AWS SAA-C02 - (1) 개념 정리 ; 자주 헷갈리는 내용 간단 메모

※ 일본 IT회사를 다니면서 일본 자료 위주로 공부하고 있기 때문에 한국에서 사용하는 용어와 다를 수 있으니, 이해 부탁드립니다. 

 

원포인트

---

S3

○ 기본 설정으로 성능의 최대화가 가능.

○ CORS(Cross-Origin Resource Sharing)

어플리케이션상, 복수의 도메인으로부터 콘텐츠 액세스를 유효화.

→ Ajax통신을 사용한 어플리케이션 구축 가능.

○ 특정 IP어드레스로부터의 액세스는 IAM롤에서 설정. SG에서는 제어불가.

○ 기본으로 고가용성 문제로 1개의 AZ에 의존하지 않음.

○ S3의 크로스 리전 레플리케이션이란 S2의 오브젝트를 다른 리전의 버켓에 자동 복제하는 서비스로, 오브젝트의 등록과 동시에 실행됨.

○ 서버 사이드의 암호화는 SSE-S3 (암호화 방식은 AES-256). 암호화, 복호화는 자동적으로 S3가 실시하기 때문에 암호화키의 관리에 신경쓰지 않아도 됨. 버켓의 암호화에 의해 로그의 암호화도 자동적으로 실행됨.

○ Access Analyzer를 통해 부정 접근을 확인하고, 액세스 권한의 최소화하는 구성을 모델링할 수 있음.

○ 스토리지 클래스 분석을 통해 데이터를 언제 어느 스토리지에 이동하는 것이 적당한지 판단할 수 있음.

○ 모든 데이터에 대해 퍼블릭 액세스가 되지 않도록 해야할 경우, S3 퍼블릭 액세스 설정 기능에서 블락을 유효화함.

○ S3 Intelligent-Tiering으로 저빈도의 액세스 오브젝트를 자동적으로 저빈도 액세스 층에 이동하도록 할 수 있음.

○ S3로부터 웹사이트를 호스팅할 때의 URL예

→ 보통

http://【bucket-name】.s3-ap-northeast-1.amazonaws.com/ai.jpg

→ 정적

http://【bucket-name】.s3-website-ap-northeast-1.amazonaws.com

 

S3 Glacier

○ 데이터 취득 시간

고속 : 1~5분

표준 : 3~5시간

대용량 : 5~12시간

※ Glacier Deep Archive의 경우

표준 : ~12시간

대용량 : ~48시간

○ 데이터 보존 기간

최저 90일

 

CloudFront

○ 웹 어플리케이션의 컨텐츠의 배송 처리를 향상시킴.

○ ALAS 코드

○ S3와의 연계가 중요한 포인트

→ Amazon S3 Transfer Acceleration으로 클라이언트와 S3의 간에 장거리 파일 전송을 고속, 간단, 안전히 실행.

Transfer Acceleration은 CloudFront의 엣지 로케이션을 이용.

→ CloudFront의 distribution에 WAF로 작성한 WEB ACL(WAF 설정)을 연결짓는 것으로 접근 제어가 가능.

CloudFront에 의해 Refer제한을 하는 것이 아닌, AWS WAF로 Referer을 제어함. 

→ 오리진 액세스 아이덴티티(OAI)라는 불리는 특별한 CloudFront 유저를 작성하여 접근 제한을 할 수 있음.

 

Lambda

○ 한번에 실행 가능한 최대 볼륨 512MB 

○ 기본 타임 아웃 시간은 3초. 최대 실행 시간은 15분

 

SQS

○ 메시지 서비스

최대 256KB

※ 확장 클라이언트 라이브러리를 이용하는 경우 최대 2GB까지.

○ 메시지 보존 기간

기본-4일

최소-60초

최대-14일

○ 우선도 설정 가능

○ Auto Scaling 트리거를 설정할 경우 SQS의 큐 서비스를 확인함.

