본문 바로가기
반응형

[AWS-DR]72

[중요3] AWS Private Subnet에서 CloudWatch Agent 연결 Error 해결하기!! ## 인터페이스 엔드포인트 2개 생성 필요!!## nslookup monitoring.ap-northeast-2.amazonaws.com## nslookup ec2.ap-northeast-2.amazonaws.com  Cloudwatch Agent 연결 ErrorEC2에 CloudWatch Agent 설치 후, 로그가 수집되지 않는 증상 로그를 확인해보면 통신이 안된다는 메시지 출력sudo tail -f /opt/aws/amazon-cloudwatch-agent/logs/amazon-cloudwatch-agent.log2022-06-20T08:58:38Z E! cloudwatch: code: RequestError, message: send request failed, original error: Pos.. 2024. 6. 20.
[참고][경로확인] S3 Endpoint 사용하기 !! AWS 내의 서버에서 S3에 접속할때 IP를 보면 공인 IP를 사용한다. 이 말은 같은 AWS 내에 있는 서비스를 사용하지만 불필요하게 인터넷 NAT를 통해서 S3를 접속한다는 의미이다. 이를 해결하기 위해 AWS는 S3 Endpoint를 제공한다. NAT 사용 확인 하기쿠버네티스가 설치되어 있는 VPC의 경우 다음과 같이 확인해 볼 수 있다.일단 -T 옵션을 제공하는 traceroute가 기본으로 포함되어 있는 도커 이미지를 찾지 못하여 우분투 이미지를 사용하고 traceroute를 설치해서 테스트 한다.다음 명령어로 우분투 이미지의 파드를 실행한다.kubectl run temp-shell -i --tty --rm --image ubuntu열린 쉘 안에서 traceroute를 설치한다.apt updat.. 2024. 6. 20.
[참고] AWS CLI 설치 및 CLI 로그인 방법 !! 1단계 : AWS CLI 설치# 인터넷이 되는 작업 PC or EC2에서 꼭 user권한으로 진행하시기 바랍니다.curl "https://awscli.amazonaws.com/awscli-exe-linux-x86_64.zip" -o "awscliv2.zip"unzip awscliv2.zip sudo ./aws/install  2단계 : IAM 사용자 (신규 생성하는 경우)IAM > Users > Add users 구분Set user detailsSet permissions내용User name : test01Select AWS access type : Access key - Programmatic accessSet permissions : Attach existing policies directlyPoli.. 2024. 6. 20.
[참고] AWS Endpoint (Interface, Gateway) 이용하여 S3 접근하기!! 이번 세션은 Endpoint를 이용하여 Amazon S3를 Private하게 연결하는 구성에 대해서 실습을 해보겠습니다. 최근 S3가 Gateway 방식 외 Interface 방식으로도 Endpoint 구성이 되도록 업데이트가 되어서 실습하기에 더 수월해진 것 같습니다. 구성도  Endpoint 연결에 대한 개념을 잡기 위해서 S3로 접근하는 3가지 방식을 구현해 보았습니다.  ① Endpoint 없이 Public으로 접근하는 방식  ② Gateway 방식의 Endpoint를 구성하여 같은 VPC내에서 Private하게 접근하는 방식  ③ Interface 방식의 Endpoint를 구성하여 Private하게 접근하는 방식사전 작업인프라 생성 : vpc, subnet, igw, routing table, .. 2024. 6. 19.
[중요][AWS] IAM - S3 권한 역할 생성 !! EC2 삽입할 role 생성 (ex. ROLE-EC2-!!!)      : 리부팅해도 지속 사용 가능      : S3 Full Access  참고   ## 커스텀마이징 버킷정책 적용 ==================== S3버킷정책 =====================================    - 다음 예제는 람다 함수에 example-my-org 라는 특정 S3 버킷에 대해 객체를 다운로드,       업로드, 삭제하는 권한을 부여한다. {   "Version": "2012-10-17",   "Statement": [    {   "Effect": "Allow",   "Action": [     "s3:DeleteObject",     "s3:GetObject",     "s3:PutObj.. 2024. 6. 14.
