어쩌다 IT
article thumbnail
Published 2023. 8. 24. 10:26
구름 쿠버네티스 전문가 과정 6기 - 26일차 구름 쿠버네티스
반응형

리뷰 (Review)

더보기

On-Premise 환경

  • 직접 서버 및 네트워크 환경 등 인프라를 구축하는 방식
  • Client - Server 구조
  • On-Premise 환경에서 Server 구성
    • H/W 구성 - 최대 용량(동시 접속자)에 맞추어서 구축
    • S/W 구성 - 사용 환경에 따라 Web Server, DB Server, Main Server, Mail Server 등을 구성
  • On-Premise 단점
    • 구축에 대한 초기 비용이 많이 발생하고 관리가 어려우며 확장성이 떨어진다.

 

Cloud 환경

  • Cloud Service 제공 업체의 H/W, S/W 환경을 빌려서 사용
  • 사용한만큼 비용 지불
  • 가상 환경으로 제공하므로 확장 및 축소가 편리하다.
  • Cloud Service 유형
    • IaaS - Server 환경, Infrastructure만 빌려서 사용
    • PaaS - Platform을 빌려서 사용
    • SaaS - Service 관련 Application을 빌려서 사용
  • Cloud 공동 책임 모델
    • Cloud Service 제공 업체와 Cloud Service 사용자 각각 책임 영역을 구분하고 나누어 관리
  • Cloud 배포 형태
    • Public Cloud
    • Private Cloud
    • Hybrid Cloud
  • 가상화 (Virtualization)
    • S/W적으로 Computer System을 구성
    • Hosted Hypervisor 가상화 - ex) VirtualBox, VMWare, ... 
    • O/S 가상화 - ex) Cloud Service, ...
    • Application 가상화 - ex) Docker, ...

 

AWS

  • Public Cloud Service
  • AWS 서비스 이용 방법
    • AWS Console, AWS CLI, AWS SDK, IaC
  • 글로벌 인프라
    • 리전 - AWS 서비스를 제공하는 물리적인 위치
    • 가용 영역 (Availablilty Zone, AZ) - 리전 내 격리된 공간으로, 데이터 센터 의미
  • AWS 서비스 유형 - IaaS
    • Computing Service - Amazon EC2, Amazon Auto Scaling, Amazon Lightsail, Amazon WorkSpace
    • Network Service - Amazon VPC, Amazon Route 53, Amazon Direct Connect, Amazon ELB
    • Storage Service - Amazon EBS, Amazon EFS, Amazon S3, Amazon Glacier, Amazon Storage Gateway
    • Relational DataBase Service - Amazon RDS, Amazon DynamoDB, Amazon ElastiCache
    • 사용자 관리 Service - IAM

 

보안 - IAM

 

용어

  • AWS 서비스 (Service) - AWS에서 제공하는 서비스
  • AWS 인스턴스(Instance) - AWS 서비스를 이용하여 사용자가 생성한 실제 서비스 객체 (Object), 서비스 인스턴스
    • 객체 (Object)
      • 속성 (attribute) - 객체 상태 정보
      • 행위 (behavior) - 객체 상태 정보를 이용하거나 변경하는 동작
  • AWS 리소스 (Resource) - AWS 서비스가 사용하는 자원

IAM (Identity and Access Management)

  • AWS 리소스에 대한 액세스를 안전하게 제어하기 위한 역할, 권한 설정 서비스
  • IAM을 사용하여 AWS 리소스를 사용하도록 인증 (로그인) 및 권한 부여 대상 제어
  • 글로벌 단위 서비스

 

IAM root (관리자) 계정

  • 전체 AWS 서비스 및 계정 리소스에 대한 완전한 액세스 권한 부여
  • MFA 적용을 통한 이중 인증 가능

 

