접근제어자

&nbsp자바에서 pulbic, private와 같은 접근 제어자를 사용하면 해당 클래스 외부에서 특정 필드나 메서드에 접근하는 것을 허용하거나 제한할 수 있다.

&nbsp 접근제어자의 종류

• private: 모든 외부 호출을 막는다.
• default: 같은 패기지 안에서 호출은 허용한다.
• protected: 같은 패키지 안에서 호출은 허용한다. 패키지가 달라도 상속 관계의 호출은 허용한다.
• public: 모든 외부 호출을 허용한다.

순서대로 private 이 가장 많이 차단하고, public 이 가장 많이 허용한다. &nbsp private -> default -> protected -> public

&nbsp

접근제어자가 필요한 이유!

&nbsp예를 들면 우리는 객체를 생성할 때 변수를 선언하곤 한다. 하지만 그 변수가 default나 public이라고 생각해보자. &nbspA라는 개발자는 a라는 변수를 변경하기 위한 조건식 포함한 a-1메서드를 만들었다. 하지만 B라는 개발자는 a-1메서드를 사용하지 않고 변수 a에 직접 접근하여 a변수를 변경 시켜버렸다. 이 프로그램은 a-1조건식을 지키지 않으면 강제 종료시켜버린다. B개발자가 a변수에 직접 접근하여 변수를 변경한 탓에 프로그램이 강제 종료되어 버렸다. &nbsp이럴경우 우리는 a변수를 함부로 변경하지 못하도록 조치를 취해야 한다. 그럴때 사용하는 것이 접근 제어자 이다.

&nbsp

접근 제어자 사용 위치

접근 제어자는 필드와 메서드, 생성자에 사용된다.

public class Speaker { //클래스 레벨
     private int volume; //필드

     public Speaker(int volume) {} //생성자

     public void volumeUp() {} //메서드
     public void volumeDown() {}
     public void showVolume() {}
}

접근 제어자의 핵심은 속성과 기능을 외부로 부터 숨기는 것이다.

• private: 나의 클래스 안으로 속성과 기능을 숨길 때 사용, 외부 클래스에서 해당 기능을 호출할 수 없다.
• default: 나의 패키지 안으로 속성과 기능을 숨길 때 사용, 외부 패키지에서 해당 기능을 호출할 수 없다.
• protected: 상속 관계로 속성과 기능을 숨길 때 사용, 상속 관계가 아닌 곳에서 해당 기능을 호출할 수 없다.
• public: 기능을 숨기지 않고 어디서든 호출할 수 있게 공개한다.

&nbsp

접근 제어자 사용 - 필드, 메서드

package access.a;

public class AccessData {

    public int publicField;
    int defaultField;
    private int privateField;

    public void publicMethod() {
        System.out.println("publicMethod 호출" + publicField);
    }

    void defaultMethod() {
        System.out.println("defaultMothod 호출" + defaultField);
    }

    private void privateMethod() {
        System.out.println("privateMethod 호출" + privateField);
    }

    public void innerAccess(){
        System.out.println("내부호출");
        publicField = 100;
        defaultField = 200;
        privateField = 300;
        publicMethod();
        defaultMethod();
        privateMethod();
    }
    //내부 호출일 경우는 AccseeData에 포함되어 있는 자신의 private필드와 메서드에 모두 
    접근 할 수 있다.
}

마지막에 innerAccess() 가 있는데, 이 메서드는 내부 호출을 보여준다. 내부 호출은 자기 자신에게 접근하는 것이다. 따라서 private 을 포함한 모든 곳에 접근할 수 있다

외부에서 이 클래스에 접근해보았다.

package access.a;

public class AccessInnerMain {
    public static void main(String[] args) {

        AccessData data = new AccessData();

        data.publicField = 1;    
        data.publicMethod();
        // public은 같은 메서드 안에서 접근이 가능 하므로 필드 메서드 모두 접근이 가능했다.

        data.defaultField = 2;
        data.defaultMethod();
        //defalut는 같은 패키지에서 접근할 수 있다. 
        AccessInnerMain과 AccessData는 같은 패키지이지 때문에 default접근 제어자에 
        접근 할 수 있었다.

//        data.privateField = 3;
//        data.privatMethod();

        data.innerAccess();
        // private는 AccsccData내부에서만 접근 할 수 있다. 
         따라서 필드와 메서드 둘다 접근 불가다. 
         하지만 innerAccess()메서드는 public이기 때문에 외부에서 호출 할 수 있다.  
    }
}

실행결과

publicMethod 호출 1
defaultMethod 호출 2
내부 호출
publicMethod 호출 100
defaultMethod 호출 200
privateMethod 호출 300

&nbsp 위의 경우는 같은 패키지 안에서 실행되었다 하지만 만약 다른 패키지에서 default접근 제어자의 변수나, 메서드에 접근하게 된다면 접근 할 수 없다. 당연히 private 접근 제어자의 경우도 접근 불가다.

&nbsp 하지만 innerAccess의 경우는 public이기 때문에 접근 가능하고, 해당 메서드 안에서는 자신의 private필드와 메서드에 접근 가능하다.

&nbsp

접근 제어자 사용 - 클래스 레벨

클래스 레벨의 접근 제어자 규칙

• 클레스 레벨의 접근제어자는 public, default만 사용 가능하다. &nbsp ( private, protected는 사용할 수 없다. )
• public 클래스는 반드시 파일명과 이름이 같아야 한다.
  • 하나의 자바 파일에 public클래스는 하나만 등장할 수 있다.
  • 하나의 자바 파일에 default접근 제어자를 사용하는 클래스는 무한정 만들 수 있다.

&nbsp

캡슐화

캡슐화(Encapsulation)는 객체 지향 프로그래밍의 중요한 개념 중 하나다. 캡슐화(Encapsulation)는 데이터와 해당 데이터를 처리하는 메서드를 하나로 묶어서 외부에서의 접근을 제한하는 것을 말한다. 캡슐화(Encapsulation)를 통해 데이터의 직접적인 변경을 방지하거나 제한할 수 있다.

캡슐화는 속성과 기능을 하나로 묶고, 외부에 꼭 필요한 기능만을 노출하고 나머지는 모두 내부로 숨기는 것이다

숨겨야 하는 것과 노출해야 하는것?

• 데이터를 숨겨라 객체에는 속성(데이터)과 기능(메서드)이 있다. 캡슐화에서 가장 필수로 숨겨야 하는 것은 속성(데이터)이다. 객체의 데이터는 객체가 제공하는 기능인 메서드를 통해서 접근해야 한다.
• 기능을 숨겨라 객체의 기능 중에서 외부에서 사용하지 않고 내부에서만 사용하는 기능들이 있다. 이런 기능도 모두 감추는 것이 좋다. 사용자 입장에서 꼭 필요한 기능만 외부에 노출하자. 나머지 기능은 모두 내부로 숨기자

데이터는 모두 숨기고, 꼭 필요한 기능만 노출하는 것이 좋은 캡슐화이다.

그래서 캡슐화를 해서 좋은점?!

1. 코드의 중복을 피할 수 있다.
2. 객체에 대해 사용자가 알아야 할 지식의 양을 줄여준다.
3. 외부에서의 조작으로 속성을 변경하는 일을 막을 수 있다.

🖥️Amazon S3는 데이터 저장 장소

Amazon S3(Simple Storage Service)란

📖 객체스토리지

Amazon Simple Storage Service(S3) : AWS에서 제공하는 객체 스토리지 서비스 스토리지 : 데리터를 저장하는 장소/ 객체 : 텍스트 파일이나 음성 파일 같은 데이터

객체 스토리지 : 기존의 파일 스토리지 처럼 폴더 구조는 갖지 않고 객체 키로 데이터를 고유하게 식별해 데이터의 입출력과 관리를 수행. 키만으로 데이터를 관리하기 때문에 간편하게 대용량의 데이터를 저장하고 관리 할 수 있음.

