AWS Kinesis Data Firehose: 안정적으로 실시간 스트림을 데이터 레이크, 웨어하우스, 분석 서비스에 로드

Lambda@Edge: 사용자에게 더 가까운 위치에서 코드 실행

Lambda@Edge는 Amazon CloudFront의 기능 중 하나로서 애플리케이션의 사용자에게 더 가까운 위치에서 코드를 실행하여 성능을 개선하고 지연 시간을 단축할 수 있게 해 줍니다. Lambda@Edge를 사용하면 전 세계 여러 위치에 있는 인프라를 프로비저닝하거나 관리하지 않아도 됩니다. 사용한 컴퓨팅 시간만큼만 비용을 지불하고, 코드가 실행되지 않을 때는 요금이 부과되지 않습니다.

Lambda@Edge는 서버 관리 부담 없이 웹 애플리케이션을 전 세계로 배포하고 성능을 개선하여 효과를 향상해 줍니다. Lambda@Edge는 Amazon CloudFront 콘텐츠 전송 네트워크(CDN)에 의해 생성된 이벤트에 대한 응답으로 코드를 실행합니다. 코드를 업로드하기만 하면 AWS Lambda가 최종 사용자와 가장 가까운 AWS 로케이션에서 뛰어난 가용성으로 코드를 실행하고 확장하는 데 필요한 모든 작업을 처리합니다.

Amazon Cognito 안전하고 마찰 없는 확장 가능한 고객 ID 및 액세스 관리 구현

Amazon Cognito를 사용하면 사용자 가입 및 로그인 기능을 추가하고 웹 및 모바일 애플리케이션에 대한 액세스를 제어할 수 있습니다. Amazon Cognito는 수백만 명의 사용자 규모로 확장되고 소셜 및 엔터프라이즈 아이덴티티 페더레이션을 지원하며 고급 보안 기능으로 소비자와 비즈니스를 보호하는 ID 스토어를 제공합니다. Amazon Cognito는 개방형 ID 표준을 기반으로 구축되었기 때문에 다양한 규정 준수 규제를 지원하고 프런트엔드 및 백엔드 개발 리소스와 통합됩니다.

AWS Secrets Manager: 보안 암호의 수명 주기를 중앙에서 관리

AWS Secrets Manager는 수명 주기에 걸쳐 데이터베이스 보안 인증 정보, API 키 및 기타 보안 암호를 관리, 검색 및 교체하는 데 도움이 됩니다.

AWS KMS(key management service): 데이터를 암호화하거나 디지털 서명할 때 사용하는 키를 생성 및 제어

안전한 다중 테넌트 데이터베이스 구축

AWS Database Encryption SDK를 사용하여 데이터베이스의 중요한 레코드를 쉽게 암호화합니다.

 

AWS Lambda란?

우선 AWS Lambda에 대해 알아보자. Lambda는 주로 서버리스(serverless)라는 용어와 함께 사용된다. 서버리스란 '서버가 없음'을 의미하지만 사실 서버가 아예 없는것은 아니고 서버의 관리 주체가 aws로 넘어감을 의미한다.

람다는 백엔드를 작은 함수 단위로 쪼개어 aws 내부의 서버에 업로드 하는 방식이다. 그러면 aws는 해당 함수를 내부 서버에 업로드 하고 요청 발생시 요청에 맞는 람다함수를 실행시켜준다.

따라서 람다를 이용하면 별도의 서버 구성 없이 클라이언트의 요청에 따라 원하는 함수를 실행시킬 수 있다. 그리고 람다는 요청 수 기반으로 비용이 측정되기 때문에 24시간 켜놓아야 하는 EC2같은 서비스 대비 저렴하게 이용할 수 있다.

또한 AWS의 다른 서비스와도 연계하여 사용할 수 있는 등 다양한 장점이 있다.

API Gateway란?

API Gateway는 API의 소비자, 즉 클라이언트가 백엔드 서비스의 데이터 비즈니스 로직 또는 기능에 액세스할 수 있게 해주는 게이트 역할을 한다. 쉽게 말하면 백엔드의 HTTP 엔드포인트 역할을 제공하는 서비스라고 볼 수 있다.

앞서 말한 람다는 '함수'의 역할을 수행하기 때문에, 실제로 해당 람다에 접근할 수 있도록 하기 위해서는 API gateway를 연결하여 엔드포인트를 만들어 주어야 한다.

그러면 클라이언트는 API Gateway를 통해서 Lambda 함수를 호출할 수 있다. 예를 들면 만약 클라이언트가 GET /products HTTP 요청을 보내면, API Gateway가 이것을 받아서 해당 path에 매칭되는 람다 함수를 실행시켜 주는 방식으로 동작한다.

 

Amazon DynamoDB: 모든 규모에서 10밀리초 미만의 성능을 제공하는 빠르고 유연한 NoSQL 데이터베이스 서비스

Amazon DynamoDB는 모든 규모에서 고성능 애플리케이션을 실행하도록 설계된 완전관리형의 서버리스

키-값 NoSQL 데이터베이스입니다. DynamoDB는 기본 제공 보안, 지속적인 백업, 자동화된 다중 리전 복제, 인 메모리 캐시 및 데이터 가져오기/내보내기 도구를 제공합니다.

글로벌 테이블을 사용하여 액티브-액티브 복제

Amazon DynamoDB 글로벌 테이블은 99.999%의 가용성으로 원하는 AWS 리전 전체에서 데이터의 액티브-액티브 복제를 제공합니다. 글로벌 테이블은 다중 활성 방식이므로 모든 복제본에서 쓰고 읽을 수 있고, 전역적으로 배포된 애플리케이션은 선택한 리전에서 로컬로 데이터를 액세스할 수 있으므로 10밀리초 미만의 읽기 및 쓰기 성능을 달성할 수 있습니다.

0으로 규모를 조정하는 서버리스

Amazon DynamoDB를 사용하면, 서버를 프로비저닝하거나 패치를 적용하거나 관리할 필요가 없으며, 소프트웨어를 설치하거나 관리하거나 운영할 필요도 없습니다. Amazon DynamoDB는 버전(메이저, 마이너 또는 패치)과 유지 보수 기간이 없으며, 가동 중지 시간이 없는 유지 보수를 제공합니다. Amazon DynamoDB 온디맨드 요금은 사용량에 따른 요금을 제공하고, 0으로 규모를 조정하고, 용량에 맞게 자동으로 테이블 크기를 조정하고, 관리 없이 성능을 유지합니다.

 

Amazon Redshift 클라우드 데이터 웨어하우징을 위한 최고의 가격 대비 성능

데이터 웨어하우스 인프라를 관리할 필요 없이 모든 데이터에 대해 몇 초 만에 분석을 실행하고 확장할 수 있습니다.

Amazon Redshift는 SQL을 사용하여 여러 데이터 웨어하우스, 운영 데이터베이스 및 데이터 레이크에서 정형 데이터 및 반정형 데이터를 분석하고 AWS가 설계한 하드웨어 및 기계 학습을 사용해 어떤 규모에서든 최고의 가격 대비 성능을 지원합니다. 대량 데이터 분석 처리에 사용됩니다.

 

Amazon S3 Intelligent-Tiering(S3 지능형 계층화)

액세스 패턴 변경 시 데이터를 이동하여 스토리지 비용 절감을 자동화합니다.

액세스 빈도 또는 불규칙한 사용 패턴(=예측할 수 없는 패턴)을 모를 때 완벽한 사용 사례입니다.

 

AWS DataSync 안전한 데이터 마이그레이션의 간소화 및 가속화

데이터 마이그레이션

빠르게 AWS로 파일 및 객체 데이터를 이동합니다. 이동 중 암호화 및 포괄적인 데이터 검증을 통해 데이터를 보안합니다.

데이터 보호

Simple Storage Service(Amazon S3) 스토리지 클래스를 포함하여 비용 효율적인 AWS 스토리지 서비스로 안전하게 데이터를 복제합니다.

콜드 데이터 아카이브

Amazon S3 Glacier 아카이브 스토리지 클래스로 직접 데이터를 이동하여 온프레미스 스토리지 비용을 절감합니다.

하이브리드 데이터 워크플로 관리

중요한 하이브리드 워크플로를 가속화하도록 온프레미스 시스템 및 AWS 사이에서 데이터를 원활하게 이동합니다.

