[AWS SSA] 스토리지 VPC네트워크 EC2 주요내용 정리

AWS Storage

리전(Regions)

• 동기식 복제: 같은 리전 AZ로 복제
• 비동기식 복제: 타 리전 AZ로 복제

S3 (Simple Storage Service) 생성 개수

: 한 계정당 생성할 수 있는 Bucket의 수는 100개, 업로드 용량 제한은 없다.

S3 스토리지 보안

• SSE(Server Side Encryption): S3가 저장된 데이터를 암호화하고 관리하는 방식
• SSE-C(Coustomer): 고객 자체 생성 키 기반
• SSE-KMS: KMS는 AWS의 키 관리 서비스(퍼미션 설정, 추가 보안 제공, 접근 시도 확인)

* S3보안의 Best Practice

• 버킷을 용도별로 생성: 비공개 버킷(비밀 파일 저장), 공개 버킷(공개 가능한 파일 저장)
• 최소한의 접근권한: 업무수행을 위한 꼭 필요한 권한 부여
• MFA(멀티 팩터 인증): 2종류 이상의 인증 (비밀번호 + 휴대폰 인증)

S3 스토리지 클래스 ★★★

- 보관비용순 (인출 비용은 역순)

Standard > Standard-IA > Glacier Instant Retrival > Glacier Flexible Retrival > Glacier Deep Archive

참고) IA=Infrequent Access, 클래스별 Durability(내구성)은 모두 99.999999999%(11 9's) 동일하다.

- Interlligent Tiering: 사용기간이나 조건에 따라 적합한 Tier로 자동으로 옮겨줌

[비용 관련 링크] https://aws.amazon.com/ko/s3/pricing/

Amazon S3 Simple Storage Service 요금 - Amazon Web Services

S3 라이프 사이클 ★

: 일주일 지나면 Standard-IA로 이동, 한 달 지나면 Glacier로 이동

S3의 복제

• 교차리전복제(CRR): 다른 기전으로 복제 (참고 -개인정보의 경우 GDPR에 의한 외국 이전이 안됨)
• 동일리전 복제(SRR): 같은 리전 내에서 다른 AZ로 복제
• Vault설정 기능으로 WORM설정 가능

참고) WORM: Write-Once-Read-Many (쓰기는 한 번만, 읽기는 여러 번 -> 수정 불가함) ex) CD-ROM

Amazon EBS (Elastic Block Store)★★★

- 기능: 하드디스크, HDD/SSD처럼 데이터를 직접 읽고 쓰면서 사용하는 디스크, AMI이미지를 이용한 부팅 기능 지원
- 속도: 프로비전 IOPS SSD > 범용 SSD > HDD > Tape
- Snapshot: 시스템의 상태를 저장 (S3)

참고) ★프로비전 IOPS SSD: 입출력 성능 중요, DB워크로드, DW(Data Warehouse), 금융거래 용
오직 하나의 인스턴스(EC2)에만 부착 가능하다.

Amazon EFS (Elastic File System) ★★★

: 공유 파일 시스템으로서 다수의 인스턴스(리눅스, 윈도우 등 이기종 OS 간)를 위한 공통 파일 시스템 역할 수행
: 기본적으로 데이터에 대한 암호화가 된다.

문제 키워드) 공유, 여러 EC2 인스턴스, 공통 데이터 소스, NFS 프로토콜 등등

Stoarage Gateway

: 게이트웨이를 AWS에 연결해서 데이터를 S3에 저장 / 온프레미스와 AWS의 S3간의 연결을 위한 게이트웨이
- 파일 게이트웨이:
- 볼륨 게이트웨이: Cashed - 자주 접근하는 데이터는 로컬에 저장, Stored - 백업만 S3에 저장
- 테이프 게이트웨이
AWS Snowball: 페타바이트 규모의 데이터 이전을 위한 이전 서비스
AWS Snowmobile: 엑사바이트 규모의 데이터 이전 서비스

전 세계적으로 => Cloud Front 전 세계적인 캐시 전달을 위함(저렴하다는 키워드 추가) / 정적 웹 사이트(S3)
ElasticCashe: DB의 속도를 높이기 위해 장착

---

VPC 네트워크

Direct Connect(★)

: 기업의 온프레미스와 VPC를 암호화하여 연결하는 전용회선 (HW 기반 VPN)

NAT(Network Address Translation)란?

