heesoohi

AWS Organizations를 사용하면 여러 계정을 하나의 조직 단위로 통합하고, Service Control Policy(SCP)를 통해 계정 수준에서 허용 가능한 권한의 범위를 제어할 수 있다.SCP는 IAM과는 달리 무엇을 허용할 수 있는지의 상한선을 설정하는 역할을 하는, 매우 강력하지만 동시에 잘못 설계하면 정상적인 작업까지 제한할 수 있는 서비스로 구조적으로 관리하는 전략이 필요하다. SCP는 AWS Organizations의 루트(Root)나 OU(Organizational Unit)에 연결할 수 있다. 많은 조직에서 아래와 같은 이유들로 SCP를 root가 아닌 OU 단위로 관리하는 방식을 선호한다. 1. 정책 범위의 명확한 통제루트에 SCP를 연결하면 조직의 모든 계정에 영향을 미치기..

도메인 이름 시스템(DNS, Domain Name System)은 사용자가 example.com 같은 도메인 이름을 입력하면, 그 도메인을 실제 IP 주소나 AWS 리소스로 해석해주는 시스템으로, 인터넷 서비스의 "주소록" 역할을 하며, 사용자는 실제 IP를 기억하지 않아도 웹 사이트나 API에 접근할 수 있다. AWS Route 53은 도메인 이름과 AWS 리소스를 연결해주는 DNS 서비스로, 아래와 같은 DNS 레코드를 설정할 수 있다:A 레코드도메인 → IP 주소 매핑CNAME 레코드도메인 → 다른 도메인 매핑Alias 레코드도메인 → AWS 리소스(API Gateway, ELB 등) 매핑Failover 레코드장애 조치용 주/보조 대상 설정 이 중 Failover 레코드는 고가용성을 위한 구성에 핵..

하이브리드 클라우드 환경에서는 온프레미스 시스템이 AWS 리소스와 원활히 통신해야 한다. 특히 도메인 기반 접근을 위해 DNS 해석이 중요하며, 이를 가능하게 해주는 핵심 컴포넌트가 Amazon Route 53 Resolver Inbound Endpoint이다. Route 53 Resolver Inbound Endpoint란?Route 53 Resolver Inbound Endpoint는 온프레미스 DNS 서버가 AWS의 Private Hosted Zone(PHZ)에 등록된 도메인을 질의할 수 있도록 해주는 AWS DNS 진입 지점이다. 일반적으로 PHZ는 VPC 내부에서만 동작하기 때문에, 외부(온프레미스)에서 직접 접근할 수 없으므로, 이를 해결하기 위해 Inbound Endpoint를 구성하게 된다..

Amazon Route 53은 AWS에서 제공하는 DNS(Domain Name System) 서비스로, 도메인 이름을 IP 주소로 해석하는 기능을 수행한다. Route 53은 퍼블릭 영역뿐 아니라 VPC 내에서만 사용할 수 있는 사설 DNS 영역, 즉 Private Hosted Zone(PHZ) 도 지원한다. Private Hosted Zone를 사용하면 계정 간 통신이 가능하고 하이브리드 클라우드 아키텍처에서의 적용 방식도 이해하는데 도움이 되므로 정리해보려 한다. Private Hosted Zone(PHZ)란?Private Hosted Zone은 지정한 VPC 내부에서만 유효한 도메인 이름(DNS 레코드)을 등록하고 해석할 수 있도록 해주는 Route 53의 기능이다. 퍼블릭 호스팅 존과 달리 인터..

AWS SWF(Simple Workflow Service)는 분산 애플리케이션의 복잡한 작업 흐름(workflow)을 관리하고 실행할 수 있도록 지원하는 완전관리형 서비스이다. 애플리케이션이 다양한 작업을 여러 위치에서 수행해야 할 때, 각 단계를 신뢰성 있게 관리하고 조정하는 데 유용하다. 예를 들어, 영상 처리, 데이터 변환, 사용자 승인과 같은 여러 단계로 이루어진 작업에서 각 단계를 정의하고 순서를 제어하는 데 SWF를 사용할 수 있다. SWF의 핵심 개념✅ 워크플로우(Workflow)전체 작업의 논리적 흐름을 정의한다.어떤 작업을 어떤 순서로 수행할지 결정한다.✅ 디시전(Decider)각 작업 이후 다음 단계가 무엇인지 결정하는 컴포넌트이다.주로 EC2 인스턴스, Lambda 함수, 온프레미스 ..