 

AWS Lake Formation 간단한 권한 부여, 취소 하는 권한 모델을 제공

Lake Formation 권한은 AWS IAM권한과 결합되어 데이터 레이크에 저장된 데이터 및 해당 데이터를 설명하는 메타데이터에 대한 액세스를 제어합니다.
다양한 팀에서 모든 데이터를 사용할 수 있도록 하고 운영 오버헤드를 최소화하기 위해 회사는 AWS Lake Formation을 사용하여 데이터 레이크를 생성할 수 있습니다. 이를 통해 회사는 모든 데이터를 한 곳에서 중앙 집중화하고 세분화된 액세스 제어를 사용하여 데이터에 대한 액세스를 관리할 수 있습니다. 

솔루션 설계자는 Lake Formation 액세스 제어를 사용하여 데이터에 대한 액세스를 제한할 수 있습니다. 

이 솔루션은 데이터에 대한 세분화된 권한을 관리하고 운영 오버헤드를 최소화하는 기능을 제공합니다.

AWS Glue - JDBC 연결을 통해 다음 데이터 스토어에 연결할 수 있습니다 => Amazon Redshift

 

AWS Glue DataBrew 

최대 80% 더 빠르게 데이터를 정리 및 정규화

AWS Glue DataBrew는 데이터 분석 및 데이터 과학 작업에서 데이터를 손쉽게 정리 및 정규화하여 분석 및 기계 학습(ML)에 적합한 상태로 준비하는 데 도움이 되는 시각적 데이터 준비 도구입니다. 사전 빌드된 250개 이상의 변환 구성 중에서 선택하여 코드 작성 없이도 데이터 준비 작업을 자동화할 수 있습니다.

 

DataBrew는 사용자가 데이터 품질을 이해하고 개선하는데 도움이 되는 데이터 계보 및 데이터 프로파일링 기능을 제공

데이터 계보는 각 데이터세트의 소스와 대상, 그리고 각 레시피 단계에서 데이터가 변환되는 방식을 보여줍니다.

데이터 프로파일링은 열과 같은 각 데이터세트에 대한 다양한 통계 및 측정항목을 표시합니다.

 

또한 이상 항목 필터링, 표준 형식으로 데이터 변환, 잘못된 값 수정, 기타 작업을 자동화할 수 있습니다.

데이터가 준비되면 분석 및 ML 프로젝트에 바로 사용할 수 있습니다.

사용한 만큼만 요금을 지불하며 사전 약정은 없습니다.

AWS Glue DataBrew는 데이터 분석가와 데이터 과학자가 분석 또는 기계 학습을 위해 데이터를 최대 80% 더 빠르게 정리하고 정규화할 수 있게 해주는 시각적 데이터 준비 도구입니다.

 

Cloud Trail 리소스 내역을 기록/전송하는 서비스

Amazon RDS 프록시

AWS RDS의 완전 관리형 고가용성 DB 프록시로 애플리케이션의 확장성과 데이터베이스 오류에 대한 복원력 및 보안을 더욱 강화합니다. RDS Proxy를 사용하면 애플리케이션이 데이터베이스와 설정된 연결을 풀링하고 공유할 수 있어 데이터 베이스 효율성과 애플리케이션 확장성이 향상됩니다. 

 

Amazon FSx for Lustre S3와 통합된 클라우드 파일 스토리지

전 세계에서 널리 사용되는 고성능 파일 시스템에 구축된 완전관리형 공유 스토리지입니다.

기계 학습(ML) 가속화

컴퓨팅 리소스에 대한 처리량 최대화 및 Amazon S3에 저장된 훈련 데이터에 대한 원활한 액세스를 통해 훈련 횟수를 줄입니다.

고성능 컴퓨팅(HPC) 활성화

AWS 컴퓨팅 및 오케스트레이션 서비스에 기본적으로 포함된 고속 고가용성 스토리지를 통해 가장 까다로운 HPC 워크로드의 처리를 돕습니다.

빅 데이터 분석 활용

페타바이트급 데이터에 대한 복잡한 분석 워크로드를 실행하는 수천 개의 컴퓨팅 인스턴스를 지원합니다.

미디어 워크로드 민첩성 개선

컴퓨팅 상황에 따라 확장되는 스토리지를 사용하여 매우 짧은 시각 효과(VFX), 렌더링, 트랜스코딩 타임라인에 대처합니다.

 

AWS Transfer Family 단순하고 안전하며 확장 가능한 파일 전송을 통해 데이터를 손쉽게 관리하고 공유

AWS Transfer Family는 SFTP, FTPS, FTP 및 AS2 프로토콜을 사용하여 AWS 스토리지 서비스로의 반복적인 B2B 파일 전송을 안전하게 조정합니다. AWS Transfer Family를 사용하면 인증, 권한 부여 및 스토리지 백엔드로 S3와의 통합을 통해 SFTP 서버를 쉽게 설정할 수 있습니다.

(<=> S3 (파일) 게이트웨이는 NFS, SMB 프로토콜을 통한 파일 기반 엑세스에 주로 사용) 

관리형 파일 전송 현대화

PCI, PII 또는 HIPAA와 같은 규제 데이터에 대한 금융 기관 및 의료 기관의 보안 파일 전송을 현대화합니다.

데이터 레이크 확장을 통한 인사이트 확보

일반적인 비즈니스 애플리케이션과 IoT 디바이스를 분석 및 데이터 처리를 위한 데이터 레이크에 연결하여 인사이트를 지원합니다.

거래 파트너 네트워크 전반에 걸친 협업 개선

공급망 거래 파트너 전반에 걸친 협업과 연결성을 개선하여 ERP, 운송 관리 시스템 또는 기타 시스템을 포함한 비즈니스 애플리케이션 전체의 실시간 인사이트를 촉진합니다.

콘텐츠 배포 비즈니스 확장

다수의 연결 옵션을 통해 구독자 접근 범위를 확장합니다. 기본 제공되는 세분화된 액세스 제어를 적용하여 매출을 보호할 수 있습니다.

 

Amazon S3 Transfer Acceleration 더 빠른 장거리 S3 업로드 및 다운로드

모바일 및 웹 애플리케이션 업로드 및 다운로드

많은 고객이 S3에 파일을 업로드하는 기능을 갖춘 모바일 또는 웹 애플리케이션을 개발합니다. 이러한 애플리케이션에 대상 S3 버킷에서 멀리 떨어진 사용자가 있는 경우 업로드 및 다운로드가 느려질 수 있습니다. S3TA는 이러한 장거리 전송 속도를 높여 사용자에게 더 나은 경험을 제공할 수 있습니다. 

분산된 사무실 이전

IT 인프라 팀과 사업 부문 팀은 S3 API를 사용하여 파일, 연구실 이미지 또는 미디어를 중앙 집중식 버킷에 저장하는 분산된 위치에 온프레미스 애플리케이션을 보유하고 있습니다. S3TA는 장거리에서 시간에 민감한 전송 속도를 높이는 데 도움이 될 수 있습니다.

신뢰할 수 있는 파트너와의 데이터 교환

연구 개발 프로젝트에 참여하는 회사는 종종 대량의 데이터를 생성합니다. 그들은 대학, 병원, 싱크탱크 또는 심지어 동료 회사와 협력할 수도 있습니다. 회사 간에 대규모 데이터 세트를 공유하기 위해 고객은 가속화된 업로드를 통해 S3 버킷에 대한 특별 액세스를 설정하여 데이터 교환 및 혁신 속도를 높일 수 있습니다.

 

ALB와 NLB의 차이점

ALB와 NLB의 차이점은 프로토콜에 있다. 앞서 언급했듯, ALB는 TCP, UDP 프로토콜을 지원하며, NLB는 HTTP(S) 프로토콜을 지원한다. 그렇기 때문에, NLB는 VPC와 같은 Private한 네트워크 환경에서 사용되며, ALB는 HTTP 통신이 이루어지는 Public 환경에서 동작한다.

 

AWS SQS(Simple Queue Service)

마이크로서비스, 분산 시스템 및 서버리스 애플리케이션을 위한 완전관리형 메시지 대기열

Amazon Simple Queue Service(SQS)를 사용하면 메시지 손실을 우려하거나 다른 서비스를 제공할 필요 없이 소프트웨어 구성 요소 간에 어떤 볼륨의 메시지든 전송, 저장 및 수신할 수 있습니다.

Amazon Simple Queue Service(SQS)는 마이크로 서비스, 분산 시스템 및 서버리스 애플리케이션을 분리하고 확장할 수 있는 완전관리형 메시지 대기열 서비스입니다. 

SQS는 메시지 지향 미들웨어 관리 및 운영과 관련된 복잡성과 오버헤드를 제거하고 개발자가 차별화 작업에 집중할 수 있도록 합니다. 새 이미지가 S3 버킷에 업로드 되면 Lambda 함수를 트리거하여 이미지를 처리하고 압축합니다. 