IAM user (사용자) 계정

  • AWS에서 생성된 엔티티 (entity) 로서 AWS와 상호 작용하기 위한 사람 또는 Application
  • 최소 권한 원칙 적용 - 필요한 AWS 리소스에 대한 액세스 권한 부여
  • 각 IAM 사용자별로 자체 자격 증명을 갖고 있다.
더보기
  • AWS Console 상단 우측의 사용자 선택 → 보안 자격 증명 메뉴 선택
    • CLI, SDK 및 API 액세스를 위한 키
  • IAM 대시보드에서 MFA 추가 항목 선택
    • 가상 MFA 디바이스
  • MFA 적용을 통한 이중 인증

 

  • 기본적으로 주어진 권한은 없다.
  • 각 IAM 사용자에게 필요한 권한 부여
  • 권한 부여는 정책(policy)을 통하여 부여
  • 정책은 권한을 설명한 JSON 문서를 의미
    • JSON - 문서 포맷 (참고 자료
    • 해당 정책에 대한 허용 (Allow) / 거부 (Deny) 에 대한 내용 기술 
  • 사용자 생성
더보기
  • IAM 메뉴 → 사용자  사용자 추가
    • 사용자 이름
    • AWS 자격 증명 유형 선택
    • 콘솔 비밀번호
    • 비밀번호 재설정
  •  권한 부여
    • 그룹에 사용자 추가
    • 기존 사용자에서 권한 복사
    • 기존 정책 직접 연결
  •  태그 부여
    • 태그 (tag) - AWS 인스턴스 식별 목적의 값, 항상 부여하는 게 차후 AWS 인스턴스 식별 시 도움이 된다. 
    • Name 키
    • value 값 - 임의의 값 부여

 

IAM group (그룹)

  • IAM 사용자 모임
  • 그룹에 IAM 정책을 할당하면 해당 그룹의 모든 사용자에게 지정된 정책의 권한 부여

 

IAM pilocy (정책)

  • AWS 리소스 및 리소스에 대한 권한을 허용 (Allow) / 거부 (Deny)하는 문서
  • IAM 정책을 사용하여 사용자가 리소스에 액세스

 

IAM role (역할)

  • IAM 역할을 특정 작업을 허용하거나 거부하는 권한이 연결되어 있으면 임시로 권한에 액세스 하기 위한 자격 증명
  • IAM 사용자, Application 또는 서비스가 IAM 역할을 가지려면 먼저 역할로 전환할 수 있는 권한 필요
  • IAM 역할을 수행한다는 것은 이전 역할의 모든 권한을 포기하고 새 역할에 지정된 권한 수행

 

IAM 참고 자료

 

IAM이란 무엇입니까? - AWS Identity and Access Management

이 페이지에 작업이 필요하다는 점을 알려 주셔서 감사합니다. 실망시켜 드려 죄송합니다. 잠깐 시간을 내어 설명서를 향상시킬 수 있는 방법에 대해 말씀해 주십시오.

docs.aws.amazon.com

네트워크 서비스 - VPC

 

네트워크 구성 요소

  • 포트(Port) 번호
    • 네트워크 통신을 수행하는 프로세스에 부여된 번호
  • IP Address
    • 네트워크에 연결된 Compute(host)에 부여된 번호
    • AWS에서는 IPv4를 기본으로 사용
    • AWS에서는 CIDR 방식으로 host 식별
  • 서브넷 (Subnet)
    • 네트워크에 연결된 호스트를 관리하기 위한 부분 네트워크
  • 게이트웨이 (Gateway)
    • 외부 네트워크(인터넷)와 통신을 수행하기 위한 연결점
    • IPv4에서는 마지막 옥텟의 1번을 게이트웨이로 사용
  • 라우터 (Router)
    • 네트워크에 연결된 host의 경로를 탐색하는 역할 수행
    • 라우팅 테이블(routing table)에 연결된 host 경로 정보 관리

Amazon VPC (Virtual Private Cloud)