📖 S3의 특징

• 용량 무제한 : 객체당 5TB라는 제약이 있지만 객체 수나 데이터 용량에는 제한이 없다.
• 높은 내구성 : 일반적으로 데이터가 3개 이상의 AZ로 복사된다. 복사를 통해 데이터의 내구성을 높여주며 AWS에서는 99.999999%라는 높은 내구성 수치를 보여준다.
• 저렴한 비용 : 서울 리전의 표준 스토리지는 요금이 1개월당 0.025USD/GB다. 스토리지 클래스 변경을 통해 더욱 저렴한 요금으로 데이터를 저장할 수 있다.

📖 다른 서비스와 연계

&nbsp S3는 확장성과 내구성, 저렴한 비용이라는 큰 장점을 가지고 있어 AWS의 다른 서비서와 연계해서 사용하는 경우가 많다.

🖥️ S3의 기본 용어 및 기본 조작

Amazon S3기본

📖 S3에서 사용되는 중요 용어

• 버킷 : 객체(데이터)를 저장하는 장소. 사용자는 버킷에 객체를 저장한다. 버킷의 이름은 전 세계(모든 리전)에서 고유해야 한다.
• 객체 : 버킷에 저장된 데이터의 본체. 버킷에는 객체를 무제한으로 저장할 수 있지만 한 객체의 최대 크기는 5TB를 넘을 수 없다.
• 키 : 객체의 저장 URL 경로이다. 버킷이름과 키이름, 객체 이름을 조합해 고유하게 설정된다.

  ://test-bucket/folder/object.txt

• S3은 실제로는 폴더 구조가 아니지만 '/'라는 문자열을 구분자로 판단해 관리콘솔에는 폴더구조처럼 객체가 표시된다.

📖 S3의 데이터를 브라우저나 프로그램에 조작'

&nbsp S3는 데이터를 등록하거날 삭제하는 API를 제공하므로 이를 호출해 S3의 객체를 조작할 수 있다. API는 조작을 받아들이는 창구와 같은 역할로 공통의 창구를 이용해 브라우저나 프로그램 등 다양한 곳에서 데이터를 조작할 수 있게 한다.

🖥️ S3 데이터를 적절하게 저장

Amazon S3 수명 주기 및 백업

📖 사용하지 않는 객체는 저렴하게 저장

- 거의 사용하지 않지만, 만약을 위해 보존하고 시픈 데이터가 있다면 S3 Glacier Deep Archive와 같은 저렴한 스토리지 클래스를 선택하는 것이 좋음. - 언제든지 사용할 수 있어야 하는 데이터를 저장하려면 표준(STANDARD)을 선택.

수명 주기 설정 : 자동 스토리지 클래스 변경 S3용 액세스 분석기 : 얼마나 접근이 있었는지 데이터의 접근 상황을 확인.

📖 버전 관리 및 다른 리전으로 복사

S3상의 데이터는 3곳 이상으로 복사되므로 AWS로 인해 데이터가 손실되는 경우는 거의 없다. 하지만 사용자의 실수로 데이터를 삭제하거나 의도하지 않은 데이터 변경 가능성이 있다.

S3의 버전 관리 기능을 활성화 하면 모든 세대의 객체에 대한 이력정보가 보존된다.

교차 리전 복제 : 해외 리전에 데이터를 복사하는 기능 재해복구 : 시스템을 구축할 때 가용성을 위해 하나의 리전 전체가 재해를 당한 경우를 가정해 설계하는 경우

🖥️ S3데이터를 안전하게 공개

Amazon S3의 외부 공개 및 접근 제어

📖 S3 버킷에 대한 접근 제어

S3 버킷에는 개인 정보와 같은 중요한 정보도 저장될 수 있으므로 허가받은 사람이 허가받은 객체에 올바르게 접근할 수 있도록 접근제어를 하는 것이 중요하다.

S3 버킷의 접근제어 방법

• 사용자 정책(IAM정책) : 데이터를 조작하는 쪽을 제어하는 설정.'A는 S3 버킷의 데이터 검색만 가능하고 업로드는 불가'라는 식으로 사용자에 대한 권한을 설정
• 접근 제어 목록(ACL) : 객체(데이터) 또는 버킷 단위로 설정할 수 있는 접근 제어다. '데이터 A는 AWS계정 X에 접근 허용', '데이터 B는 모든 사용자에게 접근 허용'과 같이 데이터별로 상세한 설정을 할 수 있다.
• 버킷설정 : 버킷 단위로 설정하는 접근 제어다. 버킷 단위라고 해도 '파일 이름이 logs로 시작하는 데이터에 접근 허용', 'IP 주소 xx.xx.xx.xx로부터 저금 허가'와 같이 복잡한 설정을 할 수 있따. 설정은 JSON형식으로 기재한다.

-> S3에는 퍼블릭 액세스 차단이라는 기능이 있어 의도치 낳게 S3버킷이나 객체가 공개 상태가 되는 것을 방지할 수 있다.

📖 S3를 이용해 웹 사이트 구축

S3의 웹사이트 호스팅 기능을 활성화 하면 'http://버킷이름.s3-website-리전이름.amazon.com'이라는 URL이 만들어지고, 브라우저에서 해당 URL로 접속 할 수 있다. 버킷 정책이나 객체단위의 ACL을 이용해 특정 사용자만 콘텐츠에 접근하게 제어할 수 있다.

민감한 정보가 포함된 사이트를 운영해야하는 경우 콘텐츠 전송 네트워크(CDN) 서비스인 Amazon CloudFront를 함께 사용해 HTTPS통신을 할 수 있게 구성한다.

📖 데이터 암호화

&nbsp데이터 암호화를 실시하면 데이터와 키 데이터를 조함해 데이터 내용을 타인이 볼 수 없게 한다. &nbsp&nbsp S3에서는 버킷의 기본 암호화 기능을 활성화 하면 객체를 저장할 때 AWS에서 자동으로 암호화를 수행한다.

🖥️ 가상 서버 데이터 저장을 위한 EBS

Amazon EC2 스토리지(EBS) 및 백업

📖 서버 데이터를 저장하는 EBS

Amazon Elastic Block Store(EBS)는 EC2와 함께 사용하는 스토리지 서비스이다. EC2의 HDD/SSD와 같은 역할을 하며 EC2에서 실행되는 응용 프로그램의 데이터, 로그 ,설정 정보 등을 저장하는 데 주로 사용한다. -> EC2 인스턴스를 생성할 때 기본적으로 하나의 EBS가 연결되며 추가 연결도 가능하다.

EBS에서는 필요한 속도에 따라 볼륨 유형을 선택할 수 있다.

📖 서버 백업 및 이미지 관리

EBS도 장애가 발생해 데이터가 파손되거나 실수로 데이터르 삭제하는 등의 사고를 방지하기 위해 스냅숏 이라는 백업 기능 지원. 스냅숏에는 스냅숏을 만들 당시 EBS에 보존하고 있떤 모든 정보가 백업된다.

• EBS 보륨ㅇ으로 복수해 EC2에 다시 연결해 사용할 수 있고, 스냅숏과 몇 가지 설정 정보를 조합해 사용핮 전용 AMI를 생성할 수 있다.

🖥️ 데이터 공유, 백업 및 전송을 위한 서비스

기타 스토리지 서비스

📖 Amazon Elastic File System

EFS는 비교적 고속으로 데이터를 전송할 수 있는 NFS(Network File System)라는 프로토콜을 이용해 여러 EC2인스턴스가 함께 이용할 수 있는는 스토리지다.

• 일반적인 NFS프로토콜을 사용하기 때문에 ACL 설정만 잘 돼 있다면 온프레미스 서버나 로컬 PC에서도 마운트 해서 사용할 수 있다.

📖 Amazon FSx

Amazon FSx(FSx) : 파일 서버를구축하기 위한 서비스 Amazon FSx for Windows File Server : 주로 윈도우에서 사용되는 파일 공유 프로토콜인 SMB(Server Message Block)를 이용하는 서버 Amazon FSx for Lustre : 대규모 클러스터 컴퓨팅, 슈퍼컴퓨터 등에서 사용되는 Lustre라는 고성능 파일 시스템을 이용하는 Amazon FSx for Lustre.

-> SMB는 윈도우 뿐만 아니라 리눅스 및 맥OS도 지원하므로 다른 OS에서도 공유 파일서버를 이용하고 싶다면 Amazon FSx for Windows File Server를 선택지로 할 수 있다.

