본문 바로가기
메가존 클라우드 2기 교육/AWS

AWS - EFS, NAT 게이트웨이 , S3

경구dev 2023. 4. 28. 17:35

보안 그룹 및 네트워크 ACL 비교

보안 그룹 (SG) 네트워크 ACL (NACL)
인스턴스 레벨에서 운영된다. 서브넷 레벨에서 운영된다.
허용 규칙만 지원 허용 및 거부 규칙 지원
상태 저장(Stateful): 규칙에 관계없이 반환 트래픽이 자동으로 허용됨 (인바운드가 된다면 아웃바운드가 자동으로 따라옴) 상태 비저장(Stateless): 반환 트래픽이 규칙에 의해 명시적으로 허용돼야함 (인바운드와 아웃바운드를 따로 봐줘야함)
트래픽 허용 여부를 결정하기 전에 모든 규칙을 평가함 트래픽 허용 여부를 결정할 때 번호를 가장 낮은 규칙부터 순서대로 규칙을 처리한다.
인스턴스 시작 시 누군가 보안 그룹을 저장하거나, 나중에 보안 그룹을 인스턴스와 연결하는 경우에만 인스턴스에 적용됨 연결된 서브넷의 모든 인스턴스에 자동으로 적용됨(보안 그룹 규칙이 지니차게 허용적일 경우 추가 보안 계층 제공)

 

구축할 네트워크 망도

 

EFS (Elastic File System)

EFS란?

 AWS 클라우드 서비스와 온프레미스 리소스에서 사용할 수 있는 간단하고 확장 가능하며 탄력적인 완전 관리형 탄력적 NFS 파일 시스템을 제공한다.

애플리케이션을 중단하지 않고 온디맨드 방식으로 페타바이트 규모까지 확장되도록 구축되어, 사용자가 파일을 추가하고 제거할 때 자동으로 확장/축소되므로 데이터 증가에 맞춰 용량을 프로비저닝 및 관리할 필요가 없다.

Amazon EFS에는 파일 시스템을 빠르고 쉽게 만들고 구성할 수 있는 간단한 웹 서비스 인터페이스가 있다.

 보안 그룹 생성

my-vpc 선택
my-sg-web 선택

EFS 생성

'파일 시스템 생성' 클릭
'사용자 지정' 클릭
모두 디폴트 값으로 유지하고 '다음'
그대루 두고 '다음'
EFS 생성 완료.

EFS 스토리지를 사용하는 인스턴스 생성 (인터넷 x)

'필요한 사용자 데이터 스크립트를 연결하여 공유 파일 시스템을 자동으로 탑재'를 통해 편하게 efs에 필요한 패키지 설치 및 연결을 해준다.
그래서 사용자 데이터에 다음과 같은 많은 내용이 적혀져 있다. 헌데, 인터넷이 필요하므로 서브넷이 'public'이어야 한다. 그러므로 직접 해줘야 할 것이다.
생성 완료.
# efs 폴더 생성
mkdir efs

# 위 사진의 명령어를 기반으로 마운트
sudo mount -t nfs4 -o nfsvers=4.1,rsize=1048576,wsize=1048576,hard,timeo=600,retrans=2,noresvport fs-0818282749bdf30e0.efs.ap-northeast-2.amazonaws.com:/ efs
프라이빗이므로, 인터넷이 안된다. 하지만 이제 NAT 게이트웨이를 통해 통신이 되게 할 것이다.

NAT 게이트웨이

NAT 게이트웨이란?

 NAT (네트워크 주소 변환) 게이트웨이를 사용하여 프라이빗 서브넷의 인스턴스를 인터넷 또는 기타 AWS 서비스에 연결하는 한편, 인터넷에서 해당 인스턴스와의 연결을 시작하지 못하도록 할 수 있다.

 계정에서 NAT 게이트웨이 생성 및 사용에 대한 요금이 청구된다. NAT 게이트웨이 시간당 사용 요금 및 데이터 처리 요금이 적용된다. NAT 게이트웨이 시간당 사용 요금 및 데이터 처리 요금이 적용된다.

 다음 다이어그램은 NAT 게이트웨이가 있는 VPC의 아키텍처를 보여 준다. 다음 다이어그램은 NAT 게이트웨이가 있는 VPC의 아키텍처를 보여준다. 기본 라우팅 테이블은 프라이빗 서브넷의 인스턴스에서 NAT 게이트웨이로 인터넷 트래픽을 보낸다. NAT 게이트웨이는 NAT 게이트웨이의 탄력적 IP 주소를 소스 IP 주소로 사용하여 인터넷 게이트웨이로 트래픽을 보낸다.

