[AWS-CCP] AWS Cloud Practitioner Essentials 요약

아래 링크의 AWS Skill Builder 무료강의 "AWS Cloud Practitioner Essentials (Korean) (Na) (한국어 강의)" 한장 요약입니다.

Self-paced digital training on AWS - AWS Skill Builder

---

모듈 1 : Amazon Web Services 소개

클라이언트-서버 모델이란?

거의 모든 최신 컴퓨팅에서 기본적인 클라이언트-서버 모델을 사용

클라이언트는 사람이 컴퓨터 서버에 요청을 보내기 위해 상호 작용하는 웹 브라우저 또는 데스크톱 애플리케이션

서버는 일종의 가상 서버인 Amazon Elastic Cloud Compute(Amazon EC2)와 같은 서비스

 

클라이언트가 뉴스 기사, 온라인 게임 점수 또는 재미있는 동영상을 요청

서버는 이 요청의 세부 정보를 평가하고 클라이언트에 정보를 반환하여 요청을 이행

 

클라우드 컴퓨팅 배포 모델

1. 클라우드 기반 배포

• 애플리케이션의 모든 부분을 클라우드에서 실행합니다.
• 기존 애플리케이션을 클라우드로 마이그레이션합니다.
• 클라우드에서 새 애플리케이션을 설계 및 빌드합니다.

2. 온프레미스 배포

• 가상화 및 리소스 관리 도구를 사용하여 리소스를 배포합니다.
• 애플리케이션 관리 및 가상화 기술을 사용하여 리소스 활용도를 높입니다.

3. 하이브리드 배포

• 클라우드 기반 리소스를 온프레미스 인프라에 연결합니다.
• 클라우드 기반 리소스를 레거시 IT 애플리케이션과 통합합니다.

온프레미스에서 더 잘 유지 관리되는 레거시 애플리케이션이 있거나 정부 규정에 따라 비즈니스에서 특정 레코드를 온프레미스에 보관해야 하는 경우

 

클라우드 컴퓨팅의 이점

• 선행 비용을 가변 비용으로 대체
• 데이터 센터 운영 및 유지 관리에 비용 투자 불필요
• 용량 추정 불필요
• 규모의 경제로 얻게 되는 이점
• 속도 및 민첩성 향상
• 몇 분 만에 전 세계에 배포

 

모듈 2 : 클라우드 컴퓨팅

모듈 2 요약
1. Amazon EC2 인스턴스 유형 및 요금 옵션
2. Amazon EC2 Auto Scaling
3. Elastic Load Balancing
4. 메시징, 컨테이너 및 서버리스 컴퓨팅용 AWS 서비스

Amazon Elastic Compute Cloud(Amazon EC2)

안전하고 크기 조정이 가능한 컴퓨팅 용량을 Amazon EC2 인스턴스로 클라우드에서 제공

• 몇 분이면 Amazon EC2 인스턴스를 프로비저닝하고 시작할 수 있습니다.
• 워크로드 실행을 완료했다면 인스턴스 사용을 중지할 수 있습니다.
• 인스턴스가 실행 중일 때 사용한 컴퓨팅 시간에 대해서만 비용을 지불하고 인스턴스가 중지 또는 종료된 상태에서는 비용을 지불하지 않습니다.
• 필요한 서버 용량에 대해서만 비용을 지불하므로 비용을 절감할 수 있습니다.

Amazon EC2 작동 방식

1. 인스턴스 시작 - 기본 구성 인스턴스(운영체제, 애플리케이션 서버, 애플리케이션)가 포함된 템플릿 선택, 인스턴스 유형 선택, 네트워크 트래픽 보안 설정 지정
2. 인스턴스에 연결
3. 사용 - 명령을 실행하여 SW설치, 스토리지 추가, 파일 복사 및 정리 작업 수행

Amazon EC2 인스턴스 유형

1. 범용 인스턴스

컴퓨팅, 메모리, 네트워킹 리소스를 균형 있게 제공, 다음과 같은 다양한 워크로드에 사용

• 애플리케이션 서버
• 게임 서버
• 엔터프라이즈 애플리케이션용 백엔드 서버
• 중소 규모 데이터베이스

2. 컴퓨팅 최적화 인스턴스

고성능 프로세서를 활용하는 컴퓨팅 집약적인 애플리케이션에 적합

고성능 웹 서버, 컴퓨팅 집약적 애플리케이션 서버 및 게임 전용 서버에 적합

컴퓨팅 최적화 인스턴스를 단일 그룹에서 많은 트랜잭션을 처리해야 하는 일괄 처리 워크로드에 사용

3. 메모리 최적화 인스턴스

메모리에서 대규모 데이터 세트를 처리하는 워크로드를 위한 빠른 성능을 제공하기 위해 설계

애플리케이션을 실행하기 전에 많은 데이터를 미리 로드해야 하는 워크로드에서 사용(고성능 DB, 방대한 양의 비정형 데이터의 실시간 처리)

4. 액셀러레이티드 컴퓨팅 인스턴스

하드웨어 액셀러레이터 또는 코프로세서를 사용하여 일부 기능을 CPU에서 실행되는 소프트웨어에서보다 더 효율적으로 수행

데이터 처리를 가속화할 수 있는 구성 요소

그래픽 애플리케이션, 게임 스트리밍, 애플리케이션 스트리밍과 같은 워크로드에 적합

5. 스토리지 최적화 인스턴스

로컬 스토리지의 대규모 데이터 세트에 대한 순차적 읽기 및 쓰기 액세스가 많이 필요한 워크로드를 위해 설계

분산 파일 시스템, 데이터 웨어하우징 애플리케이션, 고빈도 온라인 트랜잭션 처리(OLTP) 시스템 등의 워크로드에 적합

지연 시간이 짧은 임의 IOPS(초당 입출력 작업 수)를 애플리케이션에 제공하도록 설계

Amazon EC2 요금

Amazon EC2에서는 사용한 컴퓨팅 시간에 대해서만 비용을 지불

[요금 옵션]

