728x90

 

 

강의 1: AWS 클라우드 소개 - 시간대 2

김지선, 테크니컬 트레이너, AWS

AWS 소개

- 컴퓨팅

- 스토리지

- 데이터베이스

- 네트워킹

- 보안

AWS를 위한 혁신 


1) 클라우드란 무엇인가? - 온프레미스 : 서버, 스토리지, 데이터베이스, 어플리케이션 > 기업네트워크
- 클라우드 서비스 공급자 : 서버, 스토리지, 데이터베이스, 어플리케이션  > 인터넷
클라우드 컴퓨팅을 사용하면 인프라를 하드웨어가 아닌 소프트웨어로 간주하고 사용. 
- 자본비용을 가변비용으로
- 속도 및 대응력 향상
- 규모의 경제로 얻게되는 이점
- 데이터센터 운영 및 유지 관리 비용에 투자 불필요
-  용량 추정 불필요
- 몇 분 만에 전 세계에 배포
cf) 중고나라 개발인력으로 적은인프라인력으로 운영, KBS 의 아시안게임(이벤트성 서비스)시 비용절감
2) aws 인프라 및 서비스 - 보안 :
보안그룹, 네트워크 ACL, AWS IAM <=> 방화벽, ACL, 관리자 
- 네트워킹 : 
Elastic Load Balancing, Amazon VPC <=> 라우터, 네트워크 파이프라인, 스위치
- 서버 :
AMI, Amazon EC2 인스턴스 <=> 온프레미스 서버
- 스토리지 및 데이터 베이스 :
Amazon EBS, Amazon EFS, Amazon S3, Amazon RDS <=> DAS, SAN, NAS, RDBMS
3) 주요 서비스 분야 -컴퓨팅, 스토리지, 데이터베이스, 네트워킹, 보안
4) 작동방식 -AWS는 하드웨어 소유, 유지관리
- 고객은 필요한 항목 프로비저닝 하고 사용.
5) 클라우드 배포모델 온프레미스 / 하이브리드 / 클라우드
6) AWS 글로벌 인프라 - 데이터 센터 : 일반적으로 수천대의 서버 수용
- 가용영역(AZ) : 하나 이상의 데이터 센터, 내 결함성을 갖도록 설계
cf) 내 결함성
- 리전 : 각 AWS 리전은 두 개 이상의 AZ로 구성
7) 글로벌 인프라  리전선택 : 데이터 거버넌스, 지연, 비용
엣지 인프라 : Amazon CloudFront(콘텐츠 전송네트워크), AWS Outposts, AWS WaveLength
8) AWS 엣지 인프라 최종 사용자에게 짧은 지연시간으로 서비스제공 AWS 추가적인 서비스
= 엔드포인트에서 엔드유저에 더 가까이 이용할수있게한다
- AWS Outposts : AWS 인프라 및 서비스(온프레미스)
: 워크로드가 AWS의 나머지 다른 워크로드와 원할하게 실행
사용사례 : 마이그레이션, 로컬 크리티컬 애프리케이션, 데이터 레지던시
서비스 모델 : 고객의 데이터 센터, 코로케이션, 온프레미스 위치의 확장 가능한 용량
- AWS Local Zones  : AWS 인프라 및 서비스(대형 메트로 센터)
사용사례 : 마이그레이션, 짧은 지연, 로컬 데이터 처리
서비스 모델 : AWS 관리 및 운영 시설의 확장 가능한 용량
- AWS Wavelength : AWS 인프라 및 서비스 (CSP 5G 네트워크)
사용사례 : 매우 짧은 지연, 로컬 데이터 처리
서비스 모델 : AWS가 관리하고 지원하는 CSP 데이터 센터의 확장 가능한 용량. 
9) AWS와 상호작용하는 3가지 방법 - AWS Management Console
- AWS CLI
- SDK 

강의 2: AWS 클라우드 핵심 서비스 소개: 컴퓨팅 - 시간대 2

이기백, 테크니컬 트레이너, AWS

1) Amazon EC2 Amazon Elastic Compute Cloud
- 크기 조정 가능한 컴퓨팅 용량
- 컴퓨팅 리소스 완전제어
- 새로운 서버 인스턴스 확보 및 부팅 시간 단축
2) 가상머신과 물리적 서버 비교 온프레미스 서버로 해결하기 어려운 몇몇 문제해결가능
Amazon Ec2는 가상머신, 일종의 Stateless하게 관리(Scale Up, Scale Down)
- 데이터 기반 의사 결정
- 빠른 반복
- 자유로운 실수
cf) PoC(Proof of Concept) 실행시 이점.  새로운 프로젝트가 실제로 실현 가능성이 있는가, 효과와 효용, 기술적인 관점에서부터 검증을 하는 과정
3) AmazonEC2 서비스 - Amazon Machine Image(AMI) 사용
: AWS, 마켓플레이스, 사용자 자체 구성 API 생성해서 사용가능. 
: 애플리케이션 서버, 웹서버, 데이터 베이스 서버, 게임서버, 메일 서버, 미디어 서버, 카탈로그 서버, 파일서버 
- 필요에 따라 인스턴스를 추가 또는 종료
- 인스턴스 일시 중지 및 다시시작
- 템플릿: 스토리지 볼륨, 시작권한, 블록 디바이스 매핑)

cf) 정지, 제거시 비용청구안됨
4) AmazonEC2 이점 탄력성, 제어, 유연성, 통합, 안정성, 보안, 저렴한비용, 용이성
5) Amazon EC2 인스턴스 패밀리 및 이름 효율적인 인스턴스 사용과 비용절감을 위해 올바른 유형선택이 매우 중요