  • AWS 전용 가상 네트워크 서비스
  • 리전 단위 서비스
    • 하나의 리전을 대상으로 VPC 생성
    • 동일 리전에 VPC 여러 개 생성 가능
    • 여러 리전에 걸쳐 VPC 생성은 불가능
  • VPC 자체에 대한 비용은 무료
  • VPC 생성
더보기
  • VPC 메뉴 -> VPC 생성
    • VPC 설정
      • 생성할 리소스 - VPC만 선택
      • 이름(Name) 태그 부여
      • IPv4 CIDR 설정 - 사설 네트워크 IP Address 범위에서 지정
  • VPC 생성 이후 설정 내용
    • 작업 메뉴 → DNS 호스트 이름 편집 → 활성화
    • 세부 정보에서 DNS 호스트 이름과 DNS 확인 활성화되어 있어야 한다.
  • VPC를 생성하면 기본 라우팅 테이블을 자동 생성
  • VPC를 생성하는 것은 사설 네트워크 구성을 의미

 

서브넷 (Subnet)

  • VPC 내에 구성되는 가상 네트워크 서비스
  • 가용 영역 단위 서비스
  • 네트워크를 사용하는 개별적인 서비스 제공
  • AWS 리소스는 항상 subnet에 소속되어 있어야 한다.
  • 원하는 IP 범위를 갖는 subnet 네트워크 구성, VPC 네트워크 범위 내에서 Subnet 구성
  • IPv4 CIDR 표기법으로 네트워크 범위 설정, 5개의 IP는 AWS에서 미리 예약
  • Subnet 유형
    • subnet 생성만으로 public subnet과 private subnet을 구분해서 생성할 수 없다.
    • 라우팅 테이블 내용에 따라 결정 
    • public subnet
      • 인터넷에 연결되어 외부와 직접 통신이 가능한 서브넷
      • 인터넷 게이트웨이를 통하여 인터넷과 연결
      • 양방향 통신
    • private subnet
      • 인터넷에 연결되어 있지 않은 서브넷
      • VPC 내부 네트워크상에서만 통신 가능하고 외부 네트워크와 통신은 불가능
      • NAT Gateway를 사용하면 인터넷을 통한 외부 단방향 통신 가능
  • Subnet 생성
더보기
  • VPC 메뉴 → 서브넷 메뉴 → 서브넷 생성
    • VPC 선택
    • 서브넷 설정
      • 서브넷 이름
      • 가용 영역 선택
      • IPv4 CIDR 블록 설정
      • 이름(Name) 태그 부여

 

라우팅 테이블

  • 네트워크 환경에서 호스트를 검색하는 경로 정보를 가지고 있는 네트워크 요소
  • 라우팅 테이블 내용을 이용하여 연결 정보 구성
  • VPC 생성 시 자동으로 하나의 라우팅 테이블 자동 생성
  • subnet에 따라서 필요한 라우팅 테이블 생성
  • 라우팅 테이블 생성
더보기
  • VPC 메뉴 → 라우팅 테이블 → 라우팅 테이블 생성
    • 이름(Name) 태그 부여
    • VPC 결정

 

  • 라우팅 테이블에 명시적 서브넷 연결
더보기
  • VPC 메뉴 → 라우팅 테이블 → 원하는 라우팅 테이블 선택 → 작업 메뉴 → 서브넷 연결 편집

 

  • public subnet을 위한 라우팅 테이블에 인터넷 통신을 위한 라우팅 추가
더보기
  • public subnet 연결된 라우팅 테이블의 라우팅 편집
    • 라우팅 테이블 선택 → 라우팅 → 라우팅 편집 → 라우팅 추가
      • 첫 번째 대상(통신할 대상) - 0.0.0.0/0 (모든 host와 통신을 수행)
      • 두 번째 대상 - 인터넷 게이트웨이 선택

인터넷 게이트웨이 (Internet Gateway)

  • 인터넷과 연결을 수행하는 서비스
  • 인터넷과 양방향 통신 수행
  • 인터넷 게이트웨이는 VPC와 연결되어 있어야 한다.
  • 인터넷 게이트웨이 생성
더보기
  • VPC 메뉴 → 인터넷 게이트웨이 → 인터넷 게이트웨이 생성
    • 이름(Name) 태그 부여
  • 생성된 인터넷 게이트웨이는 VPC와 연결
    • 작업 메뉴 → VPC 연결
      • 사용 가능한 VPC에서 연결할 VPC 선택
        • 상태 - Attached