 

EBS

○ DLM(Data Lifecycle Manager)을 사용하여 정기적인 백업을 할 수 있음.

○ EBS 자체는 SnapShot의 라이프사이클 기능, 레플리케이션이라는 기능이 없음.

○ 프로비전은 IOPS만 복수의 EC2인스턴스를 붙일 수 있음.

○ 접근 빈도가 낮으나 소중한 데이터의 보존 스토리지로는 EBS의 콜드 HDD를 선택.

 

RDS

○ 멀티 AZ 배치를 유효화하면 DB인스턴스의 고가용성 및 Failover 서포트를 제공받을 수 있음.

※ Redshift는 멀티 AZ 구성이 불가능.

○ 자동적으로 백업을 하여 S3에 보존.

○ 스냅샷을 바탕으로 DB인스턴스를 작성하여 리스토어가 가능. 데이터 복구, 재해 대책, 시스템 확장에 이용할 수 있음.

○ Failover하면 DB인스턴스의 CNAME레코드를 자동적으로 교환.

○ RDS Proxy가 어플리케이션과 RDS를 중개함.

Lambda를 RDS와 연계하고 싶은 경우에 이용. 사용하지 않으면 데이터 세션이 비효율적.

○ RDS의 확장 모니터링을 유효화하면 CPU의 사용률이 CloudWatchLogs에 표시됨.

○ sharding(; 데이터 베이스의 부담 분산 방법의 한 종류)가 가능

 

DynamoDB

○ 메타 데이터, 유저 설정, 세션 데이터나 일련의 스트림 데이터를 축적하여 빅데이터 분석에 이용할 수 있음

○ DynamoDB 스트림의 유효화를 통해, 이벤트에 의한 통지 처리 등이 가능

※ DynamoDB이벤트라는 기능은 존재하지 않음.

○ DynamoDB Accelerator(DAX)는 리드레플리카를 증설할 때 유효화할 필요가 있음.

 

CloudWath

○ CloudWatch 에이전트의 설치로 EC2와 온프레미스 서버의 상세 로그를 수집하고 CloudWatchLogs를 통해 얻은 로그를 집약할 수 있음.

 

CloudFormation

○ 템플릿

예)

NetworkACL

RuleNumber:100

RuleAction:allow

Egress:true ※ 아웃바운드 트래픽 설정. flase라면 인바운드.

(이하 생략)

※ 포트 번호

80/HTTP
20/FTP
22/SSH

 

ElastiCache

○ RDS등의 DB(NoSQL형)의 읽기처리를 고속화

○ 간단하게 이용하는 경우는 Memcached, 그 이외에는 Reids

 

AWS Elastic Beanstalk

○ Docker의 구조를 이용하여 구성된 어플리케이션을 전개

○ 어플리케이션의 버전 관리나 상태의 상세 감시를 자동화

○ 웹 어플리케이션이나 작업자 환경의 구축에 이용됨.

 

 

용어 정리

---

○ RedShift의 확장 VPC 루팅

VPC내의 모든 데이터의 이동의 트래픽 제어, 모니터링이 가능

○ 플레이스먼트 그룹

단일의 AZ내의 EC2간에 통신을 고속화

○ Amazon FSx for Windows

파일 시스템당 최대 2GB/초의 스루풋, 수백만의 IOPS, 일관된 밀리 초 미만의 대기 시간과 같은 고속 퍼포먼스가 가능한 고성능한 스토리지. SMB프로토콜로 전송이 이루어짐.

○ Amazon EFS

NFSv4 프로토콜

○ Amazon EMR

빅데이터 분석 처리 (※ AWS AppSyn : 리얼 타임 분석, 랭킹 처리)

○ AWS Cognito

어플리케이션의 인증, 허가, 유저 관리를 서포트

○ AWS Certificate manager

SSL 인증서를 집중관리

○ Snowball Edge Storage Optimized

AWS와 온프레미스 간에 데이터를 전송. 이용가능한 영역-80TB

○ Aurora Serverless

Aurora용의 온디맨드의 Auto Scaling 설정. 어플리케이션의 사용 상황에 맞는 자동적인 기동, 셧다운을 실시.

