![]()
현재 재직중인 회사에서는 모든 서비스가 EKS 환경으로 구성되어 있다. 처음에는 EKS에서 서비스를 제공하는것이 당연하다고 생각했는데, 꼭 그렇지만은 아닌것 같다. 어떤 회사는 EC2를 기본 환경으로 하는곳도 있고, ECS를 기본으로 하는곳도 있다. 그리고 최근의 Devops 공고를 보면 ECS to EKS 마이그레이션 경험을 많이 요구하는것 같다. 그래서 이번 기회에 ECS와 EKS의 공통점과 각 장점과 단점에 대해서 정리해보려고 한다. �EKS는 현재 직접 사용하고 있고, 운영중이기 때문에 어느정도? 정보의 정확성은 있다고 생각하나, ECS는 사용해본적이 없다. AWS Docs/구글링의 글을 바탕으로 내가 이해한 내용을 정리하였기에 일부 틀린 내용이 있을 수 있다. 틀린 내용이 있다면 자유롭게 댓글을..
![]()
AWS Workspace는 스타트업에서 가장 많이? 사용하는 망분리 환경을 위한 서비스이다. 환경을 만드는것은 AD만 있으면 가능하기에 어렵지 않다. 하지만 Local PC와Workspace간에 데이터 교환 방법이 문제이다. S3 브라우저, S3 Mount 등 다양한 방법이 존재하며 각자의 상황에 맞는 방법이 채택하면 된다. 필자는 아래와 같은 로직으로 Local PC -> Workspace로 파일을 반입하고 있다. - 물론 이 방법이 정답은 아니다. 솔루션을 도입하면 더 좋고 효과적인 방법으로 반입할 수 있고 다른 방법도 많다. - 각 회사와 상황에 맞는 방법을 채택하면 되고, 필자가 선택만 방법을 제시함으로써 담당자에게 여러가지 방법을 알려주기 위함이다. Workspace 파일 반입 구성도 우선 Wo..
![]()
서비스, 보안, 데이터 등 어느정도 규모 있는 회사의 경우 AWS 계정을 나눠서 사용한다. 계정을 분리하면 계정간의 데이터를 공유해야 하는 일이 생기는데 이때 S3의 객체 소유권 설정/업로드할 때의 파라미터에 따라 읽기에 제한이 생긴다!! CrossAccount S3 버킷 정책 기본적으로 계정이 다르면 서로의 S3에 업로드가 불가하다. 하지만 S3 버킷에 아래와 같이 다른 계정의 ARN에 대해 설정한다면 CrossAccount의 S3 Object가 가능하며 필요에 따라서 Action, Resource를 제한하는것도 좋은 방법이다. 아래와 같이 설정하게 되면 Deny 정책이 먼저 적용되기 때문에 test-cross-account의 게정은 test 버킷에 test.txt의 이름을 제외하고 모두 업로드가 가능..
![]()
[AWS] Fortigate를 이용한 Outbound traffic 통제 구성[1/2] [AWS] NetworkFirewall 기능 정리 [AWS] Traffic은 어떻게 통제해야 할까? AWS 에는 EC2 또는 VPC 기준으로 트래픽을 통제하는 방법이 다양하다. 대표적으로 Route53 DNS Firewall, NetworkFirewall, SG, NACL, 3r.. dobby-isfree.tistory.com Fortigate 구성을 해봤다면, 이제는 Fortigate 기능에 대해서 알아본다!!! Fortigate 기능 Forigate 엔지니어가 더 잘알고 다들 있겠지만, 필자가 체험?한 기능 위주로 작성한다. 기능 구분 기능 여부 기능 상세 내용 비고 IP, Port 구분 ● • Src/Dst IP..
