AWS 주요 컴퓨팅 서비스(EC2, Lambda)
Amazon EC2란?
- Elastic Compute Cloud
- Infra as a Service
- Virtual Machine 서비스
- 다양한 OS 지원
- Auto Scaling을 통한 탄력적 확장 / 축소
- 성능에 따른 다양한 인스턴스 타입 제공
인스턴스 타입 종류(family)
- 범용 컴퓨팅 타입
- T-family(Tiny)
- M-family(Main)
- 컴퓨팅 최적화
- C-family(Compute)
- 메모리 최적화
- X-family(Extreme)
- R-family(Ram)
- 가속 컴퓨팅
- G-family(Graphics)
- P-family(Picture)
- 스토리지 최적화
- I-family(IOPS)
- D-family(Dense)
Amazon EC2인스턴스 타입 설명
Amazon EC2 T-family
- Burstable 인스턴스
- 기준 사용률 밑의 성능으로 사용하는 동안 CPU 크레딧이 축적되며 기준 성능이 넘는 CPU가 필요할 때 버스팅
- CPU 크레딧에 의해 CPU 성능 할당
- 기본 성능 계산식 : 100% x 시간당 지급되는 크레딧 / vCPU 수 / 60분
ex) t2.small일 경우 : 100% 성능 x 12개 크레딧 / 1 vCPU / 60분 = 20% 성능
Amazon EC2 5세대 인스턴스 Nitro System
- Nitro 하이퍼바이저 :
Nitro 하이퍼바이저는 메모리 및 CPU 할당을 관리함.
베어메탈 하이퍼바이저와 차이가 없는 성능을 제공 - NVMe :
Non-Volatile(비휘발성) Memory express로 초고속 저장장치 프로토콜 - ENA :
Elastic Network Adapter
향상된 네트워크 처리를 가능하게 해주는 네트워크 통신모듈 - Nitro 보안칩 :
전용 하드웨어 및 소프트웨어에 보안기능이 적용되어 공격 포인트를 최소화 함
한마디로 성능 UP, 보안도 UP
Amazon EC2 6 / 7 세대 인스턴스 Graviton 칩 (64 bit ARM)
- 주의할 점 : x86시스템에서 잘 돌아가던 프로그램이 ARM기반 칩에서 안돌아갈 수도 있으니 POC를 잘 테스트해야 함.
Amazon Lambda란?
- 서버리스 컴퓨팅 서비스
- FaaS (Function as a Service)
- 다양한 런타임 지원
- 필요시에만 코드 실행
- 사용한 만큼 지불
- 실시간 파일 처리 지원
- Java, Node.js, Go, Pythonn,... (근데, Java는 JVM설치해야 하서 비추라고 AWS팀이 미팅때 얘기함)
6. AWS 주요 보안 서비스(WAF, Shield, KMS)
Amazon WAF란?
- 관리형 웹 방화벽 서비스
http, https 트래픽을 모니터링하고 차단함으로써 고객의 웹 어플리케잉션을 보호한다.
어플리케이션의 가용성에 영향을 미치거나, 보안을 악화시키거나, 리소스를 과다하게 사용하는 것 등 여러가지 형태로 어플리케이션 계층에서의 웹 공격을 보호해준다. - OWASP TOP 10 (SQL injection, XSS 등) 대응
- Cloudfront / Application LB 배포
- AWS 관리형 규칙 / 사용자 지정 규칙
- IP / 국가 / 헤더 / 문자열 / 요청 길이 기반 차단
- 실시간 웹 보안 모니터링 (Cloudwatch)
- AWS 서비스를 활용한 로그 통합(Kinesis Data Firehose 및 S3)
Amazon Shield란?
- 관리형 DDOS 차단 솔루션
- DDOS 이벤트 자동 감지 및 차단
- AWS WAF 서비스와 통합
- Amazon CloudFront 및 Amazon Route53과 함께 사용하면 알려진 모든 인프라(계층 L3 및 L4)공격에 대해 포괄적인 가용성 보호를 받을 수 있음(티어와 무관함)
Amazon Shield Standard VS Advanced
| 항목 | AWS Shield Standard(무상) | AWS Shield Advanced(유상) |
|---|---|---|
| 네트워크 흐름 감시 | O | O |
| 일반적인 DDoS 방어 | O | O |
| L7대응 | - | O |
| L3/4 공격 통지 및 레포트 제공 | - | O |
| DDoS대응 팀의 24시간 365일 지원 | - | O |
| DDoS에 의한 비용 증가분의 환불 | - | O |
Amazon KMS란?
- AWS 키 관리 서비스
- 리소스 데이터 암호화 / 복호화
- 디지털서명 및 확인
- AWS 서비스와 통합(CloudTrail, Cloudwatch)
- 3가지 키 방식 지원
- 고객 마스터 키(CMK): 이는 AWS KMS에서 생성 및 관리하는 논리적 키입니다. CMK는 데이터 암호화 키(DEK)를 암호화하고 복호화하는 데 사용됩니다. 고객은 AWS 관리형 CMK 또는 고객 관리형 CMK를 선택할 수 있습니다.
- 데이터 암호화 키(DEK): 이는 데이터 자체를 암호화하고 복호화하는 데 사용됩니다. DEK는 대칭키 암호화 방식을 사용하며, CMK에 의해 암호화되어 안전하게 저장됩니다.
- AWS는 또한 키 임포트 기능을 지원하여 고객이 자체 키를 AWS KMS로 가져올 수 있게 합니다. 이를 사용하면 고객이 자신의 키 관리 인프라를 유지하면서 AWS의 암호화 서비스를 이용할 수 있습니다.
7. AWS 주요 관리형 서비스(Cloudwatch/SNS/EventBridge)
Amazon Cloudwatch란?
- 관리형 AWS 리소스 모니터링 서비스
- AWS 리소스의 상태에 대한 다양한 metrics 제공
- 대시보드 구성
- SNS 서비스를 통한 알람
- EC2 Custom Metric 제공
Amazon SNS(Simple Notification Service)란?
- 관리형 메시지 서비스
- 메시지 생산자가 SNS를 통해 다양한 AWS리소스에 메세지를 전송
- Application 간 메시징
- 메시지 보안(KMS)
- 메시지 필터링
- 메시지 생산자는 커뮤니케이션 채널인 토픽에 메시지를 전송하고 토픽을 구독하고 있는 구독자와 비동기식으로 통신을 하게 된다. 이 구독자는 키네시스나 SQS, 람다, HTTP, 이메일 모바일 문자메시지와 같은 엔드포인트를 사용해서 토픽을 구독할 수 있고 이런 다양한 채널을 통해 메시지를 수신할 수 있다.
Amazon Cloudtrail이란?
- 관리형 이벤트 추적 / 감사 도구
- AWS 계정에 대한 이벤트 추적 / 감사
- AWS 리소스 API에 대한 이벤트 추적 / 기록
- 단일 리전 추적 / 모든 리전 추적
- AWS Athena(분석 서비스)를 통한 로그 분석 지원
프론트에_가까운_풀스택_개발자