[참고] CNAME 레코드와 A레코드 설정 !! 위의 서버 구성을 살펴보면 charliezip.tistory.com 이라는 CNAME 레코드와 charliezip.a.tistory.com 이라는 A레코드가 구성되어 있는걸 볼 수 있다.GSLB를 설정할때 CNAME레코드, A레코드도 같이 설정하게 된다.CNAME레코드와 A레코드는 사용자로부터 charliezip.tistory.com이라는 요청이 들어오면 해당 도메인에 맞는 서버의 IP를 맵핑해주는 역할을 하고 있다.  DNS A레코드DNS A레코드(Address record)란 주어진 도메인의 IP 주소를 나타낸다. 예시)도메인레코드 유형값charliezip.tistory.comA127.0.0.1A레코드는 도메인의 IP주소를 맵핑해주기 때문에 charliezip.tistory.com이라는 도메인을 12.. 2024. 6. 13.
[중요] 7. CloudWatch 모니터링을 위한 VPC Endpoint 사용 (AWS 내부통신, 인터넷 환경 외부 통신X) 모니터링이 필요한 EC2 인스턴스에 CloudWatch Agent를 설치하고 지표를 대시보드를 생성하여 모니터링을 진행중에 보안 이슈로 인하여 SG(Security Group)의 Outbound에 대해서 all open deny 및 AWS 내부 통신이 가능할 경우 내부 통신을 우선순위로 하라는 내용이 결정되었습니다. CloudWatch Agent의 지표는 아래 그림과 같이 통신을 하고 있는 상황입니다.기본적으로는 HTTPS(443)에 대한 모든 대역을 열어줘야 메트릭 지표를 CloudWatch에서 확인이 가능합니다.HTTPS(443)에 대한 통신을 위와 같이 하지만 443 PORT에 대한 0.0.0.0/0(IPv4)가 All open 상황이 보안 이슈로 deny 됨에 따라 CloudWatch 통신 대역대.. 2024. 6. 10.
[참고] 4. CloudWatch Custom Metrics 이번에는 Linux EC2 인스턴스에서 사용자가 만들어 생성해낸 지표를 CloudWatch에서 확인 할 수 있도록 하는 방법에 대해서 알아보려고 합니다.즉 CloudWatch의 Custom Metrics을 작성하는 방법에 대해 알아보겠습니다. Amazon Linux 2가 설치 되어 있는 EC2 인스턴스를 가지고 진행하겠습니다.[이미 EC2 인스턴스는 생성이 되어 있다는 전제로 진행하겠습니다.] 1. IAM User 생성CloudWatch를 조작할 수 있는 권한을 가진 IAM이 필요 합니다. IAM 권한을 가지고 세세하게 권한을 컨트롤 할 수 있습니다. 저희는 테스트 용으로 진행을 하기 때문에 CloudWatchFullAccess 권한을 부여하여 진행 하도록 하겠습니다. IAM > 사용자 > 사용자 추가 .. 2024. 6. 10.
[참고][WIN] 3. CloudWatch Agent 설치[Memory/Disk 수집] 이번글에서는 Windows 에서 Memory/Disk를 수집하기 위해서 CloudWatch Agent 설치 방법에 대해서 글을 작성하도록 하겠습니다. 1. IAM 역할 부여이전에 CloudWatch Agent 설치를 위해서 이전에 만들어둔 IAM 역할을 해당 Windows EC2 인스턴스에도 설정을 하도록 하겠습니다. 2. Windows 용 CloudWatch Agent 설치Windows Server에 접속하도록 하겠습니다.Windows EC2 Server에 접속해서 폴더(CWAgent)를 생성해 줍니다. 이 생성된 폴더에 CWAgent를 설치할 예정입니다.폴더 경로가 나와있는 곳에 위와 같이 cmd 라고 입력 합니다.그러면 위와 같이 명령어를 입력할 수 있는 명령어 창이 나타납니다.curl -O htt.. 2024. 6. 10.
[참고] Gateway Endpoint vs VPC Endpoint - Day 4 of 15 https://docs.aws.amazon.com/ko_kr/AmazonCloudWatch/latest/monitoring/cloudwatch-and-interface-VPC.html 인터페이스 VPC 엔드포인트와 함께 CloudWatch 및 CloudWatch Synthetics 사용하기 - Amazon CloudWatch인터페이스 VPC 엔드포인트와 함께 CloudWatch 및 CloudWatch Synthetics 사용하기 Amazon Virtual Private Cloud(Amazon VPC)를 사용하여 AWS 리소스를 호스트하는 경우 VPC, CloudWatch 및 CloudWatch Synthetics 간에 프라이빗docs.aws.amazon.com ## CloudWatch VPC 엔트포인트 .. 2024. 6. 9.
