02. 전체 설계

AWS 계정과 IAM 사용자

AWS 계정 

 - 기본 설정은 메일 주소와 패스워드만으로 로그인이 가능함. 권한에 비해 보안 수준이 낮으므로 다요소 인증 설정을 해야함(토큰 기반)

IAM의 구조

 - IAM 사용자 : AWS 이용자

 - IAM 그룹 : IAM 사용자를 역할별로 그룹을 만들어 사용. 사용자는 복수의 그룹에 속할 수 있음

 - IAM 정책 : 권한을 기술한 규칙

 - IAM 역할 : AWS의 서비스에 권한을 부여하는 방식

복수의 AWS 계정 관리

일괄 결제 기능

 - 여러 AWS 계정에서 발생하는 결제를 계정 하나로 통합 하는 기능(계정 전체를 대상으로 한 통합 결제로 인해 큰 할인 혜택을 받거나 인스턴스를 돌려 쓸 수 있음)

조직 계정

 - 일괄 결제 기능을 포함하고, AWS 계정에 대해 IAM처럼 정책 제어가 가능함

시스템과 AWS 로그와 작업 이력

시스템

1. RDS 같이 AWS가 관리하는 관리형 서비스의 경우 OS의 로그는 취득 불가능

2. Auto Scaling 기능을 사용할 경우 서버가 줄어들면 해당 서버의 로그가 사라지지 않게 고려해야 함

AWS

 - CloudTrail

   - 콘솔 혹은 API를 이용한 작업 이력을 S3에 저장 및 보관하는 서비스

   - 리전 단위, 계정 단위로 켜짐/꺼짐 설정이 가능한데, 계정 단위로 설정을 해야함(리전 단위로 하면 리전이 추가될 때마다 직접 CloudTrail 설정을 해야함)

VPC의 역할과 사내 네트워크와의 연결 방법

1. 단일 거점 네트워크 : 단일이니 그냥 연결

2. 단일 거점 네트워크와 데이터 센터의 연결 : 경우에 따라 다르지만 일반적으로 데이터센터와 VPC를 연결

3. 복수 거점 네트워크와 데이터 센터의 연결 : 복수거점과 데이터센터가 폐쇄망으로 연결된 경우 폐쇄망과 VPC를 연결

여러 AWS 계정 간의 연결 방법

용도별 AWS 계정의 분류와 연결 방법

1. 사내 시스템의 일부로서의 AWS 계정

 - 기업 내의 정보가 필요한 시스템

 - 기존 네트워크에 참가하고 네트워크 체계도 사내 네트워크의 일부인 서브넷으로서 할당하는 것이 좋음

2. 테마별 용도의 AWS 계정

 - 사내 시스템과 데이터 연계가 필요 없는 것

 - 인터넷을 통하거나 별도로 구축한 Direct Connect/VPN을 통해 연결하는 패턴

 - 사내 시스템과 연결이 필요한 경우에는 AWS 계정 관리와 네트워크 구성을 변경할 수 있는 사람이 누구인지 확실하게 정의한 다음에 연결

VPC 피어링을 이용한 AWS 계정 간 연결

 - 같은 리전이어야 하고 네트워크 주소의 중복이 없어야 하는 등 몇가지 전제조건이 필요하지만 다른 AWS 계정 간의 연결도 가능함

 - 투과형 피어 관계는 구축할 수 없음

 - 일대일 연결을 전제로 사용하고, 자사 내 VPC 간의 연결 용도보다 타사와의 시스템 연계가 필요한 경우에만 사용

AWS로의 시스템 마이그레이션

마이그레이션 단계

1. 특정 프로젝트 AWS 도입

2. AWS 기반 구축

3. 순차적으로 온프레미스의 시스템을 마이그레이션

4. AWS에 최적화 된 구성으로 변경

마이그레이션 패턴

1. 단순 마이그레이션

 - 기존 시스템(특히 소프트웨어)을 가능한 현 상태 그대로 AWS로 가져가는 것

2. 커스터마이즈

 - 온프레미스의 구성을 AWS에 맞춰서 커스터마이즈(AWS 에서 제공하는 부분을 EC2 상에 직접 구축하는 안티 패턴은 지양)

3. 최적화

 - AWS의 장점을 최대한 활용할 수 있는 구성으로 변경

마이그레이션 계획

1. fit & gap 분석

 - 현재의 구성이 AWS에 그대로 적용할 수 있는지(fit) 아니면 AWS의 기능으로는 구현 할 수 없는지(gap)를 조사

 - 어플라이언스로 구현하고 있는 부하 분산 처리에 대해 ELB의 기능 으로 커버 가능한가?

 - AWS 상에 인스턴스를 만들고 현재의 어플라이언스의 가상 이미지를 이용할 것인가?

 - NAS 및 공유 디스크의 대체 방법

 - 멀티캐스트를 사용할 수 없다

 - Oracle RAC에 대해 RDS의 가용성으로 충분한가?

 - 레이어7에서 부하 분산하고 있는 로드 밸런서

 - 백업 방법

AWS의 마이그레이션 서비스

1. 서버의 마이그레이션

 - 같은 구성 및 설정으로 다시 구축하는 방법

 - 온프레미스 환경에서 움직이는 가상 이미지를 그대로 AWS의 가상 이미지로 마이그레이션하는 방법

 - VM Import/Export : 가상 머신 이미지를 EC2의 인스턴스로 가져오거나 반대로 EC2로부터 내보내는 서비스

 - AWS SMS(Server Migration Service) : 서버 단위가 아닌 시스템 전체의 마이그레이션을 서포트

2. 데이터의 마이그레이션

 - Storage Gateway : 가상 어플라이언스를 이용해 투과적으로 데이터를 S3에 저장하는 서비스(인터넷 회선 이용)

 - Snowball : AWS가 제공하는 물리적인 하드웨어 어플라이언스를 데이터센터에 반입해서 데이터를 복사한 후 배송 업자를 통해 AWS로 배송해 S3에 복사하는 서비스(80TB까지 일괄 마이그레이션 가능)

3. 데이터베이스의 마이그레이션

 - DMS(Database Migration Service) : 단순한 스키마나 데이터의 마이그레이션은 물론 서로 다른 데이터베이스 간의 변환 및 마이그레이션도 지원

AWS상의 시스템 모니터링

모니터링 대상

1. 로그 모니터링 : CloudWatch Logs, 서드파티 도구

2. 인스턴스 모니터링 : CloudWatch

3. 프로세스 모니터링 : 사용자 정의 지표, 서드파티 도구

4. 리소스 모니터링 : CloudWatch

5. URL 외형 모니터링 : 서드파티 서비스

AWS의 운용 서비스

1. AWS Systems Manager : 각 인스턴스에 어떤 모듈이 설치되어 있는지 보여주고, OS 패치를 적용하는 작업을 지원 해줌(서버에 직접 로그인 없이 운용 가능)

2. Inspector : 인스턴스의 보안 평가

3. 기타 : AWS Personal Health Dashboard, Trusted Advisor, AWS Support 등