끊임없는 학습

Global users for our application 글로벌 사용자를 위한 애플리케이션

​

You have deployed an application and have global users who want to access it directly.

​

They go over the public internet, which can add a lot of latency due to many hops

​

We wish to go as fast as possible through AWS network to minimize latency

애플리케이션을 디플로이 했지만 전 세계 사용자들이 빠르게 직접 접근하고 싶어한다.

그러나 애플리케이션은 한 리전에만 배치돼 있다.

예를 들면 한국 리전에 있고 Public ALB 배치돼 있으며, 사용자들은 전 세계에 걸쳐 접근하고 있다.

이렇게 되면 애플리케이션에 접근할 때 공용 인터넷을 통하게 된다.

라우터를 거치는 동안의 수 많은 홉으로 인해 상당한 지연이 발생할 수 있다.

이러한 홉들이 지연시키거나 연결을 끊을 수도 있기 때문에, 가능한 빨리 Amazon 네트워크를 통하게 하여

지연시간을 최소화 시키는 것이 좋다.

​

Unicast IP & Anycast IP

​

Unicast IP : one server holds one IP address

​

Anycast IP : all servers hold the same IP address and the client is routed to the nearest one

​

​

AWS Global Accelerator

Global Accelerator는 애니캐스트 IP 개념을 사용한다.

​

Leverage the AWS internal network to route to your application

2 Anycast IP are created for your application

The Anycast IP send traffic directly to Edge Locations

The Edge locations send the traffic to your application

​

AWS 내부 네트워크를 활용하여 애플리케이션으로 라우팅

2 Anycast IP가 애플리케이션을 위해 생성됩니다.

Anycast IP가 Edge 로케이션 위치로 트래픽을 직접 전송

Edge 로케이션 위치가 트래픽을 애플리케이션으로 전송합니다.

​

Works with Elastic IP, EC2 instances, ALB, NLB, public or private

탄력적 IP, EC2 인스턴스, ALB, NLB, 공용 및 사설과 함께 작동한다.

​

Consistent Performance

-Intelligent routing to lowest latency and fast regional failover

-No issue with client cache (because the IP doens't change)

-Internal AWS network

일관된 성능

-최저 지연 시간 및 빠른 regional failover를 위한 지능형 라우팅

- 클라이언트 캐시에 문제 없음(IP가 변경되지 않으므로)

- 내부 AWS 네트워크 사용

​

Health Chekcs

-Gloabl Accelerator performs a health check of your applications

-Helps make your application global (failover less than 1 minute for unhealthy)

-Great for disater recovery (thanks to the health checks)

상태 점검

-Global Accelerator가 응용 프로그램의 상태 점검을 수행합니다.

-응용프로그램을 글로벌하게 만들 수 있습니다(장애 발생 시 1분 미만의 페일오버).

-재해 복구에 매우 적합합니다(상태 확인 덕분에)

​

Security

-only 2 external IP need to be whitelisted

-DDoS protection thanks to AWS Shield

보안

-외부 IP 2개만 화이트리스트에 추가해야 함

-AWS Shield를 통한 DDoS 보호

​

​

AWS Global Accelerator vs CloudFront 차이점

​

공통점

They both use the AWS global network and its edge locations around the world

둘 다 AWS의 글로벌 네트워크 및 엣지로케이션을 사용한다.

Both services integrate with AWS Shield for DDoS protection

둘 다 DDoS 보호를 위해 AWS 쉴드와 통합된다.

​

CloudFront

-Improves performance for both cacheable content (such as images and videos)

-Dynamic content (such as API acceleration and dynamic site delivery)

-Content is served at the edge

-캐시 가능한 콘텐츠(예: 이미지 및 비디오)의 성능 향상

-동적 콘텐츠(API 가속화 및 동적 사이트 전달 등) 성능 향상

-콘텐츠는 엣지 로케이션에서 제공됩니다.

​

Global Accelerator

-Improves performance for a wide range of applications over TCP or UDP

-Proxying packets at the edge to applications running in one or more AWS Regions

-Good fit for non-HTTP use cases, such as gaming(UDP), IoT (MQTT), or Voice over IP

-Good for HTTP use cases that require static IP addresses

-Good for HTTP use cases that required deterministic, fast regional failover

- TCP 또는 UDP를 통해 다양한 애플리케이션의 성능 향상

- 엣지 로케이션에서 하나 이상의 AWS 영역에서 실행되는 애플리케이션에 패킷 프록시 수행

- 게임(UDP), IoT(MQTT) 또는 Voice over IP와 같은 비 HTTP 사용 사례에 적합

-고정 IP 주소가 필요한 HTTP 사용 사례에 적합합니다.

