공부 기록

EC2 실습 전 먼저 PuTTY를 설치한다.

putty.exe와 puttygen.exe를 설치한다.

지역 설정을 해준다. 지역은 서울로 설정한다.

EC2를 검색해 접속한다.

현재 실행 중인 인스턴스가 하나도 없다는 것을 확인할 수 있다.

인스턴스 시작을 누른다.

첫 번째 OS를 사용한다.

인스턴스 유형은 프리티어를 지원하는 유형을 선택한다.

인스턴스 세부 정보 구성은 default로 설정한다.

스토리지도 default로 설정한다.

태그 및 보안그룹 구성도 default로 설정 후 검토 및 시작을 선택한다. 그 후 시작하기를 선택한다.

키페어 생성이 뜨면 키페어를 생성하고 다운로드한다.

그럼 pem 파일이 다운받아지고 그 후 인스턴스를 시작한다.

인스턴스가 실행중이다.

puttygen을 실행한다.

puttygen은 pem 파일을 ppk 파일로 변환시켜준다.

load를 선택 후 pem 파일을 실행한다.

암호를 설정하고 private key를 저장한다.

이제 putty를 켜준다.

퍼블릭 ipv4 주소를 putty에 입력한다.

호스트네임을 ec2-user@15.165.203.5 이렇게 지정한다. IP만 지정해도 된다.

Auth에서 아까 생성한 ppk 파일을 넣어준다.

저장 후 오픈을 하면 경고메시지를 수락하고 시작한다.

update 할 것이 없으므로 넘어간다.

[ec2-user@ip-172-31-41-211 ~]$ sudo su
[root@ip-172-31-41-211 ec2-user]# yum update -y
Loaded plugins: extras_suggestions, langpacks, priorities, update-motd
amzn2-core                                               | 3.7 kB     00:00
No packages marked for update
[root@ip-172-31-41-211 ec2-user]#

아파치를 설치한다.
yum을 통해 httpd를 설치한다. 

[root@ip-172-31-41-211 ec2-user]# yum install httpd -y

아파치를 실행한다.

[root@ip-172-31-41-211 ec2-user]# service httpd start
Redirecting to /bin/systemctl start httpd.service

인스턴스를 재부팅 시켜도 아파치를 자동으로 키도록한다.

[root@ip-172-31-41-211 ec2-user]# chkconfig httpd on
Note: Forwarding request to 'systemctl enable httpd.service'.
Created symlink from /etc/systemd/system/multi-user.target.wants/httpd.service to /usr/lib/systemd/system/httpd.service.

html 파일을 생성해준다.

[root@ip-172-31-41-211 ec2-user]# cd /var/www/html
[root@ip-172-31-41-211 html]# vi index.html
[root@ip-172-31-41-211 html]# cat index.html
<html>
        <body>
                <h1>hello AWS Learners!<h1>
        </body>
</html>

15.165.203.5를 크롬에 입력하면 화면이 떠야하는데 뜨지 않을 것이다.

이것은 보안 문제로 인스턴스 보안그룹의 인바운드 규칙을 수정한다.

인스턴스의 보안 > 보안그룹으로 들어간다.

인바운드 규칙을 편집한다.

TCP를 허용하는 인바운드 규칙을 추가한다.

15.165.203.5로 다시 접속하면 잘 뜨는 것을 확인할 수 있다.

