인스턴스 환경설정
리전
리전은 AWS 서버가 물리적으로 존재하는 위치이다. 사용자는 자신의 필요에 맞게 리전을 선택할 수 있다. 예를 들어, 서비스의 주요 사용자 기반이 있는 지역에 가까운 리전을 선택하면 지연 시간을 최소화할 수 있다.
VPC (Virtual Private Cloud)
VPC는 AWS에서 네트워크를 생성하고 관리하는 도구이다. VPC를 사용하면 인스턴스를 다른 환경과 쉽게 격리시킬 수 있어 보안과 네트워크 관리를 효과적으로 수행할 수 있다.
Tenancy
EC2 인스턴스를 시작할 때 Tenancy 모델을 선택할 수 있다. 기본 설정은 공유 Tenancy로, 이는 인스턴스가 다른 인스턴스와 동일한 물리적 서버에서 실행됨을 의미한다. 전용 인스턴스 서버를 사용하면 물리적으로 인스턴스를 격리할 수 있지만, 이는 더 높은 비용이 발생한다.
Placement Groups
Placement Groups를 사용하면 사용자의 요구에 맞게 서버 프로필을 정의할 수 있다.
- 클러스터 Placement Group: 근거리에 위치한 단일 AZ(가용 영역)에 연관된 인스턴스를 실행한다. 이는 전송 지연 수준이 낮은 네트워크를 제공하여 고성능 컴퓨팅 애플리케이션에 적합하다.
- 스프레드 Placement Group: 여러 AZ를 사용하여 데이터 손실과 서비스 실패의 위험을 감소시킨다. 서로 다른 하드웨어 랙에 인스턴스를 분산 배치하여 실패 상황에 대처할 수 있다.
- 파티션 Placement Group: 연관 인스턴스를 하나의 파티션으로 묶어 사용할 수 있도록 하며, 인스턴스가 다른 파티션의 인스턴스와 물리적으로 분리된다. 이는 스프레드 그룹과 달리 같은 물리적 서버를 공유하지 않는다.
Instance Lifecycle
- 종료: 인스턴스가 종료되면 서버 기능이 중지되고 관련 리소스는 AWS 리소스 풀에 재할당된다.
- 중지: 중지 시 EBS 볼륨 데이터는 유지되지만, 인스턴스 스토어 볼륨 데이터는 유실된다.
- 재시작: 재시작 시 비 지속성 public IP 주소는 대체되며, 지속성 IP 주소가 필요한 경우 Elastic IP 주소를 할당받아 사용해야 한다.
- Security Group: 언제든지 업데이트 가능하며, 실행 중인 인스턴스에도 적용할 수 있다.
- 성능 변경: 인스턴스 성능 변경은 중지 후 재시작해야 적용된다.
Resource Tag
AWS 리소스가 많아지면 관리가 어려워질 수 있다. 따라서 리소스의 목적과 관련성을 기준으로 태그를 설정하면 관리가 용이해진다. 태그는 키와 연관 값을 가지며, 이를 통해 리소스의 가시성을 높이고 효율적으로 관리할 수 있다.
서비스 제한 사항
AWS 계정에는 서비스별 인스턴스 수에 제한이 있다. 예를 들어, 리전당 VPC는 5개, SSH 키는 계정당 5000개로 제한된다. 필요 시 AWS에 제한 상향 요청을 할 수 있다.
EC2 스토리지 볼륨
EBS 볼륨
하나의 인스턴스에는 다수의 EBS(Elastic Block Store)를 부착할 수 있으며, 이는 기존의 저장장치와 동일하게 사용 가능하다. AWS SLA는 EBS 볼륨에 저장된 데이터의 신뢰성을 최소 99.99%로 보장하며 작동에 실패해도 스스로 데이터를 복구한다.
AWS EBS Data Lifecycle Manager를 사용하여 EBS 기반 스냅샷 및 AMI의 생성, 유보, 삭제 등을 자동화 할 수 있다.
EBS 프로비전 IOPS SSD
고도의 I/O 작업이 필요한 경우 프로비전 IOPS SSD 타입을 사용하는 것이 좋다.
EBS 범용 SSD
일반적인 서버 워크로드를 고려한다면 범용 SSD 타입이 적합하다.
