StarLord

필자가 만들고자 하는 VPC는 다음과 같다. AWS에서는 Subnet이 Internet-gateway가 연결되어 있으면 Internet-facing되었다고 생각하고 public subnet이라고 단정짓는다. 하지만 GCP는 private-subnet에 대한 개념이 상대적으로 약하다. AWS처럼 아에 private-subnet에 대한 default한 설정이 들어가는게 사용자 실수 줄이기도 좋고.. 편하다. GCP가 이게 상대적으로 약하다. 하지만 전반적인 네트워크 잡는건 똑같다. 위 그림에서 public-subnet은 In/Out Bound Traffic이 Internet 영역과 모두 허용되고, private-subnet은 In-Bound Traffic 은 미허용, Out-Bound Traffic은 허용한..

AWS에 공식으로 서비스하는 제품은 아니고 AWS리소스를 사용하여 빠르게 SaaS서비스를 할 수 있도록하는 오픈소스 프로젝트 이다. ※ 관련한 소스코드와 Document는 아래를 참고 https://github.com/awslabs/aws-saas-boost GitHub - awslabs/aws-saas-boost: AWS SaaS Boost is a ready-to-use toolset that removes the complexity of successfully running Sa AWS SaaS Boost is a ready-to-use toolset that removes the complexity of successfully running SaaS workloads in the AWS cloud..

회사 Account를 관리하다 보면 보안노출의 위험들이 많이 보인다. 요즘에는 개발자들이 자기 Git에 필터링 없이 올리는 경우도 많고... 그러다 보면 AccessKey같은것들이 노출되기 쉽상이다. 물론! 개발에서 엑세스키를 사용하는것은 절대 안된다. 클라우드 내에서 돌리고 Role로 관리해야 하며 그게 여의치 않다면 STS를 사용하던지 해야된다. 아무튼 AccessKey와 같이 사용이 오래된 Key들을 Expire시키는 스케쥴을 만들어 보자. import json import boto3 import datetime # Main def lambda_handler(event, context): print("!!! Start expire_access_key Script !!!") print("=======..

AWS 회사 계정을 운영하다보면 사용자별 권한을 제한시킬 필요를 느낀다. 특히 실수로 권한이 없는 리전에 리소스를 생성하거나 하는 등의 골치아픈 이슈들이 생기기 때문이다. 이를 방지하기 위해 애초에 Negative Policy를 사용자 별로 만들어서 할당하는 것이 현명하다. 리전을 제한하는 Policy는 다음과 같다. 참고로, 과거에 글로벌 리소스로 치부했던 S3는 더이상 글로벌 리소스가 아닌가 보다. 희한하게 리전을 타더라... { "Version": "2012-10-17", "Statement": [ { "Sid": "DenyAllOutsideRequestedRegions", "Effect": "Deny", "NotAction": [ "cloudfront:*", "iam:*", "route53:*",..

AWS EC2인스턴스 혹은 AMI는 생명주기에서 일부 컨피규레이션이 Managed하게 관리되어 초기화 되는 현상이 발생한다. 가령 /etc/ssh/sshd_conf 파일을 업데이트 하여도 EC2가 새로 Initializing 이 적용되게 되면 Managed Console에서 Default로 정의한 인증체계로 회귀한다. 이에 따라 UserData로 Password 인증을 키거나, 다음과 같은 방법으로 AMI를 떠놓으면 좋다. cloud-init 파일을 수정 /etc/cloud/cloud.cfg file disable_root: false ssh_pwauth: true 이후에 이 이미지를 AMI로 만들면 SSH Password Authentication을 바로 사용할 수 있다.

Gateway LoadBalancer에 대해서 Gateway Load Balancer는 투명한 네트워크 게이트웨이(즉, 모든 트래픽이 오가는 단일 지점)와 수요에 따라 트래픽을 분산하고 가상 어플라이언스를 조정하는 로드 밸런서를 결합합니다. VPC의 라우팅 테이블에서 간단히 구성을 업데이트하면 GWLB로 트래픽을 보낼 수 있습니다. GWLB를 사용하는 고객은 가상 어플라이언스에서 트래픽의 부하를 분산하여 가상 어플라이언스를 탄력적으로 확장/축소할 수 있습니다. GWLB는 정상 가상 어플라이언스를 통해 트래픽 흐름을 라우팅하여 가용성을 개선하고, 어플라이언스가 비정상 상태가 되면 다시 트래픽 흐름을 라우팅합니다. 기존 AWS의 서비스 네트워크 구성 Gateway LoadBalancer를 사용하는 서비스 네..

AWS Builder에서 소개된 컨테이너 관련 내용을 정리해보았다. 컨테이너 오케스트레이션 서비스인 EKS/ECS의 기본적인 구성도는 다음과 같다. EKS 기본 구성도 ECS 기본 구성도 ECS/EKS Anywhere : On-Premise에서 운영할 수 있도록 ECS/EKS Anywhere 설치를 통해 관리 과거에는 On-Premise에 ECS/EKS를 동일한 환경을 제공하기 위해 AWS OutPost 리소스를 사용하였으나, 이제 그럴 필요 없이 ECS/EKS Anywhere를 적용하면 된다. https://aws.amazon.com/ko/ecs/anywhere/ Amazon ECS Anywhere – Amazon Web Services 온프레미스 GPU 컴퓨팅 용량을 활용하여 GPU 기반 컨테이너 워..

원본링크 : https://aws.amazon.com/ko/blogs/korea/amazon-msk-serverless-now-generally-available-no-more-capacity-planning-for-your-managed-kafka-clusters/ Amazon MSK Serverless 정식 출시 – 관리형 Kafka 클러스터 서버 관리 불필요 | Amazon Web Services 오늘 AWS는 Amazon MSK 서버리스를 정식 출시합니다. 서버 용량 계획 및 확장을 AWS에게 맡기고 Apache Kafka 클러스터 관리에서 발생하는 운영 오버헤드를 더 많이 줄일 수 있도록 지원합니다. 2019년 5월 aws.amazon.com 특징 및 이점 Data Stream에 최적화 할 수있..

기업 On-Premise DataCenter를 두고 이를 하이브리드로 구성할 경우 높은 RTO를 요구하는 경우 구성 낮은 RTO 또는 Pilot Light의 경우 중간 RTO, Warm Standby의 경우 중간 RTO, Hot Site 의 경우 퍼블릭클라우드 멀티 리전으로 운영시 멀티 리전 운영시 주의사항 내 AMI가 복제되고 있나? Parameter Store로 관리할 수 있나? 내 CF Stack Set이 다른 Region에서도 작동하나? 내 RPO와 RTO는 어떠헥 되나? Route53 Health Check는 정상적으로 작동하는가? CW와 잘 연동되어 있나? DB의 경우 복제본을 관리하고 있나? Route53 타입들

Route53과 HealthCheck를 조합하여 Edge의 서비스 상태를 확인합니다. 서비스 이상이 있는 경우 DNS Failover를 수행합니다.