인스턴스 패밀리
- 범용( A1, T3, T3a, T2, M6g, M5 )
:트래픽이 적은 웹 사이트와 웹 애플리케이션, 소형 데이터베이스 및 중형 데이터베이스 
- 컴퓨팅 최적화(C5, C5n, C4)
: 고성능 웹 서버, 동영상 인코딩
- 메모리 최적화(R5, R5n, X1e, X1, z1d )
: 고성능 데이터베이스, 분산 메모리 캐시
- 스토리지 최적화(I3, I3en, D2, H1)
: 데이터 웨어하우징, 로그 또는 데이터 처리 애플리케이션
- 엑셀러레이티드 컴퓨팅(P3, P2, Inf1, G4, G3, F1 )
: 3D 시각화, 기계 학습
6) Amazon EC2 요금 온디맨드 인스턴스
예약 인스턴스
Saving Plans
스팟 인스턴스
- 초당결제(Amazon Linux, Ubuntu 전용)
- 시간당 결제(다른모든 OS)
7) 비관리형 서비스와 관리형서비스 - 비관리형: 사용자가 조정, 내결함성, 가용성을 관리
- 관리형: 일반적으로 조정, 내결함성, 가용성이 서비스에 내장되어 있음
8) Amazon Elastic Container Service(Amazon ECS) - 컨테이너의 실행을 조정합니다. 
- 컨테이너를 실행하는 노드 플릿을 유지하고 관리
- 인프라 구축의 복잡성을 제거 

일정 예약 및 오케스트레이션 - 클러스터 관리자, 배치 엔진
쿠버네티스 - EKS
9) 서버리스 컴퓨팅이란? 서버를 관리하지 않고 애플리케이션과 서비스를 구축하고 실행
- 프로비저닝하거나 관리할 서버 없음
- 유휴 상태에 대한 지불 없음
- 사용량에 따라 조정
- 가용성 및 내결함성 내장
10) AWS Lambda - 완전 관리형 컴퓨팅 서비스
- 상태 비저장 코드 실행
- 다국어 지원
- 일정에 따라 또는 이벤트(예: Amazon S3 버킷 또는 Amazon DynamoDB 테이블의 AWS 데이터 변경)에 대한 응답으로 코드 실행
11) AWS Lambda 예시 1. 사용자가 전체 크기 이미지 업로드
2. 객체가 생성되면 Amazon S3가 이벤트를 Lambda 함수로 보냄
3. Lambda 함수가 이미지 크기를 조정하고, 썸네일을 대상 버킷에 업로드 

.. 프로비저닝 하거나 관리할 서버 없음
12) 서버리스 애플리케이션 사용사례 - 웹 애플리케이션
:  정적 웹 사이트,  복잡한 웹 애플리케이션,  Flask 및 Express용 패키지
- 백엔드
:애플리케이션 및 서비스,  모바일,  IoT 
- 데이터 처리
: 실시간 MapReduce 배치,  기계 학습 추론
- Chatbot 
: Chatbot 로직 지원, 
- Amazon Alexa
: 음성 지원 애플리케이션 지원,  Alexa Skills Kit
- IT 자동화
: 정책 엔진,  AWS 서비스 확장,  인프라 관리

 


강의 3: AWS 클라우드 핵심 서비스 소개: 스토리지, 데이터베이스 - 시간대 2

김지선, 테크니컬 트레이너, AWS

1) AWS 스토리지 옵션 - Amazon S3
: 클라우드상의 확장 가능하고 내구성이 뛰어난 객체 스토리지
- Amazon S3
: Glacier 클라우드상의 저렴하고 내구성이 뛰어난 아카이브 스토리지 
- Amazon EFS
: Amazon EC2 인스턴스용 확장 가능 네트워크 파일 스토리지 ch)NAS처럼사용
- AWS Storage Gateway
:온프레미스에서 거의 무제한의 클라우드 스토리지에 액세스할 수 있는 하이브리드 클라우드 스토리지 서비스
- Amazon EBS
: Amazon EC2 인스턴스를 위한 내구성이 있는 블록 수준 스토리지를 제공하는 네트워크 연결 볼륨
2) Amazon S3


- 객체 수준 스토리지
-  99.999999999% 내구성을 제공하도록 설계
- 이벤트 트리거

사용사례 : 콘텐츠 저장 및 배포, 백업 및 아카이빙, 빅데이터 분석, 재해 복구, 정적 웹사이트 호스팅

- 데이터를 저장 및 검색하도록 구축 
- 속도, 내구성, 가용성이 뛰어난 객체 액세스 
- 버킷에 저장할 수 있는 객체 수에 제한이 없음
- 웹 어디서나 언제든 데이터 저장 및 검색

클라이언트 S3에 요청전송 -> AMAZON 버킷 -> 객체를 반환
key-value 기반의 객체 스토리지 

3) Amazon S3 Glacier[글래시어]
- 장기 데이터 스토리지
- 아카이브 및 백업
- 비용이 매우 저렴한 스토리지

사용 사례:  미디어 자산 워크플로, 의료 정보 아카이빙, 규제 및 규정 준수를 위한 아카이빙, 과학적 데이터 스토리지, 디지털 보존, 마그네틱 테이프 대체

cf) 탈퇴한 고객 데이터 저장 1기가바이트당 5원. 

Amazon EBS

Amazon Elastic Block Store
Amazon EBS 볼륨 : 가용영역내에 데이터 미러링. 고가용성. , 특정시점 스냅샷제공
볼륨을 분리하고 다른 EC2 인스턴스에 다시 연결
백업 및 복구를 위한 볼륨 스냅샷 생성

- 인스턴스용 영구 블록 스토리지
- 복제를 통해 보호
- 상이한 드라이브 유형
- 몇 분 만에 확장 또는 축소
- 프로비저닝한 만큼만 요금 지불
- 스냅샷 기능
-암호화 사용 가능
목적별 데이터베이스  - 관계형 데이터베이스 
: Amazon RDS
: Amazon Aurora, MS SQL Server, MariaDB, ORACLE, PostgresSQL, MYSQL
: Amazon Aurora [오로라]
: MySQL 및 PostgreSQL 호환 관계형 
: 완전관리형 . 고가용성 및 내구성, 고성능, 호환성, 다중리전, 높은 확장성
, Amazon Redshift