-결정론적이고 빠른 지역 페일오버가 필요한 HTTP 사용 사례에 적합

CloudFront - Pricing

​

CloudFront Edge locations are all around the world 클라우트 프론트 엣지 로케이션은 전 세계에 있다.

The cost of data out per edge location varies 엣지 로케이션 위치에 따라 데이터 전송비용도 다르다.

​

CloudFront - Classes

​

You can reduce the number of edge locations for cost reduction 엣지 로케이션의 수를 줄여 가격을 낮출 수 있다.

Three price classes:

1. Price Class All : all regions - best performance

2. Price Class 200 : most regions, but excludes the most expensive regions

3. Price class 100 : only the least expensive regions

​

​

CloudFront - Multiple Origin

​

To route to different kind of origins based on the content type

Based on path pattern :

/images/*

/api/*

/*

콘텐츠의 유형이나 경로에 따라 클라우드 프론트를 거치는 라우트나 경로를 리다이렉팅 해 다른 오리진으로 라우팅하고 싶을 때.

클라우드프론트에서 사용되는 경로를 기반으로 다중 오리진이 정의된다.

​

​

CloudFront - Origin Groups

​

To increase high-availability and do failover 고가용성 증가시키고 장애조치가 가능하다.

Origin Group : one primary and one secondary origin 주와 보조 오리진이 존재한다.

If the primary origin fails, the second one is used 주 오리진이 실패할 경우, 보조 오리진이 사용된다.

​

​

CloudFront - Field Level Encryption 필드 수준 암호화

​

Protect user sensitive information through application stack

Adds an additional layer of security along with HTTPS

Sensitive information encrypted at the edge close to user

Uses asymmetric encryption

애플리케이션 스택을 통해 사용자에게 중요한 정보 보호

HTTPS와 함께 보안 계층을 추가합니다.

사용자와 가까운 가장자리에서 암호화된 중요한 정보

비대칭 암호화 사용

​

Usage

-Specify set of fields in POST requests that you want to be encrypted (up to 10 fields)

-Specify the public key to encrypt them

사용

-POST 요청에서 암호화할 필드 집합 지정(최대 10개 필드)

-암호화 할 공용 키를 지정함

​

CloudFront Signed URL vs S3 Pre-Signed URL 의 차이점

​

CloudFront Signed URL:

-Allow access to a path, no matter the origin

-Account wide key-pair, only the root can manage it

-Can filter by IP, path, date, expiration

-Can leverage caching features

CloudFront 서명된 URL:

-오리진에 관계없이 경로에 대한 액세스 허용 (모든 HTTP 백엔드 오리진에 작동)

- 어카운트 와이드 키쌍, 루트만 관리 가능

-IP, 경로, 날짜, 만료 등 필터링 가능

-클라우드 프론트에 있는 캐싱 기능 활용 가능

​

S3 Pre-Signed URL:

-Issue a request as the person who pre-signed the URL

-Uses the IAM key of the signing IAM principal

-Limited lifetime

- URL 사전 서명자로 요청 발행

- 서명 IAM 측의 IAM 키를 사용합니다. (IAM원칙으로 URL에 서명하고, 서명을 위해 자신의 IAM키를 사용하게 되면 해당 URL을 가진 사람은 같은 권한을 가지게 됨)

-제한된 수명

AWS CloudFront​

​

Content Delivery Network (CDN)

​

Improves read performance, content is cached at the edge

읽기 퍼포먼스를 향상시킨다. (콘텐츠가 엣지 로케이션에서 분배 및 캐시 되기 때문)

​

216 Point of Presence globally (edge locations)

216개의 글로벌 엣지 로케이션이 존재하며 지속적으로 생기고 있다.

​

DDoS protection, integration with Shield, AWS Web Application Firewall

DDoS 보호, Shield와의 통합, AWS 웹 애플리케이션 방화벽 제공

​

Can expose external HTTPS and can talk to internal HTTPS backends

외부 HTTPS를 노출하고 내부 HTTPS 백엔드와 통신할 수 있음

​

​

CloudFront - Origins

​

S3 bucket

-For distributing files and caching them at the edge

엣지 로케이션 위치에서 파일을 배포하고 캐싱하는 데 사용됨

​

-Enhanced security with CloudFront Origin Access Identity (OAI)

OAI으로 클라우드 프론트와 S3 버킷 사이의 보안을 강화해줌

​

-CloudFront can be used as an ingress (to upload files to S3)

CloudFront를 S3에 파일 업로드 할 입구로 사용할 수 있습니다.