1. 온디맨드 인스턴스

인스턴스는 중지될 때까지 계속 실행되며, 사용한 컴퓨팅 시간에 대해서만 비용을 지불

선결제 비용이나 최소 약정은 적용되지 않음

불규칙한 단기 워크로드가 있는 애플리케이션에 매우 적합

1년 이상 지속되는 워크로드에는 권장하지 않음 -> 예약 인스턴스를 사용하면 비용 절감

2. Amazon EC2 Savings Plans

1년 또는 3년 기간 동안 일정한 컴퓨팅 사용량을 약정

온디맨드 요금에 비해 최대 72%까지 비용을 절감

약정을 초과한 사용량에 대해서는 일반 온디맨드 요금이 부과

AWS Cost Explorer를 통해 지난 7일, 30일 또는 60일 동안의 Amazon EC2 사용량을 분석할 수 있음

AWS Cost Explorer는 사용량과 1년 또는 3년 Savings Plan의 시간당 약정 금액을 기준으로 월별 Amazon EC2 비용을 얼마나 절감할 수 있는지도 예상해줌

3. 예약 인스턴스

1년 또는 3년 약정 표준 예약 및 컨버터블 예약 인스턴스

4. 스팟 인스턴스

시작 및 종료 시간이 자유롭거나 중단을 견딜 수 있는 워크로드에 적합

미사용 Amazon EC2 컴퓨팅 용량을 사용하며 온디맨드 요금의 최대 90%까지 비용을 절감

5. 전용호스트

사용자 전용의 Amazon EC2 인스턴스 용량을 갖춘 물리적 서버

기존 소켓당, 코어당 또는 VM당 소프트웨어 라이선스를 사용하여 라이선스 규정 준수를 유지

Amazon EC2 옵션 중에서 전용 호스트가 가장 비용이 많이 듦

Amazon EC2 확장

확장성을 위해서는 필요한 리소스만으로 시작하고 확장 및 축소를 통해 수요 변화에 자동으로 대응하도록 아키텍처를 설계해야함

Amazon EC2 Auto Scaling

<커피숍 직원수에 비유>

Amazon EC2 Auto Scaling을 사용하면 변화하는 애플리케이션 수요에 따라 Amazon EC2 인스턴스를 자동으로 추가하거나 제거할 수 있음

필요에 따라 인스턴스를 자동으로 조정하여 애플리케이션 가용성을 효과적으로 유지

• 동적 조정은 수요 변화에 대응
• 예측 조정은 예측된 수요에 따라 적절한 수의 인스턴스를 자동으로 예약
• 동적 조정과 예측 조정을 함께 사용하면 더 빠르게 조정할 수 있음

수직확장은 성능을 추가하는 방식, 수평확장은 인스턴스를 늘리는 방식. Amazon EC2 Auto Scaling은 수평확장 방식

 

• 최소 용량 : Auto Scaling 그룹을 생성한 직후 시작되는 Amazon EC2 인스턴스의 수
• 희망 용량 : 애플리케이션 실행 전 더 많은 인스턴스가 동작하도록 최소용량보다 크게 희망 용량을 설정할 수 있음
• 최대 용량 : 수요 증가에 대응하여 확장하도록 Auto Scaling 그룹을 구성하되 최대 인스턴수 수를 제한

Elastic Load Balancing(ELB)

<커피숍 안내 호스트에 비유>

들어오는 애플리케이션 트래픽을 Amazon EC2 인스턴스와 같은 여러 리소스에 자동으로 분산하는 AWS 서비스

개별 EC2 인스턴스가 아닌 리전 수준에서 실행

로드 밸런서는 Auto Scaling 그룹으로 들어오는 모든 웹 트래픽의 단일 접점 역할

인스턴스가 여러 개인 경우 Elastic Load Balancing은 워크로드를 여러 인스턴스에 분산

Auto Scaling은 별도의 서비스이지만 서로 연동

 

백엔드 트래픽의 혼란을 해결할 때도 ELB를 사용

메시징 및 대기열

메시징 대기열 - 계산원과 바리스타 사이의 버퍼

모놀리식 애플리케이션 및 마이크로서비스

• 모놀리식 애플리케이션 - 구성 요소가 밀결합된 애플리케이션 아키텍처. 한 구성 요소에서 장애가 발생하면 다른 구성 요소에서 장애가 발생
• 마이크로서비스 -  애플리케이션 구성 요소가 소결합. 단일 구성 요소에 장애가 발생했을 때 애플리케이션 가용성을 유지. 애플리케이션 B의 상태와 관계없이 애플리케이션 A는 메시지를 대기열로 송신할 수 있음 

Amazon Simple Notification Service(Amazon SNS)

게시/구독 서비스입니다. 게시자는 Amazon SNS 주제를 사용하여 구독자에게 메시지를 게시

구독자는 웹 서버, 이메일 주소, AWS Lambda 함수 또는 그 밖의 여러 옵션이 될 수 있음

• A2A(Application to application)
• A2P(Application to person)

Amazon Simple Queue Service(Amazon SQS)

