IT/자격증

AWS SAA-C02 - (1) 개념 정리 ; 자주 헷갈리는 내용 간단 메모

개발자 두더지 2021. 2. 22. 23:08
728x90

일본 IT회사를 다니면서 일본 자료 위주로 공부하고 있기 때문에 한국에서 사용하는 용어와 다를 수 있으니, 이해 부탁드립니다. 

 

원포인트


S3

 기본 설정으로 성능의 최대화가 가능.

 CORS(Cross-Origin Resource Sharing)

어플리케이션상, 복수의 도메인으로부터 콘텐츠 액세스를 유효화.

→ Ajax통신을 사용한 어플리케이션 구축 가능.

 특정 IP어드레스로부터의 액세스는 IAM롤에서 설정. SG에서는 제어불가.

 기본으로 고가용성 문제로 1개의 AZ에 의존하지 않음.

 S3의 크로스 리전 레플리케이션이란 S2의 오브젝트를 다른 리전의 버켓에 자동 복제하는 서비스로, 오브젝트의 등록과 동시에 실행됨.

 서버 사이드의 암호화는 SSE-S3 (암호화 방식은 AES-256). 암호화, 복호화는 자동적으로 S3가 실시하기 때문에 암호화키의 관리에 신경쓰지 않아도 됨. 버켓의 암호화에 의해 로그의 암호화도 자동적으로 실행됨.

 Access Analyzer를 통해 부정 접근을 확인하고, 액세스 권한의 최소화하는 구성을 모델링할 수 있음.

 스토리지 클래스 분석을 통해 데이터를 언제 어느 스토리지에 이동하는 것이 적당한지 판단할 수 있음.

 모든 데이터에 대해 퍼블릭 액세스가 되지 않도록 해야할 경우, S3 퍼블릭 액세스 설정 기능에서 블락을 유효화함.

S3 Intelligent-Tiering으로 저빈도의 액세스 오브젝트를 자동적으로 저빈도 액세스 층에 이동하도록 할 수 있음.

 S3로부터 웹사이트를 호스팅할 때의 URL예

→ 보통

http://【bucket-name】.s3-ap-northeast-1.amazonaws.com/ai.jpg

→ 정적

http://【bucket-name】.s3-website-ap-northeast-1.amazonaws.com

 

S3 Glacier

○ 데이터 취득 시간

고속 : 1~5분

표준 : 3~5시간

대용량 : 5~12시간

※ Glacier Deep Archive의 경우

표준 : ~12시간

대용량 : ~48시간

○ 데이터 보존 기간

최저 90일

 

CloudFront

○ 웹 어플리케이션의 컨텐츠의 배송 처리를 향상시킴.

○ ALAS 코드

○ S3와의 연계가 중요한 포인트

Amazon S3 Transfer Acceleration으로 클라이언트와 S3의 간에 장거리 파일 전송을 고속, 간단, 안전히 실행.

Transfer Acceleration은 CloudFront의 엣지 로케이션을 이용.

→ CloudFront의 distribution에 WAF로 작성한 WEB ACL(WAF 설정)을 연결짓는 것으로 접근 제어가 가능.

CloudFront에 의해 Refer제한을 하는 것이 아닌, AWS WAF로 Referer을 제어함. 

→ 오리진 액세스 아이덴티티(OAI)라는 불리는 특별한 CloudFront 유저를 작성하여 접근 제한을 할 수 있음.

 

Lambda

○ 한번에 실행 가능한 최대 볼륨 512MB 

○ 기본 타임 아웃 시간은 3초. 최대 실행 시간은 15분

 

SQS

○ 메시지 서비스

최대 256KB

※ 확장 클라이언트 라이브러리를 이용하는 경우 최대 2GB까지.

○ 메시지 보존 기간

기본-4일

최소-60초

최대-14일

○ 우선도 설정 가능

○ Auto Scaling 트리거를 설정할 경우 SQS의 큐 서비스를 확인함.

