![[AWS] 서비스 개념 정리 (6)](https://img1.daumcdn.net/thumb/R750x0/?scode=mtistory2&fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2FbKeahm%2FbtruKjbfcNc%2Fjqi8WRCTJA57odUIQHucK0%2Fimg.png)
✅ AWS ECS (Elastic Container Service)
- 클러스터에서 컨테이너를 쉽게 실행, 중지 및 관리할 수 있게 해주는 컨테이너 관리 서비스이다.
- 간단한 API 호출을 사용해 컨테이너 기반 어플리케이션을 시작하고 중지할 수 있다.
- 비슷한 툴로 k8s, Docker Swarm이 있다.
✅ ECS 구성 요소
- Task Definition
- 원하는 Docker 컨테이너 생성 시, 어떤 설정으로 몇개 이상 설정할지를 정의한 Set
- Task Definition에서 정의된 대로 실제 생성된 컨테이너 set들을 Task라고 부른다.
- Task
- Task 안에는 한개 이상의 컨테이너들이 포함되어 있으며 ECS에서 컨테이너를 실행하는 최소 단위는 Task이다.
- Service
- Task 들의 Life Cycle을 관리하는 부분
- 즉 Auto scaling과 Load Balancing을 관리하는 역할이다.
- Container Instance
- ECS는 컨테이너 배포 (=Task 배포)를 EC2 인스턴스 기반에 올리도록 설계되어 있다.
- Task를 올리기 위해 등록된 EC2 인스턴스를 Container Instance라고 한다.
- Cluster
- Task가 배포되는 컨테이너 인스턴스들은 논리적인 그룹으로 묶이게 되는데 이 단위를 Cluster라고 한다.
- Task를 배포하기위한 인스턴스는 반드시 Cluster에 등록되어야 한다.
[AWS ECS] ECS(Elastic Container Service) 란?
ECS란? Docker는 최근 각광 받고 있는 컨테이너 기술이다. 하지만 Docker를 이용해 서비스를 구축 하려면 여러가지 고려 해야할 사항이 많다. 따라서 필연적으로 컨테이너를 적절하게 배치하고 관리
wooono.tistory.com
✅ AWS Fargate
- EC2 인스턴스의 서버나 클러스터를 관리할 필요 없이 컨테이너를 실행하기 위해 Amazon ECS에 사용할 수 있는 기술이다.
- Fargate를 사용하면 더 이상 컨테이너를 실행하기 위해 가상 머신의 클러스터를 프로비저닝, 구성 또는 조정할 필요가 없다.
✅ Fargate 특징
✅ Fargate 장/단점
- 장점
- 관리의 복잡도가 줄어든다.
- Cluster Autoscaler를 사용할 필요가 없다.
- 기존 어플리케이션 변경 없이 Fargate로 이전 가능하다. (소스코드의 변경 X)
- 단점
- 리소스 상한선이 존재한다.
- Stateful한 워크로드의 사용이 불가하다.
- Daemonset을 비롯한 Privilieged Pod 사용 불가능
✅ AWS CloudHSM (Hardware Security Module)
- AWS 클라우드에서 자체 암호화 키를 손쉽게 생성 및 사용할 수 있도록 지원하는 클라우드 기반 하드웨어 보안 모듈
✅ CloudHSM 특징
- 물리적 및 논리적 변조 감지와 대응 메커니즘을 갖추고 있어 하드웨어의 키 삭제(제로화)가 트리거된다.
- CO (Crypto Officer) 자격 증명으로 HSM에 엑세스하려는 시도가 일정 회수 실패하면 HSM이 CO를 잠금처리 한다.
- HSM에 대한 자격 증명을 손실한 경우 Amazon은 사용자 키 또는 자격 증명에 대한 액세스 권한을 가지지 않으므로 자격 증명을 손실할 경우 키를 복구할 수 없다.
✅ CloudHSM 장점
- FIPS 140-2 레벨 3 인증 HSM에서 암호화된 키를 생성 및 사용
- 안전하고 규정을 준수하고 워크로드 배포
- 업계 표준을 기반으로 구축된 개방형 HSM 사용
- 암호화 키에 대한 제어 유지
- 간편한 관리 및 확장
- AWS KMS 키 제어
✅ CloudHSM 사용 방법
A: AWS에서 하드웨어 보안 모듈(HSM) 어플라이언스를 관리하지만, 고객의 키에 대한 액세스 권한은 없습니다.
B: 고객이 자체 키를 제어하고 관리합니다.
C: 애플리케이션 성능이 개선됩니다(AWS 워크로드와 거리가 가깝기 때문).
D: 다중 AZ(가용 영역)에 제공되는 변조 방지 하드웨어에 키를 안전하게 저장합니다.
E: 고객의 HSM은 고객의 Virtual Private Cloud(VPC)에 상주하며 다른 AWS 워크로드와 격리되어 있습니다.
✅ Amazon API Gateway
- 개발자가 API를 손쉽게 생성, 게시, 유지 관리, 모니터링 및 보안 유지할 수 있도록 하는 완전관리형 서비스이다.
- EC2, ECS, Elastic Beanstalk 등의 서비스에 액세스할 수 있도록 하는 "현관문" 역할을 한다.
- 모니터링은 CloudWatch 로그를 통해 확인한다.
