Cloud

0. 실습 아키텍처User ⮕ S3 Static Website: 사용자는 브라우저에서 웹 애플리케이션을 열면, S3 버킷에 저장된 정적 웹사이트가 로드된다.S3 Static Website ⮕ Amazon API Gateway: 웹 애플리케이션의 JavaScript 코드가 데이터를 저장하거나 조회할 때, Amazon API Gateway로 API 요청을 보낸다. Amazon API Gateway ⮕ Lambda: API Gateway는 사용자의 요청을 받아 Lambda 함수로 전달한다. Lambda ⮕ DynamoDB: Lambda 함수는 DynamoDB와 직접 상호작용하여 데이터를 저장하거나 조회한다. 그 후, Lambda 함수는 처리된 결과를 API Gateway를 통해 다시 사용자에게 반환한다.1. ..

1. Ingress 란?Amazon EKS에서 Ingress는 클러스터 외부에서 내부 서비스로 HTTP 및 HTTPS 라우팅을 관리하는데 사용한다.Ingress는 단순히 서비스 앞에 배치된 로드 밸런서 역할을 하며, 보다 복잡한 HTTP 및 HTTPS 라우팅을 지원한다.Ingress를 사용하면 경로 기반 라우팅, 호스트 기반 라우팅, TLS/SSL 종료 등의 기능을 활용할 수 있다.EKS에서는 여러 Ingress Controller를 사용할 수 있으며, 일반적으로 AWS Load Balancer Controller, NGINX Ingress Controller 등이 있다.2. AWS Load Balancer Controller2-1. AWS Load Balancer Controller이란?AWS Load..

1. IAM 이란?AWS IAM (Identity and Access Management)는 AWS에서 제공하는 보안 관리 서비스이다.IAM을 사용하면 AWS 리소스에 대한 액세스를 안전하게 관리할 수 있다.사용자, 그룹, 역할 및 정책을 사용하여 AWS 계정 내의 액세스를 제어한다.2. IAM 구성1) User (사용자)실제 AWS를 사용하는 사람 또는 어플리케이션을 의미한다.각 사용자는 고유한 자격 증명(액세스 키, 비밀번호 등)을 가지며, 이를 통해 AWS 리소스에 액세스할 수 있다.2) Group (그룹)사용자의 집합이다.여러 사용자를 그룹으로 묶어 공통된 권한을 할당할 수 있다.그룹을 사용하면 사용자 관리가 더 쉬워지며, 개별 사용자가 아닌 그룹 단위로 권한을 설정할 수 있다.3) Role (역..

1. X-Forwarded-For 란?주로 프록시 서버나 로드 밸런서가 원본 클라이언트의 IP 주소를 서버에 전달할 때 사용하는 HTTP 헤더 중 하나로, 클라이언트의 IP 주소를 식별하는 데 사용된다.클라이언트-서버의 중간에 프록시 서버나 로드 밸런서가 있을 경우 서버는 클라이언트의 IP 대신 프록시 서버나 로드 밸런서의 IP 주소를 보게되어 클라이언트의 실제 IP 주소를 알기 어렵다. 이때 X-Forwarded-For 헤더를 사용하여 클라이언트의 실제 IP 주소를 확인할 수 있다.클라이언트의 IP 주소 등과 같은 민감한 개인정보를 노출 시킴으로 이 헤더를 사용할 때에는 사용자의 프라이버시를 주의해야한다.웹 서버는 X-Forwarded-For 헤더 값을 사용하여 클라이언트의 실제 IP 주소를 얻을 수 ..

1. Landing Zone 이란?Landing Zone이란 용어 그대로 비행기나 우주선이 안전하게 착륙할 수 있는 구역을 의미한다.이를 클라우드 환경에 대입하면, Landing Zone은 안전하고 효율적인 클라우드 환경 구성을 위해 모범 아키텍처와 구성 방안을 제시하며, 이를 통해 기업의 워크로드가 성공적으로 클라우드 환경에 배포되고 운영되도록 돕는다.즉, 클라우드 자원을 체계적이고 효율적으로 관리하며 조직의 클라우드 도입을 가속화하는데 도움이 되는 프레임워크라고 할 수 있다.2. Azure Landing Zone 이란?Azure Landing Zone은 8개의 디자인 영역에서 주요 디자인 원칙을 따르는 클라우드 환경이다.이러한 디자인 원칙을 통해 확장 가능하고 안전한 Azure 환경을 설계하고 구축할..