 

EBS

○ DLM(Data Lifecycle Manager)을 사용하여 정기적인 백업을 할 수 있음.

○ EBS 자체는 SnapShot의 라이프사이클 기능, 레플리케이션이라는 기능이 없음.

○ 프로비전은 IOPS만 복수의 EC2인스턴스를 붙일 수 있음.

○ 접근 빈도가 낮으나 소중한 데이터의 보존 스토리지로는 EBS의 콜드 HDD를 선택.

 

RDS

○ 멀티 AZ 배치를 유효화하면 DB인스턴스의 고가용성 및 Failover 서포트를 제공받을 수 있음.

※ Redshift는 멀티 AZ 구성이 불가능.

○ 자동적으로 백업을 하여 S3에 보존.

○ 스냅샷을 바탕으로 DB인스턴스를 작성하여 리스토어가 가능. 데이터 복구, 재해 대책, 시스템 확장에 이용할 수 있음.

○ Failover하면 DB인스턴스의 CNAME레코드를 자동적으로 교환.

○ RDS Proxy가 어플리케이션과 RDS를 중개함.

Lambda를 RDS와 연계하고 싶은 경우에 이용. 사용하지 않으면 데이터 세션이 비효율적.

○ RDS의 확장 모니터링을 유효화하면 CPU의 사용률이 CloudWatchLogs에 표시됨.

○ sharding(; 데이터 베이스의 부담 분산 방법의 한 종류)가 가능

 

DynamoDB

○ 메타 데이터, 유저 설정, 세션 데이터나 일련의 스트림 데이터를 축적하여 빅데이터 분석에 이용할 수 있음

○ DynamoDB 스트림의 유효화를 통해, 이벤트에 의한 통지 처리 등이 가능

※ DynamoDB이벤트라는 기능은 존재하지 않음.

○ DynamoDB Accelerator(DAX)는 리드레플리카를 증설할 때 유효화할 필요가 있음.

 

CloudWath

○ CloudWatch 에이전트의 설치로 EC2와 온프레미스 서버의 상세 로그를 수집하고 CloudWatchLogs를 통해 얻은 로그를 집약할 수 있음.

 

CloudFormation

○ 템플릿

예)

NetworkACL

RuleNumber:100

RuleAction:allow

Egress:true ※ 아웃바운드 트래픽 설정. flase라면 인바운드.

(이하 생략)

※ 포트 번호

80/HTTP
20/FTP
22/SSH

 

ElastiCache

○ RDS등의 DB(NoSQL형)의 읽기처리를 고속화

○ 간단하게 이용하는 경우는 Memcached, 그 이외에는 Reids

 

AWS Elastic Beanstalk

○ Docker의 구조를 이용하여 구성된 어플리케이션을 전개

○ 어플리케이션의 버전 관리나 상태의 상세 감시를 자동화

○ 웹 어플리케이션이나 작업자 환경의 구축에 이용됨.

 

 

용어 정리


○ RedShift의 확장 VPC 루팅

VPC내의 모든 데이터의 이동의 트래픽 제어, 모니터링이 가능

○ 플레이스먼트 그룹

단일의 AZ내의 EC2간에 통신을 고속화

○ Amazon FSx for Windows

파일 시스템당 최대 2GB/초의 스루풋, 수백만의 IOPS, 일관된 밀리 초 미만의 대기 시간과 같은 고속 퍼포먼스가 가능한 고성능한 스토리지. SMB프로토콜로 전송이 이루어짐.

○ Amazon EFS

NFSv4 프로토콜

○ Amazon EMR

빅데이터 분석 처리 (※ AWS AppSyn : 리얼 타임 분석, 랭킹 처리)

○ AWS Cognito

어플리케이션의 인증, 허가, 유저 관리를 서포트

○ AWS Certificate manager

SSL 인증서를 집중관리

○ Snowball Edge Storage Optimized

AWS와 온프레미스 간에 데이터를 전송. 이용가능한 영역-80TB

○ Aurora Serverless

Aurora용의 온디맨드의 Auto Scaling 설정. 어플리케이션의 사용 상황에 맞는 자동적인 기동, 셧다운을 실시.