AWS Proton은 플랫폼 엔지니어링 팀이 표준화된 인프라 템플릿을 정의하고, 애플리케이션 개발자가 손쉽게 이를 활용하여 서비스를 배포할 수 있도록 도와주는 완전관리형 서비스이다. 컨테이너 기반 애플리케이션 및 서버리스 애플리케이션 환경에 최적화되어 있으며, 특히 마이크로서비스 구조의 조직에서 인프라 표준화와 개발자 자율성의 균형을 맞추는 데 유용하다. 주요 구성 요소1. 서비스 템플릿 (Service Templates)플랫폼 팀이 제공VPC, ECS/Fargate, Lambda, CI/CD 파이프라인 등 인프라 구조를 코드로 정의 (예: CloudFormation, Terraform)조직의 보안, 네트워크, 규정 준수 표준을 반영하여 일관성 유지2. 서비스 인스턴스 (Service Instances)..

1. ENI란?ENI(Elastic Network Interface) 는 AWS EC2 인스턴스가 VPC 내에서 통신할 수 있도록 해주는 가상의 네트워크 장치로, 쉽게 말해 로컬 컴퓨터의 랜카드나 인터넷 포트와 같은 역할을 한다. 2. ENI 구성 요소ENI는 다음과 같은 요소들로 구성된다.프라이빗 IPv4 주소 (필수, 하나 이상)퍼블릭 IPv4 주소 (선택)하나 이상의 보조 IPv4 주소하나 이상의 보안 그룹MAC 주소서브넷트래픽 미러링 구성 (옵션)소스/대상 확인 설정 3. 기본 ENI와 보조 ENI 비교 기본 ENI보조 ENI생성 시점EC2 생성 시 자동 생성사용자가 수동으로 생성인터페이스 이름일반적으로 eth0eth1, eth2 등분리 가능 여부❌ 인스턴스에 고정됨✅ 다른 인스턴스로 분리/이동 ..

EC2 배치 그룹(Placement Group)이란?- 대규모 인스턴스를 효율적으로 배치하기 위한 전략AWS에서 여러 개의 EC2 인스턴스를 동시에 사용할 때, 서로 어떻게 배치할지에 따라 성능, 안정성, 장애 대응력이 달라질 수 있다. 이때 사용하는 것이 바로 EC2 배치 그룹이다. 배치 그룹의 3가지 유형1. 클러스터 배치 그룹 (Cluster Placement Group)인스턴스를 물리적으로 가까운 위치에 배치장점: 인스턴스 간 네트워크 지연 최소화, 대역폭 극대화단점: 한 영역에 몰려 있어 하드웨어 장애에 취약적합한 경우: HPC(고성능 컴퓨팅), 대규모 병렬처리, 짧은 지연시간이 중요한 경우예: 초당 수천건을 처리하는 실시간 추천 시스템 2. 스프레드 배치 그룹 (Spread Placemen..

Direct Connect Gateway(DXGW)란?AWS Direct Connect는 온프레미스와 AWS 클라우드 간에 전용 네트워크 연결을 제공하는 서비스로 이를 통해 안정적인 대역폭과 낮은 지연 시간으로 온프레미스와 클라우드가 통신할 수 있다. 기본적인 Direct Connect 연결은 하나의 VPC 또는 하나의 Transit Gateway에만 연결할 수 있기 때문에, 여러 계정이나 여러 리전의 VPC에서 이 연결을 공유하려면 Direct Connect Gateway(DXGW)가 필요하다. DXGW는 하나의 Direct Connect 연결을 통해 여러 AWS 계정과 여러 리전에 걸쳐 있는 VPC들과 연결할 수 있도록 해주는 중앙 허브 역할을 한다. DXGW가 필요한 이유 및 장점기업이 온프..

AWS에서 MySQL 또는 PostgreSQL 기반의 RDS와 Aurora를 사용할 때 종종 겪는 문제가 바로 동시 연결 수 초과로 인한 "Too Many Connections" 오류다. 특히 요청량이 폭증하는 피크 타임에는 애플리케이션이 데이터베이스에 너무 많은 연결을 시도하게 되고, 결국 데이터베이스가 허용할 수 있는 연결 수를 넘어서 장애가 발생하게 된다. 이러한 문제를 해결하기 위해 AWS는 Amazon RDS Proxy를 제공한다. RDS Proxy는 애플리케이션과 RDS 인스턴스 사이에 위치하는 중간 프록시 계층으로, DB 연결을 효율적으로 관리하는 역할을 한다. 사용자는 Lambda, EC2, ECS, Fargate 등 어떤 컴퓨팅 환경을 사용하든, 애플리케이션이 RDS와 직접 연결하지 않고..