앞서 개선점을 3가지 언급했다.
-
EC2 : 지금 퍼블릭 서브넷에 0.0.0.0/0으로 돌아가고 있다는 점이 가장 크나큰 개선점입니다.
-
배선 : 테스트 하느라 브레드보드 (일명 빵판)에 구성되어 있습니다. 18 AWG 전선으로 납땜으로 고정을 하고 커넥터로 연결할 생각입니다.
-
설치 : 위에 것들을 마무리 하면 최종적으로 디퓨저를 LED Strip에 달아 먼지와 충격으로 부터 보호할 수 있도록 만들 계획입니다.
AWS에서 보안을 강화하기 위해 다음과 같이 아키텍쳐와 보안그룹을 수정했습니다.
1. 아키텍쳐 수정
2. NAT Instance & Bastion Host EC2
NAT Gateway 는 한달에 약 30달러라는 비용이 들기 때문에 NAT Instance로 구성했습니다.
겸사겸사 Bastion Host도 사용할 수 있도록 구성했습니다.
Name : node-red-bastion-nat
Security Group : node-red-bastion-nat-2a-sg
NAT도 겸하고 있기 때문에 인바운드 룰을 node-red-pri-2a-sg 로부터 받을 수 있도록 구성했으며, SSH 접속은 제 PC에서만 접속할 수 있도록 구성했습니다.
3. Node-red EC2
Name : node-red-pri-2a
Security Group : node-red-pri-2a-sg
bastion에서 ssh 접속을 위한 22번포트를 node-red-bastion-nat-2a-sg에서 받고, 나머지는 ALB 보안그룹을 통해 받도록 구성했습니다.
4. ALB
Name : node-red-ext-alb
DNS Name : node-red-ext-alb-xxxxxxxx.ap-northeast-2.elb.amazonaws.com
Security Group : node-red-alb-sg
ALB의 보안그룹은 특정포트 들에 대해서만 오픈해놓았습니다.
5. Target Group
Name : node-red-pri-1880-tg
6. Route53
퍼블릭 호스팅영역에 ALB주소를 A레코드로 잡아줌으로써 DNS 주소로 접근 할 수 있게끔 구성했습니다.