메시지 대기열 서비스. 메시지 손실이나 다른 서비스 사용 없이 소프트웨어 구성 요소 간에 메시지를 전송, 저장, 수신할 수 있음

추가 컴퓨팅 서비스

서버리스 컴퓨팅

가상서버 활용 컴퓨팅 : 인스턴스(가상 서버)를 프로비저닝 - 사용자 코드를 업로드 - 애플리케이션이 실행되는 동안 계속해서 인스턴스를 관리

서버리스 컴퓨팅 : 코드가 서버에서 실행되지만 이러한 서버를 프로비저닝하거나 관리할 필요가 없음

서버리스 애플리케이션을 자동으로 확장할 수 있는 유연성을 가짐

처리량 및 메모리와 같은 소비 단위를 수정하여 애플리케이션의 용량을 조정

AWS Lambda

서버리스 컴퓨팅용 AWS 서비스, 서버를 프로비저닝하거나 관리할 필요 없이 코드를 실행할 수 있음

사용한 컴퓨팅 시간에 대해서만 비용을 지불

코드를 실행하는 동안에만 요금이 부과

 

[AWS Lambda 작동 방식]

1. 코드를 Lambda에 업로드
2. AWS 서비스, 모바일 애플리케이션 또는 HTTP 엔드포인트와 같은 이벤트 소스에서 트리거되도록 코드를 설정
3. Lambda는 트리거된 경우에만 코드를 실행
4. 사용한 컴퓨팅 시간에 대한 요금만 지불

컨테이너

애플리케이션의 코드와 종속성을 하나의 객체로 패키징하는 표준 방식을 제공

보안성, 안정성, 확장성 요구 사항이 매우 중요한 프로세스 및 워크플로에도 컨테이너를 사용

Amazon Elastic Container Service(Amazon ECS)

확장성이 뛰어난 고성능 컨테이너 관리 시스템

Docker 컨테이너 지원

API 호출을 사용하여 Docker 지원 애플리케이션을 시작 및 중지

Amazon Elastic Kubernetes Service(Amazon EKS)

Kubernetes를 실행하는 데 사용할 수 있는 완전 관리형 서비스

AWS Fargate

컨테이너용 서버리스 컴퓨팅 엔진으로, Amazon ECS와 Amazon EKS에서 작동

자동으로 서버 인프라를 관리

컨테이너를 실행하는 데 필요한 리소스에 대해서만 비용 지불

 

모듈 3 : 글로벌 인프라 및 안정성

모듈 3 요약
1. 리전 및 가용 영역
2. 엣지 로케이션 및 Amazon CloudFront
3. AWS Management Console, AWS CLI 및 SDK
4. AWS Elastic Beanstalk
5. AWS CloudFormation

글로벌 입지 구축

AWS 글로벌 인프라가 작동하는 방식 비유 - 퍼레이드, 홍수 또는 정전과 같은 상황이 한 커피숍에 영향을 미치는 경우에도 고객은 조금 떨어진 다른 곳을 방문하여 커피를 구할 수 있음

 

AWS 글로벌 인프라

리전 선택

서비스, 데이터 및 애플리케이션에 적합한 리전을 결정할 때 고려해야 할  네 가지 비즈니스 요소

1. 데이터 거버넌스 및 법적 요구사항 준수
2. 고객과의 근접성
3. 리전 내에서 사용 가능한 서비스
4. 요금 - 리전에 따라 요금이 다를 수 있음

가용 영역(AZ)

가용 영역은 리전 내의 단일 데이터 센터 또는 데이터 센터 그룹

가용 영역 간의 지연 시간이 짧을 정도로 충분히 가까우나

리전의 한 부분에서 재해가 발생할 경우 여러 가용 영역이 영향을 받을 가능성을 줄일만큼 떨어져 있음

 

장애 계획을 수립하고 여러 가용 영역에 애플리케이션을 배포하는 것은 복원력 있는 고가용성 아키텍처를 구축하는 데 중요

 

엣지 로케이션

엣지 로케이션은 Amazon CloudFront(AWS에서의 CDN)가 더 빠른 콘텐츠 전송을 위해 고객과 가까운 위치에 콘텐츠 사본을 캐시하는 데 사용하는 사이트

• 오리진 - 브라질의 콘텐츠 원본
• 엣지로케이션 - 중국 고객 전달을 위해 콘텐츠 사본을 로컬로 캐시

엣지로케이션은 CloudFront 뿐만 아니라 Amazon Route 53라고 하는 DNS도 실행

 

AWS 리소스를 프로비저닝하는 방법

AWS 서비스와 상호 작용하는 방법

• AWS Management Console - Amazon 서비스 액세스 및 관리를 위한 웹 기반 인터페이스
• AWS 명령줄 인터페이스(AWS CLI) - CLI를 사용하면 스크립트를 통해 서비스 및 애플리케이션이 수행하는 작업을 자동화할 수 있음
• 소프트웨어 개발 키트(SDK) - SDK를 사용하면 프로그래밍 언어 또는 플랫폼용으로 설계된 API를 통해 AWS 서비스를 보다 간편하게 사용할 수 있음(지원되는 프로그래밍 언어: C++, 자바, .NET 등)

기타 관리도구

• AWS Elastic Beanstalk - 사용자가 코드 및 구성 설정을 제공하면,  알아서 자동으로 환경 구축(용량조정, 로드밸런싱, 자동 조정, 애플리케이션 상태 모니터링)
• AWS CloudFormation - 코드형 인프라 도구. 개별적으로 리소스를 프로비저닝하는 대신 코드 줄을 작성하여 환경을 구축,완전히 자동화된 프로세스로 인프라 및 애플리케이션을 빈번히 구축할 수 있음

 