- 패킷이 사설망에서 인터넷으로 나갈 때, 사설 IP주소를 퍼블릭 IP주소로 바꿔주는 것.
- 패킷이 인터넷에서 사설망으로 들어올 때, 퍼블릭 IP주소를 원래의 사설 IP주소로 바꿔주는 것.
(모두 공유기에서 진행됨)
- 외부에서는 NAT안쪽의 컴퓨터에 접근할 수 없다. (방화벽 역할 수행)
- 내부망에서 인터넷에 있는 컴퓨터 접근 가능 -> Nat Gateway를 통한 업데이트 가능

NAT 가 나온 이유?

IPv4 주소의 부족 문제

IPv4: 1970년대 중반 시작~ 1990년대 초반부터 Asia, Europe에서 인터넷 시작 => IP주소 개수의 부족 현상 발생
- 단기대책: 사설 IP 보급, NAT, Subnet Mask 도입, VLSM-가변 길이 서브넷
- 장기대책: IPng (차세대 IP주소체계 보급) --> IPv6

Elastic IP 주소★

고정적으로 사용할 수 있는 퍼블릭 IP주소(=공인 IP), EIP 미사용시 개당 요금 발생함

Stateful방식 (상태를 기억해 허용한다.)

외부에서 내부망 접근은 테이블 규칙의 부제로 거절됨
내부망에서 나가는 트래픽의 정보는 Return시 허용됨

참고) Nat Gateway(IPv4), 외부 전용 인터넷 게이트웨이(IPv6) 모두 Stateful임

강사님 그림 참조

네트워크 ACL 설정

보안 그룹과 NACL 비교★

	보안 그룹	네트워크 ACL
보안 역할	시스템 방화벽	네트워크 방화벽 (체크포인트)
동작 원리	Stateful (리턴 트래픽만 허용)	Staless (리턴 트래픽 고려 안함)
적용 순서	순서 무관함	번호가 작을 수록 우선 적용
동작 위치	EC2 인스턴스	Subnet
허용 및 거부	허용만 설정함	허용, 거부 설정 가능
생성 시점	EC2 생성시 함께 설정	서브넷 설정시 자동 생성
구분	하나의 EC2에 대한 접근 관리	Public Subnet(E2 여러개)에 대한 접근관리

Amazon VPC Peer

: VPC대 VPC 연결할 때 사용하는 방식

Amazon VPC 엔드포인트(★)

: AWS내부에서 S3와 VPC를 연결할 때 사용됨 (인터넷 외부로 나갈 필요 없이 내부에서 바로 연결)
- 인터넷 엔드포인트
- 게이트 엔드포인트: S3, DynamoDB

설정 캡처

AWS Direct Connect

: 기업 온프레미스와 VPC를 직접 연결하는 전용회선

VPG (Virtual Private Gateway)

:고객의 커스터머 게이트웨이와 연결되는 AWS VPC

---

EC2

EC2의 가격정책★

• 온디맨드: 사용한 만큼 비용 지불, 요금할인 없음(비싸) ex) 일정기간 동안 운영하는 이벤트, 프로젝트, 테스트
• 예약 인스턴스: 일정기간 계약으로 정하여 사용, 최대 75% 할인(경제적임) ex) 웹서비스, 쇼핑몰, 회사 소개 등
• 스팟 인스턴스: 경매 입찰 방식으로 시세와 비교해 사용함. 급하지 않은 일처리 등 고비용이 불필요할 때 적합함

리전(Region)

• Region은 독립적으로 충분히 가용성을 제공할 수 있다.
• 문제에 리전을 여러 개 사용해야 한다라는 표현이 있을 때만 교차리전(CRR)을 선택한다.

S3경로 이름 => https://yngmin.s3.ap-northeast-2.amazonaws.com/autopsy.htm

SleuthKitWiki

배치 그룹(Placement Group)

• 동일한 AZ(가용 영역)에서 여러 개의 EC2를 Cluster로 묶어서 실행하는 전략
• 같은 가용 영역 내에 있기 때문에 EC2끼리의 데이터 교환 속도는 매우 빠르다.

배치 그룹 생성창