본문 바로가기

전체 글

 (136)
[이론] AWS Direct Connect 기본 개념 안녕하세요 서후아빠입니다. ^_^ 이번 세션은 Direct Connect(전용선)에 대해서 업무적으로 필요한 최소한의 개념에 대해서 간단히 정리해 보았습니다. 개요 온프레미스에서 AWS로 전용 네트워크 연결을 쉽게 설정할 수 있는 클라우드 서비스 솔루션 AWS와 고객간 전용선 기반의 사설망 대역폭(Bandwidth)는 LAG(Link aggregation group)를 이용하여 확장 가능 Location 위치 구분 위치 비고 Location-1 KINS 가산 데이터센터 서울시 금천구 가산디지털1로 189 LG가산디지털센터 3F Location-2 LGU+ 평촌 메가센터 경기도 안양시 동안구 시민대로 327번길 29 Dedicated vs Hosted 구분 Dedicated Connection Hosted..
[실습] AWS Systems Manager (Session Manager, Parameter Store, Run Command)-1편 안녕하세요 서후아빠입니다. ^_^ 이번 세션은 SSM의 기능 중 Session Manager, Parameter Store, Run Command에 대한 실습을 해보겠습니다. 구성도 SSM 통신(주황색)는 기본적으로 Public 통신이기 때문에 Private Subnet에 위치한 리소스와 SSM이 통신하기 위해서는 VPC Endpoint 구성 필요합니다. VPC Endpoint 구성 후에는 모든 통신이 VPC Endpoint로 이루어집니다. Run Command 및 Session Manager에서 발생한 로깅과 이벤트는 S3 or CloudWatch Log Group으로 전송이 가능하며, Run Command의 경우는 SNS와 연동하여 실행 결과를 알림받을 수 있습니다. 물론, Session Manage..
[실습] AWS Client VPN 구성하기 (OpenVPN, 구글OTP 2차 인증)-2편 안녕하세요 서후아빠입니다. ^_^ 이번 세션은 3rd-Party OpenVPN을 이용하여 Client VPN 구성하되 ID/PW + 2FA(구글 OTP) 인증하는 실습을 해보겠습니다. AWS에서 제공되는 Client VPN으로 2FA 사용하기 위해서는 Active Directory를 구성해야 하기 때문에 구성이나 비용 측면으로 효율성이 낮아 보입니다. 그래서 제가 선택한 것이 3rd Party입니다. 이번에 실습하는 OpenVPN 이외에도 다양한 제품이 Market Place에 등록되어 있으므로 비교 판단하여 선택하시면 될 것입니다. 2022.07.01 - [Networking] - [실습] AWS Client VPN 구성하기 (OpenVPN)-1편 구성도 Client VPN으로 접속 하면 User Cl..
[실습] Amazon MQ 구성하기 (ActiveMQ) 안녕하세요 서후아빠입니다. ^_^ 이번 세션은 Amazon MQ에서 ActiveMQ를 MQTT.fx를 사용하여 테스트하는 실습을 해보겠습니다. producer(MQTT.fx)부터 Broker(ActiveMQ) 통해서 comsumer까지 연결되는 구성은 아님을 양해 바랍니다. 1단계 : Broker 생성 Amazon MQ > Brokers > Create brokers Select broker engine Select deployment and storage type Configure settings Select broker engine : Apache ActiveMQ Deployment mode : Active/standby broker Storage type : Durability optimized D..
[이론] Amazone MQ (Message Queue) 기본 개념 안녕하세요 서후아빠입니다. ^_^ 이번 세션은 MQ에 대해서 업무적으로 필요한 최소한의 개념에 대해서 간단히 정리해 보았습니다. MQ (Message Queue) 메시지 기반의 미들웨어, MOM(Message Oriented Middleware) 구현한 솔루션 비동기 메시지를 사용하는 서비스들 사이에서 데이터 교환 역할 동기식 통신 방식은 요청받은 메시지 전부 처리할때까지 요청에 대해서 blocking 상태가 되지만, 비동식 통신 방식은 queue에 넣어 놓으면서 요청은 계속 받을 수 있다. 종류 구분 Apache ActiveMQ Rabbit MQ IBM MQ Kafka 비용 오픈소스 오픈소스 상용 오픈소스 기반 자바기반 JMS 큐지원 Erlang OTP 기반 표준 JMS 메시징 기반 메시지 헤더 통한 ..