애플리케이션 신뢰성 및 확장성 향상

Amazon SQS는 고객이 대기열을 사용하여 구성 요소(마이크로서비스)를 분리하고 연결할 수 있는 간단하고 안정적인 방법을 제공합니다.

마이크로서비스 분리 및 이벤트 기반 애플리케이션 처리

뱅킹 애플리케이션에서와 같이 프론트엔드를 백엔드 시스템과 분리합니다. 고객은 즉시 응답을 받지만 청구서 결제는 백그라운드에서 처리됩니다.

작업을 비용 효율적이고 정시에 완료하도록 보장

자동 크기 조정 그룹의 여러 작업자가 워크로드 및 지연 시간 요구 사항에 따라 확장 및 축소되는 단일 대기열에 작업을 배치합니다.

메시지 순서 유지 및 중복 제거

메시지 순서를 유지하면서 대규모로 메시지를 처리하여 메시지 중복을 제거할 수 있습니다.

 

AWS Snowcone 휴대가 용이한 데이터 전송 및 엣지 컴퓨팅 디바이스를 어디에나 배포

AWS Snowcone는 연결이 거의 또는 전혀 없는 열악한 환경에서 엣지 컴퓨팅, 데이터 스토리지, 이동 중 데이터 전송을 제공하는 견고하고 안전한 소형 디바이스입니다.

플릿 데이터 수집 및 분석 가속화

작은 크기에 견고한 설계, 전원 옵션, 강화된 보안을 갖추었으며 대규모 차량 운용 조직에서 매일 테라바이트 급의 데이터를 쉽게 수집합니다.

극한 상황에서의 IoT 데이터 수집

공장, 광산, 유전처럼 공간과 대역폭이 제한된 열악한 환경 조건에 적합하게 설계된 엣지 컴퓨팅 및 스토리지 솔루션을 배포합니다.

환자 결과 개선

이동 중이나 현장에서 환자에게 뛰어난 치료를 제공하고, 내장 Wi-Fi 및 AWS DataSync를 사용하여 실시간으로 중요한 데이터를 전송합니다.

콘텐츠 배포 촉진

빠르게 진행되고 공간 제약이 있는 환경에서 고해상도 이미지 등의 콘텐츠를 수집 및 처리하고 팀 성과를 개선합니다.

 

Amazon GuardDuty 

AWS 계정 보호 서비스 AWS 계정 및 워크로드에서 악의적 활동을 모니터링하고 상세한 보안 결과를 제공하여 가시성 및 해결을 촉진하는 위협 탐지 서비스

 

Cloudfront도 DDos 공격 대처 가능, 정적 및 동적 콘텐츠 모두 작동

Cloudfront, AWS Global Accelerator, Route 53은 모두 엣지 로케이션에서 작동하며 aws 서비스를 활용하여 모든 인프라 계층 공격에 대한 포괄적인 가용성 보호를 구축함.

단, Cloudfront는 TCP, UDP 프로토콜을 지원하지 않습니다.

 

AWS Global Accelerator

AWS 글로벌 네트워크를 사용하여 애플리케이션의 가용성, 성능, 보안을 향상시키는 네트워킹 서비스입니다.

 

AWS 글로벌 네트워크를 사용하여 사용자 트래픽을 성능 및 상태에 따라 최적의 엔드포인트로 라우팅합니다.

AWS Global Accelerator는 퍼블릭 애플리케이션의 가용성, 성능 및 보안을 개선하는 데 유용한 네트워킹 서비스입니다.

Global Accelerator는 애플리케이션 엔드포인트의 고정 진입점 역할을 하는 두 개의 글로벌 정적 공용 IP

(예: Application Load Balancer, Network Load Balancer, Amazon Elastic Compute Cloud(EC2) 인스턴스 및 탄력적 IP)를 제공합니다.  모든 사용자에게 가능한 최저 지연 시간을 보장할 수 있습니다.

글로벌 트래픽 관리자

트래픽 다이얼을 사용하여 트래픽을 가장 가까운 리전으로 라우팅하거나 리전 간에 빠른 장애 조치를 지원합니다.

API 가속화

엣지에서 TCP 종료를 활용하여 API 워크로드를 최대 60%까지 가속화합니다.

글로벌 정적 IP

엔터프라이즈 방화벽 및 IoT 사용 사례에서 허용 목록 생성을 간소화합니다.

지연 시간이 짧은 게임 및 미디어 워크로드

맞춤형 라우팅을 사용하여 트래픽을 EC2 인스턴스 플릿으로 최종 라우팅합니다.

 

AWS Backup 데이터 보호를 중앙에서 관리하고 자동화

중앙 집중식 백업 관리 서비스이며, 필요한 동시 파일 액세스 및 중복기능 제공하지 않음.

클라우드 네이티브 백업

여러 AWS 서비스 간에 버킷, 볼륨, 데이터베이스, 파일 시스템 등의 주요 데이터 스토어를 백업합니다.

하이브리드 클라우드 워크플로우 스토어

기계 학습 또는 빅 데이터 분석과 같은 AWS 서비스에서 처리하기 위해 온프레미스 애플리케이션에서 생성된 데이터를 사용하여 데이터를 객체로 분류합니다.

중앙 집중식 데이터 보호 정책

회사의 AWS 계정, 리소스, AWS 리전에서 백업 활동을 구성, 관리, 통제합니다.

데이터 보호 규정 준수

조직 또는 규정의 요구 사항을 준수하는지 확인하기 위해 데이터 보호 정책에 대한 리소스를 검사합니다.

 

S3 파일 게이트웨이 엔드포인트 vs S3 인터페이스 엔드포인트

S3 파일 게이트웨이 엔드포인트는 트래픽이 인터넷을 통과할 필요없이 VPC와 S3 서비스 간에 안전한 비공개 연결을 제공합니다. S3 파일 게이트웨이 엔드포인트를 통해  EC2는 VPC 내에서 직접 S3 API에 액세스 할 수 있으므로 트래픽이 인터넷을 통해 이동하지 못하게 하는 보안 요구사항을 충족합니다.

Amazon S3는 파일 게이트웨이 엔드포인트와 인터페이스 엔드포인트를 모두 지원합니다.

게이트웨이 엔드포인트를 사용하면 VPC 인터넷 게이트웨이 또는 NAT 디바이스를 사용하지 않고 추가 비용 없이 VPC에서 Amazon S3에 액세스할 수 있습니다.

하지만 게이트웨이 엔드포인트는 온프레미스 네트워크, 다른 AWS 리전의 피어링된 VPC 또는 전송 게이트웨이를 통한 액세스를 허용하지 않습니다.

인터페이스 엔드포인트는 프라이빗 IP 주소를 사용하여 VPC 내부, 온프레미스 또는 VPC 피어링이나 AWS Transit Gateway를 사용하여 다른 AWS 리전의 VPC에서 Amazon S3로 요청을 라우팅함으로써 게이트웨이 엔드포인트의 기능을 확장합니다.

 

Compute Savings Plan

Savings Plans는 1년 또는 3년 기간의 일정 사용량 약정(시간당 USD 요금으로 측정)을 조건으로 Amazon EC2, AWS Lambda 및 AWS Fargate 사용량에 대해 저렴한 요금을 제공하는 유연한 요금 모델입니다. Savings Plans에 가입하면 약정 사용량까지 할인된 Savings Plans 요금을 적용받습니다. AWS는 2가지 유형의 Savings Plans를 제공합니다.

 

Compute Savings Plans

Compute Savings Plans는 최대 66%까지 비용을 절감할 수 있는 가장 유연한 요금 모델입니다. 이 플랜은 인스턴스 패밀리, 크기, AZ, 리전, OS 또는 테넌시와 관계없이 EC2 인스턴스 사용량에 적용되며, Fargate 또는 Lambda 사용량에도 적용됩니다. 예를 들어, Compute Savings Plans를 이용할 경우, 언제든지 C4에서 M5 인스턴스로 변경하거나, EU(아일랜드)에서 EU(런던)로 전환하거나 워크로드를 EC2에서 Fargate 또는 Lambda로 이전하면서도 자동으로 Savings Plans 요금을 계속 이용할 수 있습니다.

 

EC2 Instance Savings Plans

EC2 Instance Savings Plans는 리전의 개별 인스턴스 패밀리에 대한 사용량 약정(예: 버지니아 북부의 M5 사용량)을 조건으로 최대 72%의 할인 혜택을 제공하는 가장 저렴한 요금 모델입니다. 이 요금을 이용하면 AZ, 규모, OS 또는 테넌시에 관계없이 해당 리전에서 선택한 인스턴스 패밀리의 비용이 자동으로 절감됩니다. EC2 Instance Savings Plans는 해당 리전의 패밀리 내에서 인스턴스 간에 사용량을 변경할 수 있는 유연성을 제공합니다. 예를 들어 Windows를 실행하는 c5.xlarge를 Linux를 실행하는 c5.2xlarge로 변경할 경우 Savings Plans 요금의 혜택이 자동으로 적용됩니다.