○ 커스터머 게이트웨이

AWS에서 VPN접속을 구성할 때에 이용하는 커스터 게이트 웨이에 정적 루팅을 구성

○ AWS Transit Gateway

네트워크 간의 연계, 관리를 효율화. Amazon VPC, 온프레미스의 데이터 센터, 리모트 오피스 각각을 연결하여 허브 및 스포크형을 구축.

○ SAML(Security Assertion Markup Language)

유저 정보를 일원 관리하는 Active Directory나 클라우드 서비스와의 연계, 싱글 사인 온을 실현.

○ AWS CloudTrail

유저의 활동, API 호출의 로그를 취득. AWS어카운트의 거버넌스, 컨플라이언스, 운용감찰, 리스크 감찰등에 이용.

○ AWS Step Functions

각각의 서버 리스의 함수(Lambda, SQS등)를 간단히 연결하여 프로세스 처리를 실행하는 어플리케이션을 구축. 사람에 의한 조작이 필요한 반자동화된 워크로드의 작성도 가능.

 

 

자주 헷갈리는 문제

---

○ S3에의 액세스 제어

→ 버켓 폴리시 vs 버켓

→ ACL

대상 버켓 & 각각의 오브젝트

※ 버켓 : 오브젝트의 보존 장소

※ 오브젝트 : 파일

○ 트래픽 제어

→ 세큐리티 그룹 : 인스턴스 간

→ ACL : 서브넷 간

○ 자동화

→ Cloud formation : 간단

→ Opsworks : 어려움. 다른 레이어를 제공하는데 적합.

○ 스토리지 게이트 웨이

온프레미스로부터 클라우드 스토리지로의 액세스를 제공.

→ 보관형 볼륨

: 온프레미스의 서버에 로컬 스토리지가 기본으로 필요한 경우에 선택

→ 캐시 볼륨

: 온프레미스의 서버에 S3가 기본으로 필요한 경우 선택

○ CloudFront가 전달하는 콘텐츠로의 액세스 제어

→ 서명이 붙은 URL

→ 서명이 붙은 Cookie

현재의 오브젝트 URL를 변경하고 싶지 않음.

○ 루팅 정책

→ 위치 정보 루팅 정책 :  유저의 위치를 바탕으로 트래픽을 루팅

→  지리 근접성 루팅 정책 : 리소스의 장소를 바탕으로 트래픽을 루팅

○ Amazon Kinesis

→ Streams : 스트림 데이터 처리용의 분석 시스템이나 어플리케이션을 구축하는 서비스

→  Firehos : 각종 DB(S3나 RedShift)에 송신, 압축하기 위한 스트림 처리를 실시.

○ DNS 레코드

→ CNAME : 도메인을 다른 도메인에 맵핑

→ A(AAAA) : 도메인과 IP 주소를 맵칭

→ ALIAS : AWS 서비스 엔드 포인트의 IP주소를 응답

○ 물리 대응 가능한 인스턴스

→ 하드 웨어 점유 인스턴스 : 같은 AWS 어카운트의 인스턴스란 HW를 공유할 가능성이 있는 물리 서버

→ Dedicated Host : 1개 어카운트의 유저가 완전히 점유하여 이용할 수 있는 물리 서버

○ VPC 엔드 포인트

→ 게이트웨이형 : 특수한 루팅을 설정하고, VPC내부로부터 직접 외부의 서비스에 통신.

→ 프라이빗 링크형 : 서브넷에 엔드포인트용의 프라이빗 IP주소를 생성하고, DNS가 이름을 결정하여 루팅함.