AWS Stroage Gateway(Stroage Gateway)는 온프레미스에 서버 기기 혹은 가상 서버에 설치ㅇ해서 온프레미스 기기와 AWS의 S3, FSx, EBS를 직접 연결하는 서비스.

📖 AWS Transfer Family

AWS Transfer Family : SFTP(Secure File Transfer Protocol),FTP(File Transfer Protocol)와 같은 FTP 기반 프로토콜을 통신하기 위한 서버를 구축하는 서비스.

📖 AWS Backup

AWS Backup은 AWS의 EBS, EFS, FSx와 같은 스토리지, RDS나 DynamoDB와 같은 데이터베이스의 데이터를 백업하는 서비스.

AWS DataSync

AWS DataSync는 온프레미스와 AWS 혹은 AWS 스토리지 서비스 간 데이터 전송을 위한 서비스. (통신 암호화 기능, 전송한 데이터의 무결성 체크 기능)

AWS Snow Family

데이터 전송을 최대한 빨리하기 위한 서비스 Snow Family : 물리 스토리지를 AWS에서 빌려 거기에 데이터를 저장하고 AWS로 반환하면 해당 데이터를 직접 AWS 내의 스토리지에 옮겨주는 서비스. (최대 100PB(페타바이트. 1PB=1024TB)의 데이터를 몇 주만에 전송할 수 있다.)

• AWS Snow Family는 3가지 용량의 스토리지가 준비돼 있어 용도에 따라 선택할 수 있다.
• AWS Snowmobile은 14m길이의 트레일러에 적재된 대량의 스토리지에 100PB의 데이터를 저장해 수송할 수 있다. 중요한 데이터이므로 GPS추적과 24시간 촬영하는 감시 카메라를 설치하는 등 보안도 철저히 제공한다.

🖥️ 네트워크 중요용어 익히기

📖IP주소(Address)는 네트워크의 번지(주소)

IP주소 :웹 서버에 접근하기 위해 웹서버가 그곳에 있다는 특정 정보 -> 웹 서버뿐만 아니라 pc, 스마트폰 등 네트워크가 연결된 모든 장치에는 IP주소가 할당된다. &nbsp 일반적으로 IPv4가 표준으로 사용된다. (IPv6도 존재.)

📖퍼블릭 IP 주소와 프라이빗 IP주소

IP주소는 두 가지로 구분된다.

퍼블릭 IP주소 : 한국 또는 전 세계에서 '이 주소는 인터넷에서 이곳'이라고 특정할 수 있는 주소. 프라이빗 IP주소 : 닫힌 네트워크내에서만 식별할 수 있는 IP주소. (사설 IP라고도 함) -> 프라이빗 IP주소로 사용 할 수 있는 범위는 다음과 같다

10.0.0.0 ~ 10.255.255.255(10.0.0/8) 172.16.0.0 ~ 172.31.255.255(172.13.0.0/12) 192.168.0.0 ~ 192.168.255.255(192.168.0.0/16)

위의 주소를 제외한 나머지 주소는 퍼블릭 IP주소이다.

📖CIDR 블록으로 IP 주소 범위 결정

CIDR 블록 : IP주소를 이용해 네트워크 범위를 정의하는 것

IP 주소를 나타내는 숫자열을 크게 네트워크부분과 호스트부분으로 나뉜다.

172 . 31 . 0 . 0 / 16

10101100 . 00011111 . 00000000 . 00000000                    

• Amazon VPC 기본 VPC의 CIDR블록이다.
  
• 서브넷 마스크는 2진수로 표기 한다.
  
• /16 부분은 '서브넷 마스크'를 나타낸다. (10진수로 표기)
• 앞의 두 숫자는 네트워크 부분이다.
• 3번째로 오는 숫자는 호스트에 해당한다. 여기서는 0이 호스트이다.

172.31.0.0(호스트 부분이 모두 0인 주소)은 네트워크 주소, 172.31.255.255(호스트 부분이 모두 1인 주소)는 브로드캐스트 주소 라는 특별한 주소로, 할당이 불가능한 주소이다. 모든 네트워크에는 네트워크 주소와 브로드 캐스트 주소가 있으므로 할당 할 수 있는 주소 수는 '네트워크 총 주소 수 - 2'개다.

📖방화벽에서 허용된 통신만 통과

방화벽 : 보안 위협으로부터 시스템을 지키기 위해 사용하는 것. -> AWS에서는 보안 그룹이나 네트워크 ACL같은 방화벽 기능을 가진 서비스가 있다.

📖부하 분산을 위해 여러 서버에 접속을 분배

&nbsp&nbsp시스템을 사용하는 사용자가 많아질수록 서버의 부담이 커지기 때문에 부하분산을 고려해야 한다. &nbsp&nbsp서버가 느려지거나 멈추는 상황을 막기 위해 서버를 여러 대 구성하여 각 서버가 처리를 나워서 할 수 있게 구축을 해야하는데 부하를 분산시키기 위해 일반적으로 로드 밸런서(Load Balancer)라는 장치를 사용한다.

웹 서버를 이중화하여 '로드밸런서'를 이용하면 서버 한대가 정지된 경우에도 다른 서버가 계속 실행되므로 시스템 전체적으로는 문제없이 서비스를 제공 할 수있다.

📖라우팅 및 라우팅 테이블

라우팅 : 라우터가 IP주소까지 경로는 결정하는 것 라우팅 테이블 : 경로의 정보 (AWS의 Amazon VPC의 라우팅 테이블 기능이 존재한다.)

🖥️Amazon VPC로 가상 네트워크 만들기

📖가상 네트워크 Amazon VPC

Amazon Virtual Private Cloud (VPC) : AWS에서 생성할 수 있는 프라이빗 가상 네트워크 공간이다. 이 네트워크에 EC2와 같은 AWS자원을 배치해 이용한다.

&nbsp&nbsp• VPC를 만들 때 CIDR블록(IP주소 범위)을 지정하고 지정한 CIDR블록 네트워크를 &nbsp&nbsp&nbsp&nbsp확보한다. &nbsp&nbsp&nbsp• VPC는 일반적으로 프라이빗 IP주소를 사용한다. &nbsp&nbsp&nbsp• 접속할 네트워크와 VPC의 CIDR블록이 중복되지 않게 주의한다. &nbsp&nbsp&nbsp• 호스트의 주소는 여유를 갖도록 가능한 한 많이 확보해 두는 것이 좋다.

📖VPC 및 서브넷 생성

VPC는 관리콘솔을 통해 생성할 수 있는데 화면에서 4가지 항목을 설정해야 한다.

• VPC이름(Name 태그)
• CIDR 블록
• IPv6 설정
• 테넌시(전용 하드웨어 사용 여부) : 라이선스 및 보안 요구 사항으로 하드웨어를 독점하려는 경우에만 독점 옵션을 지정한다.

✏️ VPC만으로는 EC2와 같은 자원을 네트워크에 만들 수 없기 때문에 VPC안에 더 작은 네트워크 단위인 서브넷을 만들어야 한다.

" 서브넷은 하나의 AZ에 속해야 한다. "
&nbsp&nbsp&nbsp - 여러 AZ에 자원을 배치해 가용성을 높이려면 서브넷도 여러 개 만들어야 한다.

🖥️Amazon VPC의 주용 기능 사용법

📖라우팅 정보를 설정해 인터넷과 통신

라우팅 테이블 : 네트워크의 경로 정보.

• VPC를 만들 때 기본적으로 하나의 라우팅 테이블이 만들어 진다.
  • 기본 상태에서는 VPC내의 라우팅 정보만 있으므로 VPC외부로의 통신 X
  • 외부와 통신하려는 경우에는 외부 라우팅정보를 추가 해야한다.

인터넷 게이트웨이 : 서브넷 안에 있는 EC2와 같은 자원이 인터넷과 통신 할 수 있게 하기 위한 기능. 인터넷 게이트웨이를 생성하고 서브넷의 라우팅 테이블에 설정하면 인터넷과 VPC가 서로 통신할 수 있게된다.

