본문 바로가기

Networking

(6)
Amazon API Gateway Signature v4(Authorization) API Gateway는 AWS의 Managed HTTP(S) Proxy 서비스로 HTTP(S) / Websocket 프로토콜을 지원하며, EC2 / Lambda / DynamoDB / 외부 HTTP(S) 통신 등 다양한 Application과 Integration 되어있다. API Gateway는 기본적으로 AWS에서 관리하는 VPC 내에 존재하기 때문에 Public 서비스로 WAF와 연동도 가능하다. 또한 End-Point(Private Link)도 지원하기 때문에 사용자의 VPC 내에서 Security Group을 통해서도 네트워크 제어가 가능하다. 그 외 Caching, Header, QueryString 조작, 요청 Threshold 관리 등 매우 다양한 기능이 있음. 이번 블로깅은 API Gat..
AWS VPC FLOW LOGS AWS VPC Flow Logs는 VPC 내의 로그를 수집할 수 있게 해주는 기능(http://docs.aws.amazon.com/ko_kr/AmazonVPC/latest/UserGuide/flow-logs.html)각 VM의 네트워크 인터페이스 별로 통신하는 로그를 확인할 수 있다.VPC Flow Log를 활용하면 장애나 보안 문제가 발생 했을 경우 좀 더 많은 정보를 확인할 수 있다.[VPC 우클릭 -> Create Flow Log]VPC Flow Log는 VPC / Subnet / EC2 Network 인터페이스 기준으로 Enable 가능하며 Accept와 Reject 기준으로 필터 설정도 가능하다. 필요한 Role은 아래와 같다.그리고 CloudWatch Logs 화면으로 돌아가면, 아래와 같이 ..
AWS VPC Security Group ID 포워딩 VPC Security Group의 경우 Auto Scaling 등 여러 제약으로 인해 아래와 같이 Security Group ID 포워딩 정책을 많이 사용한다.Security Group ID 포워딩의 경우 Private IP 대역에 대한 제어만 가능하다.따라서 VPC 내의 리소스들이 Public 구간 통신을 할 경우 해당 정책은 적용되지 않는다.Test로 생각없이 공인 IP를 적었다가 Slave I/O: error connecting to master (MySQL, replica)와 같은 Connection Error 메시지가 발생되는 경우 Private 구간 통신을 하도록 하자.
AWS DirectConnect 이해하기 AWS DirectConnect는 IDC와 AWS Infra를 사설 통신으로 연결시켜주는 서비스입니다.Direct Connect은 보안상 IDC에 중요한 Data가 있거나, 내부 사용자를 위한 서비스를 AWS 내에서 사용할 때 주로 사용됩니다.Direct Connect는 AWS Console에서 제어해서 사용할 수 있는 서비스가 아니며, 아래 구성 요건이 필요합니다.구성 요건1. DX Location Center인 가산 IDC까지 전용망이 연결되어 있어야 합니다. (DX 파트너 사에서 대행 가능)2. BGP를 지원하는 Router가 IDC 내에 있어야 합니다.3. KINX와 같은 DX AWS Partner 사가 필요합니다. (AWS DX 코로케이션은 KINX IDC 이용)사용할 수 있는 Network B..
Amazon Route53 Geolocation을 활용한 Client 로케이션 별 분기 Route53은 AWS의 DNS 서버로 Simple, Weighted, Latency, Failover, Geolocation 정책으로 도메인 리졸빙이 가능. CloudFront의 경우 저렴한 비용이 아니기 때문에 국내 사용자는 저렴한 국내 CDN 서비스를 이용하고, 국외는 CloudFront 서비스를 이용할 수 있음. 만약 Route53을 이용하여 DNS를 이용한다면 Geolocation을 통해서 국내외 사용자 분기가 가능함(ISP 별 분기는 불가하지만 Latecy 분기로 비슷한 효과는 가능) 해당 내용은 다음과 같이. 매우 간단함. 추가로 해당 여러 CDN 업체를 사용할 때는 CNAME 분기된 도메인 하위 레코드를 Weighted 기능을 사용하여 비율을 조정할 수 있음. Weight 5, 5 값을 넣..
AWS VPC/VPN(Openswan) 연동 VPC에서 VPN 연동 관련 블로깅 하겠습니다.기본적인 AWS 사용 방법 및 VPC 구성에 대해서는 사전에 숙지하셔야 합니다.1. OverviewAWS의 IPsec VPN 서비스인 VGW(Virtual Gateway Service)을 통해 AWS와 On-premise 간 터널링 통신을 구현하도록 하겠습니다.On-premise VPN 환경은 Openswan으로 구성하도록 하겠습니다. 사내 어플라이언스가 있으면 해당 장비로 테스트하시기 바랍니다.보안 알고리즘은 aes-256 / sha_2-256를 지원합니다. (암호화 방식 참고 - http://blog.kindler.io/archives/121)VGW의 터널링은 IPsec 방식으로 SSL은 지원하지 않습니다. (IPsec/SSL 참고 - http://blo..