태그검색
찾고 싶은 것이 있나요?
AWS에 대한 88개의 태그 검색결과가 있습니다.
- 블로그 다중 TGW를 활용한 망분리 아키텍처 구현 [ 머리말 ] 은행권에서 망분리는 매우 중요한 네트워크 요건입니다. 하지만 결국 네트워크의 안전을 위해서 내/외부망의 경로를 분리하는 건꼭 은행권 만이 아니라, 다수의 서비스를 활용하는 고객에게 지켜져야 할 항목입니다.보안이라는 건 때와 상황에 따라 레벨을 낮게, 불완전하게 가져갈 수 있는 것은 아닙니다.이번 화에서는 TGW를 통해 랜딩존에서 구현되는 망분리 아키텍트와 , 이를 위한 라우팅 구성 방안등을 논의해 보겠습니다. [ 핵심 구성 요건 ] 1. Landing Zone Architecture – Multi Account 기반의, Network account가...
- 블로그 랜딩존, 끊임없는 혁신으로의 시작 [ 머리말 ] 이번 화는 랜딩존의 개념에 대한 공감을 위한 글입니다. 시장에서 랜딩존이라는 개념이 존재한지 오랜 시간이 지났고, 수많은 고객이 랜딩존 기반 아키텍처를 활용하고 있습니다. 하지만 때론 만들면 좋다고 만들었을 뿐 무엇이 좋은 것 인지 고객도 담당자도 공감하지 못하고 또 그 공감 부족에서 오는 랜딩존의 효율성 / 활용성 저하도 목격해왔습니다. 공감과 이해가 충분히 따라오지 못하면 랜딩존은 그 자리에서 정지하게 되고 이는 랜딩존이 더 진화할 시간을 놓치게 됩니다. Landing zone 구축 시 어떤 것이...
- 블로그 S3 기능을 활용한 bucket replication [ 머리말 ] 우리는 지난 edition에서 S3 Object 복제를 lambda로 수행하는 방법을 확인했습니다. 이후 S3는 해당 replication 기능을 자체 feature로 흡수했습니다. 하지만, 제가 Lambda 기반에서 구성을 변경하려고 보니 예상보다 쉽지 않은 항목들로 트러블 슈팅에 오랜 시간을 할애했습니다. 그 내용을 공유해 보고자 합니다! [ Architecture ] [ Content ] 1. S3 replication with S3 feature Lambda를 통한 S3의 object 복제는 Lambda code 자체를 작성 해야한다는 점부터가 부담으로 다가옵니다.모두가 코드를 원활하게 쓸 수 있는 것이 아니며 어떻게 얻어낸 코드도...
- 블로그 AWS CloudTrail과 CloudWatch를 활용한 로그 모니터링 [ 머리말 ] 온프레미스, 프라이빗 클라우드, 퍼블릭 클라우드 등 모든 인프라의 형태와 그 위에 구현된 모든 아키텍처는 단일 계정 또는 다중 계정 등 특정 조건을 넘어 모두 보안을 고려해야 합니다. 그리고 그 보안의 첫걸음은 현 상태에 대한 모니터링에서 시작합니다. AWS를 활용한 아키텍처에서 가장 멋진 점 중 하나는, 각종 사용자의 Action을 CloudTrail을 통해 추적, 저장할 수 있다는 점이며, 발생한 로그를 기반으로 CloudWatch에서 메시지를 발생시켜 Alarm을 전달할 수 있다는 점입니다. 이 연계는 EventBridge를...
- 블로그 온프레미스 도메인의 AWS 이전 형태에 따른 Route53/DNS 설정 및 고려 사항 1. 개요 사용자가 AWS의 VPC를 생성할 때, Route 53 Resolver는 자동으로 VPC의 Resolver를 사용하여 EC2 인스턴스 및 private hosted zone의 Domain 이름에 대한 쿼리에 응답하며 다른 Domain 이름에 대해서는 Public Name Server에 대해 Reculsive 쿼리를 수행합니다.해당 Resolver에는 온프레미스 환경과 주고받는 DNS 쿼리에 응답하도록 구성하는 Endpoint 기능이 추가로 포함되어 있으며, 온프레미스와 주고받는 DNS 쿼리의 방향에 따라 Inbound Endpoint 와 Outbound Endpoint를 각각 생성하여 활용할 수 있습니다. ● Inbound Endpoint : 온프레미스...
- 블로그 AWS VPC의 네트워크 주소 사용량 CloudWatch Metric 추가 활용 방안 1. 개요 AWS VPC는 생성할 때 사용이 예상되는 IP 개수에 맞춰 CIDR 블록을 지정해야 하며, VPC를 생성한 이후에 IP 가 부족하게 되면 CIDR 블록을 추가하여 사용할 수 있는 IP 개수를 증가할 수 있습니다.이러한 VPC의 Subnet CIDR 블록의 앞쪽 4개 IP 주소와 마지막 IP 주소는 AWS에서 예약된 IP로 사용자가 해당 IP를 사용하여 자원을 생성하는 것은 불가능합니다. 예를 들어, 10.0.0.0/27 대역의 VPC를 생성하면 아래와 같이 예약된 IP 주소가 할당됩니다.● Network address (10.0.0.0)●...
