interplanetary detour

Sysops 과정은 총 12개 모듈로 구성되어 있으며, 개중에 한 단계 더 분리된 모듈도 존재한다.

Tess와 Arch에서 배운 기초적인 내용이 포함되어 있어 복습 목적의 정리 또한 병행한다.

Module 1 : Systems Operations on AWS 소개

Region

• AWS 서비스가 제공되기 위한 인프라의 논리적인 위치
• 지리적 대표 도시명으로 나타낸다.
• 멀티 AZ로 DR(Disaster Recovery) 구성을 위해 반드시 2개 이상의 AZ가 포함되어야 한다.
• 현재 25개 리전 존재

Availability Zone

• 하나 이상의 데이터센터를 클러스터로 묶은 논리적 단위
• 현재 81개 AZ 존재

Edge Location

• AWS Route53, AWS CloudFront, AWS WAF 등 글로벌 서비스를 위한 인프라
• Region, AZ와 다르게 사용자가 지정할 수 없음

AWS Well-Architected Framework

• AWS 아키텍처 모범 사례를 포함한 백서
• 5가지 핵심 요소
  • 보안
  • 안정성
  • 성능 효율성
  • 비용 최적화
  • 운영 우수성

AWS Well-Architected Tool

• WAF와 다르게 Management Console의 툴로써 제공되며, 일련의 질문에 대답하며 더 간편하게 인프라 구조를 검토할 수 있다.

시스템 운영의 요소

• 배포
  • 인프라 환경의 구성

• 모니터링
  • 모니터링을 통해 개선점 등을 발견
• 고도화
  
  • 구조의 효율성을 위한 변경
• 보안
  • 권한의 핸들링 등 보안 솔루션 관리
• 최적화
  • 고도화와 유사하게 시스템 최적화

운영 우수성 원칙

• 설계 원칙
  • 코드형 작업 수행
  • 작은 규모로 손쉽게 롤백이 가능한 변경 수행
  • 운영 절차의 지속적 개선
  • 장애 예측
  • 모든 운영 실패에서 교훈 습득

단계별 운영 우수성 핵심 서비스

• 준비
  • AWS Trusted Advisor
  • AWS CloudFormation
  • AWS 개발자 도구
  • AWS X-Ray
  • AWS Config
  • AWS Systems Manager
• 실행
  • Amazon CloudWatch
  • Personal/Service Dashboard
  • Amazon CloudWatch
  • Amazon ElasticSearch
  • Amazon SNS
  • Auto Scaling
  • AWS Systems Manager
• 개선
  • Amazon QuickSight
  • Amazon Athena
  • Amazon S3
  • Amazon CloudWatch
  • Amazon Machine Image
  • Amazon SNS
  • AWS Lambda
  • AWS CloudFormation

AWS Trusted Advisor

• 비즈니스 레벨 이상의 AWS Support Plan을 이용할 때 제공받을 수 있는 유지 보수에 대해 도움을 주는 서비스이다.
• https://aws.amazon.com/ko/premiumsupport/plans/

AWS Simple Monthly Calculator

• 리소스에 대한 월별 지불할 비용을 계산해주는 서비스
• 예산 산출에 이용된다.
• 현재 콘솔 상에서 이용하는 AWS Pricing Calculator 개발로 인해 Deprecate 예정이다.
• https://calculator.s3.amazonaws.com/index.html?lng=ko_KR

AWS Cost Explorer

• 비용 및 사용량에 대한 데이터를 분석하여 시각적으로 확인할 수 있게 해주는 서비스
• 가계부와 비슷하다고 볼 수 있음
• https://aws.amazon.com/ko/aws-cost-management/aws-cost-explorer/

Module 2a - 액세스 관리

IAM (Identity and Access Management)

• 인증
  • 맞는 사용자(관리자)인지 확인
  • Management Console 접근은 사용자 ID와 PW, CLI와 SDK 접근은 액세스 키와 시크릿 액세스 키로 인증
• 인가
  • 관리자에 대해 권한을 제어
  • JSON 파일로 Policy를 지정
  • 권한을 할당할 때 최소 권한의 원칙 준수

IAM 권한 유형

• 자격 증명 기반 정책
  • IAM 사용자 종속 
  • 리소스에 관계없이 IAM 사용자에게 권한을 지정한다.
• 리소스 기반 정책
  • 리소스 종속 
  • 리소스에 대한 특정 IAM 사용자의 권한을 지정한다. 
  • 자격 증명 기반과 달리 JSON 파일에 Principal 속성이 포함되어 있다. IAM 사용자를 나타낸다.

