박다큐의 IT공부

전에 생성했던 web 인스턴스에 접근하기 위해 Bastion host를 생성한다. bastion host는 내부, 외부 네트워크 사이에서 외부 침입을 차단하는 일종이 방화벽, 게이트 역할을 하는 호스트다. 인스턴스에 접근하는 사용자들을 필터링하는 역할을 수행하고 사용자들은 Bastion Host에 허가되어야만 내부 Private인스턴스에 접근할 수 있다. 구상도는 잘 못 만져서 차근차근 수정할 예정이고 나중에 추가할 것을 대비해 우선 크게 만들었다.ㅋㅋㅋ 1. Bastion host를 통해 web에 접근 확인 WEB-1 접속 확인 WEB-2 접속 확인 나 같은 경우 파일질라를 사용해 pem키를 넣으면 접속이 계속 오류나서 vim 편집기를 사용해 키 값을 옮겼다, ssh -i 키 ec2-user@web의 ..

1. VPC 생성 VPC 생성 버튼을 누른 후 172.16.0.0/24 IP대역을 지정하여 생성하였다. VPC를 생성하면 172.16.0.0/16 에 대한 가상 라우팅 테이블이 존재하게 된다. 2. Subnet 생성 VPC 생성 후 서브넷을 생성한다. 생성했던 VPC를 지정 하고 난 가용영역에 따라 뒤에 구별할 수 있게 붙혔다. 나중에 퍼블릭과 프라이빗 가용영역을 나눌 때 난 이편이 더 편하기 때문이다. IP는 VPC IP대역 안에서 /24를 할당하였다. 서브넷 까지 생성하였지만 아직 IG를 연결하지 않았기 때문에 프라이빗 서브넷으로 볼 수 있다. IG를 연결하면 그때서야 퍼블릭 서브넷이라고 부를 수 있다. 3. Internet Gateway 생성 Internet Gateway는 생성 버튼을 누른후 아까..

Content Delivery Network - CDN 읽기 능력을 향상 시켜주는 서비스 왜냐하면 콘텐츠가 엣지 로케이션에 캐시 및 분배 되기 때문 엣지 로케이션은 전 세계에 존재 엣지에서 캐싱 위에 DDoS 보호, Shield, AWS 웹 애플리케이션 방화벽과 통합됩니다. 즉 공격으로부터 보호하기 위해 방화벽을 제공함 인증서를 로드하여 외부 https 끝점을 노출 할 수 있다. 또한 트래픽을 암호화 해야할 경우 내부적으로 HTTPS로 애플리케이션과 통신 미국 사람이 호주에 있는 S3를 액세스 할 경우 미국에서 네트워크가 프라이빗 AWS 네트워크를 통해 S3 버킷까지 전송합니다. CloudFront - Origins S3버킷 앞에서 Clodfront를 사용 파일을 전 세계적으로 배포하고 엣지에서 캐시하기..

AWS에서 가장 중요한 빌딩블록 중 하나 특징 1. 저장공간이 무한하다. 2. 많은 웹사이트 들이 아마존 S3를 중추로 사용함 3. 오브젝트를 저장할 수 있게 해주는 서비스 4. 반드시 고유한 이름을 사용해야 한다. 5. S3는 글로벌 서비스, 버킷은 지역 리소스 S3 1. 오브텍트를 담을려면 반드시 키를 가져야함. 키 - 파일의 전체 경로 2. 최대 크기는 5TB 까지 가능 3. 단, 한번에 5GB 이상 업로드 할 수 없다. 4. 5GB 이상을 업로드 하고 싶다면 조각으로 나누어야하고 멀티 부분 업로드에다 독립적으로 업로드를 해야 함. 5. 메타데이터를 가질 수 있다. 6. List of text key/value pairs 이며 시스템 또는 유저 metadata일 수 있다. 태그 추가 가능 7. 버전..

Routing Policies 1. Route53이 DNS 쿼리에 응답하는 것을 도와준다. 2. DNS는 어떤 트래픽도 라우팅 하지 않는다. 3. 트래픽이 DNS를 통해서 가지 않는다. 4. DNS는 오직 DNS 쿼리에만 응답 -> Clinet는 HTTP 쿼리를 행하는 방법을 알게 됨 5. DNS는 HostName은 Clinet가 사용하는 실제 EndPoint로 변환해주기만 한다. 단순 정책 1. 일반적으로 트래픽을 단일 리소스로 라우팅 해줌 2. A레코드에 해당 3. Alias 레코드를 단순 정책으로 활성화할 경우 목표 대상은 AWS 리소스만 지정할 수 있다. 4. Health Checks를 확인할 수 없다. 가중치 기반 정책 1. 통제 가능한 요청의 특정 비율을 특정 리소스로 보낼 수 있다. 2. 각..

