AWS Today I Learned(TIL) - certificate

AWS Today I Learned(TIL) - certificate

History

---

• EC2
• elasticache
  • 인 메모리 환경 관리.
  • 요금
    • 최소요금 없음.
    • EC2 <-> ElastiCache 데이터 전송 요금 없음.(단, 동일 AZ)
    • 서로 다른 AZ의 경우 EC2 <-> ElastiCache 데이터 전송 (리전 데이터 요금 적용)/사용자에게 EC2 송수신 데이터 요금 적용/ElastiCache 노드 자체에서 송수신 데이터는 요금 부과하지 않음.
  • 보안
    • VPC사용 하지 않을 경우 캐시 보안 그룹을 통해 액세스 제어
    • (!) 클러스터에서 현재 IP 범위 기반 액세스 제어는 클러스터에 사용할 수 없습니다
    • DNS 엔드포인트 권장(기본)
    • ElastiCache 클러스터 VPC 간의 이동은 지원 불가(서브넷 변경 부분은 배포된 클러스터의 서브넷 그룹 변경은 현재 허용되지 않음)
  • 구성 및 조정
    • 단일 노드 보다는 멀티 노드가 좋습니다. 필요한 메모리 부분이 약 8G의 경우 단일 서버보다, 4G 서버 2대를 이용. 노드는 리전당 최대 100개
• CloudFront
  • 설명: Amazon CloudFront는 최종 사용자에게 더 짧은 지연 시간으로 콘텐츠를 전송하기 위해 28개국 61개 도시에 분포된 134개 PoP의 글로벌 네트워크(에지 로케이션 123개, 리전 별 에지 캐시 11개)를 사용합니다.
  • 동적 및 맞춤형 콘텐츠 (AWS lamdba 함수를 이용해서 최종사용자가 가까운 위치 콘텐츠를 개인화할 수 있음.)
• IAM (모범사례)
  • Root 계정 엑세스 잠금
  • 개별 IAM 사용자 생성
  • 그룹을 이용한 권한 할당
  • 최소 권한 부여
  • 관리형 정책으로 권한사용 시적(인라인은 관리가 어려움)
  • 사용자에 대한 강력한 암호정책 적용
  • MFA 활성화
  • 인스턴스 에서 실행되는 애플리케이션에 역할 사용
  • 액세스 키 공유 X/자격증명 정기적 교체/불필요한 정책 정기적 삭제
  • AWS 계정 활동 모니터링