- 비관계형 데이터베이스

: 어떤 규모에서든 빠르고 유연한 NoSQL 데이터베이스 서비스
: 완전관리형, 세분화된 앤세스 제어, 빠르고 일관된 성능, 유연성
ex) 순위표 및 점수(플레이어)-> 게임서버-> 순위표
최상의 수평확장기능 필요, 단순한 대용량 데이터, 신속하고 간편하게 확장, 복잡한 조인이 필요하지 않음

- 비관계형 문서 
: Amazon Document DB
- 비관계형 인메모리
: Amazon ElastiCashe
- 비관계형그래프
: Amazon Neptune
- 비관계셩 원장
: Amazon QLDB
DB 직접설치 vs AWS 데이터베이스 DIY : EC2에 직접 DB 설치 하는 옵션 : AWS 사용하지 않은것 사용가능, 세밀한조정가능
AWS 데이터베이스 서비스 : 복잡한 관리작업 AWS 위임. 손쉬운 DB 이중화 외

강의 4: AWS 클라우드 핵심 서비스 소개: 네트워킹, 보안 - 시간대 2

이기백, 테크니컬 트레이너, AWS

-네트워킹

Amazon VPC


Amazon Virtual Private Cloud

- AWS 클라우드의 프라이빗 네트워크 공간
- 워크로드의 논리적 격리 제공 ex) 개발용, 테스트용
- 리소스에 대한 사용자 지정 액세스 제어 및 보안 설정 허용
서브넷을 사용하여 VPC 분리 서브넷은 리소스 그룹을 격리할 수 있는 VPC IP 주소 범위의 세그먼트 또는 파티션입니다.
서브넷은 인터넷 접근성을 정의합니다.
프라이빗 서브넷
• 인터넷 게이트웨이에 대한 라우팅 테이블 항목 없음
• 퍼블릭 인터넷에서 직접 액세스 불가
VPC의 계층화된 네트워크 방어
출처 : AWS AWSOME DAY
인프라 구조화
ELB


Elastic Load Balancing

수신되는 애플리케이션 트래픽을 여러 Amazon EC2 인스턴스, 컨테이너, IP 주소에 분산하는 관리형 로드 밸런싱 서비스

고가용성, 상태확인, 보안 기능
Amazon Route 53

Amazon Route 53

Domain Name System(DNS) 
도메인 이름을 구입하여 관리하고 DNS 설정을 자동으로 구성할 수 있습니다.
멀티플 라우팅 옵션...사용자 위치에 따라 vpc 위치를 조절할수있다. 

- 보안

AWS 공동 책임 모델 과제: 보안을 고려한 설계, 지속적 모니터링, 고도의 자동화, 높은가용성, 엄격한 인증



AWS Identity and Access Management(IAM)

AWS 리소스에 대한 액세스를 안전하게 제어 
사용자, 그룹 또는 역할에 세분화된 권한 할당
AWS 계정에 대한 임시 액세스 공유 
회사 네트워크의 사용자 연동 또는 인터넷 자격 증명 공급자와 연동
IAM 구성 요소 사용자 : AWS와 상호 작용하는 사람 또는 애플리케이션
그룹 : 동일한 권한을 가진 사용자 모음
역할 : 엔터티가 맡을 수 있는 임시 권한

- 사용자가 액세스할 수 있는 AWS 리소스 정의
- 자격 증명 및 액세스 제어 표준을 충족하는 데 도움: 인증, 권한부여

계정은 루트 사용자 권한, 해당 계정 탈취시 심각한 보안문제. 
MFA, 멀티팩트 인증을통해 사용하는것을 추천. 
IAM 사용자 IAM 사용자는 별도의 AWS 계정이 아닌 계정 내 사용자
각 사용자는 자체 자격 증명 보유
IAM 사용자는 자체 권한을 기준으로 특정 AWS 작업을 수행할 권한 보유
Amazon S3 액세스 제어: 일반 S3 버킷 정책
> 프라이빗, 퍼블릭 선택적 접근가능. 
AWS CloudTrail
누가? 무엇을? 언제? 어디로?
AWS 계정의 사용자 활동 및 API 사용 추적 
지속적으로 사용자 활동을 모니터링하고 API 호출을 기록 
규정 준수 감사, 보안 분석, 문제 해결에 유용 
로그 파일은 Amazon S3 버킷으로 전송됨
AWS Trusted Advisor
비용 절감, 성능 개선, 보안 강화에 도움이 되는 지침을 제공하는 서비스
비용최적화, 성능, 보안, 내결함성 기능, 서비스 한도

강의 5: AWS와 함께 혁신하기 - 시간대 2

김지선, 테크니컬 트레이너, AWS

- 사물

당면 과제 관리 및 업데이트
▪ 일관되지 않거나 간헐적으로 끊기는 네트워크 연결
▪ 디바이스가 원격에 있어 물리적으로 액세스할 수 없음
▪ 생산 단계의 대규모 디바이스 플릿
분석
▪ 컴퓨팅 파워와 사양이 낮은 디바이스의 리소스
▪ 디바이스가 많은 양의 스트리밍 데이터를 내보낼 수 없음
고객이 AWS IoT를 사용하여 하는 일  분석 서비스 AWS IoT Device Management AWS IoT Device Defender AWS IoT Core 연결성 및 제어 서비스 AWS IoT Device Tester
AWS IoT 서비스 분석 서비스
: AWS IoT SiteWise,  AWS IoT Analytics,  AWS IoT Events, AWS IoT Things Graph
연결성 및 제어 서비스
: AWS IoT Core, AWS IoT Device Management, AWS IoT Device Defender
디바이스 AWS IoT Device SDK 소프트웨어
: FreeRTOS, AWS IoT Device SDK, AWS IoT Greengrass, AWS IoT Device Tester
AWS IoT Core: 신속한 개발  
AWS IoT Greengrass 데이터를 로컬에저장, 필요한데이터만 클라우드에 전송. 