모듈 4 : 네트워킹

모듈 4 요약
1. VPC 구성 및 연결
2. 네트워크 액세스 제어 목록 및 보안 그룹을 사용하여 VPC 리소스 보호
3. Amazon Route 53 및 Amazon CloudFront를 사용하여 콘텐츠 전송

 

AWS와의 연결

Amazon Virtual Private Cloud(Amazon VPC)

AWS 리소스에 경계를 설정하는 데 사용할 수 있는 네트워킹 서비스

AWS 클라우드의 격리된 섹션을 프로비저닝할 수 있음

한 Virtual Private Cloud(VPC) 내에서 여러 서브넷으로 리소스를 구성할 수 있음

  * 서브넷은 리소스(예: Amazon EC2 인스턴스)를 포함할 수 있는 VPC 섹션

출처 :https://explore.skillbuilder.aws/

인터넷 게이트웨이는 VPC와 인터넷 간의 연결(출입문)

 

가상 프라이빗 게이트웨이

VPC 내의 비공개 리소스에 액세스하는 방법

승인된 네트워크에서 나오는 트래픽만 VPC로 들어가도록 허용

VPC와 프라이빗 네트워크 간에 가상 프라이빗 네트워크(VPN) 연결을 설정

출처 :https://explore.skillbuilder.aws/

 

AWS Direct Connect

데이터 센터와 VPC 간에 비공개 전용 연결을 설정하는 서비스 -> 복도

네트워크 비용을 절감하고 네트워크를 통과할 수 있는 대역폭을 늘리는 데 도움이 됨

출처 :https://explore.skillbuilder.aws/

 

서브넷 및 네트워크 액세스 제어 목록

서브넷

보안 또는 운영 요구 사항에 따라 리소스를 그룹화할 수 있는 VPC 내의 한 섹션

• 퍼블릭 서브넷에는 온라인 상점의 웹 사이트와 같이 누구나 액세스할 수 있어야 하는 리소스가 포함
• 프라이빗 서브넷에는 고객의 개인 정보 및 주문 내역이 포함된 데이터베이스와 같이 프라이빗 네트워크를 통해서만 액세스할 수 있는 리소스가 포함

VPC의 네트워크 트래픽

패킷은 인터넷이나 네트워크를 통해 전송되는 데이터의 단위

고객이 애플리케이션에 데이터를 요청하면 이 요청은 패킷으로 전송

패킷이 서브넷으로 들어가거나 서브넷에서 나오려면 먼저 권한을 확인해야 함

네트워크 ACL(액세스 제어 목록)

서브넷의 패킷 권한을 확인하는 VPC 구성 요소

서브넷 수준에서 인바운드 및 아웃바운드 트래픽을 제어하는 가상 방화벽

 

기본 네트워크 ACL은 기본적으로 모든 인바운드 및 아웃바운드 트래픽을 허용

사용자 지정 네트워크 ACL은 사용자가 규칙을 추가할 때까지 모든 인바운드 및 아웃바운드 트래픽을 거부

명시적 거부 규칙 - 패킷이 목록의 다른 모든 규칙과 일치하지 않으면 해당 패킷을 거부

상태 비저장 패킷 필터링

네트워크 ACL은 상태 비저장 패킷 필터링을 수행

아무것도 기억하지 않고 각 방향(인바운드 및 아웃바운드)으로 서브넷 경계를 통과하는 패킷만 확인

 

서브넷에 들어간 후에는 보안 그룹에 의해 권한 확인

보안 그룹

인스턴스에 대한 인바운드 및 아웃바운드 트래픽을 제어하는 가상 방화벽

기본적으로 보안 그룹은 모든 인바운드 트래픽을 거부하고 모든 아웃바운드 트래픽을 허용

상태 저장 패킷 필터링

보안 그룹은 상태 저장 패킷 필터링을 수행, 들어오는 패킷에 대한 이전 결정을 기억

 

글로벌 네트워킹

Domain Name System(DNS)

DNS 확인은 도메인 이름을 IP 주소로 변환하는 프로세스

Amazon Route 53

DNS 웹 서비스

사용자 요청을 AWS에서 실행되는 인프라에 연결

도메인 이름의 DNS 레코드를 관리하는 기능도 있음

다른 도메인 등록 대행자가 관리하는 기존 도메인 이름의 DNS 레코드를 전송할 수도 있음

Amazon Route 53 및 Amazon CloudFront가 콘텐츠를 전송하는 방식

• 고객이 웹 사이트로 이동하여 애플리케이션에서 데이터를 요청

• Amazon Route 53는 DNS 확인을 사용하여 IP 주소를 식별, 고객에게 다시 전송 

• 고객의 요청은 Amazon CloudFront를 통해 가장 가까운 엣지 로케이션으로 전송

• Amazon CloudFront는 수신 패킷을 Amazon EC2 인스턴스로 전송하는 Application Load Balancer에 연결

 

모듈 5 : 스토리지 및 데이터베이스

모듈 5 요약
1. Amazon EC2 인스턴스 스토어 및 Amazon EBS
2. Amazon S3
3. Amazon EFS
4. 관계형 데이터베이스 및 Amazon RDS
5. 비관계형 데이터베이스 및 DynamoDB
6. Amazon Redshift
7. AWS DMS
8. 추가 데이터베이스 서비스 및 가속기

인스턴스 스토어 및 Amazon Elastic Block Store(Amazon EBS)

인스턴스 스토어

인스턴스 스토어는 Amazon EC2 인스턴스에 임시 블록 수준 스토리지를 제공

물리적으로 EC2 인스턴스의 호스트 컴퓨터에 연결되어 있고, 따라서 인스턴스와 수명이 동일

인스턴스가 종료되면 인스턴스 스토어의 데이터가 손실됨

Amazon Elastic Block Store(Amazon EBS)

