AWS

얼마전부터 route53 에서 cf 관련 느린이슈가 발생했다. https://twitter.com/fortyfourbits/status/1220241946343403520 skt lte 망에서 발생하는 이슈인지 아니면 다른 이슈가 있는지 애매한 느낌이 있었다. 나도 ipv6 를 꺼서 지연문제가 해결될거라 생각했는데 조금 이상한 부분이 있어서 글을쓰게되었다. 먼저 route53의 응답이 이상하다. linuxer.name 의 ns 레코드는 linuxer.name 서버: [205.251.196.29] Address: 205.251.196.29 linuxer.name nameserver = ns-1053.awsdns-03.org linuxer.name nameserver = ns-1958.awsdns-52.co.uk linuxer.name nameserver = ns-406.awsdns-50.com linuxer.name nameserver = ns-544.awsdns-04.net 총 4개의 ns 를 가지고있다. 이 ns를 지정해보기로 한다. ...

ami 를 공유하는 방법을 포스팅해 볼까한다. 계정간 인스턴스 이동을 진행하려면 꼭 알아야한다. ami 메뉴에서 권한수정을 클릭한다. 공유할 계정의 aws 계정 번호를 입력하여 권한을 추가한다. 공유된 계정에서 인스턴스 생성 페이지에서 나의 AMI에서 소유권에 나와 공유됨만 체크해본다. 공유된 AMI를 확인한다. 다른 방법으로 ami 를 확인할수 있는데 공유 받은 계정에서 프라이빗 이미지를 검색해서 확인할수 있다. 리전이 다르다면 스냅샷을 리전복사 한다음에 공유를 하자. 끝!

cloudfront - s3 를 이용하게되면 결국 OAI를 이용한 Bucket policy를 사용하게 된다. 단일 계정에서 사용할 경우엔 cloudfront 에서 자동으로 생성까지 해주므로 어려울것이 전혀없다. 그런데 이제 이게 파트너사를 통해서 cloudfront 전용계정을 사용하게 된다던거 multi account 로 프로젝트를 진행할경우 자동으로 생성이 되지 않는다. 이 경우에 어떤방식으로 s3 Bucket policy 를 설정해야 하는지 포스팅하려 한다. 먼저 Bucket policy 를보자 { "Version": "2012-10-17", "Id": "PolicyForCloudFrontPrivateContent", "Statement": [ { "Sid": " Grant a CloudFront Origin Identity access to support private content", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::cloudfront:user/CloudFront Origin Access Identity E39X8K28W3EQ" ] }, "Action": "s3:GetObject", "Resource": "arn:aws:s3:::*" } ] } ...

EFS를 사용하고 백업/복구 이야기를 하려고한다. EFS는 NFS기반의 편리한 서비스다. aws backup로 스냅샷 방식의 백업이 가능하다. 현재 측정크기가 6.0kib인데 df -h Filesystem Size Used Avail Use% Mounted on devtmpfs 475M 0 475M 0% /dev tmpfs 492M 0 492M 0% /dev/shm tmpfs 492M 404K 492M 1% /run tmpfs 492M 0 492M 0% /sys/fs/cgroup /dev/xvda1 8.0G 4.6G 3.5G 57% / tmpfs 99M 0 99M 0% /run/user/0 fs-7eb4fb1f.s.ap-northeast-2.amazonaws.com:/ 8.0E 0 8.0E 0% /mnt/efs ...

오늘의 주제는 dynamic cdn / 동적 cloudfront 다. cloudfront 는 cdn 이다. cdn 이 뭔가? Contents Delivery Network 컨텐츠를 빠르게 전송하기 위해서 사용자에게 가까운 edge 에서 응답해주는 방식이다. - edge 는 aws에서 말하는 용어이고 보통 pop라고 한다. 많은 지역에 pop이 존재하고 이 pop에선 원본 컨텐츠를 캐싱하여 user에게 전달한다. 구성도로 보자면 다음과 같다. user 가 네임서버에 domain 에대한 확인을 하고 cf의 위치를 알려주면 user는 가장가까운 pop에 연결된다. 간단하게 확인하려면 f12를 눌러서 cloudfront 의 헤더를 확인해 보면 된다. ...