○ 커스터머 게이트웨이

AWS에서 VPN접속을 구성할 때에 이용하는 커스터 게이트 웨이에 정적 루팅을 구성

○ AWS Transit Gateway

네트워크 간의 연계, 관리를 효율화. Amazon VPC, 온프레미스의 데이터 센터, 리모트 오피스 각각을 연결하여 허브 및 스포크형을 구축.

○ SAML(Security Assertion Markup Language)

유저 정보를 일원 관리하는 Active Directory나 클라우드 서비스와의 연계, 싱글 사인 온을 실현.

○ AWS CloudTrail

유저의 활동, API 호출의 로그를 취득. AWS어카운트의 거버넌스, 컨플라이언스, 운용감찰, 리스크 감찰등에 이용.

○ AWS Step Functions

각각의 서버 리스의 함수(Lambda, SQS등)를 간단히 연결하여 프로세스 처리를 실행하는 어플리케이션을 구축. 사람에 의한 조작이 필요한 반자동화된 워크로드의 작성도 가능.

 

 

자주 헷갈리는 문제


○ S3에의 액세스 제어

→ 버켓 폴리시 vs 버켓

→ ACL

대상 버켓 & 각각의 오브젝트

※ 버켓 : 오브젝트의 보존 장소

※ 오브젝트 : 파일

○ 트래픽 제어

→ 세큐리티 그룹 : 인스턴스 간

→ ACL : 서브넷 간

○ 자동화

→ Cloud formation : 간단

→ Opsworks : 어려움. 다른 레이어를 제공하는데 적합.

○ 스토리지 게이트 웨이

온프레미스로부터 클라우드 스토리지로의 액세스를 제공.

→ 보관형 볼륨

: 온프레미스의 서버에 로컬 스토리지가 기본으로 필요한 경우에 선택

→ 캐시 볼륨

: 온프레미스의 서버에 S3가 기본으로 필요한 경우 선택

○ CloudFront가 전달하는 콘텐츠로의 액세스 제어

→ 서명이 붙은 URL

→ 서명이 붙은 Cookie

현재의 오브젝트 URL를 변경하고 싶지 않음.

○ 루팅 정책

→ 위치 정보 루팅 정책 :  유저의 위치를 바탕으로 트래픽을 루팅

→  지리 근접성 루팅 정책 : 리소스의 장소를 바탕으로 트래픽을 루팅

○ Amazon Kinesis

→ Streams : 스트림 데이터 처리용의 분석 시스템이나 어플리케이션을 구축하는 서비스

→  Firehos : 각종 DB(S3나 RedShift)에 송신, 압축하기 위한 스트림 처리를 실시.

○ DNS 레코드

→ CNAME : 도메인을 다른 도메인에 맵핑

→ A(AAAA) : 도메인과 IP 주소를 맵칭

→ ALIAS : AWS 서비스 엔드 포인트의 IP주소를 응답

○ 물리 대응 가능한 인스턴스

→ 하드 웨어 점유 인스턴스 : 같은 AWS 어카운트의 인스턴스란 HW를 공유할 가능성이 있는 물리 서버

→ Dedicated Host : 1개 어카운트의 유저가 완전히 점유하여 이용할 수 있는 물리 서버

○ VPC 엔드 포인트

→ 게이트웨이형 : 특수한 루팅을 설정하고, VPC내부로부터 직접 외부의 서비스에 통신.

→ 프라이빗 링크형 : 서브넷에 엔드포인트용의 프라이빗 IP주소를 생성하고, DNS가 이름을 결정하여 루팅함.