[실습] AWS Trusted Advisor 사용하기 안녕하세요 서후아빠입니다. ^_^ 이번 세션은 Trusted Advisor를 사용하는 실습을 해보겠습니다. AWS 모든 서비스에 대해서 최적화를 위해 꼭 필요한 서비스라고 생각합니다. 다만, AWS Support plans를 Business or Enterprise로 업그레이드 해야지만 제대로된 서비스를 제공받을 수 있습니다. 1단계 : AWS Support plans 업그레이드 (무료 > 유료) Support Center > Support plan:Basic Change > Change plan > Business or Enterprise 선택 > Change plan 시간단위가 아닌 월단위 청구되며, 전체 AWS 사용량에 따라 산정되므로 주의가 필요합니다. 2단계 : 메일 알림 AWS 웹콘솔 우측 상..
[이론] AWS Trusted Advisor 기본 개념 안녕하세요 서후아빠입니다. ^_^ 이번 세션은 Trusted Advisor에 대해서 업무적으로 필요한 최소한의 개념에 대해서 간단히 정리해 보았습니다. 무료로 지원되는 항목은 7개정도이기 때문에 모든 항목을 검토하기 위해서는 AWS Support plans를 상향 조정해야합니다. 개요 Cost optimization, Performance, Security, Fault tolerance, Service limits에 대해서 AWS 환경을 자동으로 검토하고 권장 설정을 안내하는 서비스, Dashboard 및 Email Notifications 제공 적색(즉시 대응 추천), 주황색(조사 추천), 녹색(정상), 회색(제외된 아이템)으로 구분 회색은 적색 or 주황색의 검토 결과에서 문제가 없다고 판단되어 제외..
[실습] AWS Security Hub 구성하기 (GuardDuty, Inspector, Macie, Config, Detective, EventBridge 등) 안녕하세요 서후아빠입니다. ^_^ 이번 세션은 AWS Security Hub를 구성하는 실습을 해보겠습니다. Security Hub는 침해 사고를 통합적으로 대응하는데 중요한 역할을 하는 서비스입니다. 이전에 공부한 GuardDuty, Inspector, Macie, Detective와 함께 연계하여 EventBridge를 통하여 대응하도록하는 연결고리이기 때문입니다. 내용은 간단하기 때문에 구성도 이해에 중점을 두시기 바랍니다. 구성도 [1단계 : 원본 데이터] VPC, CloudTrail, S3 등을 사용 중이라면 별도 설정이 불필요하며, Inspector 경우는 IAM, VPC Endpoint, SSM Agent 설치 등 별도 조치가 필요합니다. [2단계 : 탐지] GuardDuty, Inspect..
[실습] Amazon Inspector 구성하기 (VPC endpoint, SSM, S3, KMS) 안녕하세요 서후아빠입니다. ^_^ 이번 세션은 Inspector를 구성하고, 검출 결과를 S3에 저장하는 실습을 해보겠습니다. EventBridge를 통한 SNS 및 CloudWatch 연동은 Amazon macie 구성과 동일한 부분으로 생략하였습니다. 구성도 Inspector를 사용하기 위해서는 Inspector(or ssm) agent를 Instance에 설치해야 하며, Inspector(or ssm) agent는 기본적으로 Public으로 통신하기 때문에 Public 통신이 불가능한 Instance를 위해서 VPC endpoint를 생성해야 합니다. 만약 위 구성도처럼 VPC endpoint가 생성된 경우에는 pubA-ec2 or ecs-ec2-cluster도 VPC endpoint(ssm-ep-..
[실습] Amazon Macie 구성하기 (Security Hub, EventBridge, SNS, CloudWatch 구성) 안녕하세요 서후아빠입니다. ^_^ 이번 세션은 Maice에 EventBridge와 SNS, CloudWatch를 연결하여 관리자에게 알림을 보내고 Logging하는 내용과 Security Hub로 연결하는 실습을 해보겠습니다. Security Hub로 전달된 내용을 처리하는 것에 대해서는 추후 Security Hub 내용에서 다루도록 하겠습니다. 구성도 사용자가 S3 bucket(mybucket)에 민감한 정보가 담긴 파일을 업로드하면 Macie에서 이를 탐지하면 탐지 결과를 EventBridge, Security Hub로 전달합니다. 또한, Macie의 job 로그는 CloudWatch(...classificationjobs)로 전달하고, 탐지 결과에 대해서 사용자는 S3 bucket(maciebuck..

티스토리툴바