route53 지역기반 라우팅(Geolocation)을 이용하여 허용한 지역 이외에는 내 사이트를 열 수 없도록 설정하려고 한다. 근래에 내 블로그가 좀 힘찼다. 잘 관리를 안해서 힘이 없었는데 자꾸 블로그 댓글로 비아그라 광고가 들어왔다.. 제길 ㅠㅠ 한30건 정도.... 독일쪽 스패머인것으로 보인다. 5.189.131.199 그래서 한국/남아메리카/북아메리카를 제외한 모두를 차단하기로 하였다. 먼저 기본값으로 지역기반 라우팅으로 set ID 1로 203.0.113.1 라우팅한다. 203.0.113.1 IP는 https://tools.ietf.org/html/rfc5737 사용할수 없는 IP로 보인다. RFC5737을 참조하기 바란다. 따라서 특정하지 않는 모든 라우팅은 203.0.113.1 로 연결되도록 설정하였다. ...

오늘의 주제는 인스턴스에서 발생하는 로그를 cloudwatch 로 전송하여 사용하는 법을 포스팅 할거다. 먼저 역할에 정책부터 생성해 보자. 사용하는 정책은 아래와 같다. { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents", "logs:DescribeLogStreams" ], "Resource": [ "arn:aws:logs:*:*:*" ] } ] } 역할을 인스턴스에 부여하고 인스턴스 내부에서 패키지를 설치해야 한다. 나는 이미 이전에 테스트로 설치해 뒀다. 설치로그이다. Nov 18 17:17:19 Installed: aws-cli-plugin-cloudwatch-logs-1.4.4-1.amzn2.0.1.noarch Nov 18 17:17:20 Installed: awslogs-1.1.4-3.amzn2.noarch 실제 설치방법은 yum install 이나 wget 으로 받아 실행하는 방법이 있다. ...

오픈카톡에서 받은 질문이다. 질문을 다시정리하자면 linuxer-blog-alb-1657105302.ap-northeast-2.elb.amazonaws.com <- 허용하지 않음. 이름: linuxer-blog-alb-1657105302.ap-northeast-2.elb.amazonaws.com Addresses: 13.125.124.26 15.164.132.46 13.125.124.26 <- 허용하지 않음 15.164.132.46 <- 허용하지 않음 test.linuxer.name <-허용하지 않음 linuxer.name <- 허용 www.linuxer.name <-허용 리눅서.com <-허용 iptables 마냥 deny 정책 위에 allow 를 올려준다 생각하면 간단하다 그럼 여기에서 필요한건 ALB limit 인것 같다. 왜냐? 룰이 많아 질수도 있으니까. https://docs.aws.amazon.com/ko_kr/elasticloadbalancing/latest/application/load-balancer-limits.html 여러번 공개된 리스너 규칙이다. 80->443으로 연결하고 443리스너는 linuxer-blog-wg 로 전달.. tg인데 왜 wg로 했는지는 아직도 의문이다..생성하면서 졸았나... ...

페이스북 AKUG에서 다음과 같은 포스팅을 봤다. https://aws.amazon.com/ko/about-aws/whats-new/2019/10/aws-global-accelerator-supports-ec2-instance-endpoints/?fbclid=IwAR2spSZzdtmHMDVqYwEpZS8W5pEs86t7SMNArZ2fyT81M55QDoDA1dqKuy4 처음엔 아무생각이 없었으나 급 아이디어가 떠올랐다. EC2 엔드포인트를 지원하면 리전간의 레이턴시를 줄일수 있지 않을까? 그러니까..궁금증은 오픈카톡에서 시작된거였다. 한국과 도쿄리전 간의 레이턴시를 20ms 로 줄일수 있는지가 관건이었다. AWS Global Accelerator는 TCP/UDP를 지원한다. 그렇다면 OPENVPN을 TCP로 셋팅해서 인스턴스의 앞단에 AWS Global Accelerator 둔다면 과연 빨라질까? 그런 궁금증이었다. 엣지로케이션을 이용하여 라우팅 최적화라고 생각하면 가장 간단하다. 테스트 방식은 총4가지였다 openvpn-도쿄리전(인스턴스) -프라이빗 IP 22 port tcping ...

You have a web portal composed of two services. Each service musts scale independently. Both services should be served under the same domain. Which configuration allows this? A. Use one AWS Classic Load Balancer. Create a redirect in the web server based on users' source IPs. B. Use two AWS Application Load Balancer; one for each service. Assign the same CNAME to both. C. Use one AWS Application Load Balancer. Specify listener rules to route requests to each service. D. Use two AWS Classic Load Balancers; one for each service. Assign the same CNAME to both. ...