- 기계학습

기계 학습이란 무엇입니까? 인공 지능(AI)
: 컴퓨터가 로직, if-then 문, 기계 학습(딥 러닝 포함)을 사용하여 인간 지능을 모방할 수 있게 하는 모든 기술
기계 학습(ML)
: 기계로 데이터의 패턴을 검색하여 논리 모델을 자동으로 빌드하는 AI 하위 집합
딥 러닝
: 음성 및 이미지 인식과 같은 작업을 수행하는 심층 다중 계층 신경망으로 구성된 ML 하위 집합
Amazon SageMaker 개요  
Amazon Rekognition[리코그니션] 객체 및 장면 탐지
얼굴 분석
얼굴 비교
얼굴 인식

- 블록체인

블록체인이란 무엇입니까? 블록체인을 활용하면 신뢰할 수 있는 중앙 기관이 없어도 여러 당사자가 트랜잭션을 실행할 수 있는 애플리케이션을 구축할 수 있습니다.
현재는 기존 기술로 확장 가능한 블록체인 네트워크를 구축하는 과정이 설정상 복잡하고 관리하기 어렵습니다.
블록체인 특징  
AWS 블록체인 서비스  
Amazon Managed Blockchain 기능  
사용 사례 예시  
Amazon Managed Blockchain을 활용하여 공급망 투명성을 높인 Nestlé의 Chain of Origin 커피  
   

- AWS Ground Station

AWS Ground Station 자체 지상국 인프라 구축이나 관리를 걱정할 필요 없이 인공위성 통신을 제어하고 데이터를 처리하며 작업을 확장할 수 있는 완전관리형 서비스입니다.

• 인프라 약정 없이 위성 지상 지원
• 분 단위 요금
• 셀프 서비스 일정 예약
• AWS 리소스 및 서비스에 직접 액세스할 수 있는 공동 지상국 및 AWS 데이터 센터 • 요금에 포함된 고객 선택 리전으로 기본 대역 데이터 백홀
• 거의 실시간으로 데이터 전송
일반적인 위성 데이터 클라우드 처리 사용 사례  
업계 당면 과제  

AWS Wavelength

AWS Wavelength AWS Wavelength는 AWS 컴퓨팅 및 스토리지 서비스에 5G 네트워크의 높은 대역폭과 매우 짧은 지연을 결합하여 개발자가 완전히 새로운 종류의 애플리케이션을 혁신하고 제작할 수 있습니다.
CSP 5G 네트워크의 AWS 인프라 및 서비스
지연이 매우 짧은 로컬 데이터 처리
AWS가 관리 및 지원하는 CSP 데이터 센터의 확장 가능한 용량
모바일 엣지 컴퓨팅: 특징 센서, 비디오 카메라, IoT 디바이스 등 대량의 데이터를 생성하는 엄청나게 많은 디바이스 
데이터 생성과 가까운 곳에서 데이터 처리 필요 
지연이 매우 짧은 실시간
5G 및 모바일 엣지 컴퓨팅  
AWS Wavelength: 모바일 엣지용으로 구축  
AWS Wavelength 사용 사례  

 온디맨드 : On-Demand : 주문형 서비스 : 이쪽으로와!!!

1. 소비자가 있는 곳까지 찾아가서 상품과 서비스를 전달하는것

2. 이용자의 요구에 따라 상품이나 서비스가 바로 제공되는것. 

 

내 결함성 : FT : Fault Tolerance

다운 타임을 최소화 = 시스템 구성 요소중 하나가 다운되더라도 시스템이 계속 작동할수 있다.

cf) 이중화 , 포워드 오류수정, 체크 포인트.... 

내결함성(FT)과 고가용성(HA)의 차이점 (mungi.kr)

 

고가용성 : HA : Hight Availability

가용성이 높다 = 절대 고장나지 않음

고가용성 - 위키백과, 우리 모두의 백과사전 (wikipedia.org)

cf) RAID 방식, SAN 방식

 

거버넌스 : governance

 

엣지 로케이션 : PoP

: 최종 사용자에게 짧은 지연시간으로 서비스제공 AWS 추가적인 서비스

 

엣지 인프라 설명하신거 문구로 볼수 있을까요. 너무빨리 지나갔어요

aws 엣지 인프라는 리전과 가용영역 외에 엔드유저에게 가까운 곳에 위치한 aws의 추가적인 시설물입니다. local zones, 엣지로케이션 등 여러 개념이 있는데, 각 개념의 문구는 아래의 웹에서 확인해 보실 수 있습니다. https://aws.amazon.com/ko/about-aws/global-infrastructure/regions_az/

 

S3 가 무엇인지 설명해주실수 있을까요?

안녕하세요. Amazon S3는 어디서나 원하는 양의 데이터를 저장하고 검색할 수 있도록 구축된 객체 스토리지입니다. 추가적으로 궁금하신 부분은 링크 참조하시면 더 구체적인 정보를 얻으실 수 있습니다. https://aws.amazon.com/ko/s3/?nc=sn&loc=0

 

'Cloud > AWS' 카테고리의 다른 글

[1028 aws] Awsome Day 20210930  (0) 2021.09.30
[1028web NETWORK] 네트워크  (0) 2021.07.05
[1028web aws02] aws 계정  (0) 2021.07.05
[1028web aws01] aws 기초  (0) 2021.07.02
728x90
네트워크 - 노드들이 데이터를 공유할 수 있게 하는 디지털 전기 통신망의 하나
- 분산되어 있는 컴퓨터를 통신망으로 연결한 것. 
- 네트워크에서 여러 장치들은 노드 간 연결을 사용하여 서로에게 데이터를 교환
* 노드: 네트워크에 속한 컴퓨터 또는 통신 장비를 뜻하는 말. 
인터넷 여러가지 데이터를 공유하도록 구성된 세상에서 가장 큰 전세계를 연결하는 네트워크. 
cf) www 는 인터넷을 통해 웹과 관련된 데이터를 공유하는것. 
네트워크의 분류