EC2 (Elastic Compute Cloud)

: 클라우드 공간에서 크기가 유연하게 변하는 공간을 제공

ㅁ EC2 사용시 지불 방법
1) On-demand
 - 시간단위로 가격이 고정 (최소한의 비용을 지불하여 EC2를 사용할 경우)
 - 개발 초기에 사용시 유용
 - 개발 기간을 알 수 없는 경우에 유용

2) Reserved
 - 일정 용량을 대여해서 사용
 - 개발 기간을 알 경우 사용
 - On-demand와 달리 가격 저렴
 - 크기를 줄이거나 늘릴 수 없음

3) Spot
 - 입찰 가격 적용 (경매)
 - 비용 절감시 유용
 - 개발 기간이 미정인 경우 사용

EC2를 사용하기 위해 EBS라는 디스크 볼륨이 필요
 *EBS : EC2에 부착되어 있는 일종의 하드디스크 (가상디스크)

EBS (Elastic Block Storage)

: 스토리지 볼륨을 생성하여 EC2에 부착되어 사용되는 가상의 하드디스크
- 디스크 볼륨 위에 파일시스템이 생성
- Availability Zone에 생성
 * Availability Zone (AZ)
  : 하나의 Region안에 여러개의 AZ 존재 가능
  - 일종의 Disaster Recovery (재난 복구)

ㅁ EBS 볼륨 타입
1) SSD
 - General Purpose SSD (GP2) : 최대 10K IPOS 지원, 1GB당 3IPOS 속도 (속도 빠름, 보편적으로 사용)
 - Provisioned IPOS SSD (IO1) : 많은 양의 데이터 처리(DB 테이블 관리시 필요, 빅데이터 관리시 필요), 10K 이상의 IPOS 지원
2) Magnetic/HDD
 - Throughput Optimized HDD (ST1) : 빅데이터 보관, 컴퓨터 로그파일 읽을 시 사용

    (boot volume로 사용X = 윈도우처럼 운영체제를 가질 수 없음)
 - CDD HDD (SC1) : 파일서버 같은 입출력이 별로 없을 경우 사용 (boot volume로 사용X)
 - Magnetic (Sandard) : 저렴 (boot volume로 사용 가능)

ELB (Elastic Load Balancers)

: 웹상에서 흐르는 많은 서버의 흐름을 균형있게 흘려보냄
- 병목 현상 방지
- EC2 인스턴스는 unhealthy instance일 수 있음 (instance가 시간초과나 셧다운) 이것을 ELB가 healthy instance로 보내줌

ㅁ ELB 종류
1) Application Load Balancer
 - OSI 7계층 中 7 layer(응용계층)에서 작동
 - HTTP, HTTPS 같은 트래픽 로드밸런싱에 적합
 - 라우팅 설정을 이용해 특정 서버로 request를 보낼 수 있음 (루트서버 변경)
2) Network Load Balancer
 - OSI 7계층 中 4 layer(전송계층)에서 작동
 - TCP 트래픽 정리시 유용
 - 초당 수백만개 request 처리가능
3) Classic Load Balancer
 - OSI 7계층 中 4 layer(전송계층), 7 layer(응용계층)에서 작동
 - legacy로 간주(예전 시스템)되어 거의 사용X
 - 느림
 - aws 시험에 자주 등장

ㅁ ELB 에러
: Load Balancer Error : 504 Error
어플리케이션이나 서버가 응답을 받지 못하는 경우 에러

(EC2 인스턴스 사용시 항상 작동될 거라는 보장X)

ㅁ X-Forwarded-For 헤더
EC2가 Public IP 주소 확인할 수 있는 방법
EC2는 Private IP 주소만 확인 가능
ex) 152.12.3.255 (Public IP) > DNS request > ELB 10.0.0.23 (Private IP) > EC2 10.0.0.23
EC2는 Private IP 주소만 확인함
EC2는 Public IP 주소 확인하기 위해 X-Forwarded-For 헤더를 통해 확인

ㅁ Route53
: AWS에서 제공하는 DNS 서비스
 도메인 주소를 구매하여 EC2 instance, S3 Bucket, Load Balancer 로 넘기는 서비스

MFA 활성화

AWS 계정을 생성한 후 실습에 앞서 MFA를 활성화한다.

검색에서 IAM를 들어가 root 계정에서 MFA 활성화를 시켜준다. (보안을 위해, 해킹 가능성 있음)

사용자 추가

IAM 에서 사용자를 추가한다.