​

Custom Origin (HTTP)

-Application Load Balancer

-EC2 instance

-S3 website (must first enable the bucket as a static S3 website)

-Any HTTP backend you want

​

HTTP 엔드포인트가 있어야 함.

ALB, EC2 인스턴스, S3 웹사이트 (정적 웹사이트로 버킷을 활성화 해야함), 원하는 모든 HTTP 백엔드 가능

​

​

CloudFront Geo Restriction 지리적 제한

​

You can restrict who can access your distribution

-Whilelist : Allow your users to access your content only if they're in one of the countries on a list of approved countries.

화이트리스트에 있는 허용된 국가의 사용자들만 클라우드 프론트에 액세스 할 수 있도록 함

​

-Blakclist : Prevent your users from accessing your content if they're in one of the countries on a blacklist of banned countries.

블랙리스트에 있는 특정 국가의 사용자들이 액세스 할수 없도록 함.

​

The 'Country' is determined using a 3rd party Geo-IP database

제 3자 회사의 지리적 IP 데이터베이스를 사용하여 국가의 허용 여부가 결정됨.

​

Use case : Copyright Laws to control access to content

특정 콘텐츠에 액세스를 제한하는 저작권법이 있을 때 사용하거나, 미국의 컨텐츠에 프랑스의 액세스를 제한하고 있음을 증명할 때 사용할 수 있다.

​

​

CloudFront vs S3 Cross Region Replication 차이점

​

CloudFront:

-Global Edge Network 글로벌 엣지 네트워크를 사용함.

-Files are cached for a TTL (maybe a day) TTL에 맞춰 파일이 캐시됨​

-Great for static content that must be available everywhere 전 세계 이용 가능한 정적인 콘텐츠에 적합함

​

S3 Cross Region Replication:

-Must be setup for each region you want replication to happen 복제가 일어나도록 할 각 리전에 설정되어짐

-Files are updated in near real-time 파일이 실시간으로 업데이트 됨

-Read only 읽기 전용임

-Great for dynamic content that needs to be available at low-latency in few regions 적은 수의 리전에서 낮은 지연 시간으로 사용이 가능해야 하는 동적인 콘텐츠에 적합함

​

S3 ㅡ KMS Limitation KMS 제한

​

If you use SSE-KMS, you may be impacted by the KMS limits

KMS 암호화 사용하는 경우 KMS 제한에 의해 영향 받을 수 있다.

​

When you upload, it calls the GenerateDataKey KMS API

파일 업로드 할 때 GenerateDataKey KMS API를 호출하고,

​

When you download, it calls the Decrypt KMS API

파일을 다운로드 하는 경우에는 Decrypt KMS API가 호출된다.

​

Count towards the KMS quota per second(5500, 10000, 30000 req/s based on region)

You can request a quota increase using the Service Quotas Console

​

이 요청들은 KMS 할당량에 집계가 된다. 업로드/다운로드 할 때마다 S3 버킷이 API를 호출하고 키를 생성 및 복호화 해야하는데,

KMS는 기본적으로 초당 요청에 대한 할당량이 있다. 따라서 리전에 따라 5,500개 10,000개, 30,000개 일 수도 있다.

이보다 많은 양이 필요한 경우 서비스 할당량 콘솔을 통해 할당량 증가 요청을 할 수 있다.

파일이 아주 많을 때나, S3 버킷을 많이 쓸 때를 대비해 알아두면 좋다.

​

​

S3 Performance S3 성능

​

Multi-Part upload:

-recommended for files > 100MB, must use for files > 5GB

-Can help parallelize uploads (speed up transfers)

분할 업로드:

-100MB 넘는 파일은 분할 업로드 권장, 5GB가 넘을 경우 분할 업로드 필수

-분할 업로드는 병렬화를 통해 전송 속도를 높이고 대역폭을 극대화 함

​

​

S3 Transfer Acceleration

​

-Increase transfer speed by transferring file to an AWS edge location which will forward the data to the S3 bucket in the target region

-Compatible with multi-part upload

S3 Transfer Acceleration는 업로드와 다운로드를 위한 것.