 

Amazon Athena 

페타바이트 규모 데이터를 상주 위치에서 쉽고 유연하게 분석

Amazon Simple Storage Service(S3) 데이터 레이크 및 온프레미스나 SQL 또는 Python을 사용하는 기타 클라우드 시스템을 포함하는 25개 이상의 데이터 소스로부터 데이터를 분석하거나 애플리케이션을 구축

s3인벤토리로 표준 sql 쿼리

S3, 온프레미스 또는 기타 클라우드에서 쿼리 실행

SQL 쿼리를 제출하여 온프레미스나 클라우드에서 실행되는 관계형, 비관계형, 객체, 사용자 지정 데이터 소스의 데이터를 분석합니다.

ML 모델을 위한 데이터 준비

SQL 쿼리 또는 Python에서 ML 모델을 사용하여 판매 예측 및 이상 탐지, 고객 코호트와 같은 복잡한 작업을 간소화합니다.

분산된 빅 데이터 보정 엔진 구축

클라우드용으로 구축된 엔진과 함께 보정 도구를 배포하여 방대한 데이터를 대규모로, 효과적으로 검증합니다.

멀티클라우드 분석 수행

Amazon QuickSight를 사용하여 Azure 시냅스 애널리틱스 데이터를 쿼리하고 결과를 시각화할 수 있습니다.

 

Data Lake  빅데이터로 가치를 만드는 호수

데이터 레이크는 조직에서 수집한 정형*·반정형**·비정형*** 데이터를 원시 형태(raw data)로 저장하는 단일한 데이터 저장소입니다.

기업에서는 전통적으로 데이터를 데이터베이스와 데이터 웨어하우스****에 저장했습니다.

 

*정형 데이터 : 형태가 있고 연산할 수 있는 데이터. ‘엑셀’ 같은 시트에 저장되는 형태, 수치, 기호, 도형 등이 그 예.
**반정형 데이터 : 형태는 있지만 연산할 수 없는 데이터. 메일 등 통신 내용 기록 같은 로그 등이 그 예.
***비정형 데이터 : 형태가 없고 연산할 수 없는 데이터. 인터넷 댓글, 영상, 음성 등이 그 예.
****데이터 웨어하우스(data warehouse) : 회사의 각 사업부문에서 수집된 모든 자료 또는 중요한 자료에 관한 중앙창고.

 

요즘 기업에서 데이터 레이크에 관심 갖는 이유는 뭘까?

먼저 부서별·분야별로 흩어진 데이터를 한데 모아 분석하면 조직 전체 시너지를 높일 수 있고요.

기업이 보유한 데이터를 최대한 활용해서 가치를 끌어내기에 유용합니다.

IBM에 따르면, 기업에서 저장하는 데이터 약 80~90%가 텍스트·비디오·오디오 등 비정형 데이터라고 하죠.

데이터 웨어하우스는 정형 데이터를 저장하는 데 최적화돼 있습니다만.

데이터 레이크에는 비정형 데이터도 원시 형태로 저장할 수 있고요. 이를 분석하면 기업 경영에 주효한 인사이트를 풍부하게 얻을 수 있죠. 누구든 빅데이터로 가치를 만들고 싶다면 데이터 레이크를 알아두는 게 좋습니다.

 

AWS Batch

AWS Batch는 사용자가 AWS에서 배치 작업을 실행할 수 있게 해주는 완전 관리형 서비스입니다. 다른 언어로 작성된 다양한 유형의 작업을 처리하고 EC2 인스턴스에서 실행할 수 있습니다. 

또한 Amazon EventBridge(Amazon CloudWatch Events)와 통합되어 시간 또는 이벤트 트리거를 기반으로 작업을 예약합니다.

AWS Batch를 사용하면 개발자, 과학자, 엔지니어가 수십만 개의 배치 및 기계 학습 컴퓨팅 작업을 효율적으로 실행하면서 컴퓨팅 리소스를 최적화하여 결과 분석 및 문제 해결에 집중할 수 있습니다. 

소프트웨어 또는 서버를 설치하지 않고도 수십만 건의 배치 및 기계 학습 컴퓨팅 작업을 실행할 수 있습니다.

금융 서비스 분석 실행

1일 거래 비용, 완료 보고 및 시장 성과에 대한 분석을 자동화합니다.

약물 및 게놈 서열 스크리닝

약물 설계를 위한 더 나은 데이터를 캡처하기 위해 저분자 라이브러리를 빠르게 검색합니다.

시각 효과 렌더링

콘텐츠 렌더링 워크로드를 자동화하여 의존성에 따른 인력의 개입 필요성을 최소화합니다.

기계 학습 모델 훈련

모든 규모에서 컴퓨팅 집약적인 ML 모델 훈련 및 추론을 효율적으로 실행합니다.

 

AWS Config 리소스 구성에 대한 진단, 감사 및 평가

솔루션 설계자가 AWS Config 규칙을 사용하여 적절하게 태그가 지정되지 않은 리소스를 정의하고 감지해야 합니다. AWS Config가 모범 사례 및 회사 정책을 준수하는지 AWS 리소스 구성을 평가하는데 사용하는 사용자 지정 가능한 규칙 세트입니다. AWS Config 규칙을 사용하면 비준수 리소스를 식별하고 담당 팀에 알리는 프로세스를 자동화하므로 이 검사를 구성하고 운영하는 노력을 최소화할 수 있습니다.

AWS Config는 AWS, 온프레미스 및 기타 클라우드에서 리소스의 구성과 관계를 지속적으로 평가, 감사 및 평가합니다.

AWS Inspector 규모에 맞는 지속적인 자동 취약성 관리

Amazon EC2, AWS Lambda 함수 및 Amazon ECR과 같은 AWS 워크로드에서 소프트웨어 취약성과 의도하지 않은 네트워크 노출을 거의 실시간으로 탐지하세요.

컴퓨팅 워크로드의 제로데이 취약성을 신속하게 발견

50개 이상의 취약성 인텔리전스 소스를 사용하여 취약성을 자동으로 발견하고 취약성 라우팅을 가속화하며 MTTR을 단축합니다.

패치 수정 우선순위 지정

현재의 일반 취약성 및 노출(CVE) 정보와 네트워크 접근성을 사용하여 상황에 맞는 위험 점수를 생성하여 취약한 리소스의 우선순위를 지정하고 해결합니다.

규정 준수 요구 사항 충족

Amazon Inspector 스캔으로 NIST CSF, PCI DSS 및 기타 규정에 대한 규정 준수 요구 사항 및 모범 사례를 지원합니다.

 

S3 Object Lock  S3 객체 수정 및 삭제 방지

규정 준수 모드에서는 AWS 계정의 루트 사용자를 포함하여 어떤 사용자도 보호 객체 버전을 덮어쓰거나 삭제할 수 없다.

거버넌스 모드에서는 특별한 권한이 없는 한 개체 보존 모드를 변경할 수 없으며 보존기간을 단축할 수도 없습니다.

(일부 사용자만 보존을 변경하거나 개체를 삭제할 수 있는 특별한 권한이 있습니다)

 

Apache Parquet 형식

Apache Parquet는 효율적인 데이터 스토리지와 검색을 지원하도록 설계되었으며, 컬럼 중심의 오픈 소스 데이터 파일 형식입니다. 복잡한 데이터를 일괄적으로 처리하는 기능을 더욱 향상하여 효율적인 데이터 압축 및 인코딩 방식을 제공합니다.

 

Amazon EventBridge(Amazon CloudWatch Events)

EventBridge는 이벤트를 사용하여 애플리케이션 구성 요소를 서로 연결하는 서버리스 서비스로, 확장 가능한 이벤트 기반 애플리케이션을 더 쉽게 구축할 수 있습니다. 이벤트 중심 아키텍처는 이벤트를 내보내고 이에 응답하여 함께 작동하는 느슨하게 결합된 소프트웨어 시스템을 구축하는 스타일입니다. 이벤트 중심 아키텍처는 민첩성을 높이고 안정적이고 확장 가능한 애플리케이션을 구축하는 데 도움이 됩니다.