STS & Role

• 임시 자격 증명
• 강사가 사옥에 들어갈 때 방문증을 받듯이 임시로 역할을 부여
• STS와 Role은 같이 동작한다.
  • STS가 임시 자격 증명을 발행한다.
  • Role이 권한을 위임한다.

연동 사용자

• SAML 2.0 또는 OpenID Connect를 통해 외부 사용자와 신뢰 관계를 맺는다.
• 이후 STS와 Role을 통해 임시 접근 자격을 부여한다.

IAM 그룹

• IAM 사용자의 모음
• 한 IAM 사용자는 여러 그룹에 속할 수 있음
• 권한은 IAM 정책을 통해 부여됨
• 그룹을 중첩할 수 없음
• 그룹은 보안 주체가 아님

Role on Resource

EC2 인스턴스의 어떤 애플리케이션이 S3 또는 DynamoDB와 상호 작용을 해야한다고 가정했을 때, 애플리케이션에 Role을 부여해서 접근 권한을 지정해 상호 작용을 할 수 있게 한다.

PassRole

Role을 부여할 수 있는 관리 권한

정책 평가 우선순위

• 명시적 Deny : Deny
• 명시적 Allow : Allow
• 명시적 Allow + 명시적 Deny : Deny
• 명시되어 있지 않음 : Deny

Policy 항목 5가지 : 예시 

1. (Required) Resource : EC2
2. (Required) Action : stop / start
3. (Required) Effect : allow / deny
4. (Optional) Condition : 특정 IP 지정 등 조건 지정
5. (리소스 기반 정책) Principal : IAM 사용자 아이덴티티 기술

Policy 생성 방법

• 편집기로 JSON 문서 작성
• AWS 관리형 정책 사용
  • 수정, 편집 불가
• IAM Policy Generator/Simulator 등의 GUI 기반 툴을 통해 생성

자격 증명 관리

• 환경 간 권한은 일관되어야 한다.
• IAM 자격 증명 보고서 검토
  • 주기적 액세스 키 교체
  • 불필요한 자격 증명 삭제

ARN (Amazon Resource Name)

Policy에 리소스 아이덴티티를 기술할 때 사용된다.

AWS Organizations

개발 계정, 테스트 계정, 프로덕션 계정, 공유 서비스 계정 등 여러 계정을 하나의 엔터프라이즈 기업에서 부서별로 관리할 수 있게 해주는 서비스이다.

• 중앙 집중식 계정 관리 및 감사
• 자동화된 계정 생성 및 관리
• 그룹 기반 계정 관리
• 서비스 비용 통합 결제
• SCP(Service Control Policy) : OU(Organization Unit), 루트 계정에도 액세스 제어가 가능
• 트리 구조로 조직도와 같이 구성된다.

Module 2b : 시스템 검색

AWS 리소스와의 상호 작용

• AWS Management Console
  • GUI 관리 툴을 사용해 AWS 서비스에 접속
• AWS CLI
  • 명령어를 통해 AWS 서비스에 접속
• SDK
  • 대부분의 주요 프로그래밍 언어에서 AWS 서비스 API 호출

AWS CLI

• 명령어 구조 : Service - Operation - Parameter - Options
• 단계마다 help 명령어가 전부 제공된다.

Commands & Options

• aws configure 명령어를 통해 액세스 키, 시크릿 액세스 키, 리전 이름, 출력 형식 등을 설정할 수 있다.
• --dry-run
  • 명령어를 실행하지 않고 권한만 확인한다.