-AWS 엣지 로케이션 위치로 파일을 전송하여 전송 속도 향상, 엣지 로케이션은 데이터를 대상 영역의 S3 버킷으로 전달함.

-Transfer Acceleration은 멀피파트 업로드와 호환된다.

ex) 미국에 있는 파일 -> 미국에 있는 엣지 로케이션을 이용하여 업로드 -> 해당 엣지 로케이션이 다른 국가의 S3버킷으로 고속 사설 AWS 네트워크를

통해 파일이 전송됨. (사설 AWS 네트워크의 사용을 최대화 함)

​

​

S3 Performance - S3 Byte-Range Fetches

​

Parallelize GETs by requesting specific byte ranges

Better resilience in case of failures

특정 바이트 범위를 요청하여 GET을 병렬화하는 방식

장애 발생 시 복원력 향상시켜줌

​

Can be used to speed up downloads 다운로드를 가속화시키는 원리

​

Can be used to retrieve only partial data (for example the head of a file)

부분 데이터만 검색하는 데 사용할 수 있습니다.

AI스쿨 보안 트랙 과정.

​

​

S3 pre-signed URLs S3 사전 서명된 URL

​

Can generate pre-signed URLs using SDK or CLI

-For downloads (easy, can use the CLI)

-For uploads (harder, must use the SDK)

​

Valid for a default of 3600 seconds, can change timeout with --expires-in [TIME_BY_SECONDS] argument

​

User given a pre-signed URL inherit the permissions of the person who generated the URL for GET/PUT

​

Examples :

-Allow only logged-in users to download a premium viedo on your S3 bucket

-Allow an ever chaning list of users to download files by generating URLs dynamically

-Allow temporarily a user to upload a file to a precise location in out bucket

​

사전 서명된 URL을 생성하려면 SDK 또는 CLI를 사용해야 한다.

-다운로드의 경우 CLI사용

-업로드의 경우는 SDK를 사용 (좀 더 어려움)

​

사전 서명된 URL을 생성하면 기본적인 만료 시간은 3,600초 (1시간)이다.

시간 초과를 변경하려면 명령어 --expires-in에 인자를 초 단위로 지정하면 된다.

​

사전 서명된 URL이 사용자에게 제공될 때는 기본적으로 생성한 사람의 권한이 상속딘다.

(사용자들은 권한에 따라 GET이나 PUT 권한 사용할 수 있다)

​

예시)

-로그인한 사용자만 S3 버킷의 프리미엄 영상을 다운로드 하도록 승인

-URL을 동적으로 생성하여 항상 변경되는 사용자 목록에서 파일을 다운로드 할 수 있다.

-사용자가 일시적으로 출력 버킷의 올바른 위치에 파일을 업로드 할 수 있다.

​

S3 Storage Classes

​

S3 Standard - General Purpose

S3 Standard-Infrequent Access (IA)

S3 One Zone-Infrequent Access

S3 Glacier Instant Retrieval

S3 Glacier Flexible Retrieval

S3 Glacier Deep Archive

S3 Intelligent Tiering

​

Can move between classes manually or using S3 Lifecycle configurations

​

S3객체를 생성할 때 클래스 선택 할 수 있고, 스토리지 클래스를 수동으로 설정할 수도 있다.

혹은 Amazon S3 수명 주기 구성을 사용해 스토리지 클래스 간에 객체를 자동으로 이동할 수 있다.

​

S3 Durability and Availability

​

Durability:

-High durability (99.999999999%) of objects across multiple AZ

-If you store 10,000,000 objects with Amazon S3, you can on average expect to incur a loss of a single object once every 10,000 years

-Same for all storage classes

​

Availability:

-Measures how readily available a service is

-Varies depending on storage class

-Example: S3 standard has 99.99% availability = not available 53 minutes a year

​

내구성과 가용성의 개념

​

내구성:

-여러 AZ에 걸친 객체의 높은 내구성. (99.999999999%)

-천 만개의 객체를 저장했을 때 평균적으로 10,000년에 한 번 객체 손실이 예상된다.

-S3에서 모든 스토리지 클래스의 내구성은 동일하다.

​

가용성:

-서비스가 얼마나 용이하게 제공되는지를 나타냄 (서비스를 쉽게 사용할 수 있는 정도를 측정)

-스토리지 클래스마다 다르다.

-S3 스탠다드의 경우 가용성은 99.99%로 1년에 약 53분 동안 서비스를 사용할 수 없음을 의미한다.