 

 

 

메모


VPC내의 EC2인스턴스에 액세스 할 수 없는 요인

① IGW(인터넷 게이트웨이)가 서브넷에 설정되어 있지 않은 경우

② 퍼블릭 IP주소가 부여되어 있지 않은 경우

③ 네트워크 ACL의 설정으로 인터넷 액세스 허가가 되어 있지 않은 경우

④ SG(세큐리티 그룹)의 설정으로 인터넷 액세스 허가가 허가되어 있지 않은 경우

 

실제 환경의 인스턴스 삭제를 예방하는 방법

① 개발자용의 계정을 작성

② 인스턴스에 태그를 붙임

③  개발환경과의 VPC를 분할

 

 

주의


○ RDS의 AutoScaling은 스토리지 용량을 증가시키는 구조.

○ RDS에서는 라이프 사이클 정책에 의한 백업을 설정할 수 없음.

○ VPC 포인트는 리전내의 포인트를 위해, 리전 밖에서는 접근할 수 없음.

○ 인스턴스의 트래픽 분산은 Route53이 아닌, ELB.

○ 스트리밍 데이터는 Kenesis를 사용하는 것이 최적의 방법.

○ AZ내인가 Region내인가 어느쪽의 조건인가를 유심히 봐야함.

○ 스케쥴 작동쪽인가 이벤트 작동쪽인가를 주의해야함.

○ 비용 대비 효율을 생각하고 있는가 아닌가.

○ 처리가 중복되지 않은가 (예) 람다와 EC2

 

 

간단히 봐두면 좋을 것


○ AWS Lake Formation

S3를 이용한 데이터 레이크 구성을 간단히 실현

○ EBS의 AutoScaling

스케일인시에 EBS 볼륨의 데이터를 저장하고 싶을 경우 EBS의 DeleteOnTermination을 비유효화 

○ AutoScaling

쿨다운의 디폴트 타임 - 300초

워밍업 조건은 스텝 스케일링 폴리시를 통해 설정

○ AWS SMS(Server Migration Service)

온프레미스 시스템의 여러 개의 워크로드를 이동할 수 있음.

○ AWS SAM(Serverless Application Model)

서버리스 어플리케이션 구축용의 디플로이 툴. CloudFormation와 연계해서 사용.

○ 고속 컴퓨팅

AI기능을 구현할 수 있는 GPU를 이용 가능한 인스턴스

○ Amazon WorkSpaces

클라우드상에의 데스크톱 관리를 실현할 수 있는 가상 데스크롭 서비스

○ IAM데이터베이스 인증

EC2가 고유의 프로필 인증 정보를 이용하여 RDS에 액세스 가능하게 하는 인증 방법.

○ Route Origin Authorization(ROA)

온프레미스 환경에서 이용해왔던 화이트 리스트에 등록한 IP 주소를 AWS 이동하는 방법.

○ API Gateway의 처리 성능의 향상(최소의 노력으로 실행 가능)

API Gateway의 슬롯링 제한 설정과 캐시를 유효화

○ IP프로팅

ELB나 Route53를 통해 DNS 정보의 전송할 때에 발생할 수 있는 다운타임을 방지하지 위해 가상 IP주소를 사용하여 가용성을 높인 서비스.

○ Amazon Simple Workflow(SWF)

분산 어플리케이션 컴포넌트 간에 상호 협력을 제공하는 서비스

○ 파일럿 플라이트

정지된 상태에서 최소한의 구성으로 다른 리전에 준비해두어 장애 발생시에  작동되도록 한 것.

○ AD Connector

IAM과 온프레미스환경의 AD와 연계

○ 퍼블릭 호스트 존

인터넷상에 공개된 DNS도메인 레코드를 관리하는 컨테이너

○ EC2 Image Builder

AMI설정 갱신을 자동화.

○ AWS IoT Core

디바이스를 간단하고 안전히 클라우드에 접속

○ IAM의 세큐리티 인증 정보

액세스 키ID와 시크릿 액세스 키


참고자료

qiita.com/shutooooh/items/7c457b569181a54f05b4

728x90