[참고] EC2 상태검사 1/2개 통과 해결방법!! 발생EC2 인스턴스에서 실행 중이던 앱에 접속이 안되어 인스턴스 상태 확인을 해보니 상태검사 1/2개 통과 라는 메시지를 발견했다.위 두 가지중 어떤것이 문제인지 파악하기 위해서는 'ec2 콘솔 -> 인스턴스 -> 상태 검사' 탭을 참조하면 알 수 있다.아래는 문제가 생긴 내 인스턴스의 상태 검사 탭인데 나의 경우시스템 상태 검사 : 통과, 인스턴스 상태 검사: 인스턴스 연결성 검사 실패 였다.   원인 분석인스턴스 상태 검사를 통과 하지 못한 경우 원인 분석을 위해 시스템 로그를 확인하고 시스템 로그에 있는 데이터에 따라 그에 맞는 해결 방법을 적용해야 한다.인스턴스 리부트: ec2 console -> 인스턴스 ->인스턴스 상태 -> 인스턴스 재시작시스템 로그 확인: 재시작 후 인스턴스 상태가 '실행중.. 2024. 6. 6.
[참고] 서버에 CloudWatch 에이전트 설치 및 실행 https://docs.aws.amazon.com/ko_kr/AmazonCloudWatch/latest/monitoring/install-CloudWatch-Agent-commandline-fleet.html 서버에 CloudWatch 에이전트 설치 및 실행 - Amazon CloudWatch서버에 CloudWatch 에이전트 설치 및 실행 원하는 에이전트 구성 파일을 생성하고 IAM 역할 또는 IAM 사용자를 생성했으면 다음 단계에 따라 해당 구성을 사용하여 서버에 에이전트를 설치하고 실행docs.aws.amazon.com  원하는 에이전트 구성 파일을 생성하고 IAM 역할 또는 IAM 사용자를 생성했으면 다음 단계에 따라 해당 구성을 사용하여 서버에 에이전트를 설치하고 실행합니다. 먼저, 에이전트를 .. 2024. 6. 4.
[참고][CloudWatch #3] Cloudwatch Agent 설치[Memory/Disk 수집] Cloudwatch Agent란?클라우드워치 에이전트는 AWS의 모니터링 서비스인 Amazon CloudWatch와 함께 사용되는 소프트웨어입니다. Cloudwatch에서 기본으로 제공하는 모니터링 외에 추가로 메모리, 디스크 사용량 등 더 많은 지표들을 수집하려면 Cloudwatch Agent를 설치해야 됩니다.  Cloudwatch Agent를 사용하면 추가비용이 들지만 더 많은 지표들을 추가할 수 있어 클라우드, 온프레미스에서의 원활한 모니터링과 운영에 도움이 되는 소프트웨어 입니다.   Cloudwatch Agent 설치IAM Role 생성EC2 인스턴스에 IAM Role 연결EC2 인스턴스에 CloudWatch Agent 설치CloudWatch Agent로 메모리 사용량 확인부하테스트Disk 사.. 2024. 6. 4.
[참고] 보안 네트워크에 지역 간 AWS Elastic Disaster Recovery 에이전트 설치 https://aws.amazon.com/ko/blogs/storage/cross-region-aws-elastic-disaster-recovery-agent-installation-in-a-secured-network/ Cross-Region AWS Elastic Disaster Recovery agent installation in a secured network | Amazon Web ServicesInstalling a service agent on a server is a straight-forward process in a normal setup. Most agents require an internet connection to connect to the service. However, the.. 2024. 6. 4.