EventBridge를 사용하여 자체 개발 애플리케이션, AWS 서비스 및 타사 소프트웨어와 같은 소스의 이벤트를 조직 전체의 소비자 애플리케이션으로 라우팅합니다. EventBridge는 이벤트를 수집, 필터링, 변환 및 전달하는 간단하고 일관된 방법을 제공하므로 애플리케이션을 신속하게 구축할 수 있습니다.

 

이벤트소스에서 붙어오는 이벤트라 보면 된다. AWS 서비스를 예를 들면 EC2의 상태가 변경된다던지, Auto Scaling Group에 인스턴스가 추가될 때, event가 발생한다.

만약 내가 개발하고 있는 커머스 어플리케이션이라 하면, 사용자가 특정 상품을 구매한 경우, 상품을 구매했다는 이벤트를 생성할 수 있다.

AWS Shield 관리형 DDoS 보호 기능을 통해 애플리케이션 가용성과 응답성을 최대화

애플리케이션 가동 중지 시간 및 지연 시간 최소화

결정론적 패킷 필터링 및 우선 순위 기반 트래픽 형성과 같은 인라인 완화 조치를 배포하여 기본 네트워크 계층 공격을 차단합니다.

AWS Shield Advanced

AWS Shield Advanced는 엑사바이트급 탐지 기능을 사용하여 AWS 전반의 데이터를 집계함으로써 위협을 식별하는 맞춤형 보호 프로그램입니다.

AWS Elastic Beanstalk 웹 애플리케이션 배포 및 크기 조정

간단하고 빠른 방법으로 웹 애플리케이션을 업데이트 및 배포할 수 있습니다.
인프라 프로비저닝 및 관리 대신 코드 작성에 집중할 수 있습니다.
애플리케이션을 강화하기 위한 최적의 AWS 리소스를 선택하고 완벽하게 제어할 수 있습니다.
트래픽 급증을 처리하기 위해 조정 가능한 설정을 사용하여 비용을 최소화하는 동시에 애플리케이션의 크기를 조정할 수 있습니다.

AWS Organizations SCP(서비스 제어 정책)

추가 비용 없이 리소스 및 팀에 대한 새 AWS 계정을 프로그램밍 방식으로 생성하여 환경을 신속하게 확장할 수 있습니다. 
사용자 기반 권한 관리를 간소화하여 팀이 목표 거버넌스 경계 내에서 자유롭게 구축할 수 있습니다. 
AWS 계정 및 리소스에서 비용을 관리하고 최적화할 수 있습니다.
모든 AWS 계정에서 환경을 중앙 집중식으로 보안 및 감사할 수 있습니다.

 

SCP(서비스 제어 정책)는 조직의 권한을 관리하는 데 사용할 수 있는 조직 정책 유형입니다.

SCP는 조직의 모든 계정에 사용 가능한 최대 권한을 중앙에서 제어합니다.

SCP를 사용하면 조직의 액세스 제어 지침에 따라 계정을 유지할 수 있습니다.

SCP는 활성화된 모든 기능을 가진 조직에서만 사용할 수 있습니다.

조직이 통합 결제 기능만 지원한다면 SCP를 이용할 수 없습니다.

SCP 활성화에 대한 지침은 정책 유형 활성화 및 비활성화 단원을 참조하세요.

SCP만으로는 조직 내 계정에 권한을 부여하기에 충분하지 않습니다.

SCP는 어떠한 권한도 부여하지 않습니다.

SCP는 계정 관리자가 영향을 받는 계정의 IAM 사용자 및 역할에 위임할 수 있는 작업에 대해 권한 범위를 정의하거나 제한을 설정합니다.

관리자는 실제로 권한을 부여하기 위해 여전히 자격 증명 기반 또는 리소스 기반 정책을 IAM 사용자 또는 역할에 연결하거나 계정의 리소스에 연결해야 합니다. 

유효 권한은 SCP가 허용하는 권한과 IAM 및 리소스 기반 정책이 허용하는 권한 간의 논리적 교집합입니다.

 

AWS Snowball 오프라인 데이터 또는 원격 스토리지를 클라우드로 신속하게 이동

스토리지 용량 또는 컴퓨팅 파워 제한 없이 테라바이트 용량의 데이터를 클라우드로 쉽게 마이그레이션합니다.

연결이 끊긴 외진 엣지 환경에서 애플리케이션 성능을 가속화하고 연결이 없거나 거의 안되는 상황에서 컴퓨팅 워크로드를 실행합니다.

Snowball의 견고한 섀시, 통합 물류, 부정 개봉 방지 상자를 통해 전송 중 데이터를 보호하고 데이터를 원하는 위치에 빠르게 전달할 수 있습니다.

페타바이트 규모의 데이터 마이그레이션

특히 네트워크 조건이 제한되어 있을 때 데이터베이스, 백업, 아카이브, 의료 기록, 분석 데이터 집합, IoT 센서 데이터 및 미디어 콘텐츠를 클라우드로 이동합니다.

로컬에서 데이터 처리 및 분석

Amazon EC2 내에서 Amazon Machine Image(AMI)를 실행하고, 기계 학습(ML) 또는 기타 애플리케이션을 사용하여 AWS Lambda 코드를 Snowball Edge 디바이스에 배포합니다.

제조업용 데이터 최적화

현장 공장 데이터를 수집 및 분석하여 프로세스를 미세 조정하고 안전, 효율성, 생산성을 개선합니다.

 

AWS Snowball Edge

엣지 컴퓨팅 및 데이터 마이그레이션을 위한 설계

AWS Snowball은 두 가지 디바이스 유형으로 사용할 수 있습니다.

더 높은 컴퓨팅 성능을 제공하는 Snowball Edge Compute Optimized는 고성능 워크로드에 적합하며, 더 많은 스토리지를 제공하는 Snowball Edge Storage Optimized는 대규모 마이그레이션 및 용량 중심의 워크로드에 적합합니다.

Snowball

- 데이터 마이그레이션 및 엣지 컴퓨팅 디바이스

- S3와 호환되는 객체 스토리지 제공

- Snowball Edge Storage Optimized: TB~PB사이즈의 데이터를 AWS로 빠르고 안전하게 전송해야할 때 사용

- Snowball Edge -> S3 -> Glacier(수명주기 정책) 패턴으로 많이 사용

 

AWS Storage Gateway 온프레미스 애플리케이션에 사실상 무제한의 클라우드 스토리지 액세스 제공

사용자 및 애플리케이션 워크플로 유지 관리에 의한 비즈니스 중단 없이 클라우드 지원 스토리지에 온프레미스 애플리케이션 액세스를 제공합니다.

하이브리드 클라우드 워크플로우 스토어

기계 학습 또는 빅 데이터 분석과 같은 AWS 서비스에서 처리하기 위해 온프레미스 애플리케이션에서 생성된 데이터를 사용하여 데이터를 객체로 분류합니다.

애플리케이션 데이터를 EBS로 마이그레이션

온 프레미스 볼륨의 스냅샷을 사용하여 EBS에서 데이터를 다시 생성하고 Amazon EC2 기반 애플리케이션에서 사용할 수 있습니다.

클라우드로 데이터 백업

온프레미스 파일 및 데이터베이스 애플리케이션에 대해 클라우드 기반 백업을 제공하여 저렴한 비용으로 거의 무제한으로 확장할 수 있습니다.

 

S3 스토리지 클래스

아래와 같이 스토리지 클래스를 전환할 수 있다(폭포수 모델)

Standard IA: 수명이 길지만 자주 엑세스하지 않는 데이터, 즉시 접근 가능해야할 때
Intelligent Tiering: 데이터 엑세스 패턴이 변경될 때 스토리지 비용을 자동으로 최적화해준다.
Frequent Access, Infrequent Access 두 엑세스 티어간에 데이터를 이동시켜 자동으로 절약시켜줌
One Zone IA: 단일 AZ에 데이터 저장, 저렴하지만 AZ 파괴 시 데이터 손실
Glacier: 장기적으로 보관할 데이터, 즉시 접근 가능할 필요 없을 때, Standard IA보다 비용 절감
Glacier Deep Archive: 1년에 한 두 번정도만 엑세스하는 데이터 장기 보관


S3 Multipart Upload
- 대형 객체를 여러 개로 나누어서 업로드

- 기존 객체의 복사본 생성



S3 Transfer Acceleration
- 클라이언트와 S3 버킷 간에 파일을 빠르고 쉽고 안전하게 장거리 전송

- 전 세계 각지에서 중앙의 버킷으로 업로드

- 전 세계에 정기적으로 수 기가바이트에서 수 테라바이트의 데이터를 전송



S3 Cross Region Replication(CRR)
- 서로 다른 AWS 리전의 S3 버킷에서 객체 복사하는데 사용

- 고객이 두 군데의 지리적 위치를 갖는 경우 사용자와 지리적으로 더 가까운 AWS 리전에 객체 복사본을 유지하여 객체 액세스 지연 시간을 최소화