AWS Session Manager

• IAM 정책으로 중앙 집중식 액세스 제어
  • 이 때문에 SSH 등 보안성 통신이 아니어도 보안적 이슈가 생기지 않는다.
• Windows, Linux 크로스 플랫폼 지원
• VPC Endpoint를 통해 EC2 인스턴스에 리모트로 연결
  • Jumping Host 없음
  • 인바운드 포트 불필요 (내부적으로 포트포워딩)
  • SSH 키 없음
  • ssm-user에 대한 관리 권한
• 세션 활동 및 로깅 감사
  • AWS CloudTrail (API 호출 로그)
  • Amazon S3
  • Amazon CloudWatch

AWS Systems Manager

리소스를 규모에 따라 안전하게 관리하고 운영할 수 있도록 지원한다.

• 그룹 리소스 (업무 단위로 그룹핑)
• 데이터 시각화
• 작업 수행
• 에이전트 기반

AWS Config

변경 사항을 일관된 형식으로 기록하고 정규화한다. 사내 인프라에 대한 규정을 준수하게 하는 목적.

• 리소스 검색
• 레코드 구성
• 변경 사항 캡처
• 변경 사항 분석 및 문제 해결
• Organizations 환경에서 복수 계정 인벤토리 데이터가 하나의 대시보드에 표시될 수 있다.
• 설정 프로세스
  1. 설정 지정
  2. 규칙 선택
  3. AWS Config에서 리소스 기록 시작
  4. 데이터 보기

AWS Config 규칙

• 관리형 규칙
  • AWS에서 정의하고 관리
  • 구성이 거의 또는 전혀 필요없음
• 사용자 지정 규칙
  • 고객이 정의 및 유지
  • AWS Lambda 사용

ENI (Elastic Network Interface)

탄력적 네트워크 인터페이스는 가상 네트워크 인터페이스이다.

동일한 가용역역 안에서 EC2 인스턴스 간에 이동할 수 있다.

새 인스턴스로 이동할 때 ENI는 다음을 유지한다.

• Private IP Address
• Elastic IP Address
• MAC Address

VGW(Virtual GW) & CGW(Customer GW)

VGW란 VPC마다 하나씩 존재할 수 있는 가상 프라이빗 게이트웨이이다.

VGW를 통해 다른 VPC와 통신하거나 고객의 On-premise 네트워크에 연결할 수 있다.

이 때 고객 쪽의 게이트웨이는 CGW라고 한다.

하나인 VGW에 여러 회선을 연결하여 사용할 수도 있으며, 연결 방식은 AWS Direct Connect와 VPN으로 나뉜다.

AWS Direct Connect (DX) vs. VPN

DX - 중요

DX는 AWS와 협약을 맺은 회사들로부터 제공되는 전용선을 통해 통신을 하는 것이다.

VPN 방식에 비해 Network Bandwidth가 확보되고, 보안적 측면에서의 이점도 확실히 가져갈 수 있다는 장점이 있다.

현재 DX Location을 제공하는 파트너는 LG U+, 세종텔레콤, Kinix, Dream Line, Console Connect 이렇게 5개가 있다.

가격대는 DX Partner, Network Bandwidth 등에 따라 천차만별이다.

VPN

통상적으로 쓰이는 방식이다.

인터넷 회선을 통해 통신한다. DX 대비 속도가 떨어지고 보안이 완전하지 않을 수 있다.

보안과 속도가 중요한 케이스에선 DX를 메인, VPN을 보조회선으로 사용하기도 한다.

VPC Peering

2개의 VPC를 직접적으로 연결해 IGW 또는 VGW를 통하지 않고도 서로 간에 통신할 수 있게하는 기능이다.

고가용성 연결로 단일 장애 지점이 없고 대역폭 병목 현상 또한 일어나지 않으며, 트래픽은 항상 글로벌 AWS 백본에서 유지된다. 추가로 서로 다른 리전 간의 연결 또한 가능하다.

2개의 VPC를 각각 Requester와 Accepter로 잡아 Peering Connection을 생성하고, 아래와 같이 각 VPC의 라우팅 테이블에서 서로를 알도록 라우팅해주면 된다.

이를 통해 아래와 같은 인프라를 가져가는 것이 가능하다.

다만 전이적인 Peering은 불가하기에 너무 많은 Peering Connection이 필요할 경우엔 사용하기 힘들다.

n/2 * n-1

연결할 VPC 수를 위 식에 대입하면 만들어야 하는 라우팅 테이블의 수가 나오는데 이 규모가 방대해지면 효율이 크게 떨어지기 때문에 Transit Gateway를 사용해야 한다.