- CloudFront를 통해 정적 페이지는 S3에서 제공하고 동적 페이지, 데이터는 CloudFront - API Gateway - Lambda를 통해 처리하는 방식을 사용 가능하다.
✅ API Gateway 구성 요소
- Resource
API Gateway의 핵심 구성 요소
서비스의 대상이 되는 자원을 의미
모든 자원을 HTTP URI로 표현하는 REST의 특성상 각 리소스는 고유의 URI를 부여 받는다.
Resource는 HTTP Method를 생성할 수 있으며, Method에 대해 연결 포인트를 만들어 행동 대상을 지정할 수 있다. - Method
서비스의 대상으로 지정된 자원에 대해 취할 행동을 정의한다.
HTTP Method가 사용되며 GET, PUT, POST, HEAD, OPTION 등이 있다.
각 Method마다 연결 포인트를 지정할 수 있다.
Lambda를 연결 포인트로 지정시 Lambda Function을 호출하여 수행한다. - Stage
Resource + Method 를 합쳐 Console에서는 Resource라고 표현하며 Resource를 배포하는 것이 Stage이다.
Client가 실제로 사용하기 위해 생성해야하는 배포판
Stage 생성 시 각 리소스에 대한 URI가 생성된 것을 확인할 수 있다.
✅ API Gateway 장점
- 클라이언트의 요청을 일관적으로 처리
- 전체 시스템의 부하를 분산시키는 로드 밸런서의 역할
- 동일한 요청에 대한 불필요한 반복 작업을 줄일 수 있는 캐싱
- 시스템상을 오고가는 요청과 응답에 대한 모니터링
- 시스템 내부에 아키텍처를 숨길 수 있다.
✅ Cache in API Gateway
반복 요청에 대해 API Gateway의 캐시로부터 응답을 바로 반환할 수 있다.
캐싱을 사용하면 엔트포인트에 대한 호출 수를 줄이고 API에 대한 요청 지연 시간을 개선할 수 있다.
✅ Amazon Inspector
- 미리 정의된 보안 템플릿과 비교해 EC2 인스턴스를 분석하여 약점을 체크하는 것이 가능하다.
- 따라서 자동화된 보안 평가 서비스로 AWS에 디플로이한 어플리케이션의 보안과 컴플라이언스를 향상시키는 것이 가능하다.
✅ Amazon Organizations
- 생성한 여러 AWS 계정을 조직에 통합하고 중앙에서 관리할 수 있는 계정 관리 서비스이다.
- 프로그래밍 방식으로 새 AWS 계정을 생성하고 리소스를 할당하며, 계정을 그룹화하여 워크플로우를 구성하고 거버넌스를 위해 계정이나 그룹에 정책을 적용한다.
✅ Organizations vs IAM
- 적용 대상
- Organizations은 AWS 계정을 대상으로 하지만, IAM은 사용자를 대상으로 한다.
- Organizations에서 특정 계정에 SCP를 적용하면, 해당 계정의 모든 사용자는 영향을 받는다.
- Organizations의 정책이 IAM의 정책보다 우선한다.
- 추가 기능
- Organizations은 백업, 리소스, 보안 정책 등을 중앙집중적으로 관리
- Organizations는 공유 리소스를 정의하고 비용을 관리
- Organizations OU별 리소스 거버넌스 경계를 만듦
- IAM은 리소스에 대한 엑세스 제어 (사용자 및 서비스)
✅ ID Federation
- AWS가 아니지만 일시적으로 접속 권한을 받아 AWS에 접속하는 서비스를 말한다.
AWS로부터 신임을 받는 3rd party에 로그인을 하고 그 서비스가 credential을 증명해주면 해당 account을 가지고 aws에 접속 한다.
✅ 3rd Party 종류
- Microsoft Active Directory
- LDAP
- Single Sign On
- Open ID
- Congnito
출처
'Certificate > AWS SAA' 카테고리의 다른 글
| [AWS] Simple Storage Service & Amazon Glacier Storage (0) | 2022.05.18 |
|---|---|
| [AWS] Elastic Compute Cloud & Elastic Block Store (0) | 2022.05.18 |
| [AWS] 서비스 개념 정리 (5) (0) | 2022.02.25 |
| [AWS] 서비스 개념 정리 (4) (0) | 2022.02.24 |
| [AWS] 서비스 개념 정리 (3) (0) | 2022.02.23 |
영차영차 성장 블로그
포스팅이 좋았다면 "좋아요❤️" 또는 "구독👍🏻" 해주세요!
![[AWS] Elastic Compute Cloud & Elastic Block Store](https://img1.daumcdn.net/thumb/R750x0/?scode=mtistory2&fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2FX07wH%2FbtrCrADvdyv%2FZQo34o9uINgiMyan98z9a1%2Fimg.png)
![[AWS] 서비스 개념 정리 (5)](https://img1.daumcdn.net/thumb/R750x0/?scode=mtistory2&fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2FcOqbmJ%2FbtrunOjsqB1%2Fl4hB2w5PSVKj0wnDBZ7wK0%2Fimg.png)
![[AWS] 서비스 개념 정리 (4)](https://img1.daumcdn.net/thumb/R750x0/?scode=mtistory2&fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2FddsI8Y%2Fbtrt9URKutM%2FdZ3jIIqPe69ZQx7nNAhB1K%2Fimg.png)