 

 

 

메모

---

VPC내의 EC2인스턴스에 액세스 할 수 없는 요인

① IGW(인터넷 게이트웨이)가 서브넷에 설정되어 있지 않은 경우

② 퍼블릭 IP주소가 부여되어 있지 않은 경우

③ 네트워크 ACL의 설정으로 인터넷 액세스 허가가 되어 있지 않은 경우

④ SG(세큐리티 그룹)의 설정으로 인터넷 액세스 허가가 허가되어 있지 않은 경우

 

실제 환경의 인스턴스 삭제를 예방하는 방법

① 개발자용의 계정을 작성

② 인스턴스에 태그를 붙임

③  개발환경과의 VPC를 분할

 

 

주의

---

○ RDS의 AutoScaling은 스토리지 용량을 증가시키는 구조.

○ RDS에서는 라이프 사이클 정책에 의한 백업을 설정할 수 없음.

○ VPC 포인트는 리전내의 포인트를 위해, 리전 밖에서는 접근할 수 없음.

○ 인스턴스의 트래픽 분산은 Route53이 아닌, ELB.

○ 스트리밍 데이터는 Kenesis를 사용하는 것이 최적의 방법.

○ AZ내인가 Region내인가 어느쪽의 조건인가를 유심히 봐야함.

○ 스케쥴 작동쪽인가 이벤트 작동쪽인가를 주의해야함.

○ 비용 대비 효율을 생각하고 있는가 아닌가.

○ 처리가 중복되지 않은가 (예) 람다와 EC2

 

 

간단히 봐두면 좋을 것

---

○ AWS Lake Formation

S3를 이용한 데이터 레이크 구성을 간단히 실현

○ EBS의 AutoScaling

스케일인시에 EBS 볼륨의 데이터를 저장하고 싶을 경우 EBS의 DeleteOnTermination을 비유효화 

○ AutoScaling

쿨다운의 디폴트 타임 - 300초

워밍업 조건은 스텝 스케일링 폴리시를 통해 설정

○ AWS SMS(Server Migration Service)

온프레미스 시스템의 여러 개의 워크로드를 이동할 수 있음.

○ AWS SAM(Serverless Application Model)

서버리스 어플리케이션 구축용의 디플로이 툴. CloudFormation와 연계해서 사용.

○ 고속 컴퓨팅

AI기능을 구현할 수 있는 GPU를 이용 가능한 인스턴스

○ Amazon WorkSpaces

클라우드상에의 데스크톱 관리를 실현할 수 있는 가상 데스크롭 서비스

○ IAM데이터베이스 인증

EC2가 고유의 프로필 인증 정보를 이용하여 RDS에 액세스 가능하게 하는 인증 방법.

○ Route Origin Authorization(ROA)

온프레미스 환경에서 이용해왔던 화이트 리스트에 등록한 IP 주소를 AWS 이동하는 방법.

○ API Gateway의 처리 성능의 향상(최소의 노력으로 실행 가능)

API Gateway의 슬롯링 제한 설정과 캐시를 유효화

○ IP프로팅

ELB나 Route53를 통해 DNS 정보의 전송할 때에 발생할 수 있는 다운타임을 방지하지 위해 가상 IP주소를 사용하여 가용성을 높인 서비스.

○ Amazon Simple Workflow(SWF)

분산 어플리케이션 컴포넌트 간에 상호 협력을 제공하는 서비스

○ 파일럿 플라이트

정지된 상태에서 최소한의 구성으로 다른 리전에 준비해두어 장애 발생시에  작동되도록 한 것.

○ AD Connector

IAM과 온프레미스환경의 AD와 연계

○ 퍼블릭 호스트 존

인터넷상에 공개된 DNS도메인 레코드를 관리하는 컨테이너

○ EC2 Image Builder

AMI설정 갱신을 자동화.

○ AWS IoT Core

디바이스를 간단하고 안전히 클라우드에 접속

○ IAM의 세큐리티 인증 정보

액세스 키ID와 시크릿 액세스 키

---

참고자료

qiita.com/shutooooh/items/7c457b569181a54f05b4