CLF-002 오답정리 메모

1. 클라우드 컴퓨팅

클라우드 컴퓨팅 배포 모델

- 프라이빗 클라우드 배포(= 온프레미스 배포)

- 하이브리드 배포

- 클라우드 배포

 

AWS Lambda: 서버리스 컴퓨팅 서비스. 사용자가 직접 서버를 프로비저닝할 필요없이 코드를 실행. 필요한 컴퓨팅 자원을 자동으로 할당하고 관리.

 

AWS Fargate: 컨테이너용 서버리스 컴퓨팅 엔진. EC2 인스턴스에서 컨테이너 관리를 간소화하려는 회사에 적합한 대안.

 

Amazon EC2는 전 세계 여러 위치에서 호스팅.

- 리전: 지리적 지역. 리전은 세 개 이상의 가용 영역으로 구성.

ex) 남아메리카(상파울루) 리전은 sa-east-1. 이 리전에는 다음 3가지 가용 영역이 포함. sa-east-1a, sa-east-1b, sa-east-1c.

- 가용 영역(AZ): 각 리전 내에 여러 개의 격리된 위치 존재. 격리된 물리적 위치. 인스턴스를 분산 배치하여 높은 가용성 유지. 하나의 가용 영역에서 실패하면 다른 영역에서 요청을 처리하도록 설계 가능.

-> 리전과 가용영역은 분산 배치와 장애 복구를 위한 설계가 가능

- 로컬 존: 리전 외부의 위치에 자원을 배치하여 최종 사용자와 더 가까운 곳에서 리소스 제공

- 아웃포스트(AWS Outposts): 온프레미스 시설에 제공

 

EC2 인스턴스 유형

- 범용: 균형있게 리소스가 고르게 분포.

- 컴퓨팅 최적화: 고성능 프로세스 활용. 대규모 트랜잭션 처리

- 메모리 최적화: 고성능 데이터베이스 처럼 메모리에서 대용량 데이터 세트를 처리.

- 스토리지 최적화: 대규모 데이터셋. 빠른 시간안에 많은 작업을 처리해야하는 어플리케이션에 최적화

** 초당 입출력 작업 수(IOPS): 스토리지 디바이스의 성능을 측정하는 지표

 

EC2 요금

- 온디맨드(On-Demand Instances)

- 예약(Reserved Instances): 1, 3년의 약정 필요

- 스팟(Spot Instances): 경매식. 중단되어도 괜찮다면 선택

- 전용(Dedicated Hosts): 고객 전용 하드웨어에서 VPC를 통해 실행.

 

AWS Outposts: 하이브리드 클라우드 방식으로 인프라 실행을 지원. AWS 인프라 및 서비스를 온프레미스 데이터 센터 등 다른 위치로 확장시킬 수 있다.

 

AWS Well-Architected 원칙

- 운영 우수성(Operational Excellence) 원칙

- 보안(Security) 원칙

- 안정성(Reliability, 신뢰성, 내구성) 원칙

시스템이 장애 발생 시에도 서비스가 지속 가능하고, 가능한 빠르게 복구할 수 있도록 설계.

여러 가용 영역에 DB 인스턴스를 배포하는 전략은 장애 발생 시 하나의 가용 영역에서 서비스가 중단되더라도 다른 가용 영역에서 서비스가 계속 제공될 수 있도록 하여 내구성을 높이는 방법.

서비스 지향 아키텍처(SOA) 또는 마이크로서비스 아키텍처를 사용하여 확장성과 안정성이 뛰어난 워크로드를 구축. 모놀리식 아키텍처는 피해야 한다.

- 성능 효율성(performance efficiency) 원칙

- 비용 최적화(cost optimization) 원칙

- 지속 가능성(sustainability) 원칙

 

2. 글로벌 인프라

Amazon Cloudfront: CDN 서비스. CloudFront는 .html, .css, .js 및 이미지 파일과 같은 정적 및 동적 웹 콘텐츠를 사용자에게 더 빨리 배포하는 웹 서비스. 콘텐츠는 엣지 로케이션에서 캐시됨. 반복적으로 액세스되는 콘텐츠는 소스 S3 버킷 대신 엣지 로케이션에서 제공될 수 있음.

 

Amazon Route 53: DNS 웹 서비스

 

AWS Elastic Beanstalk: Amazon EC2를 기반으로 하는 환경을 프로비저닝할 수 있게 지원하는 서비스. 환경 구성을 쉽게 저장하고 다시 배포할 수도 있다. 모든 구성 요소를 개별적으로 프로비저닝하고 관리하는 번거로움이 없어짐.