출처:https://ko.wikipedia.org/wiki/%EA%B4%91%EC%97%AD_%ED%86%B5%EC%8B%A0%EB%A7%9D
- 크기 분류: WAN > RAN> MAN > CAN> LAN > PAN > BAN > NANO
WAN(Wide Area Network): 광역통신망: ex) 지역, 국가, 세상범위 
RAN(Radio access network): 무선접속 네트워크
MAN(Metropolitan Area Network): 도시권 통신망: 도시단위
LAN(Local Area Network): 근거리 통신망 : 건물단위
CAN(Campus Area Network, Corporate Area Network): 제한된 지역 통신망: 캠퍼스단위
PAN (Personal Area Network): 개인의 작업 공간: 방단위 ex) USB, FireWire, Bluetooth

VLAN(Virtual LAN) : 가상랜 :LAN 스위치나 ATM(비동기 전송방식)스위치 사용해서  broadcast packet이 전달되는 범위를 임의로 나누어 다른 네트워크에 있더라도 가상랜에 속한 단말들은 같은 랜에 있는것과 동일하게 서비스제공받을수 있게한다. 

- 연결 형태에 따른 분류: (실제 인터넷은 여러 형태를 혼합한 형태 혼합형. ) 
Star형: 중앙장비 모든 노드 연결
Mesh형: 여러 노드들이 서로 그물처럼 연결됨

- 네트워크 통신방식
유니케스트 : 특정 대상이랑만 1:1
멀티케스트 : 특정 다수와 1:N 통신하는 멀티캐스트 
브로드캐스트 : 네트워크에 있는 모든 대상과 통신
프로토콜 통신규약
- L2: 가까운곳 연락 : 데이터링크 계층: L2
Ethenet 프로토콜 : Mac주소
- L3: 멀리 있는 곳과 연락할때: 인터넷 계층 : L3
ICMP(Internet Control Message Protocol): 상태 진단 메시지 프로토콜 ping
IP(Internet Protocol) : 비신뢰성, 비연결지향 데이터그램 프로토콜
IPv4(Internet Protocol Version 4)
ARP(Address Resolution Protocol:IP주소를 MAC주소로 변환하는 프로토콜: IP주소
- L4:여러가지 프로그램으로 연락할때 : 전송계층:  L4
TCP(Transmission Control Protocol): (포트번호)신뢰성있는 연결지향형 프로토콜
UDP(User Datagram Protocol):(포트번호)비신뢰성 비연결형 프로토콜
SPX
-L5: 세션
NetBIOS

- L6 : 표현
SMB
AFP
XDR

- 응용프로그램 동작 : L7
HTTP(Hyper-Text Transfer Protocol): TCP기반의 프로토콜로 포트번호 80번을 사용
Telnet: TCP 포트번호 23번, 원격 터미널
FTP(File Transfer Protocol): 파일전송 프로토콜 : TCP 포트 20번은 데이터 전송을, TCP 21번은 제어
SSH :: HTTPS(HyperText Transfer Protocol over Secure Socket Layer): SSH입니다. 포트번호 22번
SMTP (Simple Mail Transfer Protocol) : 메일 전송 프로토콜입니다. TCP 상에서 동작하며 포트는 25번
POP3 (Post Office Protocol Version3) : 메일 수신용 프로토콜입니다. 아웃룩같은 프로그램이 POP3라는 프로토콜을 사용하여 동작합니다. TCP 포트 110번
DNS (Domain Name System) : 도메인명에 대한 호스트 정보를 제공해줍니다. 기본적으로 UDP상에서 동작, UDP, TCP 포트 53번을 사용
SSL/TLS SSL(Secure Socket Layer) 
: 웹기반의 전자 상거래 서비스를 안전하게 보호하기 위해 1994년 Netscape에서 개발 
: 몇 차례의 개정을 거쳐 199년 TLS(Transport Layer Security)로 표준화 

SSL/TLS 보안서비스
- 클라이언트에 의한 서버 인증: 인증서 기반
- 서버에 의한 클라이언트 인증(선택)
- 암호화된 세션 서비스 : 기밀성
- 메시지 인증 서비스 : HMAC(keyed-hash message authentication code, 암호화 해시함수와 기밀 암호화 키를 수반하는 특정한 유형의 미시지 안증코드(MAC))- 무결성, 인증성

프로토콜 구조
Handshake Protocol
Change Cipher Spec Protocol      >> SSL Record Protocol  >> TCP  >> IP
Alert Protocol
Application(e.g., HTTP)

Handshake Protocol
: 클라이언트와 서버에 대한인증, 메시지 인증 인증 알고리즘 협상 및 키 교환, 
                           암호 알고리즘 협상 및 키 교환 등을 수행
Change Cipher Spec Protocol
: Handshake 과정을 통해 협상된 암호 사양을 실제 통신에 적용하도록
                                        암호 사양을 변경
3. SSL Record Protocol
: 핸드쉐이크 프로토콜에서 합의된 대로 상위 계층 정보를 단편화(Fragmentation)하고, 압축하고(Compression), 세션 키를 사용 하여 암호화(Encryption)하며, 메시지 인증(Message Authentication) 서비스 제공
4. Alert Protocol
: 경고 프로토콜 : 보안 통신 과정에서 발생하는 오류 또는 잠재적 오류를 상대방에게 통보

절차
   1) Handshake Protocol_어떤 암호사양 쓸지 클라이언트-서버 협상
   2) Handshake Protocol_서버 인증 키 교환
   3) Handshake Protocol_클라이언트 인증  키교환
   4) Handshake & Change Cipher Spec Protocol
   5) Record Protocol
   6) Alert Protocol


Cipher [사이퍼] 암호
박승철의정보보호론제32-24강 SSLTLShttps://youtu.be/iXP3sd2s5fg
컴퓨터 네트워크 = 컴퓨터망 = computer network 
노드들이 자원을 공유할 수 있게 하는 디지털 전기통신망, 분산되어 있는 컴퓨터를 통신망으로 연결한 것
호스트 = 네트워크 호스트
컴퓨터 네트워크에 연결된 컴퓨터나 기타장치. 
네트워크 호스트는 네트워크 주소가 할당된 네트워크 노드. 
모든 서버는 호스트. 모든 호스트가 서버는 아니다. 
IOS 7계층
vs TCP/IP 모델
IOS : 역할기반, 통신전반
L7 응용 : 네트워크 소프트웨어 UI부분, 사용자입출력부분 
L6 표현 :
L5 세션 : 
L4 전송 : 패킷생성: TCP(전송제어 프로토콜)
L3 인터넷계층(네트워크계층 오기): IP(주소), Route(경로설정)
L2 데이터 링크  : MAC주소
L1 물리계층

