IT엔지니어를 위한 AWS운영의 기본과 노하우 정리

[1] AWS 운영 기초

AWS 시스0템 운영에는 계정 운영, 로그 운영, 모니터링, 패치 적용, 백업과 복원 운영, 보안과 통제, 감사 준비, 비용최적화의 8가지가 있다.

온프레미스에서 클라우드로 가는 건 장비 운영 및 유지보수가 불필요하고 온디맨드 셀프서비스(elastic, 필요할 때마다 자원요청- 서버,스토리지,네트워크)와 신속한 구축 및 쓴만큼 지불하기만 하면 되기 때문이다. 그리고 스케일업과 다운이 쉽기 때문이다. 그리고 인프라운영에 있어서 aws와 공동으로 책임을 지기 때문에 위험 분산이 된다.

잘설계된 아키텍처는 운영우수성, 보안, 안정성, 성능효율성, 비용최적화, 지속가능성 등을 만족한다.

 

[2] AWS 입문( VPC , EC2 , EBS, RDS  , ELB)

1) VPC : AWS 시스템의 기본으로 VPC는  AWS에서 생성할 수 있는 가상 네트워크이다. VPC에서 사용하는 IP 주소의 CIDR 블록은 /16부터 /28까지 지정할 수 있지만, CIDR블록은 한 번 설정하면 변경할 수 없다. (ex 10.0.0.0/16) 서브넷은 VPC의 CIDR블록을 쪼개서 생성한 VPC내부의 작은 네트워크이다. 라우팅테이블은 서브넷별로 통신 경로를 정하는 설정이다. 

AWS내의 가상방화벽은 보안그룹(보안규칙- 인바운드,아웃바운드로 리소스단위의 stateful)과 NACL(Network Access Control List - 서브넷에 설정된 가상방화벽으로 stateless)이 있다. 

2) EC2, AMI(EC2의 기본이미지)는 aws에서 가상서버를 제공(인스턴스)한다.  키페어로 인증한다.(공개키는 AWS에 두고, 비밀키는 자신의 PC에 내려받아 보관한다.)

3) EBS(블록스토리지는 데이터를 고정 크기의 블록 단위로 저장하는 방식) , S3( 객체스토리지는 데이터를 객체로 다루고 ID와 메타데이터로 묶어 관리하는 방식- 구글드라이브, 마이크로소프트원드라이브, 드롭박스) - https://<버킷이름>.s3.ap-northeast-2.amazonaws.com/<객체키(키이름)>?versionId=<버전ID>  , s3는 버킷정책과 ACL로 제어한다.

4) RDS - amazon aurora ( mysql의 5배, postgresql의 3배 처리량- 가용용역 세개에 데이터 여섯개를 복제해서 내결함성이 뛰어남) -  t는범용 r은 메모리 최적화 , 복원은 생성한 스냅샷으로 DB인스턴스를 생성

5) ELB(부하분산서비스) - 대상그룹(부하분산대상 서버를 모아 둔 그룹), 리스너(https를 선택할 때는 서버 인증서준비)

 

[3] 계정 운영 

1) 루트사용자와 IAM (필요한 최소한의 조직권한인가 - IAM정책 , IAM계정별로 요금, 사용자 관리, 역할전환으로 관리부담과 보안위험 줄임) 

2) 계정운영 표본 : 관리자용 그룹, 계정 A 읽기용그룹, 계정 A 조작용 그룹 (IAM Access Analyzer으로 확인 , IAM 정책시뮬레이터로 정책과 리소스 액세스 권한 검토 - CloudTrail추적)

 

[4] 로그운영

1) CloudWatch (log) => dashboard( AWS리소스 지표를 수집,관리 )

 오류, 조작, 인증, 액세스( => aws CloudTrail ), 설정변경로그( => aws config : ec2,rds)  , 이벤트(ec2, rds, guardduty), 통신 (vpc flow logs , aws waf)     

2) CloudWatch Logs 구독필터 - CloudWatch Logs에 출력된 로그를 실시간으로 Kinesis Data Firehose 등 AWS서비스에 연동)

3) CloudWatch insights - CloudWatch Logs에 수집된 로그에 대해 쿼리를 실행해서 로그분석실시 

4) Amazon Kinesis Data Firehose -  데이터 실시간 스트리밍 전송 , guardDuty - AWS계정과 워크로드를 보호하는 지능형 위협탐지 s3, eks , ec2맬웨어 , rds, labda 보호 ) , amazon athena - 표준SQL을 사용해서 s3버킷의 데이터 원본에 쿼리를 실

 

[5] 모니터링운영

1) CloudWatch  지표모니터링 : CPU, 메모리 사용률, HTTP상태코드의 응답수, 쿼리횟수나 DB I/O

2) Amazon SNS - 메시지 송수신을 중개하는 관리형 서비스(이메일, 문자메시지 구독자=>[운영담당]에게 알림)

 

[6] 패치 적용

1) 패치적용이란, OS나 소프트웨어를 부분적으로 수정, 갱신하는 추가 내용이 담긴 프로그램으로 패치 방식을 이용하여 부분만 내려받아 적용하는 것(EC2)

2) AWS System Manager - Patch Manager(젠체 EC2 OS) , Fleet Manger(특정인스턴스)

 

[7] 백업 및 복원 운영

1) 오프라인/온라인, 파일/이미지단위 백업 

2) EBS,RDS 백업취득, 관리, 복원을 사용자가 함(중앙집중도 및 자동화 설정)

3) 백업 계획/규칙/기간 설정

 

 

[8] 보안통제

1) 정보자산보호를 위한 보안 대책은 비용과 상충관계, 네트워크 트래픽보호(ACM), 방화벽(AWS WAF)- SQL인젝션, 크로스사이트스크립팅(L7), 서버암호화(KMS)

2) SSL/TLS 자동 인증서 갱신 - ACM ,Route53(CNAME레코드 이름확인), 인증서를 사용하고 있을것(ELB등에 배치)

3) config rules 활용, Security Hub(유료), GuardDuty(유료) - 백도어, 활동패턴, 암호화폐호스팅, 침입탐지(도난,잠복) , AWS Trusted Advisor(aws 지원정책 만큼 무료)

 

 

[9] 감사 준비

외부감사 - 회사법 감사, 금융 상품 거래법 감사

내부 감사 - 경영감사, 회계 감사, 업무 감사 , 규정 준수 감사, 시스템 감사, 기타 감사

감사추적은 언제,누가, 어떤 조작을 했고 어떤 결과가 나왔는가 같은 사실을 입증하는 증거로 흔적을 파악할수 있는 정보(데이터)이다.  (로그 변조나 손실은 없는가? => 시스템 설계에 까지 영향)

 

 

[10] 비용최적화 

비용최적화( 비용 대비 효과의 최대화 )와 비용절감의 구분 

비용최적화 실행 절차 -> AWS사용료 파악 (비용명세서) , 태그 추가(리소스에 태그 추가), AWS이용상황 분석, 비용최적화 실행 (aws budget 보고서 실행)