이번 포스팅에서는 IAM Roles Anywhere 기능을 활용하여 온프레미스 환경에서 AWS Access Key 를 사용하지 않고, AWS IAM Role 을 사용하여 리소스에 접근하는 방법에 대해 알아보겠습니다. 1. 개요 최근 많은 기업에서 클라우드를 도입하고 있다곤 해도 아직까지 모든 인프라를 클라우드 상에서 운영하고 있는 곳은 그리 많지 않습니다. 많은 조직에서 아직까지 인프라는 온프레미스와 클라우드를 혼용해서 사용하는 일명 하이브리드 클라우드 형태로 운영하고 있을 것입니다. 이러한 경우 온프레미스와 클라우드 간 네트워크 트래픽은 VPN 혹은 DX (Direct Connect) 를 이용하여 구성하곤 합니다. 하지만 온프레미스 Application 에서 AWS 리소스 (ex. s3) 에 접근해야하..

이번 포스팅에서는 ECR 에서 제공하는 Multi Architecture Image 기능을 활용하여 EKS Cluster 의 Amazon Linux 노드 그룹과 Graviton 노드 그룹을 한 번에 관리하는 법에 대해 알아보겠습니다. 1. 개요 최근 서비스 개발에 EKS 를 도입하는 프로젝트가 눈에 띄게 많아졌습니다. 그 만큼 kubernetes 와 EKS 에 대한 관심과 이해도가 많이 증가한 것을 느낄 수 있습니다. 생각보다 EKS 를 서비스에 도입하고 활용하는 것에는 상당한 비용이 들기에 도입을 고려한 후 비용 때문에 도입을 철회하는 경우도 많이 있습니다. 하지만, 비교적 최근 AWS 에서 출시한 ARM 기반의 Graviton 인스턴스를 활용하면 기존 EC2 에 비해 가격을 20% 정도 절약할 수 있..

이번 포스팅에서는 SAML 인증을 통해 AWS Client VPN 에 대한 SSO 를 구성하는 법에 대해 알아보겠습니다. 1. 개요 AWS Client VPN 을 사용하면 보안을 위해 외부 접근이 차단된 AWS 리소스에 안전하게 접근할 수 있습니다. 다만, 기본적으로 AWS Client VPN 은 1:1 방식의 상호 인증을 통한 VPN Connection 을 연결해주는데, 대규모 조직에서 사용할 경우 개별적으로 자격 증명을 부여하는 것은 관리적 측면에서 효율적인 방법이 아닙니다. AWS Client VPN 에서는 이러한 문제를 중앙 집중식 관리 방법인 AD 또는 SSO 를 구성하여 해결할 수 있습니다. 이번 포스팅에서는 Application 에 대한 사용자 인증 처리와 접근 제어를 위해 자주 사용되는 O..

최근 업무에서 SQS 를 활용한 Serverless 아키텍처를 구축하는 프로젝트를 진행했습니다. 이번 포스팅에서는 해당 프로젝트에서 배운 인사이트를 활용하여 API Gateway - SQS FIFO - Lambda 로 이어지는 Serverless 기반 Message Queue 서비스 아키텍처를 구축해보겠습니다. 1. 개요 이번 포스팅에서는 SQS 를 단순히 생성하여 콘솔에서 메시지를 저장하는 것에 그치지 않고, 앞 뒤로 API Gateway , Lambda 를 연결하여 SQS 서비스를 어떻게 구현할 수 있는 지 알아보겠습니다. 이번 글에서 사용할 AWS 서비스는 다음과 같습니다. API Gateway SQS Lambda EC2 DynamoDB Route53 1.1. 아키텍처 아키텍처 상에서는 /queue..

CloudNet@ 팀의 가시다님께서 Leading 하시는 AEWS Study 7주차 스터디 내용 정리 이번 포스팅에서는 kubernetes 에서 AWS Resource API 를 다룰 수 있게 해주는 AWS Controller for Kubernetes (ACK) 대해 알아보겠습니다. 1. AWS Controller for Kubernetes (ACK) AWS 리소스를 kubernetes 에서 직접 정의하고 사용할 수 있게 해주는 오픈소스 도구입니다. AWS 리소스 관리를 위해 k8s Cluster 밖으로 벗어나는 번거로움을 해결하기 위해 만들어졌습니다. 1.1. ACK 를 통해 사용가능한 AWS 서비스 ACK 가 지원하는 AWS 서비스 문서 Services Project status of each su..

이번 포스팅에서는 IAM Group 을 활용해 Group 에 속한 사용자들이 생성한 EKS 에 대해 권한을 가지도록 하는 방법에 대해 알아보겠습니다. EKS 인증/인가 절차에 대해 모르는 분은 이전 포스팅을 참고바랍니다. [AWS/EKS] EKS 인증/인가 파헤치기 이번 포스팅에서는 EKS 의 인증/인가 절차에 대해 자세하게 알아보겠습니다. EKS 권한에 대해 말할 때 흔히 IAM, 인증, 인가, RBAC, RoleBinding, Role, ServiceAccount 등의 용어가 사용됩니다. 이번 포스팅을 kimalarm.tistory.com 1. IAM Group 을 활용한 EKS 인증이 가능한가?? EKS 에서는 aws-auth 파일을 기반으로 AWS IAM User , Role 에 대해 권한을 부여..

이번 포스팅에서는 EKS 의 인증/인가 절차에 대해 자세하게 알아보겠습니다. EKS 권한에 대해 말할 때 흔히 IAM, 인증, 인가, RBAC, RoleBinding, Role, ServiceAccount 등의 용어가 사용됩니다. 이번 포스팅을 통해 해당 용어에 대한 개념을 알아보고 인증, 인가에 대해 딥다이브하게 파헤쳐보겠습니다. 1. EKS 인증 / 인가 용어 정리 다들 아시다시피 EKS 에서는 인증과 인가 절차가 분리되어 있습니다. 인증과 인가는 세부적으로는 복잡하지만, 아래의 개념으로 이해하시면 알기 쉽습니다. 인증(Authentication) : 외부 사용자가 EKS Cluster 에 접속하는 과정 (AWS IAM 사용) 인가(Authorization) : EKS Cluster 내부 리소스 접근..

CloudNet@ 팀의 가시다님께서 Leading 하시는 AEWS Study 5주차 스터디 내용 정리 이번 포스팅에서는 EKS AutoScaling 중 Node 오토스케일링 기능인 Karpenter 에 대해 알아보겠습니다. 1. Karpenter Karpenter 는 오픈소스 노드 수명 주기 관리 솔루션으로, 몇 초 만에 컴퓨팅 리소스를 제공할 수 있습니다. 기존 CA 의 단점인 느린 동작 시간과 비효율을 보완하는 솔루션이며 현재 AWS 에서 EKS 를 사용할 때 핵심 도구가 되어 가고 있습니다. Karpenter 공식 문서 Karpenter Just-in-time Nodes for Any Kubernetes Cluster karpenter.sh 1.1. Karpenter 동작을 위한 AWS Resour..