S3 Global Accelerator
- 고정 IP 주소를 통해 애플리케이션에 고정된 진입점을 제공

- DNS 구성을 업데이트하거나 클라이언트 애플리케이션을 변경하지 않고도 가용 영역 또는 AWS 리전 간에 엔드포인트를 손쉽게 이동



S3 Simple Region Replication(SRR)
- 동일한 리전의 S3 버킷에서 객체 복사하는데 사용

- 여러 버킷에 또는 여러 계정 간에 로그를 저장하는 경우, 리전 내 단일 버킷으로 로그를 손쉽게 복제



S3 LifeCycle
만료 작업: 일정 기간(한 주 or 한 달 ...)동안만 보관한 후 삭제해야할 때

전환 작업: 다른 스토리지 클래스로 전환해야할 때(30일 후 Standard IA로 전환, 1년 후 Glacier로 전환 등)



S3 데이터 보호
SSE-KMS: KMS를 사용해 암호화 키 관리, 객체 접근하려면 별도 권한 필요, 감사 추적 기능, 추가 비용 발생

**KMS 키 삭제 시: 7일안에 복구 가능, 7일이 지난 후에는 모든 메타 데이터를 삭제하며 되돌릴 수 없음**

SSE-S3: 각 객체는 고유한 키로 암호화되며 주기적으로 바뀌는 마스터 키를 사용하여 키 자체 암호화

SSE-C: 사용자가 직접 암호화 키 관리, 암호화 라이브러리 구현하고싶지않을 때 사용

기간 : 23.04.17. ~ 23.10.17.(화) 

교육기관 : 에티버스러닝

교육주관 : RedHat, VMware, AWS

- 수료식

드디어 6개월 간의 대장정이 끝이 났다.

마지막날인 23년 10월 17일에는 수료식이 있었다.

수료식에는 파이널 프로젝트에 대한 발표 및 수료식, 우수자 및 수강생 소감 발표 등을 했다.

- 프로젝트 과정

9월 중순부터 파이널-프로젝트를 진행했는데 많은 어려운 과정이 있었다.

팀원이 개인 사정으로 프로젝트에 참여하지 못하는 경우도 있었고,

중간에 추석이 껴있어서 집중을 제대로 하기 힘든 시기도 있었다.

내 욕심은 주말에도 모여서 최대한의 결과를 만들길 원했는데 나만의 욕심이었던 것 같고

좀 아쉬운 부분도 있었지만 어쨌든 모든 것은 PPT로 보여주면 되지 않나!

PPT는 canva라는 동시 PPT 작성할 수 있는 사이트를 사용했는데

PPT를 일부러 다 작성하진 않았고 뼈대만 작성하고

팀원들에게 각자 맡은 역할 부분의 내용을 작성해달라고 했다.

프로젝트를 하면서 예전의 기억들이 새록새록 떠올랐다.

기획부터 실행, 최종 보고서 작성 및 발표까지 모든 것을 대부분하며,

밤을 새기도 하고 욕도 혼자 다 먹으면서도

상급자 및 팀장님의 요구사항이 다 녹여져 있어야 하고,

후배들이 잘 못하는 부분은 도와주기도 하고...

힘들긴 했지만 그만큼 실력과 경험이 늘었던 기억이 떠올랐다. 

프로젝트에서도 누군가는 조장으로써 책임을 지고 마무리를 해야하기에

첫번째 프로젝트와 두번째 프로젝트 모두 조장을 맡아서 끝까지 마무리를 지으려고 노력했다.

물론 힘들 것이라는 예상은 하고 있었지만, 첫번째 프로젝트 때는 일부러 조장을 자처했다.

다른 수강생보다 인프라 구축이나 네트워크 구성에 대한 지식이 부족하다고 느꼈고,

그것을 이겨내려면 일부러 조장을 맡아서 부족한 게 있으면 채우고,

다른 팀원보다 더 배우고, 열심히 할 수 있을 것 같아서 조장을 자처했다.

이후 파이널 프로젝트 때는 투표를 통해 조장 4명을 선발했다.

수강생들이 나한테 투표를 많이 해줘서 매니저님께서 조장을 하겠냐고 물으셨고,

위와 같은 이유로 당연히 하겠다고 했다.

인프라 구축을 완료한 후에 VPN 연결을 통해 AWS EKS와 On-Premise k8s를 연결했을 때 짜릿함!

이후 온프레미스의 DB를 복제하고, AWS DMS를 통해 RDS에도 데이터 복제가 됐을 때 짜릿함!

팀원이 개발한 Application을 3-Tier로 연동했고, 그 웹페이지를 볼 때의 짜릿함!은 잊지 못할 것 같다.

- 최종 발표 및 피드백

마지막으로 PPT를 작성하고 팀원들과 발표 시간을 재며, 문구나 이미지들을 수정하고 

오후에 나와 팀원 1명이 발표를 진행했다. 

현직자분들은 줌을 통해 발표를 듣고 피드백을 주시는데 아키텍처 구성보단 ppt 구성이나

발표태도를 보고 피드백을 주셨다. 

현직자 분들께선 PPT 글씨크기가 커서 보기 편하고, 발표태도도 좋다고 하셨다.

특히 어떤 분께선 직장생활 짬바가 느껴지신다고 했다 ㅋㅋ

- 우수자 선정

발표 이후에 우수자 발표가 있었다.

나는 우수자로 4명 중에 한명으로 선정돼서 VMware VCP Voucher를 받았다.

처음엔 수료할 수 있을 지 걱정이었는데 결국엔 우수자로 선정되어서 나름 뿌듯했다.

- 마무리

교육을 진행해주신 강사님들이 참 대단하다고 느꼈다.

20명 가량 되는 인원 앞에서 질문도 많이 받고 에러도 많이 나는데

그런 것들을 전부 컨트롤해주시고, 이해하기 쉽게 가르쳐주셔서 감사했다.

교육과정을 함께한 수강생들도 참 좋은 사람들이었다.

잘 알려주고, 도와줘서 재밌었고 감사했다.

다들 좋은 곳에 취직해서, 잘 먹고 잘 살았으면 좋겠다! 

교육 수료 후 첫 면접을 봤다.

면접은 무조건 붙는다는 생각으로 보는게 아니라 무언가를 배운다는 생각으로 임해서

크게 긴장되진 않았다.

처음 면접장에 들어가니 긴장하지 말라고 물을 떠다 주셨지만

곧바로 긴장되는 질문들을 하셨다 ㅎㅎ

아무래도 나이가 있다보니 신입아닌 신입이라고 하며 시작했다.

이력서와 자기소개서를 중심으로 질문을 시작하셨고, 자격증이 왜 없는지,

다른 수강생들이 자격증을 딸 때 조급함이 들지 않았는지 물으셨다.

나는 강의에 집중하는게 맞다고 생각했고, 강의하시는 동안 그 과정에 집중하는게

강사님들에 대한 예의라고 답변하긴 했지만, 자격증을 미리 따둘걸... 약간 후회했다.

이전 직장생활을 하다가 그만 두고 왔는데 여기서도 5년 뒤에도 그런 상황이 펼쳐지면

어떻게 할건지?라는 질문에 이전 직장은 부모님의 기대에 부응하기 위해 다녔던 직장이지만

지금은 내가 처음으로 선택한 진로여서 꾸준히 노력할 거라고 말씀드렸다.

나는 포트폴리오를 미리 제출하지 않고 따로 뽑아서 면접관님께 직접 제출했다.

면접관님 두 분은 포트폴리오를 보며 VPN 구성이나 MySQL 복제구성,

하이브리드 클라우드의 이점이 무엇인지 질문하셨고 그에 대한 답변을 했다.

그리고 네트워크에 대한 질문은 cidr에 대해 질문하셨다.

나는 네트워크 OSI 7계층에 대한 준비만 했던 터라 약간 당황했지만, 

전에 공부한 적이 있어서 그대로 답변드렸다.

면접 도중에 가장 기억에 남는 질문은 안정적인 직장에만 근무를 해서,

이러한 조직에 잘 적응할 수 있을지 궁금하다라는 질문이었다.

나 또한, 현실에 안주하며 살아온 부분이 있는 것 같아서 이젠 실패도 해보고,

여러 경험을 통해 좀 더 발전하기 위해 직종을 변경하게 됐다고 말씀드렸다.

면접을 보면서 모르는 부분도 있었지만, 그래도 재밌는 경험이었다.