[WIN][LINUX] 최신 버전의 AWS CLI설치 또는 업데이트!! 이 항목에서는 지원되는 운영 체제에 최신 릴리스 AWS Command Line Interface (AWS CLI) 를 설치하거나 업데이트하는 방법에 대해 설명합니다. 의 최신 릴리스에 대한 자세한 내용은 의 AWS CLIAWS CLI 버전 2 변경 로그를 참조하십시오. GitHub의 이전 릴리스를 AWS CLI설치하려면 을 참조하십시오. AWS CLI 버전 2의 이전 릴리스 설치 제거 지침은 AWS CLI 버전 2를 제거하려면 단원을 참조하세요.중요AWS CLI 버전 1과 버전 2는 동일한 aws 명령 이름을 사용합니다. 이전에 AWS CLI 버전 1을 설치한 경우 을 참조하십시오AWS CLI 버전 1에서 버전 2로 마이그레이션.주제AWS CLI 설치 및 업데이트 지침AWS CLI 설치 및 제거 오류 문.. 2024. 6. 3.
[참고][WIN] SSM Agent용 EC2 인스턴스에 수동으로 Windows Server 설치 및 제거 AWS Systems Manager 에이전트(SSM Agent)는 Amazon에서 제공하는 다음 Windows Server용 Amazon Machine Images(AMIs)에 기본적으로 사전 설치되어 있습니다.Windows Server 2008-2012 R2 AMIs는 2016년 11월 이후에 게시되었습니다.Windows Server 2016, 2019, 2022Windows Server용 EC2 인스턴스에 SSM Agent 설치 필요할 경우 다음 절차에 따라 최신 버전의 SSM Agent를 Windows Server용 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스에 수동으로 다운로드하여 설치할 수 있습니다. 이 절차에서 제공되는 명령은 사용자 데이터를 통해 Amaz.. 2024. 6. 3.
[중요] AWS Systems Manager(SSM) 이번 글에서는 AWS Systems Manager에 대해서 알아보고자 한다.AWS Systems Manager에 대해 간단히 살펴보고, 실습을 통해 SSM 에이전트 간 통신을 살펴본다. 1. AWS Systems Manager 란?AWS Systems Manager(SSM)- AWS Systems Manager(이하 SSM)는 고객이 인프라를 보다 잘 파악하고, 제어할 수 있도록 하는 서비스 그룹- Run Command, Parameter Store, Sessions Manager, Patch Manager 등 많은 하위 서비스를 가지고 있음- AWS SSM의 기본 개념은 EC2 인스턴스에 AWS SSM에이전트가 설치되어 있고, 해당 에이전트를 통해 특정 작업을 제공하는 것임 : 대부분의 하위 서비스들은.. 2024. 6. 2.
[참고] AWS Elastic Disaster Recovery 사용자가이드 (지원 운영체제) Supported operating systemsPDFRSSAWS Elastic Disaster Recovery allows replication of any physical, virtual or cloud-based source server to the AWS Cloud for a large variety of operating systems.There may be a number of additional considerations to take into account when determining if your source operating system will be supported by AWS Elastic Disaster Recovery. Ensure that you check the Addit.. 2024. 5. 30.
[참고][AWS] VPC - 관리형 접두사 목록(Managed Prefix list) AWS Console > VPC > 관리형 접두사 목록(Managed Prefix list)이미 존재하는 저 2개의 목록은 아마존에서 제공하는 목록임 접두사 목록 생성을 눌러서,,,대충 아무렇게나 생성해보자  용인 IDC의 IP대역들을 모아뒀다고 생각하자,,,이러고 생성을 마치면  이렇게 뜬다참고로 목록 내의 항목들은 언제든지 수정이 가능하지만, 최대 항목 수는 변경할 수 없으니 처음 만들 때 넉넉하게 만들자 이제 이렇게 CIDR 그룹이 만들어지면, 보안그룹에서 참조가 가능해진다  이렇게 접두사 목록 자체로 참조를 하게 되면, 해당 목록 내의 모든 CIDR들이 한꺼번에 참조된다 이렇게 편한 일이...! IP 대역들 여러 개를 그룹지어 사용할 일이 있으면 사용하자또한 임시로 사용하다가 빼야 할 대역이 있더.. 2024. 5. 29.
[중요] How to Assign Multiple IPs Address to One EC2 Instance | How to Create Elastic Network Interface ## Create Network Interface 클릭 - 사용할 서브넷 선택 - 적용할 보안그룹 선택 - 추가 ENI 생성 ## EC2 접속 후, NW카드 확인 - ip a - ENI 신규 추가  - ip a  (ENI 2개 확인)  ==> 172.31.44.221    ## 추가 ENI 제거 방법 - ip a 로 제거 확인          https://www.youtube.com/watch?v=QM7O4RJXjuA 2024. 5. 29.
