반응형 [AWS-DR]/VPC&Subnet12 [중요2][VPC플로우로그] How to write VPC flow logs to an S3 bucket on another AWS account !! ## 소스 - 2995 계정에서 VPC 생성 ## 목적지 - 8749 계정에서 S3 버킷 생성- S3 버킷 속성 ==> ARN 복사 및 저장 ## 소스 - 2995 계정에서 Create flow log - S3 버킷 접근에러 발생 ## 목적지 - 8749 계정에서 S3 버킷 정책생성 { "Version": "2012-10-17", "Statement": [ { "Sid": "AWSLogDeliveryWrite", "Effect": "Allow", "Principal": { "Service": "delivery.logs.amazonaws.com" }.. 2024. 7. 7. [중요2][AWS] VPC Flow Log로 IP 트래픽 로그 남기기 !! VPC Flow LogVPC Flow log는 VPC위에 생성된 ENI(Elastic Network Interface)에서 발생하는 IP 트래픽 로그를 수집해주는 기능입니다.ENI가 할당되는 대표적인 AWS 리소스는 다음과 같습니다.ELB(Elastic Load Balancer)EC2RDSElasticCacheRedshift이 외에도 다양한 서비스들이 ENI를 할당할 수 있습니다. VPC Flow Log를 통해 확인할 수 있는 정보VPC Flog Log에서 확인할 수 있는 정보는 다음과 같습니다.보안 그룹이나 NACL에 의해 허용(Accept)또는 차단(Reject)된 정보Source IP, Destination IP, 포트, 프로토콜, 패킷 등등아래는 VPC Flow Log에서 지정할 수 있는 파라미.. 2024. 6. 23. [참고] VPC 서브넷을 다른 계정과 공유 !! ## Organization 포함 되어야 한다는 제약!! VPC 서브넷을 다른 계정과 공유PDFRSSVPC 공유를 사용하면 여러 AWS 계정이 Amazon EC2 인스턴스, Amazon Relational Database Service(RDS) 데이터베이스, Amazon Redshift 클러스터 및 AWS Lambda 함수와 같은 애플리케이션 리소스를 중앙에서 관리되는 공유 가상 프라이빗 클라우드(VPC)로 생성할 수 있습니다. 이 모델에서 VPC를 소유한 계정(소유자)은 AWS Organizations와 동일한 조직에 속한 다른 계정(참가자)과 하나 이상의 서브넷을 공유합니다. 서브넷이 공유되면 참가자는 자신과 공유된 서브넷에서 애플리케이션 리소스를 보고, 생성하고, 수정하고, 삭제할 수 있습니다. .. 2024. 6. 23. [참고][경로확인] S3 Endpoint 사용하기 !! AWS 내의 서버에서 S3에 접속할때 IP를 보면 공인 IP를 사용한다. 이 말은 같은 AWS 내에 있는 서비스를 사용하지만 불필요하게 인터넷 NAT를 통해서 S3를 접속한다는 의미이다. 이를 해결하기 위해 AWS는 S3 Endpoint를 제공한다. NAT 사용 확인 하기쿠버네티스가 설치되어 있는 VPC의 경우 다음과 같이 확인해 볼 수 있다.일단 -T 옵션을 제공하는 traceroute가 기본으로 포함되어 있는 도커 이미지를 찾지 못하여 우분투 이미지를 사용하고 traceroute를 설치해서 테스트 한다.다음 명령어로 우분투 이미지의 파드를 실행한다.kubectl run temp-shell -i --tty --rm --image ubuntu열린 쉘 안에서 traceroute를 설치한다.apt updat.. 2024. 6. 20. [참고] AWS Endpoint (Interface, Gateway) 이용하여 S3 접근하기!! 이번 세션은 Endpoint를 이용하여 Amazon S3를 Private하게 연결하는 구성에 대해서 실습을 해보겠습니다. 최근 S3가 Gateway 방식 외 Interface 방식으로도 Endpoint 구성이 되도록 업데이트가 되어서 실습하기에 더 수월해진 것 같습니다. 구성도 Endpoint 연결에 대한 개념을 잡기 위해서 S3로 접근하는 3가지 방식을 구현해 보았습니다. ① Endpoint 없이 Public으로 접근하는 방식 ② Gateway 방식의 Endpoint를 구성하여 같은 VPC내에서 Private하게 접근하는 방식 ③ Interface 방식의 Endpoint를 구성하여 Private하게 접근하는 방식사전 작업인프라 생성 : vpc, subnet, igw, routing table, .. 2024. 6. 19. [참고] Gateway Endpoint vs VPC Endpoint - Day 4 of 15 https://docs.aws.amazon.com/ko_kr/AmazonCloudWatch/latest/monitoring/cloudwatch-and-interface-VPC.html 인터페이스 VPC 엔드포인트와 함께 CloudWatch 및 CloudWatch Synthetics 사용하기 - Amazon CloudWatch인터페이스 VPC 엔드포인트와 함께 CloudWatch 및 CloudWatch Synthetics 사용하기 Amazon Virtual Private Cloud(Amazon VPC)를 사용하여 AWS 리소스를 호스트하는 경우 VPC, CloudWatch 및 CloudWatch Synthetics 간에 프라이빗docs.aws.amazon.com ## CloudWatch VPC 엔트포인트 .. 2024. 6. 