Transit Gateway - 중요

이 방식은 피어링과 달리 VPC 또는 온프레미스 네트워크 간 직접 연결하지 않고 트랜짓 게이트웨이를 통해 연결한다.

하나의 트랜짓 게이트웨이로 최대 5000개의 연결을 관리할 수 있으며, 이 트랜짓 게이트웨이의 라우팅 테이블은 연결된 모든 네트워크를 알고 있다. 

트랜짓 게이트웨이를 통해 아래와 같은 시나리오를 만족할 수 있다.

VPC Endpoint

VPC의 엔드포인트는 다른 AWS 엔드포인트 서비스에 Private하게 연결할 수 있다.

VPC Peering과 비슷하지만, 엔드포인트는 애플리케이션/서비스에 적용한다는 점이 다르다.

엔드포인트에는 두 가지 유형이 있는데, 인터페이스 엔드포인트와 게이트웨이 엔드포인트이다.

Interface Endpoint

ENI와 연결된다. Amazon EC2 API, Amazon SNS, AWS Systems Manager 그리고 다른 AWS 계정에서 호스팅하는 엔드포인트 서비스 등이 여기 포함된다. 

ENI는 EC2 Instance에 달려있는 것이기 때문에 많은 엔드포인트 연결을 필요로 한다면 EC2 Instance 생성 시에 미리 많은 ENI를 생성해 두어야 할 것이다.

Gateway Endpoint

라우팅 테이블과 연결된다. Amazon S3, Amazon DynamoDB가 여기 포함된다.

ELB (Elastic Load Balancing)

연결된 인스턴스들에 대해 주기적으로 Health Check를 하며, 200번 코드를 반환하는 정상 작동 중인 인스턴스에만 요청을 전송한다. 

ELB의 종류

• ALB (Application) : 7계층에서 동작. HTTP 및 HTTPS 트래픽의 고급 로드 밸런싱. RR(Round Robin) 알고리즘을 통한 LB.
• NLB (Network) : 4계층에서 동작. TCP, UDP, TLS 트래픽의 로드 밸런싱. Hashing 알고리즘을 통한 LB.
• CLB (Classic) : 구세대 통합형 LB. EC2 Instance 신규 등록 작업 불가. 예전부터 쓰고 있는 고객들이 있기에 Deprecated 되지 않고 있음.

ELB 동작 원리

위 사진과 같이 2개의 ELB가 배치되며, Internet Facing ELB와 Internal ELB로 나뉜다.

1. Internet Facing에서 Public Subnet의 Instance들에게 Load Balancing을 해주면
2. 그 Instance들로부터 Internal ELB로 전달.
3. 이후 Private Subnet으로 다시 LB된다.

IAM (Identity and Access Management)

말 그대로 인증과 권한에 대한 관리.

IAM의 4개의 주요 Entity는 다음과 같다.

User : 단일 IAM 사용자이다.

User Group : 보통 사내 부서 별로 나뉘어진 개별 그룹이다.

Role(역할) : (모자처럼 생겼으니)모자를 쓰고 있는 Duration만큼 임시 자격 증명.

Policy : AWS Service에 대한 액세스만 제어. User, User Group, Role에 권한 부여. JSON 파일 형식이다.

Federation User

연동 자격 증명 관리. On-premise에서 관리하다가 AWS를 잠깐 관리하기 위해 On-premise의 자격 증명을 받고 AWS에서 권한을 연동해 간단하게 관리할 수 있음.

Root User

결제의 주체. 모든 AWS 서비스와 리소스에 대한 전체 액세스 권한을 갖는다.

Admin 생성 및 사용, Root 접근에 대한 자격 증명 잠금을 하는 것이 안전하다.

IAM 사용자 생성

기본적으로는 묵시적 Access Deny이다. 가장 강하게, 최우선으로 권한을 제한하려면 명시적으로 Deny한다.

AWS Management Console 또는 CLI에 대한 액세스는 명시적으로 부여되어야 한다.

리소스 기반 - 연결된 AWS 리소스 : Amazon S3, Amazon S3 Glacier 등

자격 증명 기반 - 연결된 IAM 보안 주체 : User, User Group, Role