• S3-IA
  • 이미지 검색이 빈번하지는 않지만, 즉시 검색되어야 하는 경우
• CloudFront
  • 쿼리 문자열 파라미터 기반의 콘텐츠 캐싱
    • 일부 웹 애플리케이션은 쿼리 문자열을 사용하여 오리진에 정보를 전송합니다. 쿼리 문자열은? 문자 다음에 오는 웹 요청의 일부이며 이 문자열은 & 문자로 구분된 하나 이상의 파라미터를 포함할 수 있습니다. 다음 예의 쿼리 문자열에는 color=red와 size=large의 두 가지 파라미터가 포함되어 있습니다. Link
• EC2 Auto Scaling
  • Auto Scaling 그룹의 인스턴스 수 유지
    • 인스턴스 상태 확인: 이 경우에는 인스턴스가 impaired 상태인 경우 대체 인스턴스 를 시작합니다.
    • 비정상 인스턴스 교체: 인스턴스가 비정상일 경우 즉시 교체가 예약되지만, 자동으로 복구되지는 않는다.
  • Auto Scaling 동적 조정 정책 유형
    • 대상 추적 조정: 특정 측정치의 목표값을 기준으로 동작 (에이컨 온도 설정과 유사)
      • Auto Scaling 측정 데이터로 꼭! 비례하지 않는 자료(ELB 수신요청수/ELB 요청 지연시간/SQS대기열의 메시지 수)
    • 단계 조정: 그룹의 현재 용량을 일련의 조정 조절에 따라 늘리거나 줄이며 경보 위반의 크기에 따라 달라지는 단계 조절이라고 합니다.
    • 단순 조정: 그룹의 현재 용량을 단일 조정 조절에 따라 늘리거나 줄인다.
  • 조정 휴지
    • 기본 휴지: 모든 동적 조정 활동에 자동으로 적용 (기본 정책 시간 300초)
    • 조정 특정 휴지: 기본 휴지 정책보다 우선시 되며 인스턴스를 축소할 때 사용하여 기본 휴지 정책 시간은 300초 보다 낮게 설정하여 비용 절감 효과를 볼 수 있습니다.
    • 휴지 및 다중 인스턴스: 일반적으로 Auto Scaling 그룹은 한 번에 둘 이상의 인스턴스를 시작합니다. 예를 들어, 특정 측정치 임계값이 충족되는 경우 그룹에서 인스턴스 3개를 시작하도록 선택할 수 있습니다
    • 휴지 및 수명 주기 후크: 훅을 사용하여 Auto Scaling 그룹 내에서 인스턴스가 시작되고 종료되는 방식을 제어할 수 있습니다. 인스턴스가 서비스 상태가 되거나 종료되기 전에 인스턴스에 대한 작업을 수행할 수 있습니다.
    • 휴지 및 스팟 인스턴스: 스폿 인스턴스에 대한 입찰에 성공한 경우
  • 축소 시 Auto Scaling 인스턴스 종료 제어
    • 기본 종료 정책
      1. 인스턴스가 가장 많으며 축소로부터 보호되지 않은 인스턴스가 최소 하나 이상 있는 가용 영역을 확인한다.
      2. 대부분의 인스턴스를 포함하는 가용 영역에서 선택할 수 있는 보호되지 않은 인스턴스가 여러 개 있을 경우(잘 이해 안 됨.)
      3. 비보호 인스턴스가 여러 개인 경우 다음 결제 시간에 가장 근접한 인스턴스를 확인 및 종료.
      4. 다음 결제 시간에 가장 근접한 비보호 인스턴스가 여러 개인 경우 이러한 인스턴스 중 하나를 임의로 선택.
• RDS
  • 보안 구성
    • Amazon RDS 보안 그룹을 통한 액세스 제어
      • DB 보안 그룹: DB 보안 그룹은 VPC에 있지 않고 EC2-Classic 플랫폼에 있는 DB 인스턴스에서 사용됩니다. 각 DB 보안 그룹 규칙을 설정하면 특정 소스가 해당 DB 보안 그룹과 연결되어 있는 DB 인스턴스에 액세스 할 수 있습니다. 소스는 주소 범위(예: 203.0.113.0/24) 또는 EC2 보안 그룹일 수 있습니다. EC2 보안 그룹을 소스로 지정하면 해당 EC2 보안 그룹을 사용하는 모든 EC2 인스턴스에서 수신 트래픽이 허용됩니다. DB 보안 그룹 규칙은 인바운드 트래픽에만 적용되며, 아웃바운드 트래픽은 현재 DB 인스턴스에서 허용되지 않습니다. (DB 보안 그룹에 Amazon EC2 보안 그룹에 대한 수신 규칙을 추가하면 해당 Amazon EC2 보안 그룹과 연결된 Amazon EC2 인스턴스만 DB 인스턴스에 액세스할 수 있습니다.)
• AWS Athena
  • 서버리스 서비스/즉각적인 쿼리 시작/쿼리당 비용 지불/IAM, ACL, S3 버킷 정책으로 보안 제어 가능
  • 모니터링: CloudTrail을 사용하여 Athena API 호출 로깅
• Amazon Kinesis
  • 실시간 스트리밍 데이터 수집/서버리스 서비스/
  • 모니터링: AWS Trafil 및 CloudWatch
• Amazon Redshift
  • 쿼리를 데이터 레이크로 확장할 수 있는 빠르고 간단하며 비용 효율적인 데이터 웨어하우스
• AWS 향상된 네트워크
  • SR-IOV는 기존 가상 네트워크 인터페이스에 비해 높은 I/O 성능 및 낮은 CPU 사용률을 제공하는 디바이스 가상화 방법입니다
  • 반가상화 느낌으로 커널에 대한 수정이 필요.