끄적이는 보송

Amazon Workspaces란 AWS DaaS(Desktop as a Service) 서비스이다. 혹은 가상 데스크톱 인프라(VDI)라고 생각해도 좋다. WorkSpaces는 EC2 기반의 서비스지만 청구방식이 약간 다르다. 자세한 건 밑의 AWS 공식 도큐먼트 링크를 통해 Workspaces가 지원하는 Region, OS 및 가격정책을 확인할 수 있다. https://aws.amazon.com/ko/workspaces/pricing/ 클라우드 네이티브 영구 데스크톱 가상화 - Amazon WorkSpaces 요금 – Amazon Web Services 각 Windows 번들 옵션에는 WorkSpace당 Microsoft 원격 데스크톱 서비스(RDS) 구독자 액세스 라이선스(SAL)가 포함됨 aws...

AWS CloudFront 란 AWS CloudFront는 AWS의 CDN (Content Delivery Network) 서비스다. CDN 서비스란 Client의 콘텐츠 요청으로 서버에서 받아온 콘텐츠를 캐싱하고 이후 같은 요청이 왔을 때, 그 캐싱해 둔 것을 제공하는 서비스다. 이렇게 함으로써 물리적으로 거리가 먼 곳에도 빠르게 요청을 처리할 수 있고 결과적으로 서버의 부하를 낮출 수 있다. 좀 더 자세히 어떻게 작동하는지 알아보자. Edge Location(Pop) / Regional Edge Caceh(REC) CloudFront에는 Edge Location이라는 개념이 있다. Edge Location은 CloudFront 서비스가 콘텐츠를 캐싱하고 Client에게 제공하는 지점 혹은 캐시 서버를..

일반적으로 AWS 사용하지 않는 기업(고객)이 제일 첫 번째로 도입을 고려하는 것이 백업이다. 기존의 데이터는 그대로고 새로운 데이터를 넣는 것이기 때문에 시험 삼아 부담 없이 도입하는 게 아닌가 싶다. 오늘은 백업 솔루션 중 하나인 AWS Storage Gateway를 다뤄보려고 한다. AWS Storage Gateway란 Storage Gateway란 AWS 스토리지를 On-Premise와 연결하여 마치 NAS처럼 사용하는 방법이라고 보면 된다. Storage Gateway에는 크게 다음 3종류로 구분된다. 1. File Gateway (NFS, SMB) - NFS: Network File System - SMB: System Message Blcok 2. Volume Gateway (iSCSI) -..

Pre-Signed URL (미리 서명된 url) 이란? 디폴트로 S3의 객체는 비공개이며 소유자만이 접근할 수 있다. 하지만 필요할 경우 소유자의 보안 자격 증명을 사용해 일정기간 동안 효력이 있는 URL을 생성할 수 있다. 이 URL을 미리 서명된 URL (pre-signed url)이며 이를 통해 다른 사용자는 임시적으로 해당 객체에 접근할 수 있게 된다. 참고로 pre-signed url은 이를 생성한 사용자의 권한에 의해 일부 제한된다고 하니 다음 링크를 참조해보자. https://docs.aws.amazon.com/ko_kr/AmazonS3/latest/userguide/using-presigned-url.html#who-presigned-url 미리 서명된 URL 사용 - Amazon Sim..

On-Premise와 Cloud를 연결하는 솔루션은 여러 가지가 있지만 본 포스팅은 그중 Site-to-Site VPN을 다뤄보려고 한다. Site-to-Site VPN 이란? Site-to-Site VPN 이란 IPSec 암호화 프로토콜을 사용해 AWS Cloud 환경과 On-Premise 환경을 연결해주는 서비스다. 하단의 이미지는 Site-to-Site VPN의 기본 구성이다. AWS 클라우드와 On-Premise 데이터 센터가 있다. AWS에는 VGW(Virtual Private Gateway)가 있고 On-Premise에는 CGW(Customer Gateway)가 붙어있으며 이 둘 사이에 IPSec 프로토콜을 이용해 터널링을 만들어 줘 인터넷을 통해서 상호 간 통신이 가능하게끔 해주는 원리다. ..

VPC Endpoint란 VPC Endpoint는 VPC와 AWS 서비스 사이의 통신을 비공개로 연결할 수 있도록 해주는 서비스며 Pubilc IP 주소를 필요로 하지 않게 한다. VPC와 기타 서비스 간의 트래픽은 AWS 네트워크를 벗어나지 않는다. 리소스 통신간 외부 유출을 꺼려할 때 사용하는 서비스로 보인다. VPC Endpoint가 왜 필요할까 예를 들면 보자. VPC Endpoint가 없다면 EC2 인스턴스에서 S3로 액세스 할 때, EC2는 NAT와 Internet Gateway를 통해 외부로 나가 S3에 접속한다. (EC2와 S3 둘 다 AWS 서비스라고 둘이 내부 통신한다고 생각하면 안 된다) EC2, RDS 등의 서비스는 ENI를 탑재하고 이 ENI에 Public 혹은 Private IP..

AWS는 기본적으로 모든 것을 Deny를 하는 정책을 가지고 있다. AWS 방화벽 기능에는 크게 두 가지가 있다. Network ACls (stateless firewalls), Security Groups(stateful firewalls)가 되겠다. 1. NACL (stateless firewalls) - NACL은 서브넷 단위로 적용 (서브넷 안에 EC가 100개 있으면 모두 해당 NACL의 영향을 받는다) - NACL은 여러 Subnet에 적용 가능하며 Subnet은 하나의 NACL만 적용 - VPC 하나당 최대 200개까지 생성 가능 - NACL은 Ibound Rule 20개, Outbound Rule 20개 등록 가능 - Stateless 성질로 요청 정보를 저장하지 않으므로 응답 트래픽 제어..

클라우드 사용하는 목적이 무엇이 됐건 VPC(Virtual Private Cloud)를 생성하는 것이 가장 기본이 아닌가 싶다. VPC를 만들고자 한다면 크게 다음 4가지를 거쳐야 한다. VPC라는 가상의 데이터센터를 생성하기 위해서는 내부적으로 사용할 수 있는 Private IP주소를 결정해야 하고, IP 대역을 작은 단위로 Subnet을 이용해 Boundary를 만들고, 인터넷과 연결될 수 있는 라우팅 테이블을 만들고, 길을 만들어 놨으면 목적에 맞게 방화벽 설정을 거쳐야 한다. 1. IP 주소 범위 선택 2. 가용 영역(AZ) 별 서브넷 설정 3. 인터넷으로 향하는 경로(route) 만들기 4. VPC 로부터의 트래픽 설정 1. IP주소 범위 선택 VPC를 생성할 때 가장 먼저 고려해야 하는 사항이..