- TCP/IP 모델: 프로토콜 기반, 데이터 전송기술 특화,  1980 공개
응용계층(L5+L6+L7)
전송계층(L4)
인터넷계층(L3) 
네트워크 인터페이스 계층(L1+L2)
2계층 주소체계 이던이같은 네트워크 상 = 하나의 네트워크 대역(LAN)에 존재하는 여러 장비들 중에서 
어떤 장비가 어떤 장비에게 보내는 데이터를 전달. 오류제어, 흐름제어
* 다른 네트워크 통신때는 3계층 장비 필요. 

MAC주소 : 물리적인 주소:
-16진수 12개, 2개씩  - or : 로 구분. 
(AA:AA:AA:AA:AA:AA  16진수 2개당 1byte >> 6byte)
- 앞 6개 OUI : IEEE 에서 부여하는 제조회사 식별 ID
- 고유번호 : 제조사에서 부여한 고유번호 


이더넷 프로토콜
- 1줄당 4byte
- Destination Address : 6byte  - 맥주소
- Source Address : 6byte   - 맥주소
- Ethenet Type : 2byte - 데이터, 상위프로토콜이 무엇인지 알려줌. 
  ex)ipv4 : 0x0800, arp: 0x0806
- Data : 
3계층 주소체계 서로 다른 네트워크 대역, 멀리 떨어진 곳에 존재하는 네트워크까지 데이터 전달 제어 담당
발신에서 착신까지의 패킷의 경로를 제어 = LAN 과 LAN 연결 = 라우터 필요. 
WAN = LAN + LAN + LAN .....

IP 주소. : ipconfig

Internet Protocol Verion 4 속성 
IPv4 주소 : 현재 PC 할당 IP주소
서브넷 마스크: IP 주소에 대한 네트워크의 대역을 규정
기본 게이트웨이 : 외부와 통신할 때 사용하는 네트워크 출입구

기본 DNS서버
보조 DNS 서버

ex)
IPv4 주소 : 192.168.123.100
서브넷 마스크: 255.255.255.0
기본 게이트웨이 : 192.168.0.1

기본 DNS서버:.8.8.8.8                      >> 도메인 주소를 쳤을 때 IP로 바꿔줌. 
보조 DNS 서버:168.126.63.1

IP 주소
1. 낭비가 심한 Classful IP 주소: 초창기
A클래스 : 0.0.0.0, ~127.255.255.255 (01111111) 
B클래스 : 128.0.0.0
~E클래스
첫번째 필드 : 네트워크 대역, 한대역당 피씨수는 두번째~네번째 필드 : 2^24개
cf_ Mac주소 16진수 6byte, ip 10진수는 2진수 8개로 표현 최대255개.   

ARP

IPv4


ICMP


패킷 네트워크상에서 전달되는 데이터를 통칭하는 말,
데이터의 형식화된 블록
패킷 = 제어정보+사용자 데이터(페이로드)
여러 프로토콜로 캡슐화 된 패킷 : 헤더 + 페이로드 + 풋터
이더넷 + IPv4 + TCP + HTTP
>> 이더넷 + 페이로드[헤더(IPv4) + 페이로드{헤더(TCP) + 페이로드(HTTP)}] :
캡슐화: 보낼때 사용
PDU : 프로토콜 데이터 유닛
4계층 PDU = TCP + 데이터 = 세그먼트
3계층 PDU = IP + 데이터 = 패킷
2계층 PDU = 이더넷 + 데이터 = 프레임    cf) 이더넷 프로토콜은 footer 사용. 
Stateful vs Stateless Stateful: 상태정보를 저장하는 형태 : 세션 상태에 기반하여 server의 응답이 달라짐. ex) TCP
Stateless : 상태정보를 저장하지 않는형태 : server의 응답이 client와 독립적입 ex) UDP
내부상태 유지 요구 프로토콜 : 상태 프로토콜
독립적으로 트랜젝션으로 취급하는 통신 프로토콜 : 무상태 프로토콜
   

 

 

[따라學IT] 01. 네트워크란 무엇인가? - 실습1(tracert)

Q1. 구글과 나는 어떻게 연결되어 있는지 확인해 보기

cmd > tracert 8.8.8.8

tracert = Trace Route : 지정된 호스트에 도달할 때 까지 통과하는 경로의 정보, 지연시간 추적

구글의 DNS 8.8.8.8

C:\>tracert 8.8.8.8

최대 30홉 이상의
dns.google [8.8.8.8](으)로 가는 경로 추적:

  1    <1 ms    <1 ms    <1 ms  192.168.217.1
  2    <1 ms    <1 ms    <1 ms  112.169.101.1
  3    <1 ms    <1 ms    <1 ms  222.106.177.214
  4     *        *        *     요청 시간이 만료되었습니다.
  5     *        *        *     요청 시간이 만료되었습니다.
  6     1 ms     1 ms     1 ms  112.189.13.169
  7     *        *        *     요청 시간이 만료되었습니다.
  8     1 ms     1 ms     1 ms  112.174.7.150
  9    30 ms    30 ms    30 ms  72.14.194.106
 10    32 ms    32 ms    32 ms  108.170.242.193
 11    37 ms    37 ms    36 ms  108.170.235.103
 12    30 ms    30 ms    67 ms  dns.google [8.8.8.8]

추적을 완료했습니다.