[중요2] Importing a Virtual Machine into AWS 2023 https://docs.aws.amazon.com/ko_kr/vm-import/latest/userguide/required-permissions.html VM Import/Export에 필요한 권한 - VM Import일부 작업에서는 Amazon S3 버킷을 사용해야 합니다. 이 예제 정책은 Amazon S3 버킷을 생성할 권한을 부여하지 않습니다. 사용자 또는 역할은 기존 버킷을 지정해야 하거나 새 버킷( s3:CreateBucket)을docs.aws.amazon.com     ## 온프레미스 VM ==> AWS 마이그레이션 방안   1. CLI 설치 (관리 PC)    2. CLI 설정 (관리 PC) ## CLI 유저 생성 - Access Keys 생성 - CLI 설정     3. VM 가져오기를 .. 2024. 5. 29.
[참고][AWS] EC2에 Apache를 설치해보고 웹 페이지를 실행시켜보자! 인스턴스 보안 그룹에 80번 포트(http)가 반드시 열려있어야 합니다.1. EC2 리눅스 인스턴스에 웹 서버 설치 1) EC2 인스턴스에서 소프트웨어를 업그레이드최신 버그 수정 및 보안 업데이트 실시$ sudo yum update -y cf) sudo 명령어는 무엇인가? "SuperUser Do"라는 뜻으로root의 권한을 빌려서 사용한다는 뜻입니다. cf) '-y' 옵션은 무엇인가요? '-y' 옵션은 업데이트 과정에서설치 전 업데이트 정보를 확인하지 않고설치할 수 있게 해주는 옵션입니다! 2) 재부팅인스턴스 재부팅 실시$ sudo reboot 주의할 점! 아래 사진을 보시면, 재부팅 후, 바로 인스턴스 접속 시연결이 되지 않습니다. 재부팅하는데 시간이 짧게 걸리기 때문에약 40초 정도 뒤에 시도해주시.. 2024. 5. 27.
[참고][DNS] dig 명령어 소개 및 사용법!! dig (domain information groper) 란?dig는 네트워크 관리 도구 중 하나로 DNS (Domain Name System) 를 질의할 수 있는 도구입니다.nslookup 도구를 사용하여 DNS 를 질의할 수 있지만, 보다 더 편한 인터페이스와 사용법을 제공합니다.이와 더불어 IDN (Internationalized Domain Name) 쿼리를 지원합니다. (nslookup도 지원) dig 설치최근 OS들에는 dig 커맨드가 기본으로 설치되어 있습니다.만약, dig 커맨드가 없을 경우 아래의 방법으로 설치하면 됩니다. Macbrew install dig Windows첫 번째 방법으로는, ISC 다운로드 에 접속하여 다운로드 할 수 있습니다.windows dig 설치두 번째 방법으로는.. 2024. 5. 26.
[중요] AWS DHCP Options Set | AWS Private Hosted Zones in Route 53 | Visual Explanations ## DHCP 옵션세트 확인 (그 이후에 생성되는 모든 VPC와 연결됨) - 신규 VPC 생성시 --> DHCP 옵션세트 자동생성   ## 테스트를 위한 my-vpc-2 에 서브넷 생성  (DHCP 옵션 비활성화)    ## 테스트를 위한 my-vpc-demo  ==>   (DHCP 옵션 활성화)      ## EC2 생성  (DHCP 옵션세트 비활성화 VPC) - Private IPv4 DNS 없음  (DHCP 옵션세트 비활성화 VPC 이기 때문)  - Private IPv4 DNS 다시 생성  (DHCP 옵션세트 활성화 변경하면 됨)     ## EC2 생성  (DHCP 옵션세트 활성화 VPC)     ## Public IPv4 DNS 미생성 이유 (기본값으로 DNS hostnames 비활성화)   .. 2024. 5. 26.
