고 할 때에 CPU가 너무 높으면 ASG가 인스턴스를 추가하게 하면 되고 CPU가 너무 낮으면 ASG가 인스턴스를 종료시키는 것☑️ Simple / Step Scaling(단계 스케일링) : 위의 것보다 조금 더 복잡한 스케일링예) CloudWatch Alarm가 CPU가 70%이상이라 트리거되었으니 2개의 유닛을 추가하라고 할 때 혹은 Alarm이 30%..

#0 자격 증명 페더레이션(Identity Federation)이란?ID 페더레이션은 AWS 외부에 있는 사용자에게 우리 계정 내 AWS 리소스에 대한 액세스 권한을 줄 때 사용한다. 해당 사용자는 이미 우리의 조직 디렉토리에 존재하니 특정 IAM 사용자를 따로 생성할 필요는 없다.=> 사용자 관리가 AWS 외부에서 이루어지기 때문이와 같은 이유로 자격 증명 페더레이션이 필요하다. 자격 증명 페더레이션의 활용사례1. 회사에 Active Directory와 같은 자체 증명 시스템을 두는 경우2. AWS 리소스에 액세스해야 하는 웹 및 모바일 애플리케이션이 있는 경우이 이미지에서 볼 수 있는 것처럼 사용자는 AWS에 액세스하려고 할 때 자격 증명 제공자(Identity Provider)가 필요하다.우선 AW..

#0 STS에 대해 알아보자STS를 이용하면 동일한 계정에서 다수의 계정들에 걸쳐 역할을 맡을 수 있고 자격 증명 페더레이션을 사용할 수 있게 된다.먼저 우리의 계정이나 다수의 계정에 걸쳐서 우리가 맡으려는 IAM Roles(역할)을 정의하고 Principal이 이 IAM 역할에 액세스할 수 있는지 정의하고 Security Token Service(STS) 서비스를 이용해서 자격 증명을 받는다(이건 일시적인 자격 증명) 그러면 AssumeRole API를 이용해서 우리가 액세스할 수 있는 IAM 역할을 맡을 수 있게 된다. 말한대로 자격 증명은 일시적인 것이고 기간은 15분~12시간 사이이다.다이어그램을 보면 가령 우리의 사용자가 같은 계정 또는 다른 계정 안에 있는 어떤 역할에 액세스하려고 할 때, 그..

#0 IAM Roles(역할)과 리소스 기반 Policies(정책)의 차이점 살펴보기차이점이 사실 명확하지 않아서 같이 정리하면 좋을 것 같다. 이 둘의 차이점을 살펴보자S3를 액세스할 때를 예시로 들 수가 있는데 먼저 하나는 Account B(B 계정)에 대한 역할(Role)을 이용하는 것이다. 그리고 이 역할은 Account A에서 인수하는 것이다. Account B에서 해당 역할을 인수하면 해당 S3 버킷에 대한 액세스 권한이 있는 역할이면 액세스가 가능할 것이다.2번 째 방법은 S3 버킷 Policy를 사용하는건데 S3 버킷 Policy를 통해서 Account A 사용자가 Account B에 있는  S3 버킷에 액세스할 수 있도록 지정하는 것이다. 이 두 방법을 통해 Account A 사용자가 A..

IAM 정책을 만들다보면 이런 식으로 정책을 JSON문서로 확인할 수 있는데오늘은 이 세부적인 사항들에 대해서 다뤄보려고 한다. #0 IAM Policies - JSON 문서 살펴보기📜이 안에는 Effect, Action, Resource, Conditions, Policy Variables(정책 변수) 즉, 4~5가지 사항이 포함되어 있다.JSON Policies가 슬슬 익숙하겠지만 그림으로 같이 살펴보겠다.정책은 이런 식으로 생겼는데 해석해보면 다음과 같다. ✅ Resource : arn~ec2:*~instance/*=> 모든 EC2 인스턴스를 나타낸다.✅ Condition : StringEquals ResourceTag/Department : Department=> 해당 태그가 있는 EC2 인스턴..