• 퍼블릭 서브넷 : 인터넷 게이트웨이로 가는 경로가 설정된 서브넷
• 프라이빗 서브넷 : 인터넷 게이트웨이를 통해 인터넷과 통신할 수 없는 서브넷

📖NAT 게이트웨이

NAT 게이트웨이 : 프라이빗 서브넷에 있는 EC2와 같은 자원은 일반적으로 인터넷과 통신할 수 없는데 인터넷과 통신을 해야하는 경우 사용하는 것이다.

• 인터넷 게이트웨이와 달리 인터넷에서 VPC로 통신할 수 없는 단방향 통신이므로 AWS 외부와 더 안전하게 통신할 수 있다.
• 외부 통신을 수행하는 서브넷의 라우팅 테이블에 경로 정보(라우팅 정보)를 등록해야한다.
• VPC내에 퍼블릭 서브넷이 존재해야만 NAT게이트웨이를 사용할 수 있다.

📖VPC 접근 제어 및 통신 로그 확인

VPC에는 서브넷 단위로 접근 제어를 설정할 수 있는 네트워크 접근 제어 목록(네트워크 ACL)이라는 기능이 있다. 이 기능은 보안그룹과 조합해 접근 제어 설정이 가능한데 보안그룹과의 차이는 다음과 같다.

• 기본 설정 상태에서 네트워크 ACL은 모든 통신을 허용함.
• 서브넷 전체에서 네트워크 접근을 설정하려는 경우 보안 그룹에서 추가 설정을 할 수 있다.
• 네트워크 ACL이나 보안 그룹에서 허용되거나 거부된 통신 상황은 VPC흐름 로그라고 하는 VPC 내의 IP트래픽 상황을 로그로 저장할 수 있는 기능을 사용해 확인할 수 있다.
  
  

🖥️VPC에서 VPC, 외부 서비스, 온프레미스와의 연결

📖VPC와 외부 네트워크 연결

VPC피어링 : 서로 다른 두 개의 VPC를 연결해 통신 할 수 있다. 피어링은 두 개의 VPC간에 수행되기 때문에 세 개의 VPC가 서로 통신하는 경우 각 VPC끼리 따로 피어링을 구성해야한다.

AWS Transit Gateway : VPC 연결을 하나의 중앙 허브에서 관리할 수 있다. VPN과 같이 온프레미스 환경과의 연결에도 사용할 수 있으므로 AWS네트워크 연결을 중앙에서 관리 할 수 있다. (많은 VPC를 사용해야한다면 사용하는 것이 좋다.)

📖VPC와 VPC 외 AWS서비스를 연결

VPC 엔드포인트 : 프라이빗 네트워크로 통신하게 할 수있는 기능. VPC엔드포인트를 설정한 VPC는 VPC엔드포인트를 통해 S3과 같은 다른 AWS서비스에 직접 접근 할 수 있다. 게이트웨이 엔드포인트 : S3나 DynamoDB에서 사용하는 VPC 엔드포인트를 말하며 AWS서비스와의 통신은 퍼블릭 IP를 이용한다. 인터페이스 엔드포인트 : AWS PrivateLink라는 기능 사용해 서브넷에 서비스 접속용 ENI(네트워크 인터페이스)를 생성해 프라이빗 IP로 통신한다.

📖VPC와 온프레미스 네트워크 연결

AWS Site-to-Site VPN : 온프레미스 환경의 네트워크와 VPC를 VPN으로 연결하는 기능이다. VPN에 접속하면 외부 네트워크와 프라이빗 IP 주소로 통신할 수 있다.

AWS Client VPN : 온프레미스 환경의 단말(PC)와 VPN을 연결하는 기능. 온프레미스 환경 전체가 아니라 특정 단말과 비공개로 연결하고 싶은 경우

AWS Direct Connect : 전용선으로 연결하는 기능

🖥️ 다른 AWS 서비스와 결합된 구성 예

📖VPC 구성 예

• AWS서비스는 실행 위치에 따라 세가지 유형으로 나뉜다.

1. 글로벌 서비스 : 특정 리전에 의존하지 않고 실행되는 서비스
2. 리전 서비스 : 리전 내 VPC외부에서 실행되는 서비스
3. AZ 서비스 : VPC내에서 실행되는 서비스

서버 없이 프로그램 실행

AWS Lambda란

서버리스 컴퓨팅 서비스 Lamda

AWS Lambda(Lambda) : 서버리스 컴퓨팅 서비스이다.

• 서버리스란? - AWS에서 서비스가 실행될 인프라를 관리하므로 사용자가 관리할 서버가 없다는 것. 사용자는 인프라 관리를 AWS에 맡기고 코드 개발에만 집중하면 된다.

Lamdba의 장점

• 보안 - AWS에서 OS와 미들웨어 등의 기반 시스템을 모두 관리함. 장애와 보안 패치 등도 모두 AWS 소관 하에이루어지므로 이용자는 Lamdba로 사용할 코드만 관리하면 됨
• 비용 - EC2는 사용하지 않아도 기동하고 있는 시간만큼 요금이 발생하지만, Lambda에서는 코드가 실행될 때만 요금이 부과되므로 비용을 절감할 수 있다.
• 가용성 - AWS에는 물리적으로 독립된 여러 개의 가용영역(AZ)이 있으며 Lambda는 복수의 가용 영역에서 실행된다. 사용자가 설정하지 않아도 고가용성, 장애 대응성이 유지된다.
• 확장성 - Lambda는 동시에 다수의 처리를 해야하는 경우 자동으로 AWS가 관리하는 처리용 인스턴스가 시작되면서 확장된다. 서울 리전의 동시 실행 수는 최대 1000개이며 별도의 확장 신청을 통해 동시 실행 수를 늘리는 것도 가능하다.

Lambda와 비교한 EC2의 장점.

1. 온프레미스의 응용 프로글매을 AWS로 이전하는 경우 OS설정 등을 그대로 사용할 수 있다.
2. 인스턴스 유형, OS, 네트워크 등을 자유롭게 설정할 수 있는 유연성이 있다.
3. 대량의 트래픽이나 접속을 상시 처리하는 경우 EC2쪽이 저렴해질 수 있다.
4. 서버에 프로그램을 배포한다는 기존 뱅식으로 개발을 진행할 수 있다. Lambda는 AWS의 독자적인 설정방법과 개발 방법이 있으므로 초보자에게는 어려울 수 있다.

함수 생성 및 실행

Lambda에서는 함수의 단위로 프로그램 코드를 관리하고 처리한다. 함수를 화면상에서 생성해 프로그램 코드를 쓰는 것만으로도 실행할 수 있다. 단, 화면상에서 편집할 수 있는 코드는 파이썬이나 Node.js등 컴파일이 불필요한 일부의 언어만 해당한다.

서버리스 활용법 이해

AWS Lambda의 실용적인 사용법

AWS Lambda는 다른 서비스와 연계해 사용

Lambda는 입력받은 데이터를 처리하기도 하지만 다른 AWS서비스와 연계해 사용자 접속이나 데이터 연동과 같은 처리를 자동으로 수행 할 수도 있다.

• 사용자 요청에 따라 Lambda 함수 실행 Amaszon API Gateway(API Gateway) 서비스와 Lambda를 걸합해 사용자의 HTTP요청을 Lambda함수로 처리할 수 있다.

**Amaszon API Gateway(API Gateway) - 서버리스 서비스이므로 사용자는 서버를 구축하지 않고도 웹 응용 프로그램을 만들 수있다.

• S3에 데이터를 저장할 때 자동 처리 Amazon S3(S3)에 데이터가 저장되면 저장된 데이터를 Lambda로 자동 처리할 수 있따.

• 주기적으로 Lambda 함수 실행 &nbsp&nbsp 주기적으로 정해진 시간에 어떤 처리를 하고 싶다면 Amazon EventBridge(EventBridge)라는 서비스와 Lambda를 연계해 구형할 수 있다. &nbsp&nbsp 매일 정해진 시간에 EC2를 중지하거나 시작하는 작업도 가능하다.

