오늘도 지식 한점!

VPC Design 리전별 CIDR 할당량 정의(가능한 크게, 12bit 이상) 계정당 표준 VPC 수 결정 Egress, East-West, 보안 장비 등 Transit Gateway 에 대한 Quota 참고 -Transit Gateway에 대한 할당량: https://docs.aws.amazon.com/ko_kr/vpc/latest/tgw/transit-gateway-quotas.htm) Decision Point Network VPC 구성 정의 VPN 등 기타 보안장비를 위한 별도 VPC 구성 여부 단일 VPC로 구성 시 VPC 개수가 줄어듬(단일 VPC내에 모두 제어) VPN의 경우 다른 VPC에서 들어오는 트래픽도 NFW을 거치게 하고 싶은 경우 subnet 분리 필요 VPC 내의 라우팅 테이블..

LandingZone과 연계된 OU(Organization Units) 설계부터 확인이 필요하다. ROOT 계정은 모든 AWS의 권한을 가지고 있기 때문에 이것만으로도 원하는 AWS 서비스를 생성하고 사용할 수 있지만 현업에서는 다양한 부서와 지사 등의 관계가 얽혀있기에 엔터프라이즈 환경에서 권한을 어떻게 부여하고 제어할지 잘 설계해야 한다.​ 특정 목적에 의해 AWS 계정을 묶어 관리하는 상위 개념을 OU(Organizational Unit)이라 한다. 개발사라면 개발팀/QA팀/운영팀으로 OU를 나눌 수도 있고 일반 회사라면 영업팀/마케팅팀/개발팀 이렇게 나눌 수도 있겠다. 이렇게 생성한 OU 밑에 하위 AWS 계정을 만들어 독립적으로 관리하고 사용할 수 있도록 한 것이 AWS 계정(account)다...

> 개요 HPA는 지정된 메트릭 값을 기준으로 Pod의 Replica 수를 제어 일반적으로 Pod의 CPU Utilization 메트릭 지정 CPU, Memory 사용량 수집을 위해 EKS Cluster 내 metric-server 구성 필요 기본적인 CPU/Memory 메트릭 이외에도 Custom Metric도 이용 가능 DaemonSet 등 Auto Scaling 적용이 불가능한 Object에는 적용할 수 없음 > 동작 원리 특정 시간 간격마다 kube-controller-manager가 HPA Object에 정의되어 있는 Resource의 utilization을 확인 기본 시간 간격은 15초 kube-controller-manager에 --horizontal-pod-autoscaler-sync-pe..

> 개요 CA는 Kubernetes 클러스터 Node의 리소스 사용률에 따라 Worker Node의 Scale out/in을 수행 AWS에서는 Auto Scaling Group을 이용하여 Node의 수를 조정 Kubernetes v1.8 부터 Kubernetes Autoscaler 프로젝트 중 하나로 Cluster Autoscaler v1.0(GA)이 포함 각 Cloud Provider에 맞는 가이드 제공 Cluster Autoscaler on AWS : IAM Policy & OIDC Ferderation, Auto-Discovery Setup이 포함 Cluster Autoscaler on AWS using Helm chart GitHub - kubernetes/autoscaler: Autoscalin..

> WAF RuleSet 적용 검토 기본 적용 사항 - Known Bad Input/ Managed Common Ruleset RuleSet 적용 권장 사항 AWS Managed Core Rule Set - OWASP Top 10기반 Core Rule, Count Mode로 운용 SQL Database - SQL Injection, Count Mode로 운용 Known bad inputs - Log4J Issue > 3rd Party Managed - Option F5 Managed - Web Exploit / API Audit Fortinet - OWASP Detect/ Deny Rule >Manual Rule Deny Country - Rule Builder 요구 사항에 맞게 추가 - 예시> Kore..

Why NoSQL? DynamoDB is a distributed system: Any-Scale Global Web application with minimal management. This is from a media company for the 2017 Superbowl was provisioned at 5.5m WCUs(Write Capacity Units), traffic hit 10+ mil at the end of the game! Traffic went from 3.5M WCUs to 10M WCUs in a 1 minute period and then back down to 3.5M. (over consumption is also allowed due to burst capacity) P..

싱글 클러스터 업그레이드 전략 적은 비용으로 업그레이드 가능 기존 시스템을 크게 변경할 필요가 없습니다. 노드 그룹과 cordon, drain, eviction 을 사용하여 무중단 업그레이드 가능 테스트 환경, 소규모 워크로드 등에 적합 Control Plane 하나의 버전씩 업그레이드를 진행합니다. Data Plane(Worker Node) 노드 그룹 버전 업데이트 기본적으로 노드는 한 번에 하나씩 업데이트를 진행합니다. 배포된 애플리케이션이 높은 수준의 중단을 허용할 경우, 작업 병렬 수준을 높여 노드 그룹 버전 업데이트를 완료하는데 걸리는 시간을 줄일 수 있습니다. 노드 개수가 많을 경우 비율로 설정하는 것이 유용합니다. 서비스 불가능 노드(최대)는 숫자 혹은 비율로 설정가능 Rolling Upda..

EKS는 기본적으로 오픈 소스 Kubernetes(이하, k8s)를 수정하지 않습니다. EKS는 업스트림 및 인증된 k8s 버전을 포함해서 오픈 소스와의 일관성을 유지하기 위해 보안 수정 사항을 backporting를 진행합니다. k8s 운영의 복잡도를 줄이기 위한 EKS는 k8s API의 모든 GA 기능을 지원하고, 기본적으로 활성화되어 있는 알파 기능을 제외한 모든 베타 기능도 지원합니다. 또한, 업스트림 버전을 장기간 지원하는데 EKS는 최대 4가지 버전의 k8s를 지원하기 때문에 운영단에서 롤아웃 업그레이드를 수행할 수 있는 충분한 시간을 제공합니다. 그 일환으로 AWS는 현재 커뮤니티에서 지원하지 않을 수도 있는 k8s에 대한 패치, 수정 및 업그레이드를 backporting하고 있습니다. 업스..

GitHub repository에 관리되는 Microservice의 CI(Continuous Integration)는 아래 관심사와 책임 원칙을 갖는다. 레포지토리의 관심사 실행가능한 상태의 애플리케이션을 생산하기 위해서 필요한 정적인 정보를 보관하고 추적한다. (소스코드, CI 워크플로우 스크립트, etc) 워크플로우의 관심사 소스코드로부터 생산되는 아티팩트가 SOT(Source of Truth) 로 사용될 수 있도록 자동화로 CI를 완수한다. 자동화된 테스트 및 각종 검증 결과(pass/fail)를 PR(pull requet)에 제공한다: Gated check-in 아티팩트 생산 책임 Containerized Application (Image Tag) → Saved in ECR repository A..

Amazon GuardDuty 란 위협 요소 및 악의적인 활동을 지속적으로 모니터링하여 AWS 계정 및 워크로드를 보호하는 지능적인 위협 탐지 서비스 Thereat Intelligence Machine Learning 휴리스틱 탐지 패턴 추출 분석 정상/비정상의 프로파일링을 통한 분류 머신 러닝 학습을 통한 클래스화 내부 프로세스 Works Detection Types - Pattern Mach 가 아닌 Data Anomaly 를 통한 Detection https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-active.html Finding types - Amazon GuardDuty Thanks for letting us kno..