[중요2] AWS VPC S3 endpoint gateway vs interface 차이 !! 1. AWS VPC endpoint 란?VPC 엔드포인트를 통해 인터넷 게이트웨이, NAT 디바이스, VPN 연결 또는 AWS Direct Connect 연결이 필요 없이 Virtual Private Cloud(VPC)와 지원 서비스 간에 연결을 설정할 수 있습니다. 따라서 VPC에서 연결할 수 있는 특정 API 엔드포인트, 사이트 및 서비스를 제어합니다.2. S3 에서 지원 가능한 VPC endpoint 유형Gateway endpoint 와 Interface endpoint 라는 두 가지 유형의 VPC 엔드포인트를 사용하여 Amazon S3에 접근할 수 있습니다. Gateway endpoint 는 AWS 네트워크를 통해 VPC에서 Amazon S3에 접근하기 위해 route table 에 지정하는 Ga.. 2024. 5. 24.
[중요] AWS VPC Endpoint - 'Interface' vs 'Gateway' type 비교 VPC Endpoint의 type 비교(Interface vs Gateway)에 앞서 VPC Endpoint가 무엇인지에 대해 먼저 알아보겠습니다.VPC Endpoint란?'Endpoint'란, 말 그대로 '끝점'으로써 어떤 요청의 '목적지'를 의미합니다.VPC Endpoint는 VPC와 Endpoint service를 연결하는 역할을 합니다.VPC(Service consumer) → VPC Endpoint → Endpoint Service(Service provider)이해를 위해 예시를 들어보면,EC2에서 VPC Endpoint를 통해 S3에 접근하는 경우(ex. EC2에서 S3 버킷 조회를 위한 aws s3 ls를 수행) 아래와 같이 트래픽이 전송됩니다.EC2(Service consumer) → V.. 2024. 5. 24.
[참고] AWS VPC 엔드포인트 (인터페이스 엔드포인트 | 게이트웨이 엔드포인트) - 게이트웨이 방식 구현 ## Interface Endpoint - Private DNS 활성화 (VPC 속성 수정 필요)   ## Gateway Endpoint      ## S3 접속 테스트 (IGW 활용)- EC2 에 역할과 정책 등록 필요  - 새역할 생성 - S3FullAccess 선택 - EC2 에 IAM 역할 등록  - aws configure (AWS AccessKey 필요없음) 없이 EC2에 IAM 역할 등록으로 S3 접근 가능     ## S3 접속 테스트 - 프라이빗 EC2 활용 - 프라이빗 EC2 라서 IAM 역할을 부여해도 통신 불가 - aws s3 ls --debug  (로그분석) - 443포트로 접속 시도에서 멈춤 - 따라서 VPC 엔드포인트 생성 필요 - Gateway 방식으로 생성 - 라우팅 테이블.. 2024. 5. 23.
[중요][AWS] NTP 시간 동기화 (Chrony) 및 타임존 설정 !! NTP (Network Time Protocol)Amazon Time sync Service는 NTP(Network Time Protocol)를 통해 제공되는 시간 동기화 서비스NTP 동기화를 하는 이유각종 로그 설정이나 디버깅에 있어 서버마다 다른 시간을 바라보고 있으면 디버깅이 어려워지며 특정 어플리케이션에서는 서비스에 문제가 발생 될 수 있다.모든 서버가 하나의 시간을 바라볼 수 있도록 시간을 동기화 해주어야 한다.RHEL 7 이전에는 NTP를 기본 네트워크 시간 프로토콜로 사용, RHEL 7 이후부터 Chrony 대체NTP vs ChronyNTP항상 연결이 보장된 상황에서는 NTP 사용영구적으로 유지되는 시스템 혹은 브로드캐스트나 멀티캐스트 IP를 사용하거나 Autokey Protocol로 패킷 .. 2024. 5. 22.
[참고] Deploying NetBackup in AWS Cloud https://www.youtube.com/watch?v=PrpfS5dnuiQ 2024. 5. 21.
[참고] 사용IP 정보 확인 - 후이즈 https://xn--c79as89aj0e29b77z.xn--3e0b707e/ KISA 후이즈검색 whois.kisa.or.kr한국인터넷진흥원 인터넷주소자원 검색(후이즈검색) 서비스 입니다.xn--c79as89aj0e29b77z.xn--3e0b707e 2024. 5. 21.
반응형

티스토리툴바