오늘도 지식 한점!

LandingZone과 연계된 OU(Organization Units) 설계부터 확인이 필요하다. ROOT 계정은 모든 AWS의 권한을 가지고 있기 때문에 이것만으로도 원하는 AWS 서비스를 생성하고 사용할 수 있지만 현업에서는 다양한 부서와 지사 등의 관계가 얽혀있기에 엔터프라이즈 환경에서 권한을 어떻게 부여하고 제어할지 잘 설계해야 한다.​ 특정 목적에 의해 AWS 계정을 묶어 관리하는 상위 개념을 OU(Organizational Unit)이라 한다. 개발사라면 개발팀/QA팀/운영팀으로 OU를 나눌 수도 있고 일반 회사라면 영업팀/마케팅팀/개발팀 이렇게 나눌 수도 있겠다. 이렇게 생성한 OU 밑에 하위 AWS 계정을 만들어 독립적으로 관리하고 사용할 수 있도록 한 것이 AWS 계정(account)다...

> 개요 HPA는 지정된 메트릭 값을 기준으로 Pod의 Replica 수를 제어 일반적으로 Pod의 CPU Utilization 메트릭 지정 CPU, Memory 사용량 수집을 위해 EKS Cluster 내 metric-server 구성 필요 기본적인 CPU/Memory 메트릭 이외에도 Custom Metric도 이용 가능 DaemonSet 등 Auto Scaling 적용이 불가능한 Object에는 적용할 수 없음 > 동작 원리 특정 시간 간격마다 kube-controller-manager가 HPA Object에 정의되어 있는 Resource의 utilization을 확인 기본 시간 간격은 15초 kube-controller-manager에 --horizontal-pod-autoscaler-sync-pe..

> 개요 CA는 Kubernetes 클러스터 Node의 리소스 사용률에 따라 Worker Node의 Scale out/in을 수행 AWS에서는 Auto Scaling Group을 이용하여 Node의 수를 조정 Kubernetes v1.8 부터 Kubernetes Autoscaler 프로젝트 중 하나로 Cluster Autoscaler v1.0(GA)이 포함 각 Cloud Provider에 맞는 가이드 제공 Cluster Autoscaler on AWS : IAM Policy & OIDC Ferderation, Auto-Discovery Setup이 포함 Cluster Autoscaler on AWS using Helm chart GitHub - kubernetes/autoscaler: Autoscalin..

> WAF RuleSet 적용 검토 기본 적용 사항 - Known Bad Input/ Managed Common Ruleset RuleSet 적용 권장 사항 AWS Managed Core Rule Set - OWASP Top 10기반 Core Rule, Count Mode로 운용 SQL Database - SQL Injection, Count Mode로 운용 Known bad inputs - Log4J Issue > 3rd Party Managed - Option F5 Managed - Web Exploit / API Audit Fortinet - OWASP Detect/ Deny Rule >Manual Rule Deny Country - Rule Builder 요구 사항에 맞게 추가 - 예시> Kore..

Why NoSQL? DynamoDB is a distributed system: Any-Scale Global Web application with minimal management. This is from a media company for the 2017 Superbowl was provisioned at 5.5m WCUs(Write Capacity Units), traffic hit 10+ mil at the end of the game! Traffic went from 3.5M WCUs to 10M WCUs in a 1 minute period and then back down to 3.5M. (over consumption is also allowed due to burst capacity) P..

싱글 클러스터 업그레이드 전략 적은 비용으로 업그레이드 가능 기존 시스템을 크게 변경할 필요가 없습니다. 노드 그룹과 cordon, drain, eviction 을 사용하여 무중단 업그레이드 가능 테스트 환경, 소규모 워크로드 등에 적합 Control Plane 하나의 버전씩 업그레이드를 진행합니다. Data Plane(Worker Node) 노드 그룹 버전 업데이트 기본적으로 노드는 한 번에 하나씩 업데이트를 진행합니다. 배포된 애플리케이션이 높은 수준의 중단을 허용할 경우, 작업 병렬 수준을 높여 노드 그룹 버전 업데이트를 완료하는데 걸리는 시간을 줄일 수 있습니다. 노드 개수가 많을 경우 비율로 설정하는 것이 유용합니다. 서비스 불가능 노드(최대)는 숫자 혹은 비율로 설정가능 Rolling Upda..

EKS는 기본적으로 오픈 소스 Kubernetes(이하, k8s)를 수정하지 않습니다. EKS는 업스트림 및 인증된 k8s 버전을 포함해서 오픈 소스와의 일관성을 유지하기 위해 보안 수정 사항을 backporting를 진행합니다. k8s 운영의 복잡도를 줄이기 위한 EKS는 k8s API의 모든 GA 기능을 지원하고, 기본적으로 활성화되어 있는 알파 기능을 제외한 모든 베타 기능도 지원합니다. 또한, 업스트림 버전을 장기간 지원하는데 EKS는 최대 4가지 버전의 k8s를 지원하기 때문에 운영단에서 롤아웃 업그레이드를 수행할 수 있는 충분한 시간을 제공합니다. 그 일환으로 AWS는 현재 커뮤니티에서 지원하지 않을 수도 있는 k8s에 대한 패치, 수정 및 업그레이드를 backporting하고 있습니다. 업스..

Amazon GuardDuty 란 위협 요소 및 악의적인 활동을 지속적으로 모니터링하여 AWS 계정 및 워크로드를 보호하는 지능적인 위협 탐지 서비스 Thereat Intelligence Machine Learning 휴리스틱 탐지 패턴 추출 분석 정상/비정상의 프로파일링을 통한 분류 머신 러닝 학습을 통한 클래스화 내부 프로세스 Works Detection Types - Pattern Mach 가 아닌 Data Anomaly 를 통한 Detection https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-active.html Finding types - Amazon GuardDuty Thanks for letting us kno..

AWS WAF AWS Workload 에서 Layer 7 의 웹 어플리케이션을 보호하고 HTTP/HTTPS 트래픽을 모니터링하고 차단하는 역할을 수행 AWS WAF 는 외부에서 수신되는 트래픽 기준으로 Inspection 수행 AWS WAF 구현 순서 권고안 적용할 WAF 의 대응 룰셋 이해와 대처 방안 WAF 요구사항 WAF 구현 WAF 룰 배포 비용 검토 평판 정보를 이용한 차단 적용 Spamhaus 평판정보 IP 차단 - https://www.spamhaus.org/drop/ DROP / EDROP 목록 추가 Tor Node 평판정보 IP 차단 - https://check.torproject.org/exit-addresses 추가 Proofpoint 평판정보 IP 차단 - https://rules...

AWS는 CloudWatch를 기본으로 Monitoring, Logging, Alarm 및 Dashboard와 X-Ray를 통해 Tracing를 제공합니다. Observability(관측가능성)의 3가지 구성요소인(Telemetry, Log, Trace)를 제공합니다. X-Ray는 Tracing의 근본적인 부분이므로 CloudWatch와 함께 동작합니다. 오픈소스 observability interoperability (상호운영성)을 위해 Managed Prometheus 및 Grafana 서비스를 제공하며 OpenTelemetry까지 지원합니다. 구성 아키텍쳐(Overall) 모든 요소는 중복구성이 될 수 있기 때문에 의사결정이 필요하고, cloudwatch로 기본 수집되는 영역은 추가로 있습니다. I..