boan

ECS : Elastic Container Service

• 도커, 쿠버네티스 관련 서비스
• 가상머신(EC2)를 제공하는 것이 아니라 컨테이너만 제공
• EC2는 배를 빌리는 것이고 ECS는 컨테이너를 빌리는 것, 즉 EC2가 더 비쌈
• 서비스를 한가지만 사용할 때는 EC2가 더 저렴
• 따라서 웹서비스 등 1가지 서비스만 하는 경우에 적합
• ALB 아래에 ECS들 존재
• 이때 ECS 접속은 ALB 통해서 해야 함

Fargate

ECS를 만들어주는 일종의 마법사

task 등 용어 설명

ECS 실행을 위해서는 VPC, 서브넷, SG 등을 모두 설치해야 함 - 따라서 Fargate 사용

Cluster를 바로 생성하면 위와 같은 부분들이 없기 때문에 오류가 남

IAM : Identity and Access Management / AWS 계정, 접근 관리 서비스

인증 : Authentication

올바른 사용자임을 증명하는 것

1. 지식기반 : 알고있는 것으로 증명하는 것

비밀번호(현관, 금고, 웹사이트), 암구어, 패스프레이즈(문구) 등

2. 소유기반 : 가지고 있는 것으로 증명하는 것

인증서, 열쇠, 카드(신용/체크/현금), 신분증, 마패/호패, 차량번호판, SSH키, 개인키, 토큰, 휴대폰 등

3. 생체기반 : 생체 특징으로 증명하는 것

얼굴, 지문, 홍채, 손바닥(골짜기/융기선), DNA, 정맥패턴(손등), 손모양

4. 위치기반 : 위치를 기반으로 인증하는 방식

GPS, WiFi, 통신사(3G,4G,5G) 삼각측량 등

5. 행동기반 : 움직임 특성

서명(싸인), 걸음걸이, 제스쳐 등

Muti-Factor 인증을 해야 함

- 2 종류 이상의 인증을 통해서 인증을 해야 안전함

이메일 자체는 지식기반, 이메일 인증은 소유기반

AWS에서도 Root 계정은 Multi-Factor 인증을 하도록 요구하고 있음

Root 계정은 이메일 사용 - 로그인 관련 메일, 메일로 본인 확인 절차 사용(소유기반)

추가 인증으로 구글 OTP 사용 (소유기반)

AWS의 일반 사용자 계정

권한 부여 - 최소 권한 (Least Privileges)을 부여

과도한 권한 부여 - 권한을 남용해 부정행위 / 불법행위 가능성 높아짐

Root 계정을 이메일로 등록하면 안됨

바꿀 수가 없기 때문에 이메일을 가진 사람이 퇴사하면 안되기 때문

개인 계정으로 root 계정을 만들면 안됨, 회사 메일로 aws 전용 계정을 생성해 관리 (패스워드와 이메일 계정 인수인계하도록)

root 계정의 패스워드를 바꾸면, 퇴사자가 메일로 패스워드 복구 시도 가능하기 때문에 위험 - 추가 Multi-Factor 인증으로 전환해야 함

Role

EC2에서 생성한 로그를 S3에 저장하는 경우

Beanstalk 등을 사용하면 자동으로 EC2, S3, RDS 등을 생성함 - Role을 부여해야 함

주체(Subject) : 객체를 조작하거나 통제하는 능동적인 개체 - 사용자, 프로그램, 프로세스 등

객체(Object) : 주체에 의해서 조작이나 통제되는 수동적인 개체 - 파일, 디렉토리, 스토리지 등

-> 객체와 주체는 상대적임

Role : 주체가 객체에 접근할 수 있도록 사전에 정의된 권한

Role은 AWS의 서비스에 할당하도록 되어 있음, PaaS에서 Role을 많이 사용

- PaaS(개발자를 위한 플랫폼 - 개발자들이 infra에 대한 관리를 최소화하고 개발에 초점을 맞출 수 있도록 하는 서비스)

            Beankstalk, Cloud9, 

1. 정책

주황색 정육면체가 있으면, AWS에서 만든 기본 정책 (삭제 불가 및 삭제하면 안됨)

정육면체가 없으면 개인적으로 만든 것 / PaaS 설정 과정에서 만들어진 것

사용자에게 부여할 수 있음 

2. 역할

3. 사용자

[ Load Balancing ]

• EC2의 부하를 줄이기 위해서 서버 앞단에 배치하고, 여러 서버에 트래픽을 분산
• 많은 클라이언트가 접속해도 트래픽 처리 가능
• 현재 우리가 사용하는 대부분의 웹사이트에서는 로드 밸런서 사용 중
• 로드밸런서 만든 회사 : Alteon
• 클라우드 환경에서는 L4 스위치를 가상화 한 장치를 사용해 제공

[ Load Balancing 방식 ]

• Round Robin (순차분배방식) : 순차적으로 트래픽을 배분하는 방식 - ALB에서 지원
• Weighted Round Robin (가중치를 부여한 순차분배방식) : 서버의 용량 등을 고려해서 순차분배하는 방식
• Least Response Time (응답시간이 짧은 서버에 우선 분배) : Health Check를 할 때 가장 빠르게 응답하는 서버에 우선 분배
• Least Connection (연결 개수가 적은 서버에 우선분배) : Client와의 연결 개수가 적은 쪽이 여유가 있기 때문에 우선 분배
• Hash Function (출IP, 목IP, 출Port, 목Port 등 해시값 계산하는 방식) : 같은 Client와 같은 Server를 계속 연결하는 방식 (Sticky Session) - NLB에서 지원

cf) Sticky Session(고정 세션) : 세션의 연결이 지속적으로 유지 - 고객에 대한 정보를 같은 서버를에서 계속 보유할 수 있음

[ NLB (Network Load Balancer) ]

• 리스너에 포트번호와 프로토콜 지정 - Port 번호를 기반으로 로드밸런싱
• EIP(Elastic Ip Address / 탄력적 IP - 고정 IP : Public 고정 IP)를 NLB에 설정 가능 - 도메인 주소를 EIP와 연결 (DNS 등록)

[ DNS (Domain Name Service) ]

• 도메인 주소를 입력하면 해당 주소의 IP 주소 알려주는 서비스

[ DNS 기록 타입 ]

• 정방향 조회 : 도메인 주소 -> IPv4 알려줌(A) / 도메인 주소 -> IPv6 알려줌(AAAA = A6) 
• 역방향 조회 : IPv4/IPv6 입력하면 -> 도메인 주소  ex) E-mail 보낼 때 많이 사용 
• CNAME : 별칭
• NS : Name Server

[ Route53 ]

• AWS에서 제공하는 DNS 서비스
• 도메인 등록 대행, 도메인 관리(구입/반납/환불 등), 도메인을 IPv4/IPv6 주소 또는 CNAME 등과 연결
• AWS에서 ~.kr 등록은 불가능
• 구입한 도메인을 EIP에 연결 - Route53에서 설정
• EIP를 NLB에 설정
• NLB의 Target으로 Auto Scaling을 지정

1. 시작 템플릿

1. 7계층 - 포트 - HTTP/ HTTPS 7계층 헤더에 들어있는 값에 따라 설정

2. 4계층 - url - 

공인 아이피 배치 가능 

3. Gateway Load Balancing 할 때 사용하는 protocol :

• HSRP (Hot Stanby Routing Protocol) : Hot으로 선정된 라우터만 동작, Standby는 대기
• GLBP (Gateway Load Balancing Protocol)
• VRRP (Virtual Router Redundancy Protocol) 

Internet-facing : 인터넷 트래픽 분산 가능