NAT 게이트웨이 다이어그램

NAT 게이트웨이 생성

'NAT 게이트웨이' 생성
탄력적 IP 할당을 한다.(1개는 무료)
생성 완료.
pvt의 라우팅 정보를 보면 로컬만 있다. 이제 여기에 NAT 게이트웨이를 추가해주면, 프라이빗에서도 인터넷이 가능해진다.
이제 프라이빗에서도 인터넷이 가능하다. (퍼블릭 아이피가 없어도 NAT 게이트웨이를 통해 통신 가능해짐)

 EFS는 4개의 가용 영역 모두에 다 존재하며, 각각의 가용 영역에는 모든 퍼블릭이 접근 가능하다. 그러므로, 고가용성도 지킬 수 있다.

 

EFS 스토리지를 사용하는 인스턴스 생성 (인터넷 o)

 그렇다면 전에 EFS 스토리지를 연결한 인스턴스 생성에서 인터넷이 연결이 안돼서 자동으로 설치와 연결이 안됐던 문제가 해결될 것이므로 다시 재시도 해본다.

위에서 했던 것과 똑같이 진행하면 된다. (이름은 'wp02')

 

생성 완료.
'wp02'에 MobaXterm 으로 접속.
마운트가 되어있음을 알 수 있다.
wp02에서 efs 공유 폴더에 파일 생성
'wp01'에서도 확인이 가능하다. 즉 둘이 같은 스토리지를 공유 중이다. ( NAT 게이트웨이가 생기면서 설치 과정이 다시 자동으로 진행돼서 공유됨)

NAT 게이트웨이는 비용이 발생하므로, 쓰지 않는 동안에는 지금 삭제하는 것이 좋다. (필자는 지금 삭제함) 그리고 할당했던 탄력적 IP도 삭제해주는 것이 좋다.

아마존 리눅스은 NFS의 타입을 이미 알기 때문에 인터넷이 되지 않아도 마운트 가능

우선 NAT 게이트웨이가 삭제됐으므로 모든 프라이빗은 인터넷이 안된다.

wp01를 삭제하고 다시 재성성한다 (과정은 웨어서 한 것과 같으므로 생략)
다시 재생성해도 자동으로 설치되고 마운트된다. (내용물도 그대로)
우분투를 사용하는 'wp03'도 생성

반대로, 우분투는 인터넷이 되지 않으면 NFS의 타입을 미리 알지 못하므로 이렇게 자동으로 마운트가 되지 않는다.  그러므로, 정석적인 방법을 써야한다.

'연결' 클릭
터미널에 입력을 해줘야한다.

S3 (Simple Storage Service)

S3란?

확장성과 데이터 가용성 및 보안과 성능을 제공하는 객체(정적) 스토리지 서비스. 즉, 어떤 규모 어떤 산업의 고객이든 이 서비스를 사용하여 웹 사이트, 모바일 애플리케이션, 백업 및 복원, 아카이브(S3 Glacier), 엔터프라이즈, 애플리케이션, IoT 디바이스, 빅데이터 분석 등과 같은 다양한 사용 사례에서 원하는 만큼의 데이터를 저장하고 보호할 수 있다.

Amazon S3는 사용하기 쉬운 관리 기능을 제공하므로 특정 비즈니스, 조직 및 규정 준수 요구 사항에 따라 데이터를 조직화하고 세부적인 액세스 제어를 구성할 수 있다.

S3 생성

'버킷 만들기' 클릭
생성 완료

CLI (윈도우 cmd)

 

객체 업로드를 CLI를 통해서 할 것이다.

https://docs.aws.amazon.com/ko_kr/cli/latest/userguide/getting-started-install.html 

 

최신 버전의 AWS CLI 설치 또는 업데이트 - AWS Command Line Interface

이전 버전에서 업데이트하는 경우 unzip 명령을 실행하면 기존 파일을 덮어쓸지 묻는 메시지가 표시됩니다. 스크립트 자동화와 같은 경우에 이러한 프롬프트를 건너뛰려면 unzip에 대한 -u 업데이

docs.aws.amazon.com

 해당 페이지에서 'AWS CLI'를 다운로드 받는다. 

설치 과정은 매우 간단하므로 생략.

설치가 정상적으로 됐다면, 윈도우 CMD 창에서 다음과 같이 출력된다.
# aws의 s3의 목록 확인
aws s3 ls
정상적으로 조회가 된다.

권한이 없어서 조회가 불가능한 경우도 있다. 그럴 경우엔 아래의 절차대로 S3에 대한 모든 권한을 가지는 사용자를 만든다.

생성 완료.

이제 액세스 키를 만들 차례다.