사용자를 추가한다.

액세스키를 이용해 aws 다양한 서비스 사용

암호는 비밀번호를 부여하는 방식

그룹에 사용자를 추가한다.

태그는 선택사항으로 그냥 넘긴다.

사용자를 생성한다.

사용자 추가가 완료됐다.

사용자 생성 완료

그룹 생성

그룹 이름 지정

그룹 정책은 설정하지 않고 생성한다.

정책을 설정하면 그룹 내 사용자에게 설정된다.

그룹 생성 완료

그룹에 사용자 추가

체크 후 그룹에 추가 선택

그룹 추가 완료

사용자가 1명이 된 것을 확인할 수 있다.

역할 생성

역할을 선택할 수 있다. 

역할은 사용자와 밀접한 관련이 있다.

역할보다는 정책이 중요하므로 필요할 경우 역할을 생성한다.

정책 생성

정책 생성에는 두가지 방법이 있다.

1) 시각적 편집기를 이용한 정책 생성

정책 서비스는 DynamoDB를 선택하고 허용되는 엑세스 레벨은 읽기와 쓰기만 선택한다.

리소스를 선택한다.

리소스란 DynamoDB에서 제공하는 리소스(함수)를 말한다.

모든 리소스를 추가한다.

태그는 선택하지 않고 검토로 넘어간다.

정책 이름을 설정하고 정책을 생성한다.

생성한 정책을 확인할 수 있다.

2) JSON을 이용한 정책 생성

JSON을 이용해 정책을 생성할 수 있다.

정책 시뮬레이터

대시보드에 들어가 우측 하단 정책 시뮬레이터를 선택한다.

정책 시뮬레이터를 돌리기 위해 DynamoDB를 선택한다.

시뮬레이션을 돌리면 aws_leaner는 정책이 설정되지 않아 허가 거부 된다.

사용자에 정책 추가

기존 정책에 직접 연결해 읽기 정책을 사용한다.

정책이 적용된 것을 확인

다시 정책 시뮬레이터로 돌아와 아까와 같이 설정한다.

읽기 정책이 설정되어 있어 시뮬레이션을 돌리면 일부 기능이 허용된 것을 확인할 수 있다.

테이블 읽기 등과 같은 기능은 허용이 된다.

IAM (Identity and Access Management)

: 유저를 관리하고 접근 레벨 및 권한에 대한 관리

특징

- 접근키(access key), 비밀키(secret access key)

   : 루트유저에서 유저 A를 만들면 IAM은 A유저의 접근키와 비밀키 생성
- 세밀한 접근 권한 부여 기능

   : ex) 회사에서 개발자에서 테이블 수정만 가능하도록 삭제 불가능
- 비밀번호를 수시로 변경 가능하게 해줌 

   : 보안을 위해 
- multi-factor authentication(다중 인증) 기능

   : AWS 로그인 할 경우 다른 계정을 이용해서 로그인 인증할 수 있도록

   : root 유저는 MFA 인증 필수

- 그룹 : 하나의 그룹은 하나 혹은 다수의 유저가 존재 가능
- 유저 : 사용자
- 역할 : 유저에게 각각 역할을 부여함으로써 역할이 다른 유저를 생성
- 정책 : json 형태 정책  (그룹, 역할에 추가할 수 있음)

IAM → Universal : 지역 설정이 필요X

*대부분의 서비스는 Regional : 지역마다 리소스나 기능들이 다를 수 있음

 ex) 지역 A에서 개발한 프로그램을 지역 B에서 사용 할 수 없을 수 있음

IAM 정책 시뮬레이터

: 개발 환경에서 실제 환경(Production)으로 넘어가기 전에 IAM 정책이 잘 작동되는지 테스트하는 툴

 (실제로 존재하는 유저에게 부여된 정책 테스트 가능)