수련했는가?

AWS에서 가장 추천하는 보안 정책은 최소한의 권한을 부여하는것이다. 이것은 Least Privilege Principle 이라고 불린다. AWS EKS IRSA 의 필요성 EKS의 경우 하나의 ec2가 하나의 워커노드가 되는데, 이는 결국 하나의 ec2내에 여러개의 파드가 운영된다는 것이다. IAM 정책은 ec2 단위로 사용할 수 있어 파드별로 권한을 줄 수 없게 된다. 예를 들어 하나의 ec2 내에 DB파드와 kinesis운영 파드를 운영한다면 하나의 워커노드에 이 두가지를 동시에 할 수 있는 권한을 주게 되는데 이것이 Least Privilege Principle 에 위배 된다. 이 때 사용가능한 것이 aws 기능 중 하나인 IRSA(IAM Role for Service Account) 이다. 이 ..

aws에서 비용절약(?)을 위해 다양한 서비스를 제공한다. 그 중 하나는 Spot instance 이다. Spot instancd 스팟 인스턴스는 온디맨드에 비해 70~90%정도의 가격으로 EC2 인스턴스를 이용할 수 있게 해주는 기능을 말한다. 그 이유는 스팟 인스턴스는 큰 할인율로 미사용 EC2 인스턴스를 요청할 수 있게 해주므로 사용자는 Amazon EC2 비용을 대폭 낮출 수 있다. 가격은 수요와 공급에 따라 항상 변화하며, 일정 최고 가격을 설정해놓고 그 가격을 넘어갈 경우 해당 ec2을 중시키기도 한다. 그래서 안정적은 조금 떨어질 수 있다. Spot instance 용어 spot capacity pool 미사용 EC2 인스턴스 집합을 말한다. Spot Price 스팟 인스턴스의 현재 시간당 ..

AWS에서 Eks 서비스를 통해 Kubernetes 을 관리할 때, 거의 필수적으로 eksctl을 추가적으로 설치해야 합니다. eksctl이란? eksctl은 AWS의 관리형 쿠버네티스 서비스인 EKS 클러스터를 생성하고 관리하는 CLI 도구입니다. CloudFormation 이라는 AWS의 리소스 프로비저닝 서비스를 사용하여, EKS 구성에 필요한 EC2, IAM Role 등의 AWS 리소스를 자동으로 생성한다. 이 때 설정한 사용자(User) 혹은 역할(Role)이 eksctl을 사용하는데 필요한 IAM 권한을 가지고 있어야 한다. eksctl을 위한 IAM 권한 AmazonEC2FullAccess (AWS Managed Policy) AWSCloudFormationFullAccess (AWS Man..

k8s을 온프레미스 환경에서 쓰는 거라면 필요 없지만, 일반적으로 k8s은 aws에서 많이 사용하는데, 이럴때 aws에서 제공하는 서비스가 EKS이다. EKS란? Amazon Elastic Kubernetes Service(Amazon EKS)는 Amazon Web Services(AWS)에 Kubernetes 컨트롤 플레인을 설치, 운영 및 유지 관리할 필요가 없는 관리형 서비스입니다. 관리형 서비스라, 기존의 온프레미스 환경에서는 마스터 노드, 컨트롤 플레인이 존재하지만 EKS는 서비스는 AWS에서 마스터노드가 되고 사용자들에게는 워커노드만 제공한다. EKS 주요 기능 보안 네트워킹 및 인증 Amazon EKS는 Kubernetes 워크로드를 AWS 네트워킹 및 보안 서비스와 통합합니다. 또한 AWS..

VPC란 Virtual Private Cloud의 약자로 aws 계정 전용 가상 네트워크 외부와 격리된 서비스로 원하는대로 사설망 구축이 가능하다. 리전단위로만 통신이 되면 다른 리전과 통신하기 위해서는 피어링을 해야 한다. VPC 구성요소 서브넷 VPC 하위 단위로 VPC에 할당 된 IP를 더 작은 단위로 분할한다. 하나의 서브넷은 하나의 가용영역안에 위치해야 한다. aws는 사용 가능 ip의 갯수는 5개를 제외한다(네트워크, 라우터, dns서버, 브로드캐스트 등 인터넷게이트웨이 쉽게 말해 VPC가 외부의 인터넷과 통신할 수 있도록 경로를 만들어주는 것이다. 따로 설정을 안해주면 VPC는 외부와 격리된 서비스로 통신이 어렵다. 라우트테이블 요청이 들어오면 어디로 가야하는지 알려주는 이정표 같은 서비스이..