본문 바로가기

Networking

(11)
AWS Route53 Registered domains과 Hosted zones 연결 AWS 내에서 도메인을 구매할 경우 자동적으로 Host Zone이 생성된다. 그러나 새로 구입한 도메인을 바로 사용하지 않은 경우, Route53 Host zone에 대해서도 과금이 되기 때문에 사용하기 전까지는 구입한 Host zone을 삭제했다. 그리고 구입한 도메인을 사용하기 위해서는 새로 Host zone을 만들고, Registered domain과 Host zone의 Name servers를 아래 사진과 같이 동일하게 매핑해주면 된다. 그러나 문제는 Host zone의 NS를 변경해도 정상동작 하지 않는 경우가 있다. AWS Console 상에서는 Host zone의 NS이 변경된 것처럼 보이나, aws cli로 확인해보면 처음 생성 되었던 NS가 연결되어 있는 걸로 확인된다. $aws rout..
API Gateway, DynamoDB 사용 시 주의사항 API Gateway는 백단에 HTTP(S) / Lambda 뿐만 아니라, Dynamodb를 비롯한 AWS 서비스들을 바로 호출할 수 있다. 서버리스의 경우 Front(S3) -> Cognito -> API Gatway -> Lambda -> DynamoDB나 기타 DB 를 통해 CRUD를 구성할 수 있다. 간단한 서비스의 경우에는 Lambda 없이, API Gateway -> DynamoDB으로도 가능하다. (간단한 RestAPI 혹은 크롤링 같은 목적의 경우 해당 구성이 가성비 최고인 듯...) https://aws.amazon.com/ko/blogs/compute/using-amazon-api-gateway-as-a-proxy-for-dynamodb/ Using Amazon API Gateway a..
Amazon API Gateway Proxy 모드 Amazon API Gateway 사용 시, 기본적으로 모든 Path, Method, Header, QueryString 등을 아래와 같이 미리 프로비저닝 해야 한다. 그러나 API Gateway {Proxy+} 사용 시 해당 매개 변수들을 일일히 설정할 필요가 없이, Lambda 등 BackEnd에서 받을 수 있다. 참고https://aws.amazon.com/ko/blogs/korea/api-gateway-update-new-features-simplify-api-development/ 실제로 {Proxy+} 테스트를 진행해보자. 먼저 API Gateway와 연동할 Lambda를 생성한다. (Node v.12)exports.handler = async (event) => { // TODO implem..
Route53 NS 레코드 위임 문제(재귀쿼리) 및 DNS Query 트래픽, 로그 확인 기존 DNS 서버에서 Route53으로 NS 레코드를 이관할 때, Route53에서 위임된 다른 NS에 정의된 레코드들을 응답받지 못한다. 가령 아래와 같이 DNS 쿼리를 수행했을 경우, Route53에서 app.testhtm.com을 다른 NS로 위임했을 때 A레코드까지 질의되지 않는 경우다. dig +trace app.testhtm.com @ns-638.awsdns-15.net 와 같이 질의한 경우, NS 레코드까지만 응답. 로컬 DNS를 Route53으로 지정하고 Query를 하면 NS에 대한 DNS 재귀쿼리(Recursive Query)까지는 수행되지 않는다. 이 경우 NS 레코드 값을 받았으나, 상위(?), 이전(?) DNS가 없기 때문에 Route53에 등록한 NS까지만 받게 된다. 따라서 실..
AWS Managed VPN Service 구성 AWS Managed VPN Service를 이용하여 On-premise와 IPsec VPN을 구성하는 방법을 설명한다. 아래 항목을 순차적으로 구성하도록 하겠다. 1) AWS Managed VPN Service 개요 2) Customer Gateway 생성 3) Virtual Private Gateway 생성 및 VPC 연결 4) Site-to-Site Connection 생성 5) VPN Routing 설정 6) Tunnel 상태 확인 7) considerations 8) Appendix - IPsec Tunneling 지원 (GRE 등 다른 Tunneling 은 지원하지 않음, 2019년 08월 현재 기준) - Static Routing과 Dynamic Routing(BGP)을 제공 - 고가용성을 ..
Amazon API Gateway Signature v4(Authorization) API Gateway는 AWS의 Managed HTTP(S) Proxy 서비스로 HTTP(S) / Websocket 프로토콜을 지원하며, EC2 / Lambda / DynamoDB / 외부 HTTP(S) 통신 등 다양한 Application과 Integration 되어있다. API Gateway는 기본적으로 AWS에서 관리하는 VPC 내에 존재하기 때문에 Public 서비스로 WAF와 연동도 가능하다. 또한 End-Point(Private Link)도 지원하기 때문에 사용자의 VPC 내에서 Security Group을 통해서도 네트워크 제어가 가능하다. 그 외 Caching, Header, QueryString 조작, 요청 Threshold 관리 등 매우 다양한 기능이 있음. 이번 블로깅은 API Gat..