Amazon EC2 인스턴스에서 사용할 수 있는 블록 수준 스토리지 볼륨을 제공하는 서비스

Amazon EC2 인스턴스를 중지 또는 종료하더라도 연결된 EBS 볼륨의 모든 데이터를 사용할 수 있음

 

EBS 볼륨을 생성하려면 구성(예: 볼륨 크기 및 유형)을 정의하고 볼륨을 프로비저닝

EBS 볼륨을 생성한 다음 볼륨을 Amazon EC2 인스턴스에 연결할 수 있음

Amazon EBS 스냅샷

Amazon EBS 스냅샷을 생성하여 EBS 볼륨을 증분 백업

가장 최근의 스냅샷 이후 변경된 데이터 블록만 저장

 

Amazon Simple Storage Service(Amazon S3)

객체 스토리지

객체 스토리지에서 각 객체는 데이터, 메타데이터, 키로 구성

객체 스토리지에서 파일을 수정하면 전체 개체가 업데이트

Amazon Simple Storage Service(Amazon S3)

객체 수준 스토리지를 제공하는 서비스

Amazon S3는 데이터를 버킷에 객체로 저장

저장 공간 무제한으로 제공

저장할 수 있는 객체의 최대 파일 크기는 5TB

업로드할 때 권한 설정 가능

버전 관리 기능을 사용하여 시간 경과에 따른 객체 변경 사항을 추적 가능

Amazon S3 스토리지 클래스

Amazon S3에서는 사용한 만큼만 비용을 지불

• S3 Standard
  • 자주 액세스하는 데이터용으로 설계
  • 최소 3개의 가용 영역에 데이터를 저장
  • 웹 사이트, 콘텐츠 배포, 데이터 분석 등 광범위한 사용 사례에 적합
• S3 Standard-Infrequent Access(S3 Standard-IA)
  • 자주 액세스하지 않지만 필요에 따라 고가용성이 요구되는 데이터에 이상적
  • S3 Standard와 비슷하지만 스토리지 가격은 더 저렴하고 검색 가격은 더 높음
• S3 One Zone-Infrequent Access(S3 One Zone-IA)
  • 단일 가용 영역에 데이터를 저장
  • S3 Standard-IA보다 낮은 스토리지 가격
• S3 Intelligent-Tiering
  • 액세스 패턴을 알 수 없거나 자주 변화하는 데이터에 이상적
  • 객체당 소량의 월별 모니터링 및 자동화 요금을 부과
  • 사용자가 30일 연속 객체에 액세스하지 않으면 S3 Standard-IA로 이동, 자주 사용하지 않는 액세스 계층에 저장된 객체에 액세스하면 자동으로3 Standard로 이동
• S3 Glacier
  • 데이터 보관용으로 설계된 저비용 스토리지
  • 객체를 몇 분에서 몇 시간 이내에 검색
• S3 Glacier Deep Archive
  • 보관에 이상적인 가장 저렴한 객체 스토리지 클래스
  • 객체를 12시간 이내에 검색

Amazon Elastic File System(Amazon EFS)

파일 스토리지

블록 스토리지 및 객체 스토리지와 비교하면, 파일 스토리지는 많은 수의 서비스 및 리소스가 동시에 동일한 데이터에 액세스해야 하는 사용 사례에 이상적

Amazon Elastic File System(Amazon EFS)

파일을 추가 또는 제거하면 Amazon EFS가 자동으로 확장하거나 축소됨

애플리케이션을 중단하지 않고 온디맨드로 페타바이트 규모로 확장할 수 있음

Amazon EBS와 Amazon EFS 비교

• EBS 볼륨은 단일 가용 영역에 데이터를 저장, EC2 인스턴스를 EBS볼륨에 연결하려면 인스턴스와 볼륨 모두 동일한 가용 영역에 상주해야 함
• EFS는 리전별 서비스, 여러 가용 영역에 걸쳐 데이터를 저장. 중복스토리지를 사용하면 모든 가용영역에서 동시에 데이터에 액세스 가능.
  • 온프레미스 서버는 AWS Direct Connect 를 사용해 EFS에 액세스

Amazon Relational Database Service(Amazon RDS)

관계형 데이터베이스

관계형 데이터베이스는 정형 쿼리 언어(SQL)를 사용하여 데이터를 저장하고 쿼리함

데이터를 쉽게 이해할 수 있고 일관되며 확장 가능한 방식으로 저장할 수 있음

Amazon Relational Database Service(Amazon RDS)

AWS 클라우드에서 관계형 데이터베이스를 실행할 수 있는 서비스

하드웨어 프로비저닝, 데이터베이스 설정, 패치 적용 백업과 같은 작업을 자동화

대부분의 Amazon RDS 데이터베이스 엔진이 저장 시 암호화및 전송 중 암호화를 제공

Amazon RDS 데이터베이스 엔진

Amazon RDS는 메모리, 성능 또는 입/출력(I/O)에 최적화된 6개의 데이터베이스 엔진에서 사용할 수 있음

• Amazon Aurora
• PostgreSQL
• MySQL
• MariaDB
• Oracle Database
• Microsoft SQL Server