AWS Lambda 추가 설정 및 모니터링

Lambda의 실행 환경은 일반적으로 AWS측에서 관리하므로 사용자는 특별히 서버 설정에 관여하지 않아도 되지만

• 메모리 용량
• 타임아웃 시간
• 환경변수 : 함수에 사용하는 외부 변수와 같은 개념. 가령 개발 환경과 서비스 환경이 서로 다른 데이터베이스를 사용해야하는 경우, 환경 변수에 데이터베이스 접속 정보를 저장해두면 동일한 코드를 사용해도 서로 다른 데이터베이스를 이용할 수 있다. (= 환경마다 서로 다른 소스 코드를 만들지 않아도 됨.)

위의 3가지는 사용자가 변경할 수 있다.

Lambda는 다른 AWS자원을 조작하기 위한 목적으로 사용되는 경우가 많지만, 처음 Lambda함수를 만들면 다른 서비스에 대한 조작 권함을 따로 부여해야 한다.

• Lambda 함수 실행 상태 모니터링 - Lambda함수를 만들어 배포하면 AWS 모니터링 서비스인 CloudWatch에 실행횟수, 실행시간(최소/최대/평균),오류 수와 실행 성공률 같은 정보가 자동으로 전송되므로 사용자는 Lambda 실행 상황을 확인 할 수있다.

컨테이너의 구조와 특징 이해

컨테이너란

컨테이너란?

가상서버 &nbspVS&nbsp 컨테이너

• 가상서버 - 1대의 물리 서버에서 복수의 가상 서버가 동작한다. - 가상 하드웨어 위에 OS, 미들웨어가 설치돼 그 위에서 프로세스가 실행된다.

• 컨테이너 - 1개의 물리 서버에 여러 컨테이너가 동작한다. - 서버의 OS와 물리 자원은 각 컨테이너가 공동으로 이용한다. - 각 컨테이너는 네트워크가 분리돼 있지만 외부 네트워크와읭 통신이나 컨테이너 간 통신을 할 때 컨테이너 런타임을 통해 이루어 진다.

컨테이너 이미지: 어떤 응용 프로그램을 실행할지 미리 정의해두는 파일

가볍고 빠른 컨테이너

컨테이너 내에 포함된 것이 적음. 가상 머신과 비교해 빠르게 시작됨. : 컨테이너 자체가 직접 응용 프로그램을 실행함. OS에 대한 오버헤드가 없기 때문에 가상서버보다 처리 속도가 빠르다.

배포의 용이성

• 컨테이너 이미지는 한번 생성하면 그 이미지를 다른 서버에서 바로 사용할 수 있다.
• 컨테이너 이미지는 바로 압축 파일 형태로 내보내거나 가져오기를 수행할 수 있다.
• 이미지 리포지토리를 이용해 이미지를 업로드 하거나 내려받을 수도 있다.

** 컨테이너는 기본적으로 '완성된 이미지'이므로 컨테이너가 종료되면 안에 저장된 내용이 사라진다. 컨테이너가 실행될 포스트 서버의 디렉터리를 마운트해서 작업 내용을 저장하는 등의 처리를 해야한다.

컨테이너 오스트레이션

컨테이너 관리를 자동화해 운영부하를 줄일 수 있다.

ECS로 누리는 컨테이너의 장점

Amazon EC2란

AWS의 컨테이너 오케스트레이션 서비스

AWS에서 컨테이너 시스템을 구축하는 경우

• Amazon Elastic Container Service(ECS)

• Amazon Elastic Kuybernetes Service(EKS)

  위의 둘 중에서 선택할 수 있다.

• 두 서비스의 가장 큰 차이점은 컨테이너 오케스트레이션 기능을 AWS가 담당하느냐, 쿠버네티스(Kubernetes)가 담당하느냐다.

ECS : AWS의 관리형 컨테이너 오케스트레이션 서비스 : AWS에 오케스트레이션 도구를 구축하고 관리하는 것을 모두 맡길 수 있다. -> Amazon Elastic Container Registry(ECR)라는 컨테이너 이미지레지스트리 서비스도 제공한다.
-> 사용자 정의된 컨테이너 이미지를 AWS에서 관리할 수 있고 ECS에도 쉽게 배포할 수 있다.

&nbsp&nbsp&nbsp ECS &nbsp&nbsp&nbsp&nbsp 컨테이너 배포, 상태 모니터링. 스케일링 관리, 작업 정의를 기반으로 설정된 컨테이너의 &nbsp&nbsp&nbsp상태와 수를 유지한다.

&nbsp&nbsp&nbsp ALB &nbsp&nbsp&nbsp&nbsp ALB(Application Load Balancer)와 연결된 태스크의 집합체를 서비스로 정의 한다.

EC2와 Fargate

ECS를 이용해 컨테이너를 기동할 떄 어떤 플랫폼에서 시작할지 선택할 수 있다.

• EC2 : - EC2 인스턴스 내에서 실행되는 컨테이너 런타임에서 컨테이너를 실행하는 타입. - 사용자가 컨테이너 런타임이 실치된 서버(EC2 인스턴스)를 관리해야함. - CPU/메모리를 늘리고 싶다면 인스턴스 타입을 적절한 것으로 변경하고, 스토리지를 늘리고 싶다면 스토리지(EBS)의 볼륨 크기를 확장하면 된다.

• AWS Fargate(Fargate) : AWS에서 관리하는서버에서 컨테이너를 실행함. - 컨테이너 런타임, OS 버전업과 같은 서버 관리를 AWS에서 하므로 사용자는 컨테이너 이미지만 관리하면 된다. - CPU와 메모리를 직접 할당 할 수 있다. 하지만 지정한 CPU값에 따라 할당할 수 있는 메모리 크기가 정해져 있따. - 스토리지는 사전에 Fargate 태스크 스토리지로 태스크 실행 시 할당 되며 할당량은 PV에 따라 다르다.

Fargate의 장점

주요특징 AWS에서 서버를 관리한다는 점 -> 유지보수작업은 AWS에서 담당하므로 편하게 ECS를 사용할 수 있다.

쿠버네티스를 보다 쉽게 사용할 수 있는 서비스

서버 지식 없이 사용할 수 있는 대표적인 서비스 5개

기타 컴퓨팅 서비스

AWS Lightsail

✔ 일반적으로 자주 사용되는 구성의 가상 서버를 수비고 빠르게 구축하기 위한 서비스 ✔ 여러 인스턴스를 만들면 자동으로 로드 밸런싱을 해주거나 SSL/ TLS인증서를 통한 통신 암호화도 대응한다.

➖ EC2에서 구축할 때와 같이 미들웨어 버전을 고려해 설치하거나 ELB를 이용해 유연한 부하 분산을 설정하는 등의 자유도는 없다.

✔ Lightsail로 서버를 구축 후 조금 더 다양한 기능을 자유롭게 사용하고 싶다면 EC2로 마이그레이션을 하면 된다.

AWS Elastic Beanstalk

✔ JAVA, .NET, PHP, Python, Ruby, Go, Docker와 같은 주요 언어나 환경에서 개발된 응용 프로그램을 배포하기 위한 실행 환경을 자동으로 만들어주는 서비스다

AWS App Runger

✔ 컨테이너화된 응용 프로그램을 손쉽게 배포하는 서비스.

AWS Batch

✔ 지정된 프로그램을 EC2나 Fargate에서 실행하는 서비스다.

✔ Lambda와 똑같아 보이지만 실행 프로그램의 순서 관리나 다수 프로그램의 병렬 구동과 같은 복잡한 제어에 특화된 서비스다.

AWS OutPosts

✔ 사용자가 온프레미스 환경에서 AWS와 같은 서비스를 실행할 수 있또록 AWS가 물리 서버를 대여하는 서비스 -> AWS를 프라이빗 클라우드와해서 제공하는 서비스

✔AWS Outposts를 AWS의 새로운 가용영역으로 사용 할 수 있다.

3장의 경우 내용이 많아 2파트로 나누어 정리 하도록 하겠다.