1. Azure Virtual WAN 이란?Azure Virtual WAN은 네트워킹, 보안 및 라우팅 기능을 결합하여 단일 운영 인터페이스를 제공하는 네트워킹 서비스이다.Azure Virtual WAN은 분기(VPN/SD-WAN 디바이스), 사용자(Azure VPN/OpenVPN/IKEv2 클라이언트), ExpressRoute 회로 및 가상 네트워크를 위한 확장 및 성능이 기본 제공되는 허브 및 스포크 아키텍처이다. Virtual Hub란?Microsoft에서 관리하는 가상 네트워크이다.Virtual Hub은 표준 Virtual WAN에서 Vnet, ER, VPN 등을 풀 메시로 연결한다.2. Azure Virtual WAN 구성 및 테스트2-1. 사전 구성테스트용 vnet 2개 생성dev-vnet: ..

1. AKS에 Managed Identity 또는 Service Principal이 필요한 이유Azure API와 상호 작용하기 위해서 AKS 클러스터에 Managed Identity 또는 Service Principal이 필요하다.AKS → Azure 리소스(LB, Managed Disk, ACR 등)에 액세스 할 때 해당 ID를 통해 액세스한다.Managed IdentityAKS 클러스터의 기본 인증 방법으로 AKS 클러스터를 배포하면 시스템이 할당한 관리 ID가 자동으로 만들어지고 Azure 플랫폼에서 관리한다.관리 ID 자격 증명은 90일 후에 만료되며 45일 후에 자동으로 롤업된다.Service PrincipalCLI를 통해서 AKS를 배포할 때 사용 가능하다.AKS 클러스터를 기존 Azure ..

1. Azure Private Endpoint 소개Azure에서 제공 중인 PaaS 서비스(Azure Storage, Azure SQL Database, Azure App Service 등)는 기본적으로 공용 인터넷을 통해 접근하게 된다. 이때, Azure Private Endpoint를 사용하면 네트워크 트래픽이 Microsoft 백본 네트워크를 통해 흐르게 되며 공용 인터넷에서 노출되지 않는다.Private Endpoint는 프라이빗 IP 주소를 사용하여 통신하기 때문에, 공용 IP 주소나 인터넷을 통한 외부 접속을 허용하지 않는다. 이를 통해 외부에서의 접근을 제한하고, 보안을 강화할 수 있다. 또한, Azure Private Endpoint는 트래픽을 암호화하여 데이터의 안전성을 보장한다.Azur..

1. 아키텍처 본 테스트는 '구성도01’과 같이 AWS의 ‘vpn 연결’에서 제공하는 2개의 터널 중 각각 1개의 터널만 Azure와 연결한다. AWS는 S2S VPN 연결에 2개의 터널이 있으며, 각 터널은 고유의 퍼블릭 IP 주소를 사용한다. Tunnel 1개만 up 되어 있어도 당장 사용은 가능하지만 Tunnel 장애 발생하면 바로 연결이 끊기기 때문에 이중화를 위해 Tunnel 2개를 모두 설정해서 사용하는 것을 권장한다. 2. 사전 구성 2-1. BGP APIPA 구성표 2-2. 생성 예정 리소스 1) AWS VPC 1개 가상 프라이빗 게이트웨이 1개 고객 게이트웨이 2개 사이트 간 연결 2개, 각각에 터널 2개(총 4개의 터널) 2) Azure 가상 네트워크 1개 활성-활성 및 BGP 지원 가..

1. SSL FOR FREE를 사용하여 무료 SSL 인증서 발급 1) SSL FOR FREE 사이트 접속 SSL For Free - Free SSL Certificates in Minutes 2) 도메인 주소를 입력한 후 [Create Free SSL Certificate] 클릭 3) 계정 생성 또는 기존 계정으로 로그인 4) 도메인 이름 확인 후 [Next Step] 클릭 단일 인증서만 무료 발급이 가능하다. 5) [90-Day Certificate] 선택 후 [Next Step] 클릭 1-Year Certificate는 PRO 버전으로 유료이다. 6) [Auto-Generate CSR] 선택 후 [Next Step] 클릭 계정 정보를 기반으로 CSR을 자동 생성합니다. CSR은 Certificate ..