Amazon Aurora

엔터프라이즈급 관계형 데이터베이스

MySQL 및 PostgreSQL 관계형 데이터베이스와 호환

표준 MySQL 데이터베이스보다 최대 5배 빠르며 표준 PostgreSQL 데이터베이스보다 최대 3배 빠름

안정성 및 가용성을 유지하면서도 불필요한 입/출력(I/O) 작업을 줄여 데이터베이스 비용을 절감

 6개의 데이터 복사본을 3개의 가용 영역에 복제하고 지속적으로 Amazon S3에 데이터를 백업

Amazon DynamoDB

DynamoDB는 비관계형 NoSQL 데이터베이스 서비스

비관계형 데이터베이스

비관계형 데이터베이스의 구조적 접근 방식 중 한 유형은 키-값 페어

키-값 페어에서는 데이터가 항목(키)으로 구성되고 항목은 속성(값)을 가짐

Amazon DynamoDB

키-값 데이터베이스 서비스

• 모든 규모에서 한 자릿수 밀리초의 성능을 제공
• 서버리스
• 용량 변화에 맞춰 자동으로 DB 크기 조정
• 크기를 조정하는 동안에도 고성능이 필요한 경우 적합

 

Amazon Redshift

빅 데이터 분석에 사용할 수 있는 데이터 웨어하우징 서비스

여러 원본에서 데이터를 수집하여 데이터 간의 관계 및 추세를 파악하는 데 도움이 되는 기능을 제공

 

AWS Database Migration Service(AWS DMS)

관계형 데이터베이스, 비관계형 데이터베이스 및 기타 유형의 데이터 저장소를 마이그레이션할 수 있는 서비스

마이그레이션하는 동안 원본 데이터베이스가 계속 작동하므로 데이터베이스를 사용하는 애플리케이션의 가동 중지 시간을 줄일 수 있음

• 개발 및 테스트 DB 마이그레이션 - 프로덕션 사용자에게 영향을 주지 않고 개발자가 테스트 할 수 있도록 지원
• DB통합 - 여러 데이터베이스를 단일 데이터베이스로 결합
• 연속복제 - 일회성 마이그레이션이 아닌, 데이터의 진행 중 복제본을 다른 대항 원본으로 전송

 

추가 데이터베이스 서비스

• Amazon DocumentDB - MongoDB 워크로드를 지원하는 문서 데이터베이스 서비스
• Amazon Neptune - 그래프 데이터베이스 서비스, 추천 엔진, 사기 탐지, 지식 그래프와 같이 고도로 연결된 데이터 세트로 작동하는 애플리케이션을 빌드하고 실행
• Amazon Quantum Ledger DB(QLDB) - 원장 데이터베이스 서비스, 애플리케이션 데이터에 발생한 모든 변경 사항의 전체 기록을 검토할 수 있음
• Amazon Managed Blockchain - 오픈 소스 프레임워크를 사용하여 블록체인 네트워크를 생성하고 관리하는 데 사용할 수 있는 서비스
• Amazon ElastiCache - 데이터베이스 위에 캐싱 계층을 추가하는 서비스
  • 자주 사용되는 요청의 읽기 시간을 향상
  • 데이터 저장소 Redis 및 Memcached를 지원
• Amazon DynamoDB Accelerator(DAX) - DynamoDB용 인 메모리 캐시, 응답 시간을 한 자릿수 밀리초에서 마이크로초까지 향상

 

모듈 6 : 보안

모듈 6 요약
1. 공동 책임 모델
2. AWS Identity and Access Management의 기능
3. AWS Organizations에서 여러 계정을 관리하는 방법
4. AWS 규정 준수 리소스
5. 애플리케이션 보안 및 암호화를 위한 AWS 서비스

AWS 공동 책임 모델

• 클라우드 내부 보안(고객 책임) - 콘텐츠에 대한 보안 요구 사항을 관리할 책임은 고객에게 있음
• 클라우드 자체 보안(AWS 책임) 
  • 데이터 센터의 물리적 보안
  • 하드웨어 및 소프트웨어
  • 인프라
  • 네트워크 인프라
  • 가상화 인프라

 

사용자 권한 및 액세스

AWS Identity and Access Management(IAM)

회사의 고유한 운영 및 보안 요구 사항에 따라 액세스 권한을 구성할 수 있는 유연성을 제공

• IAM 사용자, 그룹 및 역할
• IAM 정책
• Multi-Factor Authentication

AWS 계정 루트 사용자

루트 사용자는 AWS 계정을 만들 때 사용한 이메일 주소 및 암호로 로그인하여 액세스

이 사용자는 계정의 모든 AWS 서비스 및 리소스에 대한 전체 액세스 권한을 가짐

 

IAM 사용자

사용자가 AWS에서 생성하는 자격 증명

사용자 = AWS 서비스 및 리소스와 상호 작용하는 사람 또는 애플리케이션

이름과 자격 증명으로 구성

특정 작업을 수행할 수 있도록 허용하려면 IAM 사용자에게 필요한 권한을 부여해야 함

 

IAM 정책

AWS 서비스 및 리소스에 대한 권한을 허용하거나 거부하는 문서

권한을 부여할 때는 최소 권한 보안원칙을 따르는 것이 좋음

IAM 그룹

IAM 사용자의 모음

그룹에 IAM 정책을 할당하면 해당 그룹의 모든 사용자에게 정책에 지정된 권한이 부여

IAM 역할

임시로 권한에 액세스하기 위해 수임할 수 있는 자격 증명

Multi-Factor Authentication(MFA)

2차 인증

 

AWS Organizations

여러 AWS 계정을 중앙 집중식으로 관리하는 서비스

서비스 제어 정책(SCP)를 사용하여 조직의 계정에 대한 권한을 중앙에서 제어

조직 단위(OU)