AWS CloudFormation: 코드형 인프라 도구. json 혹은 yaml 기반의 템플릿을 사용. 문서를 통해 aws 리소스를 정의 가능

 

3. 네트워킹

AWS Site-to-Site VPN: Amazon VPC와 온프레미스 네트워크 간 보안 연결을 제공하는 서비스. VPC 내 인스턴스는 외부 네트워크와 통신할 수 없으므로, VPN 연결을 통해 이를 활성화.

 

VPC(Virtual Private Cloud): 가상의 격리된 프라이빗 네트워크. AWS 리소스에 경계를 설정하는 데 사용. AWS 리소스용 프라이빗 IP 범위 정의, VPC에 EC2 인스턴스나 ELB 같은 요소를 배치 가능. 한 VPC 내에서 여러 개의 서브넷으로 리소스를 구성할 수 있다.

VPC내의 리소스에 접근하는 방법

- 인터넷 게이트웨이(IGW): 공개 인터넷 트래픽의 VPC 출입을 허용하기 위함. VPC를 인터넷에 연결하는데 사용되는 구성 요소.

- 가상 프라이빗 게이트웨이: 내부 프라이빗 리소스에 접근하기 위해 프라이빗 네트워크와 VPC 간의 VPN(Virtual private network) 연결을 만듦. 전용 연결이 아니라 퍼블릭 인터넷을 이용

- AWS Direct Connect: 온프레미스 네트워크와 AWS를 연결하는 방법. 전용 네트워크 링크(고속 광섬유 연결)를 사용하여 AWS와 연결. 고속, 안정적인 연결을 제공하고 대규모 트래픽 처리에 적합

 

서브넷: 리소스를 포함할 수 있는 VPC 섹션.

퍼브릭 서브넷: 누구나 리소스 접근 가능

프라이빗 서브넷: 프라이빗한 네트워크를 통해서만 접근할 수 있는 리소스 포함.

 

네트워크 액세스 제어 목록(ACL): stateless 패킷 필터링. 이전 요청에 대한 패킷 응답이 서브넷으로 반환될 때 이전 요청을 기억하지 못한다. 서브넷 수준 방화벽.

보안그룹: statefull 패킷 필터링. 기본적으로 모든 인바운드 트래픽 거부. 사용자 지정 규칙 추가 가능. 인스턴스 수준 방화벽.

 

4. 스토리지 및 데이터베이스

Amazon Aurora: MySQL, PostgreSQL과 호환되는 완전 관리형 데이터베이스 엔진. Aurora는 관리형 데이터베이스 서비스인 Amazon RDS의 일부로 제공됨.

 

Amazon RDS: 다양한 데이터베이스 엔진 지원(Aurora, MySQL, MariaDB...)

 

AWS Storage Gateway(File Gateway): 온프레미스 어플리케이션이 클라우드 스토리지를 원활하게 사용할 수 있도록 하는 하이브리드 클라우드 스토리지 서비스. 온프레미스 환경을 aws 클라우드 스토리지와 통합하기 위한 파일, 볼륨, 테이프 게이트웨이 인터페이스를 제공. 온프레미스 사용자가 하이브리드 스토리지 인프라를 유지하면서 클라우드 스토리지에 액세스 가능

 

AWS Glue: 데이터의 추출, 변환, 로드 및 관리 기능을 제공.

Amazon QuickSight: 다양한 데이터 소스를 통합하여 시각화하고 분석할 수 있는 서비스.

 

S3 Versioning(버전 관리): 객체에 버전을 지정하면 실수로 삭제되는 일을 방지. 객체의 이전 버전을 항상 유지 가능.

 

Amazon S3 스토리지 클래스

- S3 Standard: 자주 액세스하는 데이터용 설계. 3개의 가용 영역에 데이터 저장

- S3 Standard IA(Infrequent Access): 자주 액세스하지 않는 데이터용 설계. 3개의 가용 영역에 데이터 저장. 데이터 요청 또는 다운로드 시 S3 Standard보다 더 높은 요금이 부과 -> 자주 액세스 하지는 않지만 혹시나 필요한 경우 바로 액세스 가능해야 한다.

- S3 One Zone: 한 개의 가용 영역에 데이터 저장. Standard-IA보다 낮은 스토리지 가격

- S3 Intelligent Tiering: 30일 연속 객체에 액세스하지 않으면 S3는 자동으로 Standard IA로 이동. 자주 사용하면 Standard로 이동

- S3 Glacier Instant Retrieval: 아카이브 데이터용. 빠른 검색. 즉각적인 액세스. -> standard보다는 액세스 성능 낮음.