'액세스 키 만들기' 클릭
CLI만 이용하므로 CLI 선택
생성 완료. '.csv 파일 다운로드'를 눌러 액세스 키 정보를 다운받아 가지고 있자.
# aws 액세스 키로 로그인
aws configure

# 서울 리전 선택
ap-northeast-2

# 마무리
json
발급한 액세스 키로 로그인

이제 권한이 생겨서 S3 조회가 가능해진다.

 다시 돌아와서,

베스천 호스트는 아마존 리눅스이므로 별도의 설치 없이 asw 명령어가 가능하다. 단, 아직 권한이 없어 조회가 안된다.
S3에 업로드할 파일을 'C:\Users\사용자명' 에 붙여넣는다.
필자는 업로드한 'index.html'파일을 메모장으로 제목을 바꿨다.
# index.html을 S3의 해당 스토리지로 붙여넣음
aws s3 cp index.html s3://kyounggu-seoul/

# s3 스토리지의 파일 목록 확인. 
aws s3 ls s3://kyounggu-seoul/

# 붙여넣을때 없는 경로의 폴더라면 새로 만들고 붙여넣는다.
aws s3 cp two-rabbit.jpg s3://kyounggu-seoul/images/
CLI로 'index.html' 파일 업로드
없는 폴더도 새로 만들어서 복사 가능
# sync로 파일이 아닌 폴더를 업로드 할 수도 있다. (당연히 안에 있는 내용물들도 따라온다.)
# 단, 없는 폴더는 cp와 다르게 생성하지 않으므로 끝에다 명시해줘야 한다.
aws s3 sync backup s3://kyounggu-seoul/backup/
'C:\Users\COM'에 'backup' 폴더 생성
'backup' 폴더에 여러 파일을 넣는다.
'sync' 명령어로 간편하게 여러 파일을 올릴 수 있다.
정상적으로 업로드 됐다.
# 파일 삭제
aws s3 rm s3://kyounggu-seoul/backup/food.tar

# 폴더 삭제. 안에 파일이 있으면 삭제가 안되지만 '--recursive' 명령어를 통해 강제 삭제가 가능.
aws s3 rm s3://kyounggu-seoul/backup/ --recursive
파일이 삭제됐다.
폴더와 그 안의 파일들까지 삭제.

CLI (베스천 호스트)

 그렇다면 윈도우 cmd가 아닌 '베스천 호스트' 에서는 어떻게 사용하는지 확인해본다.

베스천 호스트는 'EC2' 이므로 'EC2'에 S3에 대한 모든 권한을 가지는 '역할'을 준다.

'역할 만들기' 클릭
베스천 호스트는 'EC2'이므로 'EC2'를 선택
'S3'에 대한 모든 권한 추가
역할 생성 완료.

이제 '베스천 호스트'의 IAM 역할을 수정한다.

생성한 's3-role' 역할로 수정
이전과 다르게 조회가 가능해졌다.
# S3 스토리지에 있는 파일을 베스천 호스트에 다운로드
aws s3 cp s3://kyounggu-seoul/index.html ./
'S3'의 'index.html' 파일을 '베스천 호스트'로 다운
같은 방법으로 jpg 파일 다운.

버킷 버전 관리

'버전 표시'를 통해 이전에 삭제했던 파일/폴더들의 사본들을 다운로드 받을 수 있다.

'버전 표시'를 하지 않으면 삭제했던 파일/폴더들이 보이지 않는다.
'버전 표시'를 키면 삭제했던 파일/폴더들이 보인다.

버킷 비우기

버킷 안에 있는 모든 파일/폴더들은 물론 '버전 관리'를 통해 만들어진 사본 파일들도 모두 삭제하는 방법이다. 

'비어 있음' 클릭
버킷 안에 있는 파일/폴더들은 물론, 버전 관리로 만들어진 사본 파일들도 다 사라진다.

 

 

'메가존 클라우드 2기 교육 > AWS' 카테고리의 다른 글

AWS - 클라우드 보안(공인인증서 발급 및 HTTPS 보안 연결), 아마존 Inspector, CloudWatchLog  (0) 2023.05.02
AWS - CloudFront, Certificate Manager, 클라우드 보안(키 유출 대책)  (0) 2023.05.01
AWS - Auto Scaling  (0) 2023.04.27
AWS - IAM, RDS, ELB(NLB, ALB), Route 53, 워드프레스  (0) 2023.04.26
AWS - 비용, VPC, EC2, VPC Peering, EBS, EBS Snapshot  (0) 2023.04.25

'메가존 클라우드 2기 교육/AWS' Related Articles

티스토리툴바