HDD 볼륨
대량의 데이터를 처리할 필요가 없거나 신속성이 필요 없는 경우 HDD 볼륨 사용이 적합하다.
특징
모든 EBS 볼륨은 스냅샷 생성 방식으로 복제가 가능하며, 이를 통해 다른 인스턴스에 부착 가능한 볼륨 생성과 AMI 생성을 위한 이미지 변환이 가능하다. 또한, 데이터 보호를 위해 EBS 볼륨은 암호화할 수 있으며, AWS Key Management Service를 통해 암호화 키를 관리할 수 있다.
인스턴스 스토어 볼륨
인스턴스 스토어 볼륨은 비지속형 스토리지이다. 인스턴스를 종료하면 데이터가 소실된다. 이는 인스턴스 서버 호스팅 시 물리적으로 부착되는 SSD 저장장치이며, 단기적인 목적으로 인스턴스를 시작하는 배포 모델에 적합하다.
- 인스턴스 서버 호스팅 시 물리적으로 부착되는 SSD 저장장치이며 NVMe(Non-Volatile Memory express) 인터페이스로 연결된다.
- 인스턴스를 생성하면 자동으로 생성되며 비용이 들지않는다.
- 단기적인 목적으로 인스턴스를 시작하는 배포 모델에 적합하며, 외부에서 데이터를 import해서 사용하기에 내부에 저장된 데이터는 작업후 삭제되어도 무방하다.
EC2 인스턴스 접속하기
EC2 인스턴스는 유일한 IP 주소를 가진다. 모든 인스턴스는 최소 하나 이상의 프라이빗 IPv4 주소를 가지며, 필요에 따라 public IP를 할당하여 인터넷과 연결할 수 있다. 지속적인 public IP가 필요하면 Elastic IP를 사용해야 한다.
사용 가능한 주소 범위는 아래와 같다.
10.0.0.0 ~ 10.255.255.255
172.16.0.0 ~ 172.31.255.255
192.168.0.0 ~ 192.168.255.255
처음 인스턴스 생성 시 서브넷 내에서만 인스턴스를 사용할 수 있으며 인터넷과 바로 연결이 불가능하다. 인스턴스에 하나 이상의 가상 네트워크 인터페이스 부착이 가능하며, 이는 기존 subnet, security group과 반드시 연결되어야 한다. 필요에 따라 subnet 범위 내에 정적 ip 주소를 할당할 수 있다.
EC2 인스턴스 보안 유지
AWS는 EC2 인스턴스 보안을 위해 다음과 같은 네 가지 주요 도구를 제공한다: Security Group, IAM Role, NAT Device, Key-Pair.
Security Group
Security Group은 방화벽과 유사한 역할을 하며, 인스턴스로 향하는 모든 트래픽을 거부하고 나가는 트래픽은 허용한다. 인스턴스로의 트래픽은 소스와 목적지, 그리고 타겟 네트워크 포트 및 미리 설정된 프로토콜을 통해 검증된다.
IAM Role
IAM Role은 EC2 인스턴스에 접근 권한을 제한된 유저나 리소스 등에 부여할 수 있다. 이를 통해 RDS 등 외부 서비스에서 해당 인스턴스에 접근해 DB 업무 등을 처리할 수 있다.
NAT Device
NAT Device는 프라이빗 IP 주소를 통해 인터넷에 접속할 수 있도록 한다. AWS는 NAT 인스턴스와 NAT 게이트웨이 두 가지를 제공한다.
Key-Pair
Key-Pair는 보안 세션을 실행하는 방법으로, 퍼블릭 키는 EC2 서버에, 프라이빗 키는 로컬 머신에 저장된다. 프라이빗 키를 사용하여 SSH 세션을 실행할 수 있다. AWS가 생성한 Key-Pair는 인스턴스 시작 리전에 유지되며, 삭제 전까지 다른 인스턴스에도 적용 가능하다. 분실 시 해당 Key-Pair를 삭제하고 다시 생성해야 한다.
2편링크
'aws' 카테고리의 다른 글
[AWS]VPC (2) (0) | 2024.07.13 |
---|---|
[AWS]VPC (1) (0) | 2024.07.09 |
[AWS]스토리지 (2) (0) | 2024.07.01 |
[AWS]스토리지(1) (0) | 2024.06.28 |
[AWS]Compute Service(2) (0) | 2024.06.23 |