​

​

S3 Standard - General Purpose

​

99.99% Availability

Used for frequently accessed data

Low latency and high throughput

Sustain 2 concurrent facility failures

​

Use Cases: Big Data analytics, mobile & gaming applications, content distribution....

​

S3 스탠다드의 가용성은 99.99%

자주 액세스 하는 데이터 사용되며, 기본적으로 사용하는 스토리지 유형이다.

지연시간이 짧고 처리량이 높다.

AWS에서 두 개의 기능 장애를 동시에 버틸 수 있이다.

사용사례 : 빅 데이터 분석, 모바일 게임 & 애플리케이션, 콘텐츠 배포

​

​

S3 Infrequent Access

For data that is less frequently accessed, but requires rapid access when needed

Lower cost than S3 Standard

자주 액세스하지 않지만 필요한 경우 빠르게 액세스 해야 하는 데이터에 사용

S3 Standard보다 비용이 적게 들지만, 검색 시 비용 발생함.

​

Amazon S3 Standard-Infrequent Access (S3 Standard-IA)

-99.9% Availability

-Use cases: Disaster Recovery, backups

-99.9% 가용성

-사용사례: 재해 복구, 백업

​

Amazon S3 One Zone-Infrequent Access (S3 One Zone-IA)

-High durability (99.999999999) in a single AZ; data lost when AZ is destroyed

-99.5% Availability

-Use cases: Storing secondary backup copies of on-premise data, or data you can recreate

-높은 내구성 갖지만, AZ가 파괴된 경우 데이터를 잃게 된다.

-99.5%의 가용성

-사용 사례 : 온프레미스 데이터를 2차 백업할 때, 재생성 가능한 데이터를 저장할 때 쓰임.

​

​

S3 Glacier Storage Classes

​

Low-cost object storage meant for archiving / backup

Pricing: price for storage + object retrieval cost

-아카이빙과 백업을 위한 저비용 객체 스토리지이다.

-비용 : 스토리지 비용 + 검색 비용

​

Amazon S3 Glacier Instant Retrieval

-Millisecond retrieval, great for data accessed once a quarter

-Minimum Storage duration of 90 days

-밀리초 단위로 검색이 가능하다. 분기에 한 번 액세스하는 데이터에 적합하다.

-최소 보관기간이 90일이다. 백업이지만 밀리초 이내에 액세스 해야하는 경우 적합함.

​

Amazon S3 Glacier Flexible Retrieval (formerly Amazon S3 Glacier):

-Expedited (1 to 5 minutes), Standard (3 to 5 hours), Bulk (5 to 12hours) - free

-Minimum storage duration of 90 days

S3 Glacier Flexible Retrieval (전에는 S3 Glacier 였었다.)

-Expedited는 데이터를 1~5분 이내에 받을 수 있음 / Standard는 3~5시간 소요 / Bulk는 5~12시간 소요이지만 무료.

-최소 보관 기간은 90일이다.

​

Amazon S3 Glacier Deep Archive - for long term storage

-Standard (12 hours), Bulk (48 hours)

-Minimum storage duration of 180 days

S3 Glacier Deep Archive - 장기 보관용

-Standard는 12시간, Bulk는 48시간에 데이터 검색 시간이 소요됨

-비용이 가장 저렴하며, 최소 보관 기간이 180일이다.

​

​

S3 ntelligent-Tiering

​

Small monthly monitoring and auto-tiering fee

Moves objects automatically between Access Tiers based on usage

There are no retrieval charges in S3 Intelligent-Tiering

매월 소량의 모니터링 및 자동 티어링(계층화) 비용이 발생

사용량에 따라 액세스 계층 간에 개체를 자동으로 이동합니다.

별도의 검색 요금이 부과되지 않음

​

Frequent Access tier (automatic): default tier

Frequent Access tier (automatic): 기본 티어

​

Infrequent Access tier (automatic): objects not accessed for 30 days

30일 동안 액세스 하지 않는 객체 전용 티어

​

Archive Instant Access tier (automatic): objects not accessed for 90 days

90일 동안 액세스하지 않는 객체 전용 티어

​

Archive Access tier (optional): configurable from 90 days to 700+ days

선택 사항, 90일에서 700일 이상까지 구성 가능

​

Deep Archive Access tier (optional): config. from 180 days to 700+ days

선택 사항, 180일에서 700일 이상 액세스하지 않는 객체에 구성 가능