AWS 조금 공부해보면 알 수 있다. 기본적으로 EC2는 가용성이 좋지 않다는 것을..EC2 인스턴스는 기본적으로 하나의 AZ에서 실행된다.그래서 가용성이 높지가 않은데 여러 가지 방법으로 가용성을 높일 수도 있어서 정리해본다!(요구 사항 및 하고 싶은 일의 양에 따라 상이) #0 간단하게 가용성 높여보기웹 서버를 가동하고 있는 공용 EC2 인스턴스가 있고 웹 서버에 액세스한다고 가정해보자.그러려면 EC2 인스턴스에 탄력적 IP를 연결하고 사용자가 탄력적 IP를 통해 웹사이트에 곧장 액세스하게 해야한다..!그러면 사용자는 EC2 인스턴스에서 직접 작업할 수 있고 우리는 웹 서버에서 결과를 받을 것이다....이제 이 글의 의도한 바로일이 잘못될 경우를 대비해 대기 인스턴스를 만들어EC2 인스턴스의 가용성을..

이번에는 네트워크 보안에 관한 이야기인데중요한 부분이고 클라이언트로부터 요청을 받았을 때 애플리케이션까지 가는 과정을 조금 더 이해할 수 있을 것이다..! #0 EC2 인스턴스 사용하기아주 간단하게 EC2 인스턴스를 사용한 간단한 솔루션 아키텍처부터 알아보자!VPC의 보안 그룹에서 인스턴스는 공용IP를 써서 공용 액세스가 가능하고 클라이언트들도 EC2 인스턴스에 이렇게 접근이 가능하다!그래서 클라이언트 차단을 원하면 먼저 VPC 레벨에서 VPC의 네트워크 ACL방어가 1번째 방어선이다.이 네트워크 ACL에서는 차단 규칙을 만들 수가 있는데 그러면 결과적으로 클라이언트 IP에 대해 간단학 빠르고 저렴하게 클라이언트를 내보내게 된다.그리고 EC2 인스턴스 보안 그룹에는 차단 규칙을 만들 수 없고 허용 규칙만..

AWS에서의 이벤트 처리와 다양한 처리 방법과 각 방법의 제약사항까지 정리해보려고 한다! #0 SQS - Lambda 사용하기 / SNS - Lambda 사용하기 1. 이 방법은 SQS 대기열과 Lambda함수를 사용하는 것으로 이벤트가 SQS 대기열에 삽입되고 Lambda 서비스가 SQS 대기열을 폴링한다. 문제가 발생하면 해당 메세지를 다시 SQS 대기열에 입력하고 폴링을 재시도한다. 이 작업은 계속 반복이 되는데 어러던 중에 한 메세지레 중대한 문제가 발생하면 2. 5번의 재시도 후에는 데드 레터 대기열(DLQ)로 보내도록 SQS를 설정할 수 있다.👍 3. SQS FIFO와 Lambda를 사용하는 방법도 있다. 여기서는 Lambda함수가 대기열 메세지를 순서대로 처리를 시도하는데 순서대로 처리하기 ..

다양한 region과 계정에서 VPC를 생성할 수 있는데 AWS 네트워크를 통해 연결하고 싶을 때 사용한다. 그런데 왜 필요할까?🤔 ... VPC가 모두 같은 네트워크에서 작동되도록 만들기 위해서이다. 그리고 서로 다른 VPC가 통신하려면 VPC 피어링을 활성화해야 한다! #0 VPC Peering 그림으로 더 설명을 해보겠다. 3개의 VPC인 A, B, C가 있다. A와 B 사이에 피어링 연결을 만들 수 있고 이걸 통해 서로 연결된다. 그리고 B와 C사이에 다른 피어링 연결을 생성한다. (역시 서로 통신할 수 O) A랑 B, 그리고 B와 C가 연결되어 있더라도 A와 C의 VPC 피어링 연결을 활성화해야 그 둘이 통신을 할 수 있다. 또한 VPC 피어링이 있을 때 VPC 서브넷 상의 루트 테이블도 업데이..