![]()
[AWS] NetworkFirewall 기능 정리 [AWS] Traffic은 어떻게 통제해야 할까? AWS 에는 EC2 또는 VPC 기준으로 트래픽을 통제하는 방법이 다양하다. 대표적으로 Route53 DNS Firewall, NetworkFirewall, SG, NACL, 3rd Firewall이 있다. 각 서비스마다.. dobby-isfree.tistory.com 최초에 Networkfirewall을 이용하여 Outbound Traffic을 제어하고자 하였으나, 기능이 너무 부실하다. 그래서 많이들? 사용하고 있다는 Fortigate를 이용하여 Outbound를 통제하기 위한 구성을 하고, 기능을 나열한다. Fortiagate 구성도 우선 대전제는 Fortigate를 위한 VPC를 별도로 분리하고, ..
![]()
[AWS] Traffic은 어떻게 통제해야 할까? AWS 에는 EC2 또는 VPC 기준으로 트래픽을 통제하는 방법이 다양하다. 대표적으로 Route53 DNS Firewall, NetworkFirewall, SG, NACL, 3rd Firewall이 있다. 각 서비스마다 사용 방법이 다르고, 기능이 다르고, 요.. dobby-isfree.tistory.com 위 게시물을 통해 트래픽을 제어할 수 있는 AWS 자체 서비스에 대해 알아보았으며, Networkfirewall의 기능에 대해서 알아보자!! Networkfirewall이란? 말 그대로 AWS 관리형 서비스로 방화벽의 기능을 제공해준다. 하지만 Networkfirewall 서비스를 출시한 시기가 얼마 되지 않아서 할 수 있는 기능이나, 로깅이 매우 ..
![]()
AWS 에는 EC2 또는 VPC 기준으로 트래픽을 통제하는 방법이 다양하다. 대표적으로 Route53 DNS Firewall, NetworkFirewall, SG, NACL, 3rd Firewall이 있다. 각 서비스마다 사용 방법이 다르고, 기능이 다르고, 요금이 다르다. 그래서 이를 좀 정리하고자 한다!! 각 서비스에 대해 알아보자!! 1. Route53 DNS Firewall 서비스명에서도 알 수 있듯이, DNS Query 기반의 Firewall이다. DNS Firewall에서는 별도 구성 변경 없이 Route53 DNS Firewall 생성 후에 VPC만 연결하면 바로 사용할 수 있다. 다만, 한가지 문제점은 하위 도메인 통제가 불가능하다. 2. NetworkFirewall 서울 리전에는 2020..
![]()
요즘에는 계속 SAA 자격증을 준비하느라 Examtopic 또는 Udemy만 진행했었는데, 회사 업무함에 있어서 S3 Bucket에 포함하고 있는 고유식별정보를 파악할 필요가 있어서 AWS Macie 서비스에 대해 알아보기로 했다. 먼저 AWS Macie 서비스는 S3 내의 민감정보를 식별하기 위해 만들어진 완전관리형의 서비스이다. 온프레미스로 따지면 Privacy-I와 같이 개인정보검출 솔루션과 비슷한 역할을 한다. 일단 AWS Macie는 30일동안 무료이다. 하지만 30일 지나면 아래와 같은 과금이 발생한다. 언뜻보면 크게 요금이 발생할 것 같지 않지만 기업에서 관리하는 S3양이 매우 많고 1회 점검에 처리되는 데이터의 양에 따라서 과금이 발생하기 때문에 생각보다 많은 요금이 발생할 수 있다. 사용..
![]()
일반적으로 AWS 운영을 할 때는 기타 여러 다른 요건으로 인해 각 서비스별로 VPC을 구분하고 이를 연결하여 많이 사용한다. Why? VPC를 분리하면, 무분별한 인스턴스간의 통신을 제어할 수 있고 이를 모니터링하기가 쉽다고 한다.(아마도..) 그렇다면, 서로 다른 VPC끼리는 통신이 불가능한것인가? 결론부터 말하면 그렇지 않다! 기본적으로는 통신이 불가능한 구조이나 VPC Peering 또는 TransitGateway 서비를 이용하면 각 VPC 끼리 통신이 가능하다. VPC Peering 란? VPC Peering은 Privacy IPv4 or IPv6의 주소를 사용하는 서로 다른 VPC간에 트래픽을 라우팅해주는 VPC 네트워크 연결이다. 다른 VPC에 위치하고 있는 Instance간 통신을 하기 위..
