39/120

CDN

Content Delivery Network
웹 컨텐츠를 고속으로 사용자에게 전송하기 위한 네트워크 구성

사진출처
네트워크는 물리적으로 멀어질수록 응답 속도가 느려짐 -> 리전이 없는 지역은 상대적으로 느림
엣지 로케이션으로 이 문제를 해결
원본서버인 origin가 cdn을 통해 엣지 로케이션과 연결하여 엣지 로케이션에 컨텐츠들을 저장(정적 컨텐츠-동영상 사진) 및 통신(동적 컨텐츠-검색결과 등)

특징

  • 기본적으로 보안기능이 있음 -> 오리진 서버로 다이렉트 요청이 들어오지 않음으로 디도스 같은 공격을 사전에 막을 수 있음
  • cdn 캐시 서버는 리버스 프록시

    리버스 프록시 : 외부 클라이언트에서 내부 서버로 보내는 요청을 처리하는 프록시(로드밸런서, cdn 캐시서버)
    포워드 프록시 : 내부 클라이언트에서 외부 서버를 연결해주는 프록시(회사에서 네이버나 카카오톡, 특정 서비스를 막아 놓는 경우)

s3를 이용한 cloudfront 설계

정적 컨텐츠 다운 bootstrap

서울 리전을 사용하게 되면 리전이 가까이 있어 cdn 사용 시 차이가 잘 보이지 않으므로 미국이나 유럽 리전 사용

  • 업로드 후 index.html의 url로 접근

  • 경로에서 index.html제거를 위한 정적호스팅

  • f12 개발자 도구를 통해 응답시간 확인


    페이지 완전 로드까지 1.2s 정도 소요
  • cloudfront 생성


    만들어 놓은 s3 버킷을 원본 도메인으로 지정 가능
    원본 경로는 버킷의 오브젝트 폴더가 있을 경우 지정
  • cloudfront 생성 후, 배포 도메인으로 접속 및 시간 테스트



589ms로 확연히 줄어든 모습

IAM

Identity & Access Managerment
통합 계정 관리

  • 루트 계정만 사용하는 것은 권장되지 않음
  • IAM을 만들고 적절한 권한 부여 권장
  • MFA 적용하고 IAM 만들어서 사용, MFA를 IAM에도 적용시키는 것이 원칙

계정 별칭을 통해 IAM 로그인 가능

정책

  • 고객 관리형 : 관리자가 직접 생성한 정책
  • aws 관리형 : aws에서 생성한 정책 - 수정불가
  • aws 관리형 - 직무 : 직무기반의 aws 관리형

adminisitratorAccess은 최고 권한으로 루트계정에 버금 가는 모든 권한 포함 - 비용관리 부분 제외

사용자 그룹

IAM 사용자들의 집합, 사용자들에 대한 권한을 쉽게 관리 할 수 있음

사용자 그룹 생성

  • 그룹에 추가할 사용자 선택
  • 그룹 내 사용자에게 부여할 권한, 정책 선택
  • 생성완료

사용자

AWS와 서비스 및 리소스와 상호 작용하기 위해 개체를 사용하는 사람 또는 서비스

사용자 추가

액세스 유형 방식

  • 액세스 키 : 프로그래빙 방식의 ID, 비밀 액세스키(패스워드)를 사용하여 인증
$ aws sts get-caller-identity

명령어를 활용하여 인증 받은 사용자 확인 가능

.aws/credentials 액세스키와 시크릿 키가 남게 됨
절대 공유되어서는 안 됨

  • 암호 : AWS 관리 콘솔에서 암호를 사용하여 로그인 가능

기존에 있는 그룹에 사용자 추가 가능

역할

사용자와 유사하지만, 한 사용자만 연결하지 않고 그 역할이 필요한 사용자 또는 그룹이면 누구든지 연결할 수 있도록 고안. 인스턴스에게 리소스에 대한 권한을 부여할때 사용

SAML(Security Assertion Markup Language) : 외부 인증서버와 연결 가능
자격증명 공급자 표준 LDAP(Lightweight directory access protocol)서버 사용시 IAM과 연결 시킬 수 있음
윈도우 = Active Directory, 리눅스 = openLDAP

EC2 인스턴스에 S3 액세스 권한 부여하기

  • 역할 생성
  • S3 권한 부여
  • 역할 이름 지정 후 생성
  • 인스턴스 생성 및 구성

    IAM 역할에 만들어둔 역할 지정
  • 인스턴스 접속 후 확인
$ aws s3 ls
s3 버킷 확인 가능
$ aws ec2 describe-instances --region ap-northeast-2
권한 오류, S3 접근 권한만 부여했기 때문에 ec2조회는 불가
$ aws sts get-caller-identity 
역할 확인 가능

좋은 웹페이지 즐겨찾기