OU에 정책을 적용하면 OU의 모든 계정이 정책에 지정된 권한을 자동으로 상속

개별 계정을 OU로 구성하면 특정 보안 요구 사항이 있는 워크로드 또는 애플리케이션을 보다 간편하게 격리할 수 있음

출처 :https://explore.skillbuilder.aws/

 

규정 준수

AWS Artifact

AWS 보안 및 규정 준수 보고서 및 일부 온라인 계약에 대한 온디맨드 액세스를 제공하는 서비스

• AWS Artifact Agreements
  
  • 개별 계정 및 AWS Organizations 내 모든 계정에 대한 계약을 검토, 수락 및 관리할 수 있음
  • 특정 규정의 적용을 받는 고객의 요구 사항을 해결하기 위한 다양한 유형의 계약이 제공
• AWS Artifact Reports
  •  외부 감사 기관이 작성한 규정 준수 보고서를 제공
  • 릴리스된 최신 보고서가 반영되어 항상 최신 상태로 유지
  • 감사 또는 규제 기관에 AWS 보안 제어 항목의 증거로서 AWS 감사 아티팩트를 제공하면 됨

고객 규정 준수 센터

고객 규정 준수 사례를 읽고 규제 대상 업종의 기업들이 다양한 규정 준수, 거버넌스 및 감사 과제를 어떻게 해결했는지 확인할 수 있음

• 주요 규정 준수 질문에 대한 AWS 답변
• AWS 위험 및 규정 준수 개요
• 보안 감사 체크리스트
• 감사자 학습 경로가 포함

서비스 거부 공격(DoS)

웹 사이트 또는 애플리케이션이 과부하가 걸려 더 이상 응답할 수 없을 때까지 웹 사이트 또는 애플리케이션을 과도한 네트워크 트래픽으로 플러드 시키는 것

분산 서비스 거부(DDoS) 공격

여러 소스를 사용하여 웹 사이트 또는 애플리케이션을 사용할 수 없게 만드는 공격

AWS Shield

DDoS 공격으로부터 애플리케이션을 보호하는 서비스

• AWS Shield Standard - 모든 AWS 고객을 자동으로 보호하는 무료 서비스
• AWS Shield Advanced - 상세한 공격 진단 및 정교한 DDoS 공격을 탐지하고 완화할 수 있는 기능을 제공하는 유료 서비스
  • Amazon CloudFront, Amazon Route 53, Elastic Load Balancing과 같은 다른 서비스와도 통합됨
  • 복잡한 DDoS 공격을 완화하기 위한 사용자 지정 규칙을 작성 가능

추가 보안 서비스

AWS Key Management Service(AWS KMS)

암호화 키를 사용하여 암호화 작업을 수행

암호화 키는 데이터 잠금(암호화) 및 잠금 해제(암호 해독)에 사용되는 임의의 숫자 문자열

AWS WAF

웹 애플리케이션으로 들어오는 네트워크 요청을 모니터링할 수 있는 웹 애플리케이션 방화벽

Amazon CloudFront 및 Application Load Balancer와 함께 작동

웹 ACL(엑세스 제어 목록) 사용

Amazon Inspector

자동화된 보안 평가를 실행하여 애플리케이션의 보안 및 규정 준수를 개선할 수 있는 서비스

 Amazon EC2 인스턴스에 대한 오픈 액세스, 취약한 소프트웨어 버전 설치와 같은 보안 모범 사례 위반 및 보안 취약성을 애플리케이션에서 검사

Amazon Inspector는 평가를 수행한 후에 보안 탐지 결과 목록을 제공

Amazon GuardDuty

AWS 인프라 및 리소스에 대한 지능형 위협 탐지 기능을 제공하는 서비스

AWS 환경 내의 네트워크 활동 및 계정 동작을 지속적으로 모니터링

VPC Flow Logs 및 DNS 로그를 비롯한 여러 AWS 소스의 데이터를 지속적으로 분석

위협을 탐지한 경우 AWS Management Console에서 위협에 대한 자세한 탐지 결과를 검토할 수 있음

보안 탐지 결과에 대한 응답으로 자동으로 문제 해결 단계를 수행하도록 AWS Lambda 함수를 구성할 수도 있음

 

모듈 7 : 모니터링 및 분석

Amazon CloudWatch

다양한 지표를 모니터링 및 관리하고 해당 지표의 데이터를 기반으로 경보 작업을 구성할 수 있는 웹 서비스

지표를 사용하여 리소스의 데이터 포인트를 나타냄

CloudWatch 경보

지표의 값이 미리 정의된 임계값을 상회 또는 하회할 경우 자동으로 작업을 수행하는 경보를 생성할 수 있음

CloudWatch 대시보드

단일 위치에서 리소스에 대한 모든 지표에 액세스할 수 있음

AWS CloudTrail

AWS CloudTrail은 포괄적인 API 감사 도구

AWS에 대한 모든 요청은 CloudTrail 엔진에 기록

기록되는 정보에는 API 호출자 ID, API 호출 시간, API 호출자의 소스 IP 주소 등이 포함

CloudTrail Insights

CloudTrail이 AWS 계정에서 비정상적인 API 활동을 자동으로 감지

AWS Trusted Advisor

 AWS 환경을 검사하고 AWS 모범 사례에 따라 실시간 권장 사항을 제시하는 웹 서비스

비용 최적화, 성능, 보안, 내결함성, 서비스 한도라는 5개 범주에서 결과를 AWS 모범 사례와 비교

AWS Trusted Advisor 대시보드

출처 :https://explore.skillbuilder.aws/

 