알아줘야 할 서버 기초 지식

서버란

서버란

서버 : 네트워크에서 데이터나 서비스를 제공하는 컴퓨터 클라이언트 : 그 서비스를 이용하는 프로그램

대표적인 서버 유형

• 웹 서버: 웹 사이트를 구성하는 데 필요한 데이터를 저장하고 시스템을 제어하는 프로그램을 설치한 서버

• 웹페이지 자체의 구조를 만드는 HTML + 디자인을 정의하는 CSS

• 데이터베이스 서버 : 시스템이 취급하는 데이터를 통합 관리하는 데이터베이스 관리 시스템이 설치된 서버

• 클라이언트에서 특정 데이터를 참조하거나 수정, 삭제 등의 데이터 처리 요구를 요청으로 받아들이고 실행 결과를 응답으로 변환한다. ** RDS, DynamoDB - AWS관리형 서비스이면서 튜닝이 쉬움.

웹 서버 작동 방식

&nbsp 웹서버는 사용자 측의 웹 브라우저를 클라이언트로, 웹 서버를 서버로 지정해
클라이언트-서버 통신을 한다.

서버 OS란

OS : 사람이 기기의 관리와 제어를 수행하기 위한 인터페이스와 하드웨어 관리 기능, 기기에서 동작할 소프트웨어가 공통적으로 이용할 기본기능을 구현한 소프트웨어.

• 리눅스 &nbsp 윈도우나 맥OS와 달리 무료이며 오픈 소스 소프트웨어이므로 누구나 자유롭게 개발, 배포할 수 있다. 따라서 다양한 기업과 단체가 기본이 되는 리눅스 커널을 이용해 독자적으로 추가 개발한 OS를 리눅스 배포판(Distribution)으로 제공하고 있다.

• Red Hat Enterprise Linux(RHEL), CentOS, Devian Gun/Linux,
  &nbsp Ubuntu Linux

• 윈도우 서버 &nbsp 마이크로소프트에서 출시한 서버용 OS이다. 리눅스와 달리 OS자체의 라이선스와 CAL(Client Access License)로 불리는 서버 이용 라이선스를 구매해야 한다.

• GUI로 조작하며 일반적으로 사용되는 데스크톱 윈도우와 사용법이 비슷하다. 또한 마이크로소프트 제품이므로 다른 마이크로소프트 제품과의 연계성과 AD(Active Directory)와의 연계, 충실한 지원을 받을 수 있다.

• OS별 비교

서버 가상화

서버가상화 : 가상화 소프트웨어를 이용하여 하나의 하드웨어에서 여러 OS를 동작시키는 것.

AWS에서의 가상화

Amazon Elastic Compute Cloud(EC2) : AWS의 대규모 서버에서 가상화를 수행. 사용자는 사용 용도에 따라 OS의 종류나 CPU, 메모리 크기를 자유롭게 선택해 인스턴스(가상서버)를 생성할 수 있다.

EC2로 가상 서버를 손쉽게 생성

Amazon EC2는 가상 서버 서비스

• EC2는 가상 서버를 인스턴스 단위로 관리한다. 사용자가 인스턴스 유형(가상서버 사양)을 결정해 생성하면 인스턴스 유형과 이용 기간에 따라 이용 요금이 발생한다.

가상 서버 생성

EC2인스턴스(가상서버)를 생성하기 위해서는

• Amazon 머신 이미지(AMI)
• 인스턴스 사양(인스턴스 유형)
• 배포할 네트워크
• 데이터를 저장할 스토리지 용량
• 사용 권한 설정(보안 그룹)

설정들을 선택하면 된다.

Amazon 머신 이미지(AMI): OS와 소프트웨어가 설정된 템플릿이다. AWS에서 미리 준비한 AMI가 제공되며 사용자는 제공된 AMI중 하나를 선택한다.

인스턴스 유형: 인스턴스 유형을 선택하면 서버의 성능이 결정된다. CPU와 메모리 용량이 함께 표시되므로 적잘한 유형을 선택한다. 생성 후 변경도 가능하다.

가상머신이 위치할 네트워크는 사용자가 생성한 VPC를 선택하고 스토리지 용량(EBS)을 설정한 후 마지막으로 접근 권한 설정을 위해 보안 그룹을 선택한다.

모든 설정을 선택하고 인스턴스를 생성하면 목록에 '실행 중' 상태로 표시된다.

인스턴스를 생성한 후에는 리눅스의 경우 SSH, 윈도우의 경우 원격 데스크톱 등 관리 시스템 기능을 이용해 연결할 수 있다. AWS Systems manager라는 EC2 인스턴스를 관리하는 서비스가 있으며 이 서비스를 이용해도 인스턴스에 연결할 수 있다.

인스턴스 유형으로 서버 성능 결정

인스턴스의 성능은 인스턴스 유형 이름으로 알 수 있다.

m 6 g . medium

m: 패밀리 : 메모리와 CPU중 어느 것을 우선시 하느냐와 같이 인스턴스의 특징에 따른 문자열이 있다.

6: 세대 : 숫자가 클수록 성능이 좋다.

g : 추가 기능 : Gravtion2(CPU이름)는 g, 네트워크 강화는 n이다. 추가 기능 문자가 없는 유형도 있다.

medium : 크기 : 크기가 클수록 고성능. 가격도 크기에 따라 높아진다.

EC2 인스턴스 패밀리

T유형 : 베이스라인이라는 정해진 CPU 사용률이 정의돼 있으며 정의 된 사용률을 초과해서(버스트) 이용할 수도 있다. 다만 일정량을 넘으면 베이스 라인 이하의 성능이 되거나 추가 요금이 발생하므로 서비스 환경과 같이 상시 사용이 예상되는 환경에서는 M유형의 인스턴스를 선택하는 편이 좋다.

다양한 EC2 요금제

그 밖의 EC2 관련 요금

인스턴스 요금 외에도 네트워크 외부로의 데이터 통신, 데이터를 저장하는 스토리지 등에서 요금이 발생한다.

가상 서버를 안전하게 외부에 공개

서버 외부 공개

EC2를 인터넷에 공개하려면 다음 조건을 충족해야한다.

• EC2를 퍼블릭 서브넷에 배치
• 퍼블릭 IP주소를 EC2에 부여
• 보안그룹에서 외부로부터의 접근을 허가

서버 접근 제어

접속을 허가할지에 대한 접근 제어는 보안 그룹을 이용한다. 보안그룹은 온프레미스의 방화벽 기능을 수행한다.

외부에서 EC2로의 통신 - 인바운드 규칙 EC2에서 외부로의 통신 - 아웃바운드 규칙

-> 통신을 허용할 네트워크와 포트 번호를 지정한다.

보안그룹에 지정하는 규칙은 허용만 할 수 있다. 특정 네트워크로 부터의 통신을 차단하도록 설정할 수 는 없다.

** 보안 그룹은 불필요하다면 바로 삭제 해야 한다. 서비스가 많아지면 그만큼 공개해야 할 포트도 많아지고 많은 보안 그룹을 관리하다 보면 사고로 이어질 수 있기 때문이다.

부하에 따라 서버를 자동으로 추가/삭제

서버 자동 추가 및 제거

Amazon EC2 Auto Scaling(Auto Scaling) 기능을 사용하면 서버 추가 및 제거를 부하 상황에 맞게 자동으로 수행할 수 있다.

• 스케일 아웃(Scale-out) : 서버 추가
• 스케일 인(Scale-in) : 서버를 제거

시작 템플릿에 Amazon 머신 이미지(AMI) 정보와 서버가 추가될 조건을 설정해두면 조건에 맞춰 서버가 자동으로 추가된다.

• 대상추적 조정 정책: 목표 사용률을 지정해 지정한 값을 유지하게끔 인스턴스 수를 자동으로 조절
• 스케줄 스케일: 서버 자원의 부하가 아닌 사용자 접속 수와 같은 기준을 이용한 자동 추가 및 삭제 설정, 일정을 세워 인스턴스 수를 조절

• 주말이나 연휴 등 접속자 수가 늘어나거나 줄어드는 것을 예측할 수 있다면 유용하게 사용할 수 있다.

• Auto Scaling: 지정된 인스턴스 수를 유지하는 기능이 있어 예기치 못한 장애가 발생해 인스턴스가 멈췄다면 자동으로 인스턴스가 새로 만들어진다.
• 예측 스케일링 기능: 서버 수의 수요를 예측
• 버전관리: 인스턴스를 시작할 때 템플릿이 될 부팅 설정 버전을 관리함.