- 블로그 AWS Transit Gateway용 VPC Flow Logs 1. 서비스 소개 1.1 AWS VPC Flow Logs● AWS VPC Flow logs는 VPC 네트워크에서 전송되고 수신되는 IP 트래픽에 대한 정보를 수집할 수 있는 기능● 네트워크 연결 문제 해결 및 네트워크상 접근 규칙이 정상 작동하는지 확인하기 위해 Flow log 수집, 저장 및 분석 가능● ENI 별로 Flow를 수집하며, 별도 응용 프로그램(e.g. CloudWatch Logs, QuickSight, Datadog)에서 분석 가능● 특정 유형의 트래픽을 감지하여 알람을 만들거나 트래픽의 변화와 패턴을 파악하기 위한 통계를 만들 수도...
- 블로그 AWS Network LoadBalancer의 Target 으로 Application LoadBalancer 활용 상세 1. 개요 AWS의 Application LoadBalancer는 L7 기반의 LoadBalancer이며 HTTP 헤더 및 Method, 경로 기반 라우팅과 같은 다양한 LoadBalancing 기능을 지원합니다. 사용자 트래픽이 늘어남에 따라 동적으로 확장되며, 따라서 IP 주소가 고정되지 않는 형태로 서비스를 제공합니다. IP 고정이 되지 않기 때문에 On-Premise나 VPC 외부 통신 구간의 방화벽 등 보안 장비에서 FQDN이나 IP 대역으로 허용 정책을 등록해야만 했으며, 고정 IP로 Application LoadBalancer 서비스 제공이 필요한 경우에는 Global Accelerator를 앞단에 구성하거나, 별도의 Network LoadBalancer와...
- 블로그 AWS Network LoadBalancer의 CrossZoneLoadBalancing 기능 TEST 1. 개요 AWS의 Elastic Load Balancing은 둘 이상의 가용 영역에서 EC2 인스턴스, 컨테이너, IP 주소 등 여러 대상에 걸쳐 수신되는 트래픽을 자동으로 분산합니다. 등록된 Target의 상태를 모니터링 하면서 상태가 양호한 Target으로만 트래픽을 라우팅하도록 동작하는데, AWS에서는 Application Load Balancer를 제외하고 Cross-zone load balancing이라는 기능을 활성화/비활성화할 수 있는 옵션을 제공하여 이 기능이 활성화되면 각 Load Balancer 노드는 활성화된 모든 가용 영역의 등록된 Target에 트래픽을 분산합니다. 이번 포스팅에서는 활성화된 각 가용 영역에 대해...
- 블로그 AWS GWLB를 활용한 인터넷 관문 보안 아키텍처(3rd-party 방화벽 솔루션 활용) 1. 개요 AWS에서 VPC 란 사용자가 정의하는 IP 주소 범위 선택, 서브넷 생성, 라우팅 테이블 및 네트워크 게이트웨이 구성 등 가상 네트워킹 환경을 얘기합니다. VPC는 IGW(Internet Gateway)를 통해서 인터넷 통신을 하며, VGW(Virtual Private Gateway)를 통해서 On-Premise 통신을 합니다. 인터넷을 통해서 서비스가 연결되는 애플리케이션들은, 외부로부터의 여러 위협 및 원치 않은 접근을 제한하기 위한 보안 통제 조치들을 충분히 고려하여 구성할 필요가 있습니다. 이러한 보안 통제 조치들은 애플리케이션의 유형이나, 크기, 요구되는 컴플라이언스 수준,...
- 블로그 AWS Global Accelerator의 설정에 따른 상세 구성 및 고려 사항 1. 개요 AWS Global Accelerator 서비스는 가속 기능을 가진 서비스로, 원래는 서비스의 이름에서 알 수 있듯이 로컬 및 글로벌 사용자가 이를 통해 애플리케이션의 성능을 향상시키거나 custom routing accelerator를 사용하여 하나 이상의 사용자를 여러 대상 중에 특정 대상에 매핑하는 형태로 사용할 수 있는 서비스입니다. 기본적으로 서비스와 연결하기 위한 두 개의 static IP 주소를 제공하며, 해당 static IP는 AWS edge Network 의 Anycast IP입니다. AWS의 자원 중에 몇 안 되는 static IP...
- 블로그 AWS DirectConnect Sitelink를 Global 네트웍망 구성에 활용 1. 개요 엔터프라이즈 Network 환경은 On-Premise 데이터센터 + 전용회선 구성이 대부분이었으나, Public Cloud 서비스가 고도화되고 글로벌 SaaS 서비스가 확산됨에 따라 Network 환경의 변화 및 품질 향상에 대한 Needs도 지속적으로 증가하고 있습니다. 기존에는 글로벌 기업의 해외 사업장에서 국내 통신을 하려면, 각 해외 사업장과 한국의 네트웍망간 회선 구성이 필요했는데요. 이는 비용이 고가이며 물리적인 거리에 따른 응답속도 품질 및 안정성이 떨어지며 회선의 Endpoint가 한국으로 연결돼 해외 Public Cloud 연결에 사용하기에는 제약 사항이 많았습니다....