9. [참고][AWS] VPC - 관리형 접두사 목록(Managed Prefix list) AWS Console > VPC > 관리형 접두사 목록(Managed Prefix list)이미 존재하는 저 2개의 목록은 아마존에서 제공하는 목록임 접두사 목록 생성을 눌러서,,,대충 아무렇게나 생성해보자 용인 IDC의 IP대역들을 모아뒀다고 생각하자,,,이러고 생성을 마치면 이렇게 뜬다참고로 목록 내의 항목들은 언제든지 수정이 가능하지만, 최대 항목 수는 변경할 수 없으니 처음 만들 때 넉넉하게 만들자 이제 이렇게 CIDR 그룹이 만들어지면, 보안그룹에서 참조가 가능해진다 이렇게 접두사 목록 자체로 참조를 하게 되면, 해당 목록 내의 모든 CIDR들이 한꺼번에 참조된다 이렇게 편한 일이...! IP 대역들 여러 개를 그룹지어 사용할 일이 있으면 사용하자또한 임시로 사용하다가 빼야 할 대역이 있더.. 2024. 5. 29. [중요2] AWS VPC S3 endpoint gateway vs interface 차이 !! 1. AWS VPC endpoint 란?VPC 엔드포인트를 통해 인터넷 게이트웨이, NAT 디바이스, VPN 연결 또는 AWS Direct Connect 연결이 필요 없이 Virtual Private Cloud(VPC)와 지원 서비스 간에 연결을 설정할 수 있습니다. 따라서 VPC에서 연결할 수 있는 특정 API 엔드포인트, 사이트 및 서비스를 제어합니다.2. S3 에서 지원 가능한 VPC endpoint 유형Gateway endpoint 와 Interface endpoint 라는 두 가지 유형의 VPC 엔드포인트를 사용하여 Amazon S3에 접근할 수 있습니다. Gateway endpoint 는 AWS 네트워크를 통해 VPC에서 Amazon S3에 접근하기 위해 route table 에 지정하는 Ga.. 2024. 5. 24. [중요] AWS VPC Endpoint - 'Interface' vs 'Gateway' type 비교 VPC Endpoint의 type 비교(Interface vs Gateway)에 앞서 VPC Endpoint가 무엇인지에 대해 먼저 알아보겠습니다.VPC Endpoint란?'Endpoint'란, 말 그대로 '끝점'으로써 어떤 요청의 '목적지'를 의미합니다.VPC Endpoint는 VPC와 Endpoint service를 연결하는 역할을 합니다.VPC(Service consumer) → VPC Endpoint → Endpoint Service(Service provider)이해를 위해 예시를 들어보면,EC2에서 VPC Endpoint를 통해 S3에 접근하는 경우(ex. EC2에서 S3 버킷 조회를 위한 aws s3 ls를 수행) 아래와 같이 트래픽이 전송됩니다.EC2(Service consumer) → V.. 2024. 5. 24. [참고] AWS VPC 엔드포인트 (인터페이스 엔드포인트 | 게이트웨이 엔드포인트) - 게이트웨이 방식 구현 ## Interface Endpoint - Private DNS 활성화 (VPC 속성 수정 필요) ## Gateway Endpoint ## S3 접속 테스트 (IGW 활용)- EC2 에 역할과 정책 등록 필요 - 새역할 생성 - S3FullAccess 선택 - EC2 에 IAM 역할 등록 - aws configure (AWS AccessKey 필요없음) 없이 EC2에 IAM 역할 등록으로 S3 접근 가능 ## S3 접속 테스트 - 프라이빗 EC2 활용 - 프라이빗 EC2 라서 IAM 역할을 부여해도 통신 불가 - aws s3 ls --debug (로그분석) - 443포트로 접속 시도에서 멈춤 - 따라서 VPC 엔드포인트 생성 필요 - Gateway 방식으로 생성 - 라우팅 테이블.. 2024. 5. 23. [중요][VPC구성] AWS Network 기본 구성 구축 - 2 (Subnet, NAT, Route Table) 이제 각 서브네팅과 라우팅을 통해 어떠한 네트워크 대역이 인터넷을 통하게 해줄 것 인지,또한 어떠한 네트워크가 프라이빗하게 하여 접근이 안 되게 안전하게 운영할 것인지 정해보도록 하겠습니다.좌측 서브넷 메뉴를 클릭하여 서브네팅을 해줍시다.Public존을 먼저 만들면서 예시를 보여드리겠습니다.네이밍은 아래와 같이 해주시고 가용영역 또한 네이밍에 맞게 골라주시면 됩니다.그리고 CIDR에 대한 부분을 원하시는 대역에 맞춰서 구성해주시면 되겠습니다.이 부분이 잘 이해가 안 간다면 Intro를 상세히 읽으시길 바랍니다.그렇게 총 4개의 서브넷을 아래와 같이 만들어 주면 됩니다.이제 실제 퍼블릭과 프라이빗을 설정하기 위한 라우팅 작업을 하기 전,프라이빗 망이 인터넷 통신을 할 수 있도록 NAT GW를 구성해 주겠습.. 2024. 5. 13. [중요][활용] CIDR & 서브넷 계산 https://www.calculator.net/ip-subnet-calculator.html?cclass=b&csubnet=16&cip=192.168.0.0&ctype=ipv4&printit=0&x=61&y=20 IP Subnet CalculatorIP Subnet Calculator This calculator returns a variety of information regarding Internet Protocol version 4 (IPv4) and IPv6 subnets including possible network addresses, usable host ranges, subnet mask, and IP class, among others. IPv4 Subnet Calculator Rew.. 2024. 5. 13. 이전 1 다음 반응형