이번 면접에 붙을 지, 떨어질 지는 모르겠지만 면접 또한 교육만큼이나

배울게 많고 여러 번 시도하면서 더 많은 지식을 쌓고 그 지식을 말로 뱉을 수 있는 연습을 해야겠다.

네트워크

네트워크란? 컴퓨터를 통신망으로 연결한 것을 말한다. 

여러대의 컴퓨터는 스위치와 연결된다. (ex. 회사, pc방, 학교 등)

서로 다른 스위치들은 router를 통해 WAN과 연결된다.

네트워크의 척추: OSI 7 Layer 모델 => 이론적 모델

ISO에서 만든 목적 : 이기종 간의 통신이 목적

=> 각 제조사마다 네트워크 기술이 다르기 때문에 다른 제조사의 장비로는 통신이 어려워서 ISO에서 기본적인 개념을 정의하고 제조사에서 기술 개발하면서 발전

정의

컴퓨터 네트워크 프로토콜이 통신하는 구조를 7개의 계층으로 분리하여 각 계층 간 상호 작용하는 방식을 정해놓은 것

프로토콜이란?

통신장비 사이에서 메세지를 주고 받는 양식과 규칙의 체계

=> 사람과 사람의 대화도 언어가 맞아야 소통할 수 있다.

1계층 : 물리계층(physical layer)

케이블, 허브, 리피터 등으로 전송하며, 전송단위는 비트

단순히 전기신호만 보내서 데이터를 전송하는 역할만 하고

데이터가 무엇인지 어떻게 보내는지 관여하지 않음

2계층 : 데이터링크

LAN(스위치)과 같이 같은 네트워크에 있는 장치에 데이터를 전달하고, 전달한 데이터가 오류가 있는지 없는지 체크하고 재전송하고 흐름을 제어하는 기능도 있음. 

맥 주소로 전송함.(cmd ipconfig all => 물리적 주소가 맥 주소)

앞 6자리는 제조사 번호 / 뒷 6자리는 고유번호

맥주소를 가지고 데이터를 주고 받게 하는 프로토콜이 이더넷

대표적 장비 : 브릿지, 스위치

3계층 : 네트워크 계층

데이터를 목적지까지 가장 안전하고 빠르게 전달

데이터가 어떻게 목적지를 찾아가는지 담당하는 프로토콜은 IP

라우팅이란? 네트워크 안에서 최적의 경로를 선택하는 것 목적지는 IP주소를 활용해서 찾고 데이터를 전송함. 

전송단위 : 패킷 / 대표장비 : 라우터

4계층 : 전송 계층(Transport)

양 끝단 사용자들이 데이터를 주고 받을 수 있게 하는 계층

중요한 포인트 : 어떤 방식으로 데이터를 보낼 것인가?

안정적으로 확실하게 데이터를 전송하는 프로토콜 : TCP

데이터가 유실될 수도 있지만 무조건 빠르게 프로토콜 : UDP

전송 단위 : 세그먼트  /  대표장비 : 게이트웨이, L4스위치

5계층 : 세션 계층

두 컴퓨터의 연결을 담당하는 계층

두 컴퓨터 사이에 연결을 생성하고 유지하고 종료하는 기능

=> 일종의 대화 통로

전송 중단 시 복구하는 기능도 있다.

단방향 / 반이중(무전기) / 전이중(전화기)

6계층 : 표현계층(Presentation)

어플리케이션 데이터를 읽을 수 있는 형식으로 변환하는 역할

인코딩-디코딩, 데이터 암호화 시 복호화, 압축 시 압축풀기 등

7계층 : 응용계층(Application)

사용자가 네트워크 자원에 접근하는 방법을 제공함

=> 인터넷 브라우저, 카톡

프로토콜 : HTTP(웹페이지), FTP, SMTP(메일주고받을 때)

요약

1. 물리계층에서 비트 단위의 전기 신호로 데이터가 전송됨

2. 데이터링크 계층에서는 맥 주소로 가까운 장치 간 정보 전달

3. 네트워크 계층은 IP주소로 목적지까지 최적의 경로를 안내

4. 전송계층은 끝단 사용자에게 확실하게 보낼지 빠르게 보낼지

5. 세션계층은 연결담당

6. 표현계층은 데이터를 읽을 수 있게 형식을 변환

7. 응용계층은 사용자에게 어플리케이션으로 서비스 제공

전송단위란?

네트워크에서 데이터가 전송될 때 그냥 데이터만 보내는 게 아니라 전송에 필요한 정보를 데이터 앞부분에 붙여서 다음 계층으로 보냄. 

전송에 필요한 정보? 누가 누구한테 보내는지, 어떻게 보내는지

=> 제어정보=헤더 / 실제 데이터=페이로드 => 패킷!!

헤어+페이로드 합쳐져 다음 계층 가면 페이로드가 되고 새로운 헤더 붙음 => 이런 과정 : encapsulation <> 디캡슐레이션

예를 들어

영상을 보고 댓글을 단다

1. 응용계층에서 어플리케이션이 처리하고 헤더를 붙여서 보냄

2. 표현계층에서도 헤더를 붙이고 세션계층으로 보냄

3. 세션계층에서도 헤더를 붙여서 내려보냄

4. 전송계층에서는 최종 목적지까지 확실하게 보낼지, 빨리 보낼지 정보를 헤더에 담아서 데이터를 합치게 되는데 이 데이터를 세그먼트라고 부름, 

5. 네트워크계층에서는 세그먼트를 IP주소를 바탕으로 최적의 경로를 찾는 라우팅 정보를 네트워크 헤더에 담는데 이를 패킷이라고 함.

6. 데이터링크계층에서는 프레임을 전송하는데 프레임 오른쪽에 붙어있는 데이터 트레일러는 데이터가 전송된 후에 오류가 있었는지 확인하는 용도

7. 이런 과정을 거친 데이터는 물리계층에서 비트단위로 이동돼서 상위 계층의 어플리케이션계층을 향해 달려가면서 헤더가 하나씩 제거되는 디캡슐화 과정을 거쳐 7계층에 도달

편지를 보낼때와 비유

1. 편지지에 한글로 편지 작성(응용/표현/세션)

2. 작성한 편지를 우체부에게 전달(전송)

3. 우편번호와 주소로 분류가 됨(네트워크)

4. 편지는 주소지에 있는 다른 우체국에 전달(물리/데이터링크)

5. 다시 주소로 구분돼서(네트워크)

6. 해당 우체부가 배달을 하게 되면(전송)

7. 상대방이 편지를 열어서 확인(응용/표현/세션)

TCP/IP 모델 => 실용적 모델

개념

- kubernetes는 워커 노드의 장애가 발생하더라도 정상적, 혹은 부분적으로 기능을 수행할 수 있도록 결함 감내(fault tolerant) 시스템으로 디자인되어 있습니다. kubernetes의 마스터 노드는 인프라의 상태를 주기적으로 워커 노드로부터 수신하며, 어떤 이유로 인해 문제가 발생하면 다시 복구하도록 동작합니다.

- 그러나 모든 경우의 문제를 해결하는 데는 한계가 있으며 특정 노드의 유지 보수를 위해 운영 중이던 파드의 우아한 종료(gracefully shutting down)를 위한 개입이 필요할 수 있습니다.

• 노드가 준비되지 않았습니다.
• 노드에 연결할 수 없습니다.
• 디스크 부족
• 네트워크를 사용할 수 없습니다

1. Cordon

- cordon 사전적 뜻: 저지선(경찰군인 등이 설치한 진입이나 진출) [비상경계선]의 의미

=> kubernetes의 클러스터 노드 중 하나가 어떠한 이유(리소스 부족, 물리적 결함 등)로 고장이 나면서, SchedulingDisabled 또는 Not Ready  상태로 표시되어 더 이상 해당 노드에 Pod가 생성되진 않지만,

기존에 있던 Pod는 running로 운영되고 있습니다.

해당 노드에 더 이상 파드가 생성되지 않도록 보호하고 문제 해결을 위해 Cordon을 진행합니다. 

- node describe 정보를 확인하니 NoSchedule Taint(해당 노드가 오염되어 스케쥴링 불가) 또는NodeNotSchedulable
상태가 되어 스케쥴링이 불가능한 노드가 된 것을 확인합니다.

이때, 좀 더 확실하게 고장난 노드(worker-1)가 스케쥴링이 불가능한 노드로 설정하고 문제를 파악하고자 합니다.