1~ 12 : 거쳐간 네트워크 LAN 대역

요청 시간이 만료되었습니다. : IP 공계 안한 LAN 대역

Q2. Wireshark 설치

: 실제 사용한 네트워크프로토콜 보여줌

https://www.wireshark.org/download.html

https://www.winpcap.org/install/default.htm

관리자권한 열기

 

cmd> ping 8.8.8.8

C:\Users>ping 8.8.8.8

Ping 8.8.8.8 32바이트 데이터 사용:
8.8.8.8의 응답: 바이트=32 시간=30ms TTL=113
8.8.8.8의 응답: 바이트=32 시간=30ms TTL=113
8.8.8.8의 응답: 바이트=32 시간=31ms TTL=113
8.8.8.8의 응답: 바이트=32 시간=30ms TTL=113

8.8.8.8에 대한 Ping 통계:
    패킷: 보냄 = 4, 받음 = 4, 손실 = 0 (0% 손실),
왕복 시간(밀리초):
    최소 = 30ms, 최대 = 31ms, 평균 = 30ms

ipconfig /all, 제조사 찾기: https://aruljohn.com/, ping 방화벽끄면됨...

 

출처 :

네트워크 : https://youtu.be/Av9UFzl_wis

 

 

https://www.youtube.com/watch?v=s5kIGnaNFvM&list=PL0d8NnikouEWcF1jJueLdjRIC4HsUlULi&index=6

 

'Cloud > AWS' 카테고리의 다른 글

[1028 aws] Awsome Day 20210930  (0) 2021.09.30
[1028web NETWORK] 네트워크  (0) 2021.07.05
[1028web aws02] aws 계정  (0) 2021.07.05
[1028web aws01] aws 기초  (0) 2021.07.02
728x90

 

보안자격증명
- 비밀번호: AWS Mangement Console, AWS포럼, AWS Support 
- MFA: 멀티 팩터 인증
- 액세스 키: AWS CLI, Tools for PowerShell, AWS SDKs, or direct AWS API 사용을 위한 프로그램 방식 호출. 
- CloudFront : 서명된 URL을 생성
- X.509 인증서:일부 AWS 서비스에 안전한 SOAP 프로토콜 요청을 수행
- 계정ID: 12자리 계정 ID를 사용하여 다른 컨텍스트에서 프로그래밍 방식으로 계정을 참조


IAM Identities : AWS Identity and Access Management 
(users, user groups, and roles)

AWS 계정 루트 사용자
AWS(Amazon Web Services) 계정을 처음 생성할 때는 계정, 모든 AWS 서비스 및 리소스에 대한 완전한 액세스 권한을 가진 단일 로그인 ID
(대신 첫 번째 IAM 사용자를 생성할 때만 루트 사용자를 사용추천, 몇 가지 계정 및 서비스 관리 태스크만 수행합니다. 루트 사용자로 로그인해야 하는 작업을 보려면 루트 사용자가 필요한 AWS 작업을 참조하십시오.)

IAM 사용자
IAM 사용자는 AWS에서 생성하는 엔티티입니다. IAM 사용자는 IAM 사용자를 사용하여 AWS와 상호 작용하는 개인 또는 서비스를 나타냅니다. 

IAM 사용자 그룹

IAM 역할 
권한 부여

Temporary credentials in IAM , IAM 임시 자격

AWS SSO: AWS Single Sign-On(SSO)
: wkrur wmdaud rhdrmqwk. 

https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html?icmpid=docs_iam_console#id_root 


IAM 계정생성 세부정보, 권한설정, 태그추가, 검토
그룹생성  


 
 
 

 

VPC(Virtual Private Cloud) : 가상 개인 클라우드. 
EBS(Amazon Elastic Block Store) 암호화 : 대규모 처리, 트랜잭션, 집약적 워크로드 지원위 한 고성능 블록 스토리지 

 

'Cloud > AWS' 카테고리의 다른 글

[1028 aws] Awsome Day 20210930  (0) 2021.09.30
[1028web NETWORK] 네트워크  (0) 2021.07.05
[1028web aws02] aws 계정  (0) 2021.07.05
[1028web aws01] aws 기초  (0) 2021.07.02
728x90

AWS 기초 : 21년 7월 옮김

출처 : https://aws.amazon.com/ko/getting-started/fundamentals-core-concepts/?e=gs2020&p=gsrc

AWS
5대원칙
보안 워크로드
표준 및 규정
CJIS(Criminal Justice Information Systems)
: 법 집행 및 형사 사법 기관을 보호하기 위한 최소한의 정보 보안 요건을 포함하는 보안 정책을 발표
DoD DISA(Department of Defense Defense Information Systems Agency)
DoD SRG(Department of Defense Security Requirements Guide)
: 미국방부 DISA 의 DoD SRG제공
클라우드 서비스에 대한 기본 보안 요건, DoD에 의한 클라우드 서비스의 사용에 대한 요건
FedRAMP(Federal Risk and Authorization Management Program)
:클라우드 제품 및 서비스에 대한 보안 평가, 권한 부여 및 지속적 모니터링에 대한 표준화된 접근 방식을 제공하는 범정부 차원의 프로그램
ITAR(International Traffic in Arms Regulations)
: ITAR에서는 ITAR 호환 환경에 저장된 데이터를 미국인이 아닌 사용자가 물리적 또는 논리적으로 접근할 수 없도록 요구
출처 : https://www.ibm.com/kr-ko/cloud/compliance/government
멘탈 모델
-제로 트러스트 모델
제로 트러스트의 관점에서 보안은 모든 시스템 수준에 보안 조치를 적용
- IAM
: 최소 권한 원칙 :https://ko.wikiqube.net/wiki/Principle_of_least_privilege
필수적 권한만 처리
- 네트워크 보안 : 네트워크의 모든 레이어에 보안 제어를 적용, 심층적 방어 접근법 : https://ko.wikipedia.org/wiki/%EB%A0%88%EC%9D%B4%EC%96%B4%EB%93%9C_%EC%8B%9C%ED%81%90%EB%A6%AC%ED%8B%B0
- 데이터 암호화 : 모든 곳에 있는 전송중, 저장 중 데이터를 모두 암호화
IAM Identity and Access Management
: 시스템에서 ID 및 액세스 추적 시스템, 최소 권한 원칙
AIM 정책 _ AWS 내에서 액세스 경계 명시
: 주체 : ID 기반정책 
: 작업 및 리소스 : 리소스 기반 정책 : S3, KMS, SES 만 적용
>>권한 여부는  주체의 ID 정책이 허용하고  리소스 기반정책이 금지하지 않아야
네트워크 보안 네트워크, 네트워크 액세스할수있는 리소스의 액세스 , 사용성을 보호하는 시스템, 구성 또는 프로세스 포함. 
- 네트워크 수준 보안 
VPC(Amazon Virtual Private Cloud): 기본 네트워크 수준 ..
VPC는 리소스를 정의 및 프로비저닝 할수 있는 논리적 네트워크 