AWS 계정 생성 및 로그인

AWS 계정 생성

AWS 서비스응 이용하기 위해서는 사용자 고유 계정 즉, AWS계정을 등록 해야한다. AWS계정을 등록 하기 위해서는

1. 메일주소
2. 연착처 정보(이름, 전화번호, 주소)
3. 신용카드 정보

가 필요하다.

&nbspAWS계정을 만들 때에는 해당 계정에서 사용할 수있는 AWS지원 플랜을 선택해야한다. 총 4가지의 플랜을 아래 표에서 알아보도록 하겠다.

&nbsp위 표에서 알 수 있듯이 무료 지원 서비스만 받을 수 있는 '기본(Basic)', 유료로 AWS에서 직접 기술 지원을 받을 수 있는 '개발자(Developer)', '비즈니스(Business)', '엔터프라이즈(Enterprise)'가 있다.

AWS 계정 로그인

&nbsp처음 개정을 생성하면 루트사용자만 존재하므로 루트 사용자를 선택해 로그인을 진행한다. 로그인 후 콘솔 홈(AWS Management Console)화면을 확인 할 수 있는데 여기서 AWS의 각종 서비스를 이용 할 수 있다.

루트 사용자 : AWS 계정 자체의 구성변경, 계약 해지, 계약 변경 등 '무엇이든 할 수 있는 가장 큰 권한을 가진 사용자 : 모든 권한을 가진 사용자.

&nbsp보안을 위해서는 IAM 계정을 만들고 각 IAM사용자에게 적절한 권한을 부여해 서비스를 사용한다.

-> 기본적으로 처음 로그인 했을 때 IAM계정을 생성한 뒤 IAM계정만 사용하는 것이 좋다. 루트 사용자는 AWS계정 전체에 관련된 설정 변경과 같이 반드시 루트 사용자로 해야하는 작업을 할 때외에는 사용하지 않는 것이 좋다.

AWS서비스를 사용하는 세가지 방법

AWS조작

웹 브라우저에서 AWS조작

관리 콘솔 이용 : 마우스와 같은 장치를 이용해 직관벅으로 AWS를 조작하는 방법.

명령줄 도구로 AWS조작

AWS Command Line Interface(AWS CLI - 명령줄 도구) : 사용하는 OS에 맏는 AWS CLI도구를 내려받아 설치한다. : 명령어를 이용한 조작이기 때문에 웹 브라우저에서 작업하는 것보다는 어려워 보이지만, 같은 명령을 실행했을 때 언제나 같은 결과를 얻을 수 있다.(재현성이 높다.)

프로그램 방식으로 AWS 조작

프로그램을 이용해서 조작하는 방법
: 각 개발 언어에 AWS SDK라는 개발 키트를 설치해야 한다.

-> SDK를 활용하여 응용 프로그램과 AWS 서비스를 연결해 보다 복잡하고 유연한 서비스를 구현 할 수 있다

AWS 서비스 이용료 시각화

AWS 이용료 관리

AWS 비용관리

&nbspAWS 서비스의 요금 체계는 종량과금제이다. 즉, 사용한 만큼 매월 이용료가 부과된다.

&nbsp거대하고 복잡한 시스템은 AWS의 많은 서비스를 이용하게 되므로 전체 요금의 관리가 어려워 질 수 있다. 그리고 AWS계정이 탈취당하거나 시스템이 해킹 당해 고액의 요금이 청구 될 가능성도 있다.

AWS Biling and Cost Management란

AWS Biling and Cost Management : 청구 및 비용 관리를 위한 몇가지 기능을 제공, 이를 통해 서비스 이용 및 비용 정보를 시각화 할 수 있다.

&nbspAWS Biling and Cost Management는 관리 콘솔의 사용자 계정을 틀릭해 '결제 대시보드'를 선택하여 이용 할 수 있다.

&nbsp대시보드의 상단에는 AWS이용 요약이나 서비스별 비용 추세 등이 정리되어 있어 해당 계정에서의 서비스 이용 상황을 간단하게 파악할 수 있다. &nbsp 그리고 메뉴 에서 자세한 청구 정보 및 비용 관리 기능을 사용 할 수 있다.
&nbsp AWS Biling and Cost Management에서 제공하는 주요기능은 아래의 표와 같다.

비용 관리 정책

비용 관리를 하는 데 있어서는 다음 2가지를 알아두어야 한다.

• Cost explorer에서 올바르게 현황을 파악하고 방침을 수립할 것
• Budgets에서 예산을 설정하고 이용량을 감시할 것

&nbspCost exploerer는 AWS 비용 상황을 파악하는 데 도움이 된다. 서비스별 비용을 확인하게 되면 어디에서 비용이 발생하는지 확인 할 수 있으므로 서비스 비용 감소를 포함해 비용 최적화를 실시 할 수 있다.

&nbspBudgets에서 예산을 설정하면 월 이용 요금이 설정한 금액을 초과할 때 이를 감지하고 사용자에게 알림을 보낸다. 예상하지 못한 비용 증가에 바로 대응 할 수 있도록 대첵을 수립해 두는 것이 좋다.

AWS시스템이 구축되는 위치 선택

리전과 가용성 영역

리전은 세계에 존재하는 지역

&nbsp AWS는 전 세계 각 지역에 리전이라고 하는 지리적으로 떨어진 영역이 존재하고 각 리전은 AWS의 사설 네트워크로 연결되어 있다.

세계 각지에 리전에 존재함의 장점

• 세계 각지의 사용자가 이용하는 글로벌 시스템을 구축할 수 있어 사용자의 통신 지연을 줄일 수 있다.
• 법적 요구 사항으로 특정 국가에 시스템을구축해야하는 경우 특정 리전을 사용해서 요건을 충족할 수 있다.
• 큰 재난이 발생해 특정 리전에서 시스템을 사용할 수 없게 된다고 해도 다른 리전에서 시스템을 가동할 수 있다.

- 리전별로 분리하여 자원을 관리할 수도 있다.

가용성 영역은 리전 내의 독립적인 위치

&nbsp 각 리전에 있는 복수의 가용영역(AZ)은 하나 이상의 데이터 센터로 구성되며 모두 독립적이다. 때문에 특정 AZ에서 발생한 장애는 다른 AZ에 영향을 미치지 않는다.

각 AZ는 독립적이지만 AZ끼리는 고속의 네트워크로 연결돼 있고 암호화된 통신을 이용한다.

AZ에는 AZ이름과 AZ ID가 있다 ap-northeast-2 a &nbsp&nbsp&nbsp&nbsp&nbsp&nbsp&nbsp&nbsp&nbsp&nbsp&nbspAZ이름&nbsp&nbsp&nbsp&nbsp&nbsp&nbsp+&nbsp&nbsp&nbsp&nbsp&nbspAZID

&nbspAZ이름과 AZID는 일대일로 대응하지만, AWS계정마다 AZ이름에 대응하는 AZ ID가 다르다. 따라서 어딘가의 AZ에 장애가 발생하면 AZ이름이 아닌 AZ ID를 확인해야 한다.

AWS를 시작하기 위한 첫 걸음

> AWS(Amazon Web Services) 란?

대표적인 클라우드 서비스, Amazon Web Services

&nbspAmazon Web Services (AWS)란? &nbsp&nbsp - Amazon.com에서 운영하는 클라우드 서비스 &nbsp&nbsp - 응용 프로그램을 실행하는 컴퓨팅, 데이터베이스, 스토리지, 모바일, IoT, 기계학습 등 &nbsp&nbsp다양한 서비스를 제공한다.
&nbsp클라우드란? &nbsp&nbsp - 컴퓨터와 데이터베이스와 같은 기능을 인터넷을 통해 이용할 수 있게 해주는 서비스

점유율이 높은 AWS

미국의 정보기술 연구 및 자문 회사인 가트너(Gartner)의 조사 결과에 따르면 개방형 클라우드의 시장 점유율은 AWS가 38%로 다른 클라우드 서비스 보다 높다고 한다.

