DevOps & Cloud Engineering(204)
-
NAT 환경에서 공인 아이피 확인 하는 방법
개요 NAT 환경에서는 기본적인 방법으로 내가 사용하는 공인 아이피를 확인 하기 어렵다. 아래는 공인아이피를 CURL을 통해 확인하는 방법에 대해 정리했다. 확인방법 curl icanhazip.com curl ifconfig.me curl icanhazip.com curl ipinfo.io/ip curl ipecho.net/plain curl ident.me curl -s ipinfo.io/ip
2024.01.16 -
AWS ECS Fargate에서 EBS 사용 가능
개요 AWS ECS와 AWS Fargate에서 EBS volume을 연결할 수 있는 기능이 글로벌에 출시가 됐다. Fargate를 쓰면서 diskless, serverless의 강점을 갖고 썼었는데, 이런 기능이 나왔다고 특별히 더 쓸 것 같지는 않다. 물론 원래 20GB의 임시 Storage를 사용할 수 있었는데 추가로 EBS로 사용하면 훨씬 편하긴 하겠지만 여전히 개인적인 용도는 찾지 못하겠다. 문서상 "deploy storage and data intensive applications such as ETL jobs, media transcoding, and ML inference workloads" 에 적합하다고 하는데 개인적으로는 위 서비스들은 ECS fargate에서는 적합하지 않은 것 같다. ..
2024.01.12 -
AWS billing 관련 정보 접근 제어
개요 AWS 모든 서비스에 full access 권한은 가지고 있지만, billing이나 cost management console에 접근을 막는 방법에 대해 정리 했다. 방법 1. IAM user에 administrator 권한 부여 2. billing deny policy 1 을 추가하여 Billing 및 Cost management에서 제공되는 전체 금액에 대한 접근 제어 3. 또는 billing deny policy 2 를 추가하여 Biliing과 Cost management에서 제공되는 모든 정보에 대한 접근 제어. ex) billing, cost management, budget, cur, freetier, payment 등. policy1 for biliing dey { "Version": ..
2024.01.04 -
교차 계정에서 AWS ECR 제어
개요 AWS IAM을 이용하여 private ECR을 안전하게 제어가 가능하다. 방법 - 원본 AWS 계정 AWS ECR >> "Repositoty" 선택 >> 권한 >> JSON policy 수정 >> 아래 IAM Policy 적용 - 대상 AWS 계정 ECR pull 권한 원본 AWS 계정의 ECR Pull command 사용 IAM Policy { "Version": "2012-10-17", "Statement": [ { "Sid": "AllowPushPull", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::account-id:root" }, "Action": [ "ecr:GetDownloadUrlForLayer", "ecr:BatchGetIma..
2023.12.29 -
교차 계정에서 S3 object 복사 하기
개요 교차계정에서도 S3 object를 업로드 및 다운로드가 가능하다. 방법 - 원본 계정 S3 full access 권한 - 대상 계정 S3 bucket policy를 아래 policy로 적용 s3 bucket policy { "Version": "2008-10-17", "Id": "PolicyForCloudFrontPrivateContent", "Statement": [ { "Sid": "AllowYamiAccess", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam:::root" }, "Action": [ "s3:ListBucket", "s3:GetObject", "S3:PutObject" ], "Resource": [ "arn:aws:s3:::", ..
2023.12.29 -
Amazon DocumentDB TLS 비활성화 하기
개요 Amazon DocumentDB의 TLS는 기본 설정이 활성화 되어 있다. DB를 생성후에 해당 설정이 변경이 가능하지만 다운타임이 발생한다. 방법 1. DB 클러스터 선택 2. "변경" 클릭 3. 클러스터의 parameter group 을 "disabletls" 로 변경 4. "계속" 클릭 5. "언제 적용할지" 선택 참고 https://repost.aws/knowledge-center/documentdb-cannot-connect https://docs.aws.amazon.com/documentdb/latest/developerguide/cluster_parameter_groups-modify.html
2023.12.29 -
AWS ALB 443 포트에 여러 개의 인증서 적용하기
개요 AWS ALB 443 포트에 여러 개의 인증서 적용하기 필요 사항 AWS ACM에 다중 인증서 AWS Route53 AWS ALB 방법 - ACM 인증서 추가 - ALB Listener HTTP redirect to HTTPS 443 HTTPS(443) >>>> 인증서, 다중 인증서 Host Based Routing is host THEN A Target group is host THEN A Target group - Route53 register foo.com to ALB register bar.com to ALB 참고 https://aws.amazon.com/blogs/aws/new-application-load-balancer-sni/
2023.12.29 -
AWS ALB에서 gRPC를 사용하여 SSL termination 하는 방법
개요 AWS ALB에서 gRPC를 사용하여 SSL termination 하는 방법에 대해 정리 했다. 방법 Target Group 생성 >> HTTP, gRPC ALB 생성 >> HTTPS 리스너, ACM, mTLS 비활성화 RPC target group은 반드시 HTTPS listener에 위치 시켜야 한다. 참고 https://aws.amazon.com/blogs/aws/new-application-load-balancer-support-for-end-to-end-http-2-and-grpc/
2023.12.29 -
AWS RDS Proxy max_connections
개요 AWS RDS Proxy의 Max connections는 따로 제한이 없다. 어플리케이션의 connection pool 설정에 맞게 따라간다. 비고 참고로 MaxConnectionsPercent의 설정을 통해 조절은 가능하다. 참고 https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/rds-proxy-managing.html
2023.12.29 -
AWS On Demand Capacity Reservations 가격 정책
개요 Capacity Reservations의 가격은 인스턴스의 사용 여부 상관없이 똑같이 비용이 발생한다. 비고 On-Demand Capacity Reservations을 사용하는 거보다 사전에 서버를 여유롭게 켜두는 게 나을 거 같다. 장점을 모르겠다. 참고 https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/capacity-reservations-pricing-billing.html
2023.12.29