AWS SAA-C02(EC2[2])

EC2 Security Groups

- 보안그룹은 트래픽이 인스턴스로 들어오고 나가는 allow를 조정한다.

- 보안그룹은 allow rules들을 따른다.

- 보안그룹은 instance 방화벽입니다.

- 접근 포트 설정(port), ip address range(source), inbound, outbound

보안 그룹은 region/VPC 조합으로 잠겨있습니다. 지역을 옮길경우 새로운 보안그룹을 생성하거나 다른 VPC를 생성해야 합니다.

*SSH 접근 만을 위한 별도 보안 그룹을 분리시키는게 좋다.

1. 만일 접근할수 없는 issue(time out)이 발생한다면, 이건 보안그룹 issue일 것이다.

2. 하지만 connection refused가 발생했다면 아마 보안그룹은 정상적으로 작동했고 application문제일 것이다.

- 기본적으로 모든 inbound traffic은 전부 blocked 되어있고, 모든 outbound 트래픽은 default로 인증되어 있다.

후에 서로 다른 인스턴스들끼리 접속이 발생시 동일한 보안그룹을 가지고 있다면 ip에 상관없이 authorize되어있습니다.

 

처음 pair key를 다운받게 되면 For all HTML and image files, the permissions have to be set to 644 (or 0644).로 설정된다.

-> 권한을 0400으로 변경해줘야 합니다.

400이면 owner사용자만 read할 수 있습니다.

7	4(r) + 2(w) + 1(x)	rwx	read, write and execute
6	4(r) + 2(w)	rw-	read and write
5	4(r)        + 1(x)	r-x	read and execute
4	4(r)	r--	read only
3	2(w) + 1(x)	-wx	write and execute
2	2(w)	-w-	write only
1	1(x)	--x	execute only
0	0	---	none

EC2 instance connect는 SSH기반으로 이루어지기 때문에 ssh port인 22번이 열려있어야 사용 가능하다.

 

Reserved Instance(1년 약정)

• reserved instance : 길게 가져감 사이즈 변경만 가능
• convertible reserved instance : 내가 instance 유형을 바꾸고 싶을 때 cpu credit이 다 떨어지면 다른 유형 R5로 변경가능
  - Standard can be sold in market place when you not using them but convertible cant be sold.
• scheduled reserved instance : 내가 원하는 필요한 시간에만 사용 가능

Spot instance

• 안정성이 떨어지는데 전체 EC2 인스턴스가 부족해지면 사용하던 스팟 인스턴스를 종료시킨다는 것이다. 그래서 유연하게 동작해야하는 작업에 사용된다.
• 대신 가격이 수요 공급에 따라 가격이 변동됨
• 하지만 스팟 블럭인스턴스는 도중 중단 걱정없이 1~6시간 동안 spot instance를 보장받을 수 있습니다.

 

demand vs reserved vs spot vs dedicated host

on demand

• 초당 사용량을 냄

Reserved

• 1~3년 미리 선불하고 server를 빌림 25%할인 해준다.
• 데이터베이스 같은 것에 주로 사용되는듯

spot

• on demand 대비 최대 90% 할인
• 반드시 장애에 복원력이 있는 워크로드에 사용되어야 한다.
• 인스턴스를 잃을 수가 있음
• 일괄작업에 많이 사용됨, 데이터 분석
• 최악은 중요한 작업이나 데이터베이스로 사용되는것은 피해야 한다.

dedicated host

• 아마존 데이터 센터에있는 물리서버를 빌림
• 전용 호스트-전체 물리적 서버에 대한 비용을 지불하면 사실상 원하는대로 인스턴스를 실행할 수 있습니다.
• 라이센스 이슈를 해결하기 위해 나옴
• 호스트 단위 빌링 내부 인스턴스 몇개든 상관없음
• 다른 사용자와 격리된 공간을 사용해야 할 때
• 인스턴스간에 레이턴시가 낮음 물리적으로 붙어있어서

dedicated instance

• 전용 인스턴스-인스턴스 비용을 지불하지만 Amazon이 결정한 전용 하드웨어에 배치됩니다.
• 인스턴스 단위 빌링
• 다른 사용자와 격리된 공간을 사용해야 할 때

서버를 빌리는게 아니라 가상화 vm을 비릴는게 instance

https://www.youtube.com/watch?v=8WBNKcftlzM 

 

스팟 인스턴스의 리퀘스트가 일회성이 아니라면 스팟 인스턴스를 종료할 때 반드시 스팟 리퀘스트를 먼저 삭제해줘야 새로운 instance가 생성되지 않는다.

1회성은 인스턴스 생성 후 spot request가 바로 삭제 된다.

 

질문 . EC2 인스턴스 세트에서 호스팅될 애플리케이션을 런칭할 준비를 하고 있습니다. 이 애플리케이션은 일부 소프트웨어 설치가 필요하고 일부 OS 패키지는 처음 실행시 업데이트해야 합니다. 다음 중 이 EC2 인스턴스를 처음 런칭하기 위한 가장 좋은 방법은 무엇일까요?

-> EC2 사용자 데이터는 bash 스크립트를 사용하여 EC2 인스턴스를 부트스트랩하는 데 사용됩니다. 이 스크립트에는 소프트웨어/패키지 설치, 인터넷에서 파일 다운로드 또는 원하는 명령은 어떤 것이든 포함할 수 있습니다.