Cordon(차단) 설정

1-1 명령어

• cordon 적용

kubectl cordon [node 이름]

• cordon 해제

kubectl cordon [노드 이름]

- node의 상태 및 daemonset, pod의 상태 확인 => running 상태

1-2 적용확인: worker-1 노드에 cordon 적용 후 디플로이먼트 배포

kubectl create deployment nginx --image=nginx --replicas=3

=> worker-1 노드를 제외한 다른 노드에만 배포된 것을 확인

1-3 uncordon 적용

kubectl uncordon [노드 이름]

2. Drain

drain 사전적 뜻: 배수구, 물 빠짐, 배출 등의 의미로, 노드에 존재하는 모든 Pod를 제거하고, Pod를 다른 노드에 스케쥴링하도록 합니다. drain한 node는 cordon을 실행한 것과 동일하게 SchedulingDisabled 상태가 되기 때문에 신규 Pod를 스케쥴링하지 않습니다.

- drain은 기존에 운영하던 온프레미스와 public-cloud를 연결하여 하이브리드 클라우드로 운영 시 자원 낭비에 따른 서버 반납이나 커널 업그레이드와 같은 하드웨어 유지보수를 위한 중단 등으로 의도적으로 워커 노드를 축소시키고자 할 때, 축소 대상의 노드에서 운영중인 애플리케이션 Pod을 다른 노드로 모두 배출(drain)할 때 사용합니다.

Drain(배출) 설정

2-1 명령어

• 드레인 적용

kubectl drain [노드 명] 

- 이 때 아래와 같이 오류가 뜬다. 이유는 daemonset이 아직 작동 중이라서 그렇다.

• 노드를 내리는 작업에서 문제가 발생하는 경우 권장하는 옵션을 사용
  • --delete-local-data: local data 를 모두 삭제
  • --ignore-daemonsets: demonset 을 무시하고 모두 삭제
  • --force: 강제로 모두 삭제

* 데몬셋(daemonset)이란? 데몬셋은 파드를 생성하고 관리하는데 항상 실행되어야 할 특정 파드를 관리한다.

- ex. kube-proxy

• 드레인 해제

kubectl uncordon [노드 명]

드레인을 해제하고 다른 노드의 파드를 삭제하거나 scale로 파드 수를 조정하면 해당 노드에 재배포된 것을 확인

CentOS-7 기반으로 사용자 계정을 만들었을 때 특징에 대해 공부했습니다. 

사용자 계정을 만드는 명령어는 다음과 같습니다.

useradd /usermod

계정을 생성하면 총 6개의 파일이 만들어집니다.

1. /etc/passwd

/etc/passwd에는 시스템에 등록된 사용자의 정보들이 담겨있습니다.

파일의 이름이 passwd라서 패스워드 정보가 있는 줄 알았으나 사용자의 패스워드는 /etc/shadow에 저장된다고 합니다. 

/etc/passwd를 열어보면 아래와 같이 사용자의 정보가 있습니다.

1. /etc/passwd
  - 원본: root:x:0:0:root:/root:/bin/bash
  - 분석: 첫째 줄의 의미를 확인해봅니다. 각 필드는 콜론(:)으로 구분됩니다.

root  ID
:x 패스워드
:0 uid -u
:0 gid -g -G : 추가그룹
:root comment(설명) -c
:/root 홈 디렉토리 -d
:/bin/bash login shell -s    /bin/bash   /bin/sh
                                                           /bin/false       로그인 불허 이유 설명안함
                                                          /sbin/nologin 로그인 불허 이유 설명

과제) 사용자 a를 생성하면서 uid 11000, gid 11000 / 홈 디렉토리는 /home_1/a
코멘트는 sales 로그인은 불허합니다. 단 접속하지 못하는 이유는 설명합니다.

useradd -u 11000 -d /home_1/a -c sales -s /sbin/nologin a

=> 사용자 계정 a를 만들면서 uid 11000대로 시작, 홈 디렉토리는 /home_1/a 위치에,
코멘트 사용자 이름 sales, 로그인 불허하면서 이유를 설명합니다.

echo 'It1' | passwd --stdin a
a 계정의 패스워드는 'It1'로 합니다.

tail -5 /etc/passwd
5줄까지 사용자계정의 정보를 보여 줍니다.

su - a
일반사용자로 로그인하면
"This account is currently not available."
이런 메시지가 뜬다

=> /sbin/nologin : 로그인을 허용하지 않으면서 이유를 설명합니다.

usermod -s /bin/false a
useradd와 usermod는 같다, login shell도 로그인을 허용하지않지만 이유는 설명하지 않습니다.

[root@localhost ~]# cat /etc/shells
/bin/sh
/bin/bash
/usr/bin/sh
/usr/bin/bash
접속할 수 있는 shell의 종류(sh, bash)를 보여줍니다.

[root@localhost ~]# echo $SHELL
/bin/bash
현재 사용하고 있는 shell을 보여줍니다.

chsh -s /bin/sh root
=> 사용할 shell을 기본 쉘로 변경하는 명령어입니다.
Changing shell for root.
Shell changed.

변경하면 이런 문구가 뜹니다.

[root@localhost ~]# su - root
마지막 로그인: 화  6월 13 20:08:04 KST 2023 10.0.0.253에서 시작 일시 pts/0
-sh-4.2# exit
shell 변경 후 로그인 시 기본 shell로 변경되어 로그인됩니다.

# shell을 변경하면 다음 로그인 시 계속 변경된 쉘로 입력해야 되기 때문에 번거로움을 피하기 위해

쉘을 변경해줍니다.

[root@cont ~]# chsh -s /bin/bash root
Changing shell for root.
Shell changed.

2. /etc/group

3. /etc/shadow

  - 암호화된 패스워드와 패스워드 설정 정보가 담겨있습니다. 

4. /etc/default/useradd

  - 사용자 계정을 생성할 때 기본 설정 값을 볼 수 있습니다.

[root@localhost ~]# vi /etc/default/useradd
# useradd defaults file
GROUP=100
HOME=/home => 사용자 계정을 만들때 위치
INACTIVE=-1
EXPIRE=
SHELL=/bin/bash => 사용자 계정으로 사용할 shell
SKEL=/etc/skel
CREATE_MAIL_SPOOL=yes

5. /etc/login.defs

CentOS-7
계정 생성 후 id a 명령어 입력
33번 UID 최소값 1000
42번 GID 최소값 1000
최소값을 변경하면 계정 최소값이 변함.

# Rocky9
144번 UID 최소값 1000
157번 GID 최소값 1000

6. /etc/skell

오늘은 클라우드의 종류와 함께 VMware Workstation을 통해 가상머신을 만드는 실습을 했다.

- Public cloud : 자원을 기업이 소유하지 않음.

*SCP(Cloud Service Provider) : Cloud Service 제공 사업자

- AWS, Azure, GCP, Alibaba

*MSP(Managed Service Provider):Cloud Service 이용 도움

- Megazone, Bespin Global, 클루커스

- Private Cloud : 자원을 기업이나 조직이 소유

*Hosted(Type2)

- VMware Workstation, VirtualBox, KVM

*Hypervisor(type1)

- VMware vSphere, XenServer(VDI), Oracle VM 

- Public Cloud + Private ⇒ Hybrid Cloud

- AWS + Azure ⇒ Multi Cloud

- Multi Hybrid Cloud

IT 국비 교육을 받으면 대부분 취업을 할 수 있다는 말씀에서 용기를 얻었고, 

자격증을 딴다면 리눅스를 열심히 공부했다는 증명의 RHCSA,

AWS의 솔루션 아키텍트(SA-003)은 따놓으면 좋다고 하셨고

무엇보다 블로그가 중요하다고 말씀하셨다.

1. 허브란?

- 허브는 '중심축'이라는 뜻이다. 허브의 역할은 UTP 랜 케이블을 이용하여 가까운 거리에 있는 컴퓨터들을 연결시켜 주는 네트워크 장비다. 허브는 길이가 길어질 경우 감쇠된 신호를 증폭시켜주는 역할도 한다. 가령 일반적인 UTP 케이블의 경우 길이가 100M가 넘으면 신호가 감쇠된다. 두 컴퓨터의 길이가 100M를 넘을 경우 중간 지점에 허브를 하나 더 설치하게 되면 네트워크 연결이 가능하다.

2. 허브 vs 스위치

- 허브와 스위치의 가장 큰 차이점은 각각의 포트에 연결된 컴퓨터나 네트워크 장비의 MAC주소를 알고 있느냐 없느냐에 있다. 허브의 경우 단순히 중계역할만 한다. 스위치는 Mac Address Table이라는 것을 통해 송신지와 수신지를 저장해놓고 특정 포트하고만 신호를 주고 받는다. 허브는 저장된 주소가 없기때문에 계속 모든 포트에 신호를 브로드캐스트한다.