리소스 수준 보안 보안그룹 : 가장 일반적, 트래픽 흐름 적용하기 위해 사용하는 가상 방화벽
특정 포트, 인스턴스에서 신뢰할 수 있는 소스로부터의 트래픽만 허용가능
EC2인스턴스, RDS 인스턴스, Lambda 등의 리소스에 보안 그룹을 연결할수 있다. 
데이터 암호화 1. 전송중 암호화 : 
HTTP 엔드포인트(데이터가 시스템 사이에서 이동할 때 암호화) 제공
사용자서비스에 전송 중 암호화 적용가능한 네트워크 서비스도 제공
ex) ALB 사용하면 사용자의 엔드포인트에 HTTPS 연결을 적용가능. 
2. 저장중 암호화: 
시스템 내의 데이터 함호화 
AWS 스토리지, 데이터베이스..저장중 암호화 기본수행.  추가비용, 성능저하 없음
대부분 스토리지, DB Amazon KMS(Key Management Service, 데이터 암호화 하기 위해 고객관리키(CMK, Create 아마존...Master Key)를 생성할 수 있도록 해주는 중앙 키 관리 서비스)와 직접 통합
CMK : 암호화 + 사용자 지정 키 저장소 + AWS CloudTrail 같이 암호화된리소스 감사 추적
VPC Virtual Private Cloud(VPC)
1. 구성 : VPC = 서브넷 + 라우팅 테이블 + 인터넷 게이트 웨이 + ...
서브넷 : VPC 내부의 IP 주소 범위
라우팅 테이블 : 트래픽이 이동하는 위치를 결정하는 규칙집합
인터넷 게이트웨이 : VPC 내부의 리소스와 인터넷 사이에서 통신을 할 수 있게 해주는 구성요소 
2. 트래픽 보호
리소스 = 공용리소스 + 내부 리소스
공격 표면을 줄이려면 모든인터넷 트래픽을 처리하는 ALB(Application Load Balancer) 등과 같은 프록시 서비스를 사용 할 수 있습니다. 그러면 서버 데이터 베이스 같은 모든 내부 서비스를 직접 공용 인터넷 액세스를 차단하는 내부 서브넷으로 프로비저닝 가능. 
이 외 AWS WAF(Web Application Firewall) 이용해 트레픽을 추가 제한가능
성능효율성 온프레미스 모델방식에서 서버는 비싸고 수동 배포 및 구성
클라우드는 몇초내에 자동으로 프로비저닝 될 수 있는 상용 리소스, 서비스 작동에 필수적인 단일 서버는 없음.
"소 모델"
1. 셀렉트:  프로비저닝 빠르고 저렴 워크로드와 가장 일치하는 서버 유형을 자유롭게 선택 
2. 확장:  서비스 확장 편리
안정성 파급범위 고려
파급범위 : 시스템 장애 발생 시 지속될 수 있는 최대 영향.  
파급범위 제한위한 기법
1. 장애 격리
: 중복된 독립구성요소 사용 문제의 파급범위 제한 
: AWS 제공 :
- 리소스 및 요청 : 셔플샤딩 과 같은 기법으로 파급범위 제한
- 가용 영역(Availability Zone) : 전용 전력, 서비스 및 네트워크 기능이 있는 완전한 독립적인 시설.  지리적 분리
- 리전 : 궁극적 격리 : 두개 이상의 AZ 로 구성
2. 한도

운영우수성 자동화를 통해 오류방지, 내부 프로세스 지속적 향상
1. IaC(Infrastructure as code, 코드형 인프라 스트럭처)
: 구성파일 통해 인프라 관리, cloudFormation 서비스 사용 구현, json, yaml 로 리소스 구현. sdk 제공
2. 관찰기능
: 시스템 내부 분석 - 컬렉션, 분석 , 작업(모니터링 및 경보, 대시보드, 데이터 중심의 의사 결정)
비용최적화 1. 자본 지출(CapEx), 대신 운영비용(OpEx)의 측면에서 클라우드 비용을 고려하는것이 유용
1. 사용량에 따라 지불
2. 비용 최족화 수명주기. 

프록시 서버 : 클라이언트가 자신을 통해 다른 네트워크 서비스에 간접적으로 접속할수 있게 해주는 컴퓨터 시스템, 응용프로그램.

 

데이터베이스 샤딩 : 하나의 거대한 데이터베이스 테이블을 수평분할하여 여러 개의 작은단위로 나눈 후 물리적으로 다른위치 분산하여 저장, 관리 기술. 

http://wiki.hash.kr/index.php/%EB%8D%B0%EC%9D%B4%ED%84%B0%EB%B2%A0%EC%9D%B4%EC%8A%A4_%EC%83%A4%EB%94%A9

 

멘탈 모델 : 사람들 입장 

구현 모델 : 구현입장. 

http://tobetong.com/?p=7001

'Cloud > AWS' 카테고리의 다른 글

[1028 aws] Awsome Day 20210930  (0) 2021.09.30
[1028web NETWORK] 네트워크  (0) 2021.07.05
[1028web aws02] aws 계정  (0) 2021.07.05
[1028web aws01] aws 기초  (0) 2021.07.02

+ Recent posts