- S3 Glacier Flexible Retrieval: 데이터 보관용 저비용 스토리지. 1~12시간 내에 검색.

- S3 Glacier Deep Archive: 가장 저렴한 객체 스토리지 클래스. 일 년에 한 두번 액세스되는 데이터의 장기 보존 지원

- S3 Outposts: 온프레미스 환경에 객체 스토리지 제공.

 

5. 보안

액세스 키 ID와 비밀 액세스 키로 구성되며, 두 가지를 함께 사용해야 인증

 

AWS IAM: AWS 리소스에 대한 사용자 접근을 안전하게 제어하는 웹 서비스

 

AWS Inspector: 실행 중인 어플리케이션과 인프라에 대해 보안 취약점 및 모범 사례 준수 여부를 평가하는 자동화된 보안 평가 서비스

 

보안 모범 사례 - 최소 권한의 원칙

- EC2에 S3 버킷에 대한 액세스 권한을 부여하기 위해 직접 액세스 키를 하드코딩하거나 저장하는 것보다 IAM을 사용하여 EC2에 임시 권한을 부여. IAM의 사용자 비밀키를 다른 곳에 저장하는 것은 보안 위험으로 권장되지 않는다.

 

책임 공유 모델

고객 책임

- 권한이 있는 사용자 또는 서비스만 테이블에 접근할 수 있도록 IAM 정책, 역할, 권한을 구성해야 한다

 

6. 모니터링 및 분석

AWS Trusted Advisor: AWS 환경을 최적화하고 보안을 강화하기 위한 관리 도구. CloudWatch, EventBridge, CloudTrail 같은 모니터링 도구를 사용해서 모니터링하고, 문제가 있는 경우 Trusted Advisor로 보고됨

 

AWS Trusted Advisor: 리소스 최적화에 초점. 보안 점검 + 비용 절감, 성능 최적화, 서비스 제한 초과

AWS Inspector: 보안 및 취약점 평가에 초점

 

AWS CloudWatch: 메트릭을 모니터링하고, 지정된 임계값을 초과할 때 알림을 보내거나 자동으로 리소스에 대한 변경 작업을 수행하는 알람을 생성

 

Amazon Macie: S3에 저장된 민감한 데이터를 자동으로 식별하고 보호하는 데이터 보안 서비스. S3 객체 및 버킷 모니터링, 민감한 데이터 발견 작업

 

7. 요금 및 지원

AWS Cost Explorer: 시간 경과에 따라 AWS 비용 및 사용량을 시각화, 이해, 관리할 수 있는 도구.

Compute Optimizer는 리소스의 성능 최적화에 초점을 맞추고, Cost Explorer는 전체 비용 관리를 위한 분석 도구로 활용

 

8. 마이그레이션

AWS Application Migration Service(AWS MGN): 자동화된 리프트 앤 쉬프트 솔루션. 물리적 서버와 데이터를 EC2 인스턴스로 마이그레이션.

 

AWS Snowball Edge: 고속 데이터 전송과 엣지 컴퓨팅을 지원하는 디바이스. 디바이스 사용 및 AWS 외부로의 데이터 전송에 대해서만 요금을 지불. 온디맨드와 선불 약정 두 가지 방식으로 지불 가능.

 

AWS Professional Services: AWS 마이그레이션 계획, 실행, 최적화에 대한 실무적인 지원을 제공하는 글로벌 전문가 팀

 

9. 기타

 

** 프로비저닝: 자원을 설정하고 제공하는 과정.

** 가용성(Availability): 시스템이 얼마나 신뢰성 있게 지속적으로 운영되는가. 장애가 발생하더라도 최소한의 중단 시간으로 계속해서 동작하도록 설계된 시스템 의미.

** 엣지 로케이션: Amazon CloudFront와 같은 서비스에서 사용되는 데이터 센터 위치. 전 세계에 분포된 엣지 로케이션은 사용자에게 더 가까운 지점에서 콘텐츠를 제공하여 지연 시간을 줄이고 응답 속도를 빠르게 한다. 엣지 로케이션은 CloudFront, AWS WAF, AWS Global Accelerator와 같은 서비스에서 활용됨.

** 오리진: CloudFront가 파일을 가져오는 서버. ex S3버킷과 웹 서버

** 워크로드: 시스템에서 처리하는 작업을 의미하며, 각 워크로드는 요구되는 리소스가 다르다

** VPN: 공용 인터넷을 통해 서로 다른 네트워크를 안전하게 연결하는 기술. 암호화된 연결을 사용하여 인터넷 상의 데이터를 보호.