AWS VPC FLOW LOGS AWS VPC Flow Logs는 VPC 내의 로그를 수집할 수 있게 해주는 기능 VPC 흐름 로그 - Amazon Virtual Private Cloud VPC 흐름 로그 VPC 흐름 로그는 VPC의 네트워크 인터페이스에서 전송되고 수신되는 IP 트래픽에 대한 정보를 수집할 수 있는 기능입니다. 플로우 로그 데이터를 Amazon CloudWatch Logs 및 Amazon S3로 게시할 수 있습니다. 플로우 로그를 생성한 다음 선택된 대상의 데이터를 가져와 확인할 수 있습니다. 흐름 로그는 다음과 같은 여러 작업에 도움이 될 수 있습니다. 지나치게 제한적인 보안 그룹 규칙 진단 인스턴스에 도달하는 트래픽 docs.aws.amazon.com 각 VM의 네트워크 인터페이스 별로 통신하는 로그를 확인할 수 ..
AWS VPC Security Group ID 포워딩 VPC Security Group의 경우 Auto Scaling 등 여러 제약으로 인해 아래와 같이 Security Group ID 포워딩 정책을 많이 사용한다. Security Group ID 포워딩의 경우 Private IP 대역에 대한 제어만 가능하다. 따라서 VPC 내의 리소스들이 Public 구간 통신을 할 경우 해당 정책은 적용되지 않는다.Test로 생각없이 공인 IP를 적었다가 Slave I/O: error connecting to master (MySQL, replica)와 같은 Connection Error 메시지가 발생되는 경우 Private 구간 통신을 하도록 하자.
AWS DirectConnect 이해하기 AWS DirectConnect는 IDC와 AWS Infra를 사설 통신으로 연결시켜주는 서비스입니다.Direct Connect은 보안상 IDC에 중요한 Data가 있거나, 내부 사용자를 위한 서비스를 AWS 내에서 사용할 때 주로 사용됩니다. Direct Connect는 AWS Console에서 제어해서 사용할 수 있는 서비스가 아니며, 아래 구성 요건이 필요합니다. 구성 요건1. DX Location Center인 가산 IDC까지 전용망이 연결되어 있어야 합니다. (DX 파트너 사에서 대행 가능)2. BGP를 지원하는 Router가 IDC 내에 있어야 합니다.3. KINX와 같은 DX AWS Partner 사가 필요합니다. (AWS DX 코로케이션은 KINX IDC 이용) 사용할 수 있는 Networ..
Amazon Route53 Geolocation을 활용한 Client 로케이션 별 분기 Route53은 AWS의 DNS 서버로 Simple, Weighted, Latency, Failover, Geolocation 정책으로 도메인 리졸빙이 가능. CloudFront의 경우 저렴한 비용이 아니기 때문에 국내 사용자는 저렴한 국내 CDN 서비스를 이용하고, 국외는 CloudFront 서비스를 이용할 수 있음. 만약 Route53을 이용하여 DNS를 이용한다면 Geolocation을 통해서 국내외 사용자 분기가 가능함(ISP 별 분기는 불가하지만 Latecy 분기로 비슷한 효과는 가능) 해당 내용은 다음과 같이. 매우 간단함. 추가로 해당 여러 CDN 업체를 사용할 때는 CNAME 분기된 도메인 하위 레코드를 Weighted 기능을 사용하여 비율을 조정할 수 있음. Weight 5, 5 값을 넣..
AWS VPC/VPN(Openswan) 연동 VPC에서 VPN 연동 관련 블로깅 한다. 기본적인 AWS 사용 방법 및 VPC 구성에 대해서는 사전에 숙지해야 한다. 1. Overview AWS의 IPsec VPN 서비스인 VGW(Virtual Gateway Service)을 통해 AWS와 On-premise 간 터널링 통신을 구현한다. On-premise VPN 환경은 Openswan으로 구성하도록 하겠습니다. 사내 어플라이언스가 있으면 해당 장비로 테스트하길 바란다. 보안 알고리즘은 aes-256 / sha_2-256를 지원한다. (암호화 방식 참고) 불러오는 중입니다... VGW의 터널링은 IPsec 방식으로 SSL은 지원하지 않는다. (IPsec/SSL 참고) IPSec VPN 과 SSL VPN 의 특징 비교 IPSec VPN 과 SSL VP..