VPC 생성 VPC 생성 CloudFormation 구문 VPC: # VPC 타입 설정 Type: AWS::EC2::VPC Properties: # IPv4 CIDR 블록 지정 CidrBlock: 10.0.0.0/16 # DNS 설정 EnableDnsSupport: true EnableDnsHostName: true # 이름 태그 Tags: - Key: Name Value: VPC 서브넷 생성 PublicSubnet: Type: AWS::EC2::Subnet Properties: VpcId: !Ref VPC CidrBlock: 10.0.0.0/24 AvailAbilityZone: !Select [ 0, !GetAZs '' ] Tags: - Key: Name Value: Public-Subnet 라우팅 테..

인터넷 게이트웨이 VPC와 인터넷 간의 논리적인 연결 VPC에서 인터넷 구간으로 나가는 문 외부 인터넷 구간으로 통신할 수 있는 대상은 퍼블릭 IP를 사용하는 퍼블릭 서브넷 내의 자원 퍼블릭 서브넷은 자신의 라우팅 테이블에 IGW 주소를 지정해 주어야 한다. NAT 게이트웨이 Network Address Translation의 약자 IP를 변환해주는 기술 프라이빗 IP는 인터넷 구간으로 넘어갈 수 없어 NAT 게이트웨이를 통해 퍼블릭 IP로 변환 후 인터넷 통신이 가능하다. 내부에서 외부로 통신은 가능하지만 외부에서 내부로 통신은 불가능하다.

라우터란? OSI 3 계층 장비 라우터는 가격이 비싸고 초기 설정이 복잡하다 네트워크 간의 경로를 설정하여 가장 빠른 길로 트래픽을 전송해주는 장비 다른 기능 NAT 방화벽 VPN QoS 라우터는 종류도 많지만 아직 필요하지 않은 거 같아 적지 않았다. 정적 라우팅 - Static Routing 관리자가 네트워크에 대한 경로를 직접 지정하여 라우팅 동적 라우팅 보다 빠르고 안정적이다. 단, 등록할 네트워크가 많을 수록 경로 설정을 변경하기 어렵다. 동적 라우팅 - Dynamic Routing 대규모 네트워크에서 사용한다. 라우터 간 변경된 네트워크에 대한 정보를 자동으로 교환하고 라우팅 한다. 라우팅 테이블을 자동으로 작성함으로 초기 설정만 필요하다. 정적 메모리보다 메모리 사용량이 많다. 라우팅 테이블..

서브넷이란? 부분적인 네트워크를 의미 모든 네트워크 망이 거대한 하나의 망으로 이루어진 형태가 아니다. 서브넷을 통해 부분적인 네트워크 망으로 나누어지고 서로 연결되어 있다. 서브넷의 IP는 VPC IP에 속해야 한다. 위의 그림을 참고하면 프라이빗 A와 프라이빗 B는 다른 네트워크이다. 즉 서로 서브넷으로 분리된 부분 네트워크망이다. 서브넷 마스크 서브넷을 구분하는 것 IP주소에 네트워크 ID와 호스트 ID를 구분하는 기준 값 네트워크 ID는 서브넷을 식별하는 영역 호스트 ID 는 서브넷에서 대상을 식별하는 영역 즉 네트워크 ID가 같으면 동일 서브넷 임으로 호스트 ID를 이용해 식별한다. 주소 체계 IPv4 체계 이진수로 구분 1 - 네트워크 ID 부분 0 - 호스트 ID 부분 EX) 10.1.2.1..

네트워크란? 사용자 또는 기계에서 만들어진 정보들을 한 곳에서 다른 곳으로 전달하는 기술 및 장비 사람이 다른 사람에게 말하는 것과 같은 개념(전달) - 네트워크에선 프로토콜 궁극의 목적 - 정보의 전달 네트워크에서 프로토콜을 사용하는 이유 네트워크의 공통언어이다. 정보의 전달이 목적 - 언어가 다르면 정보의 전달이 원활하게 이루어지지 않는다. 여러 통신언어가 있지만 TCP/IP가 주를 이룬다. 정보를 전달하는 데 사용되는 언어를 프로토콜이라고 한다. 가장 대표적인 프로토콜 - TCP/IP OSI 7 계층 모델 국제표준화기구에서 개발한 모델로 복잡한 네트워크 동작 과정을 7개의 계층으로 나누어 네트워크 통신 흐름을 이해할 수 있게 해주는 역할 계층별로 하위계층의 기능을 이용하고 상위계층으로 기능을 제공하..