Eddie Bear 개발 노트 Eddie Bear 개발 노트

데이터 보안 종류 전송 - ssl - 인증서 - ACM 저장 - key - KMS 데이터 및 책임 공동 책임 모델 데이터 보안에 신경 써야 하는 이유 - 고객 신뢰 - 정부 요구 사항 - 영업 비밀 비용 vs 보호 vs 시간 - 서로 상충관계이다. 데이터 분류가 필요 - 일반 정보 - 민감 정보 - 기밀정보 위험 평가 - 위험 등급을 정한다. - 관리가 복잡해 진다. 암호화 - 키를 이용한 암호화 DIY 키 관리 장점 : - 기존 키 및 애플리케이션 사용 가능 - 저장되는 장소와 사용자 세부 제어 가능 단점 - 다른 리전에 복제하는데 비용이 많이 소요 - 새로운 개발자에게 인프라 교육 힘듬 - 확장에 따른 키 관리 감사가 어려움 AWS KMS ( key management service) - 디스크에 저..

도입이유: 성능, 비용(??? 캐싱에도 비용이 든다.) 1. Cloud Front - CDN 2. DAX (DynamoDB AX) 3. Elastic cache 무엇을 캐시해야 하나? - 잘 안바뀌는 데이터 - 정적인 데이터 캐싱의 이점 - app 속도 향상 - DB 쿼리 부담 완화 - 응답 지연 시간 감소 캐싱 유형 클라이언트 측 서버측 AWS 캐싱 CloudFront CDN( 콘텐츠 전송 네트워크) 엣지 로케이션 라우팅 -캐시 가능한 콘텐츠 유형 정적 콘텐츠(보통) :이미지, 동영상 동적(특이케이스) : n/w 성능을 위해 사용, 관리 용이성 콘텐츠 만료 방법 1. Time To Live(TTL) - 기간 고정(만료기간) - 사용자가 설정 - CloudFront에서 오리진으로 GET 요청에 If-Mo..

인프라 및 배포 자동화 - 휴먼 에러를 줄이기 위해! 자동화 해야하는 이유! - 대규모 컴퓨팅 환경을 구축하려면 상당한 시간과 에너지가 필요! - 롤백 롤아웃 관리를 위해 - 배포 관리 자동화가 없는 경우 - 클릭으로 할시 완전이 같은 환경이라는 것을 보장 못함 - 확장불가, 버전제어 없음, 감사내역부족, 일관성 없는 데이터 관리 인프라 자동화 (IaC) - AWS CloudFormation (or 테라폼도 사용 가능) - AWS 인프라를 설명하는 공통 언어 제공 - 설명된 리소스를 자동화된 방식으로 생성, 구축 - 하나의 템플릿으로 dev , prod 모두 deploy가능 Cloud Formation https://cfn101.workshop.aws/ code로 취급 -> vcs(git) Yaml/Js..

부분적 문제가 생기더라도 서비스가 문제 없이 돌아가야 한다. 고가용성의 요소 내결함성 : APP 구성 요소의 내장된 중복성 확장성 및 탄력성 : 설계 변경 없이 성장을 수용 복구성 : 재해 발생 후 서비스 복구 탄력성이란? 탄력적인 인프라는 용량 욕구사항이 변화함에 따라 지능적으로 확장 및 축소 될 수있다. 탄력성 유형 시간 기반 : 사용되지 않는 리소스 끄기 볼륨 기반 : 수요 강도에 맞게 규모 조정 모니터링 이유 1.운영 상태 2.리소스 활용 3.애플리케이션 성능 4.보안 감사 CloudWatch를 사용하여 모니터링 1)Metric EC2 - 비관리 RDS - 관리형 AWS CPU, Disk, N/W 사용자 지정 데이터 Mem (5min -> 1min ($) -> 1sec 2) Alarm CPU >=..

계정 루트 사용자 - 모든 액세스 권한을 갖는다. 안전한 관리 방법 - IAM 관리 사용자 생성 - 루트 사용자 자격 증명 잠금 + MFA - IAM 관리 사용자 사용 IAM 보안 주체 - IAM 사용자 - 연동 사용자 - IAM 역할 - 자격 증명 공급자 IAM 사용자 - 각 사용자는 자체 자격 증명(credentials)를 갖는다. - IAM 사용자는 자체 권한을 기준으로 특정 AWS 작업을 수행할 권한이 있다. - 기본적으로 주어진 권한이 없다. - 권한을 주어야 한다. IAM 정책은 AWS 서비스에 대한 액세스만 제어한다. app 에 대한 로직 제어는 할 수 없다. IAM 정책을 통해 액세스를 허용하거나 거부할 수 있다. Resource - arn:aws:서비스명:리전코드:account numbe..

ELB - health check 가능 - dns 이름 부여 - 외부 또는 내부에 위치 가능 ELB option - Application LB - Network LB - Classic LB ALB - L7 NLB - L4 CLB - L7+L4 protocol HTTPS TCP, UDP HTTPS TCP, UDP Target EC2, IP Lambda EC2, IP DNS Alias Alias ELB 사용 이유 - 고가용성 - 상태확인 - 보안기능 - TLS 종료 연결 드레이닝 - 인스턴스를 업데이트 할때 timeout 시간을 준다 가용영역 2개 이상으로 분산 - 분산 시킬수록 비용은 증가하지만 2곳이상으로 분산 권장 Route 53 - DNS 서비스 - SLA 100% (지구가 망하지 않는이상 응답이 온..

특징 - VPC는 aws 계정 전용 가상 네트워크 이다. - IPv4 or IPv6 주소 벙위에 존재 - CIDR 범위 생성 가능 ( ex) 10.0.1.0/24) VPC는 region내 AZ 에 걸쳐져서 배포됨 하나의 vpc 사용 - 고성능 컴퓨팅 대부분의 사용 사례 - 다중 vpc - 다중 계정 (부서별로) VPC - soft limit - hard limit VPC - private IP주소의 범위를 예약 - CIDR 표기법을 사용 - 고유 IP 주소 가져오기(BYOIP - Bring your on IP)지원 CIDR Example 서브넷을 사용하여 vpc 를 나누어 사용가능 - 서브넷 구성시 ip 5개는 aws가 예약한다. (0: Net, 1: VPC Router, 2:DNS, 3:Reserved..

1.Security Groups Inbound & Outbound Rule 구성 - ec2는 type http inbound sg 생성, Source anywhere - rds는 type MYSQL/Aurora 로 생성 , 이때 source 는 ec2용으로 생성한 SG ID를 넣는다. 1. ec2의 sg를 구성후 db의 inbound에 ec2의 sg를 연결한다. 2. RDS 생성 , 이때 위에서 생성한 rds sg사용 3. EC2 생성, 위에서 생성한 sg사용