&nbsp개방형 클라우드란? &nbsp - 누구나 사용할 수 있는 클라우드

&nbsp&nbsp&nbsp&nbsp > 개방형 클라우드 &nbsp&nbsp&nbsp&nbsp&nbsp&nbsp - GCP(Google Cloud Platform) &nbsp&nbsp&nbsp&nbsp&nbsp&nbsp - Microsoft Azure &nbsp&nbsp&nbsp&nbsp&nbsp&nbsp - CloudLink

클라우드 용어 알아두기

클라우드와 온프레미스

온프레미스란

&nbsp온프레미스 란? &nbsp&nbsp - 사용자가 관리하는 시설 내에 서버 등의 기기를 설치해 운용하는 환경

&nbsp &nbsp &nbsp장점 &nbsp &nbsp &nbsp &nbsp> 기기는 사용자가 자유롭게 이용할 수 있고, 이용 헝태에 맞게 자유롭게 구성할 수 &nbsp&nbsp&nbsp&nbsp&nbsp&nbsp&nbsp있음. &nbsp &nbsp &nbsp &nbsp> 이후에 들어가는 운용 비용의 비율이 비교적 낮음.

&nbsp&nbsp&nbsp&nbsp단점 &nbsp &nbsp &nbsp &nbsp> 초기투자 비용이 많이 들고 설치나 시간등 정보 시스템을 구축하기 위한 준비기간이 &nbsp&nbsp&nbsp&nbsp&nbsp&nbsp길어짐. &nbsp &nbsp &nbsp &nbsp> 기기 고장 등 예측하지 못한 상황이 발생해 추가 비용이 발생 하는 때도 있음

클라우드란

- 클라우드 컴퓨팅(Cloud computing) &nbsp&nbsp&nbsp> 보이지 않는 컴퓨팅 자원을 활용함.

&nbsp&nbsp > 클라우드 서비스 제공자가 서버 등의 기기를 준비하고 거기에 구축된 가상 서버나 응용 &nbsp&nbsp&nbsp&nbsp프로그램 등을 사용자에게 제공하여 이용료를 받는 형태

**

" 사용자는 바로 정보 시스템을 구축 할 수 있다. "

&nbsp &nbsp &nbsp장점 &nbsp &nbsp &nbsp &nbsp> 사용자는 하드웨어 장애에 대해 신경쓰지 않아도 됨. &nbsp &nbsp &nbsp &nbsp> 기기 노후화나 고장 걱정 없이 안정적으로 컴퓨팅 자원을 사용할 수 있음.

&nbsp&nbsp&nbsp&nbsp단점 &nbsp &nbsp &nbsp &nbsp> 사용자는 제공되는 서비스 범위 내에서만 시스템을 이용할 수 있으므로 시스템 구성 &nbsp&nbsp&nbsp&nbsp&nbsp&nbsp 자유도가 낮음.

가상화

클라우드 서비스에서 사용자는 서버를 임대하여 사용

  사용자가 사용하고 싶은 사양으로 서버를 선택하면 가상화 기술을 이용해 해당 사양으로 서버를 
  선택하면 가상화 기술을 이용해 해당 사양의 서버를 가상으로 생성해 사용함.

  가상서버는 하나 또는 클러스터링 된 물리 서버 내에 만들어짐.

서버리스

- 서버리스(Serveless) 시스템 &nbsp&nbsp > '서버가 없다'라는 의미 &nbsp&nbsp > 서비스가 이용될 때만 서버를 가동하는 방식

개방형 클라우드와 폐쇄형 클라우드

&nbsp폐쇄형 클라우드 란? &nbsp > 기업 내부의 비밀을 유지하기 위해 외부에 공개하지 않도록 기업 내부에 구축하는 형태
&nbsp개방형 클라우드 란? &nbsp > 모든 사람이 쓸 수 있게끔 공개된 형태 &nbsp&nbsp&nbsp&nbsp&nbspAWS는 모든 사람이 사용할 수 있는 개방형 클라우드 서비스임.

  혼합형 클라우드(Hybrid Cloud)도 존재함.

서비스 제공 형태에 따른 클라우드 분류

Saas (Software as a Service) : 응용 프로그램을 서비스로 제공하는 형태 &nbsp ex) Gmail, Dropbox, Office365, Zoom Paas (Platform as a Service) Iaas (Infrastructure as a Service) : 응용프로그램을 만들기 위한 기능을 서비스로 제공

  Paas : 클라우드 서비스 제공자는 OS 및 미들웨어까지 관리, 필수기능만 사용자에게 제공  
  Iaas : 서버 및 네트워크 기능만 제공, 설정과 관리는 사용자의 몫

AWS를 이해하기 위한 6가지 특징

AWS 와 사용자 간의 책임 공유

- 공동책임 모델(Shard Responsibility Model) : 하드웨어나에 문제가 발생하면 AWS가 책임을 지고 복구 함.
&nbsp 책임범위는 이용하는 서비스에 따라 다르며 사용자는 자신의 책임범위만 운용, 관리하면 되므로 업무 부하가 줄어든다.

글로벌 시스템 구축 가능

AWS에서 관리하는 데이터 센터는 전 세계에 존재함. &nbsp> 지역별로 리전 이라는 단위로 분리되어 있음.

리전 : 각 리전에는 가용영역(Available Zone, AZ)이 여러 개 존재, 하나 이상의 데이터 센터로 구성됨. : 각 AZ는 서로 다른 위치에 있으므로 데이터 센터 장애와 같은 대규모 장애가 발생하더라도 다른 AZ에서 서비스를 제공함.

&nbsp&nbsp> 사용자는 자신이 이용한 리전만 선택하면 되므로 간단히 글로벌 서비스를 구축할 수 있음.

사용한 만큼만 이용료 지불

AWS는 종량 과금제 이다.

> 대부분의 서비스는 시간당 요금이 부과 되도록 설정되어 있음. (요금 x 이용시간)

온프레미스는 하드웨어 구매등 초기 비용이 많이 발생하지만 AWS에서는 사용한 만큼 비용이 발생하므로 소규모의 서비스를 시작할 때 유리함.

> 실제 요금은 사용하는 인스턴스의 종류와 스토리지에 따라 증가함.

서버의 자원과 수를 설정에서 쉽게 변경

> AWS에서 생성한 서버는 자원이나 수를 쉽게 변경할 수 있으며 구축된 서비스의 사용자가 증가했을 때 서버 수를 늘리거나 사양을 높이는 등 유연하게 대응할 수 있음.

장애를 예상한 설계

" AWS는 장애는 언제라도 발생할 수 있다는 전제로 설계함. "

> 서버를 여러 AZ에 배포해 한 개 이상의 AZ에 장애가 발생하더라도 중단 없는 서비스를 제공할 수 있게 함. > 시스템을 중단 없이 계속해서 실행할 수 있는 능력을 가용성이라고 함.

설계의 모범이 되는 프레임 워크

' Well-Architected '라는 아키텍처 관련 모범 사례를 모아 사용자가 안전하고 효율적인 인프라를 구축할 수 있게 지원하는 프레임워크를 제공함.

- ' Well-Architected 프레임 워크 '의 6가지 원칙

• 운영우수성

• 보안

• 안정성

• 성능 효율성

• 비용 최적화

• 지속 가능성

  
  #

  서비스 분류 및 대표적인 서비스

AWS 서비스 분류

&nbsp&nbspAWS를 파악 할 때애는 서비스의 특성별로 분류해 이해하는 것이 좋다.

대표적인 서비스

&nbsp컴퓨팅 서비스 &nbsp&nbsp> 가상 서버 : EC2

&nbsp컨테이너 서비스 &nbsp&nbsp> ECS

&nbsp스토리지 &nbsp&nbsp> EBS, S3

&nbsp데이터베이스 &nbsp&nbsp> RDS, DynamoDB

관리형 서비스, 비관리형 서비스

- ' 관리형 서비스 ' 란? &nbsp&nbsp > 서비스를 이용하기 위한 관리나 운영(시스템 운영)을 클라우드 서비스 제공자가 수행하는 것.

- ' 비관리형 서비스 ' 란? &nbsp&nbsp > 사용자가 직접 OS 설정을 관리하거나 장애 대응을 해야하는 서비스

- ' 완전관리형 서비스 ' 란? &nbsp&nbsp > 사용자가 직접 관리할 필요가 없는 서비스