끄적이는 보송

그런 일이 있으면 안 되겠지만 만약 EIP를 실수로 삭제했을 때 복원하는 방법을 다룰까 한다. EIP를 복원하기 위해서 다음 조건을 만족해야 한다. EIP 복원을 위한 조건사항 1. 해당 EIP를 다른 누군가가 사용하고 있지 않아야 한다. 2. EIP 할당 한도가 초과되면 안 된다. AWS 계정당 각 리전 별 5개씩 제한된다. 더 필요하다면 Case Open 해야 한다. 3. 작업은 AWS 자격증명으로 한다. EIP 복원 실습 1. AWS 자격증명에 접속한다. 2. EIP를 Release 한다. 완전히 지워진 것을 볼 수 있다. 3. 다음 명령어를 입력한다. aws ec2 allocate-address --domain vpc --address xx.xx.xx.xx 4. EIP가 다시 복원되었다. 만약 조..

On-Premise와 Cloud를 연결하는 솔루션은 여러 가지가 있지만 본 포스팅은 그중 Site-to-Site VPN을 다뤄보려고 한다. Site-to-Site VPN 이란? Site-to-Site VPN 이란 IPSec 암호화 프로토콜을 사용해 AWS Cloud 환경과 On-Premise 환경을 연결해주는 서비스다. 하단의 이미지는 Site-to-Site VPN의 기본 구성이다. AWS 클라우드와 On-Premise 데이터 센터가 있다. AWS에는 VGW(Virtual Private Gateway)가 있고 On-Premise에는 CGW(Customer Gateway)가 붙어있으며 이 둘 사이에 IPSec 프로토콜을 이용해 터널링을 만들어 줘 인터넷을 통해서 상호 간 통신이 가능하게끔 해주는 원리다. ..

ALB Access Log 란 ALB Access Log는 말 그대로 단순 트래픽 로그다. 이것을 통해 ELB-respose, Target-response, Client, 접근 경로 등을 알 수 있으며 클라우드 환경에서 서비스를 올리면 자주 접해야 하는 것 중 하나며 기본 중의 기본이다. Access Log를 통해 대략적인 추측은 가능하나 (Client의 요청이 어디까지 도달했는지, 무슨 에러를 뱉었는지, 어떤 요청을 했을 때 어떤 반응을 보였는지 etc...) 정확한 점검을 위해선 어플리케이션 점검이 필수적이다. 기능 활성화에 추가 과금은 없으며 로그 저장을 위한 버킷 과금만 발생하니 운영하는 서비스라면 웬만해선 설정해주자. 사전 준비 - 트래픽을 받고 뱉을 EC2 등의 서비스 - 로그 저장을 위한 S..

VPC Endpoint란 VPC Endpoint는 VPC와 AWS 서비스 사이의 통신을 비공개로 연결할 수 있도록 해주는 서비스며 Pubilc IP 주소를 필요로 하지 않게 한다. VPC와 기타 서비스 간의 트래픽은 AWS 네트워크를 벗어나지 않는다. 리소스 통신간 외부 유출을 꺼려할 때 사용하는 서비스로 보인다. VPC Endpoint가 왜 필요할까 예를 들면 보자. VPC Endpoint가 없다면 EC2 인스턴스에서 S3로 액세스 할 때, EC2는 NAT와 Internet Gateway를 통해 외부로 나가 S3에 접속한다. (EC2와 S3 둘 다 AWS 서비스라고 둘이 내부 통신한다고 생각하면 안 된다) EC2, RDS 등의 서비스는 ENI를 탑재하고 이 ENI에 Public 혹은 Private IP..

이 번 포스팅은 Private Subnet에 위치하는 EC2 인스턴스가 외부 인터넷과 통신하는 방법에 대해서 다룰까 한다. 방법이야 여러 가지지만 그중에서 NAT gateway 서비스를 사용하는 방법을 다룰까 한다. 그리고 NAT gateway 없이 Bastion Host를 NAT로도 이용하는 방법을 포스팅하려 한다. NAT Gateway 서비스란 우리가 알고 있는 NAT와 동일하다. AWS에서 제공하는 서비스일 뿐. NAT 게이트웨이 서비스는 Private Subnet의 인스턴스가 VPC 외부(인터넷)의 서비스를 연결할 수 있도록 하지만 외부의 연결을 막는 역할을 한다. 실제 예로 이것을 언제 사용할까? Public Sunet은 인터넷과 연결되어 있고 Priavte Subnet은 내부망이다. 만약 Pr..

AWS는 기본적으로 모든 것을 Deny를 하는 정책을 가지고 있다. AWS 방화벽 기능에는 크게 두 가지가 있다. Network ACls (stateless firewalls), Security Groups(stateful firewalls)가 되겠다. 1. NACL (stateless firewalls) - NACL은 서브넷 단위로 적용 (서브넷 안에 EC가 100개 있으면 모두 해당 NACL의 영향을 받는다) - NACL은 여러 Subnet에 적용 가능하며 Subnet은 하나의 NACL만 적용 - VPC 하나당 최대 200개까지 생성 가능 - NACL은 Ibound Rule 20개, Outbound Rule 20개 등록 가능 - Stateless 성질로 요청 정보를 저장하지 않으므로 응답 트래픽 제어..

클라우드 사용하는 목적이 무엇이 됐건 VPC(Virtual Private Cloud)를 생성하는 것이 가장 기본이 아닌가 싶다. VPC를 만들고자 한다면 크게 다음 4가지를 거쳐야 한다. VPC라는 가상의 데이터센터를 생성하기 위해서는 내부적으로 사용할 수 있는 Private IP주소를 결정해야 하고, IP 대역을 작은 단위로 Subnet을 이용해 Boundary를 만들고, 인터넷과 연결될 수 있는 라우팅 테이블을 만들고, 길을 만들어 놨으면 목적에 맞게 방화벽 설정을 거쳐야 한다. 1. IP 주소 범위 선택 2. 가용 영역(AZ) 별 서브넷 설정 3. 인터넷으로 향하는 경로(route) 만들기 4. VPC 로부터의 트래픽 설정 1. IP주소 범위 선택 VPC를 생성할 때 가장 먼저 고려해야 하는 사항이..

AWS CloudShell 이란 AWS CloudShell은 브라우저 기반 가상 쉘이다. OS 환경 Amazon Linux 2 기반이며 공통 개발 및 운영 도구가 사전에 설치되어 있어 별도의 구성이나 로컬 설치는 필요하지 않다. CloudShell을 이용해 AWS CLI로 스크립트를 빠르게 실행하는 등 간단하고 접근 편하게 테스팅하기 좋아 보인다. 나아가 Cloudshell 자체는 무료다. CloudShell을 통해서 사용하는 별도의 AWS 서비스만 과금된다. CloudShell 사용 정보는 CloudTrail에 기록된다. 포스팅 기준 날짜로 CloudShell을 지원하는 지역은 옆의 이미지와 같다. 생각보다 지원되는 리전은 적지만 앞으로도 추가적인 지원이 될 예정이라고 한다. AWS CloudShell..