•  

  녹색- 문제가 감지되지 않은 항목 수

•  

  주황- 권장 조사 항목 수

•  

  빨간- 권장 조치 수

모듈 8 : 요금 및 지원

모듈 8 요약
1. AWS 프리 티어에 포함된 세 가지 유형의 제품: 12개월 무료, 상시 무료, 평가판
2. AWS Organizations의 통합 결제의 이점
3. AWS 비용 계획, 추정 및 검토를 위한 도구
4. 네 가지 AWS Support 플랜 Basic, Developer, Business 및 Enterprise 간의 차이점
5. AWS Marketplace에서 소프트웨어를 검색하는 방법

AWS 프리 티어

• 상시무료
  • AWS Lambda에서는 매월 무료 요청 1백만 건과 최대 320만 초의 컴퓨팅 시간을 사용할 수 있음
  • Amazon DynamoDB에서는 매월 25GB의 무료 스토리지를 사용할 수 있음
• 12개월 무료
  • 일정량의 Amazon S3 Standard 스토리지, 월별 Amazon EC2 컴퓨팅 시간 한도, Amazon CloudFront 데이터 전송량
• 평가판
  • Amazon Inspector는 90일 무료 평가판을 제공, Amazon Lightsail은 30일 동안 750시간의 무료 사용 시간을 제공

AWS 요금 개념

AWS 요금 적용 방식

• 실제 사용한 만큼만 지불
• 예약하는 경우 비용 감소
• 많이 사용할 수록 볼륨 기반 할인

AWS 요금 계산기

출처 :https://explore.skillbuilder.aws/

 

AWS 요금 예

• AWS Lambda - 함수 요청 수와 함수 실행 시간을 기준으로 요금이 청구
• Amazon EC2 - 인스턴스가 실행되는 동안 사용한 컴퓨팅 시간에 대해서만 비용을 지불
• Amazon S3
  • 스토리지 - 사용한 스토리지에 대해서만 요금을 지불
  • 요청 및 데이터 검색 - Amazon S3 객체 및 버킷에 수행한 요청에 대해 비용을 지불
  • 데이터 전송 - 다른 Amazon S3 버킷 간에 데이터를 전송하거나 Amazon S3에서 동일한 AWS 리전의 다른 서비스로 데이터를 전송하는 데 드는 비용은 없음
  • 관리 및 복제 - 계정의 Amazon S3 버킷에서 활성화한 스토리지 관리 기능에 대해 비용을 지불

결제 대시보드

AWS 청구서를 결제하고, 사용량을 모니터링하고, 비용을 분석 및 제어할 수 있음

• 이번 달 누계 금액을 지난 달과 비교하고 현재 사용량을 기준으로 내달 사용량을 예측
• 서비스별 월 누계 지출을 확인
• 서비스별 프리 티어 사용량을 확인
• Cost Explorer에 액세스하여 예산을 생성
• Savings Plans를 구매하고 관리
• AWS 비용 및 사용 보고서를 게시

통합 결제

 조직의 모든 AWS 계정에 대한 단일 청구서를 받을 수 있음

단일 월별 청구서의 편의성은 유지하면서도 조직의 계정에 대한 투명성을 높일 수 있음

또 다른 이점은 조직의 계정 전체에서 대량 할인 요금, Savings Plans 및 예약 인스턴스를 공유할 수 있다는 것

AWS 예산(budgets)

비용 또는 사용량을 초과하거나 사용량이 예산 금액을 초과할 것으로 예상되면 알림

AWS 예산에서는 정보가 하루에 세 번 업데이트

출처 :https://explore.skillbuilder.aws/

AWS Cost Explorer

시간 경과에 따른 AWS 비용 및 사용량을 시각화, 이해, 관리할 수 있는 도구

발생 비용 기준 상위 5개 AWS 서비스의 비용 및 사용량에 대한 기본 보고서가 포함

AWS Support 플랜

• Basic
• Developer
• Business
• Enterprise

Basic Support

• 모든 AWS 고객에게 무료로 제공
• 백서, 설명서 및 지원 커뮤니티에 대한 액세스가 포함
• 제한된 AWS Trusted Advisor 검사에 액세스
• AWS Personal Health Dashboard 사용가능

Developer Support

• 모범 사례 지침
• 클라이언트 측 진단 도구
• AWS 제품, 기능 및 서비스를 함께 사용하는 방법에 대한 지침으로 구성된 빌딩 블록 아키텍처 지원

Business Support

• 특정 요구 사항을 가장 잘 지원할 수 있는 AWS 제품, 기능 및 서비스를 식별하기 위한 사용 사례 지침
• 모든 AWS Trusted Advisor 검사
• 일반적인 운영 체제 및 애플리케이션 스택 구성 요소와 같은 타사 소프트웨어에 대한 제한된 지원

Enterprise Support

• 회사의 특정 사용 사례 및 애플리케이션을 지원하기 위한 컨설팅 관계인 애플리케이션 아키텍처 지침
• 인프라 이벤트 관리 지원: 사용 사례를 더 잘 이해할 수 있도록 돕는 AWS Support와의 단기 계약. 아키텍처 및 확장 지침도 제공
• 기술 계정 관리자

기술 지원 관리자(TAM)

AWS 측 주 연락 창구

지속적으로 커뮤니케이션하면서 권장 사항, 아키텍처 검토를 제공

AWS Marketplace

Independent Software Vendor(ISV)의 소프트웨어 리스팅 수천 개가 포함된 디지털 카탈로그

AWS에서 실행되는 소프트웨어를 검색하고 평가하고 구매

인프라 제품, 비즈니스 애플리케이션, 데이터 제품 및 DevOps와 같은 여러 범주의 제품을 제공