 

AWS 실습 내용

컴퓨팅 서비스 - EC2

 

Amazon EC2 (Elastic Compute Cloud)

 

아마존 클라우드 서버 호스팅 | Amazon Web Services

Amazon Elastic Compute Cloud(Amazon EC2)는 500개가 넘는 인스턴스, 그리고 최신 프로세서, 스토리지, 네트워킹, 운영 체제 및 구매 모델의 옵션과 함께 워크로드의 요구 사항에 가장 잘 부합할 수 있도록

aws.amazon.com

 

  • 가상화 기술을 이용하여 AWS에서 관리하는 물리적인 Server에 생성되는 가상 Computer 서비스 (Virtual Machine)
  • EC2 사용량에 따라 요금 부과 (on-demand)
    • 여러 형태의 할인 요금제 제공
    • EC2 인스턴스 유형에 따른 사용 시간 + 보조 기억 장치(EBS) 사용량 + 네트워크 송신량을 합산하여 요금 계산
  • EC2 인스턴스 생성 시 결정할 사항
    • 가상 H/W 구성
      • CPU Type
      • Memory 크기
      • 보조 기억 장치 종류 / 크기 / 입출력 속도
    • 설치할 O/S
    • EC2가 위치할 네트워크
    • 보안 그룹
    • EC2에 접속할 때 사용할 공개 키 정보
  • EC2 인스턴스 생성 - 가상 server 생성
더보기
  • EC2 메뉴 선택 → 인스턴스 → 인스턴스 시작
    • 이름 및 태그 부여
    • Application 및 O/S Image 선택
    • 인스턴스 유형
      • CPU, Memory, 보조 기억 장치, 네트워크 대역 별로 구분
    • 키페어 (로그인)
      • EC2 인스턴스에 대한 접속 (Linux 기준) - SSH 프로토콜을 이용한 접속
    • 네트워크 설정 편집
      • VPC 선택
      • subnet 선택
      • 퍼블릭 IP 자동 할당 - 활성화 (인터넷 사용 시 필요)
      • 보안 그룹
        • 인스턴스 수준 방화벽
        • Inbound 규칙 - 모든 포트에 대하여 막혀있는 설정
        • Outbound 규칙 - 모든 포트에 대하여 열려있는 설정

 

  • AMI (Amazon Machine Image)
    • 즉시 사용 가능한 O/S와 패키지를 가지고 있는 이미지
    • 별도 O/S 설치 과정 없이 AMI를 이용하여 EC2를 바로 사용할 수 있도록 해주는 이미지

TIF

간단한 실습들과 병행하면서 진행되었던 수업이었고,

리눅스를 처음 배울 때처럼 반복적으로 해보면서 익혀야 할 듯하다.

따라만 했던 구글 스터디잼이었지만 없지 않아 무언가 익숙했던 느낌이라 도움이 되었던 것 같다.

 

오늘도 따로 해야 될 것들이 많다.

입 옆에 찢어진 게 꽤 오래 안 낫고 있다. 역시 어릴 때 공부해야 한다...

 

 

2022. 09. 06 에 작성된 글입니다.

반응형

'구름 쿠버네티스' 카테고리의 다른 글

구름 쿠버네티스 전문가 과정 6기 - 28일차  (0) 2023.08.29
구름 쿠버네티스 전문가 과정 6기 - 27일차  (0) 2023.08.25
구름 쿠버네티스 전문가 과정 6기 - 25일차  (0) 2023.08.23
구름 쿠버네티스 전문가 과정 6기 - 24일차  (0) 2023.08.22
구름 쿠버네티스 전문가 과정 6기 - 23일차  (0) 2023.08.21
profile

어쩌다 IT

@jwlish

포스팅이 좋았다면 "좋아요❤️" 또는 "구독👍🏻" 해주세요!

티스토리툴바