개발새발

이번주는 IAM 취약점 및 보안에 대해 스터디를 진행했습니다. 그 중 IMDS에 집중하여 내용 정리 및 워크샵을 진행해 보겠습니다. IMDS(Instance Metadata Service) AWS에서는 IMDS를 사용하여 인스턴스의 메타데이터를 획득할 수 있습니다. 기본적으로 ip, ami id 등 ec2 관련 정보와 iam 관련 정보를 확인할 수 있습니다. IMDSv1 사용 예시 [ec2-user@My-EC2 ~]$ curl -s http://169.254.169.254/latest/meta-data/ ami-id ami-launch-index ami-manifest-path block-device-mapping/ events/ hostname iam/ identity-credentials/ insta..

EKS에 띄운 Pod 내에서 여러 role을 ~/.aws/config 파일에 설정하고 profile을 변경하며 작업을 하고 싶어 설정을 해봤습니다. 1. IAM role 생성   - role-service-account   - role-assumed (타 계정) 2. Trust Policy 설정      2-1. role-service-account : OIDC Provider Trust Policy 설정 추가           참고 : https://aws.amazon.com/ko/premiumsupport/knowledge-center/eks-pods-iam-role-service-accounts/      2-2. role-assumed : role-service-account role Trust ..

S3에 대해 접근 권한을 설정할 때 IAM, Bucket Policy 등 다양한 설정을 활용할 수 있습니다. 여러가지 제어 방법을 동시에 사용할 때 최종적으로 S3에 대한 권한은 어떻게 설정되는지 알아보겠습니다. S3 버킷 접근 권한 고려 요소 IAM IAM role, user, group 권한 Bucket Policy 특정 user, role, IP 접근 및 public access 설정 등 S3 Block Public Access Account 레벨 AWS Config (s3-account-level-public-access-blocks 등) Bucket 레벨 ACL (미권장) Bucket ACL Object ACL VPC Endpoint Policy S3 접근을 위해 VPC Endpoint를 사용하..

개요EKS Node에 배포 가능한 최대 pod 수는 ENI에 할당 가능한 IP 수와 EC2에 부착 가능한 최대 ENI 수에 따라 결정됩니다. 따라서 Node의 인스턴스 타입 별로 다른 최대 pod 수를 갖게 됩니다.참고로 pod 수 계산식의 +2 는 hostNetwork 모드로 실행되는 pod(VPC CNI, kube-proxy)가 반영된 부분입니다.Node에 배치된 pod 수에 모든 pod가 포함되므로, 추가적으로 hostNetwork를 사용하는 pod가 있다면, 조정하여 더 많은 pod를 배치할 수 있습니다. 참조. 인스턴스 타입 별 Max Pod 수하지만 VPC CNI add-on의 prefix 할당 모드를 사용하면서 더 많은 수의 pod를 Node에 배포할 수 있게 되었습니다. VPC CNI Pr..

서로 다른 VPC를 활용하여 하나의 VPC를 On-prem으로 가정하고 Libreswan을 활용하여 AWS site-to-site VPN을 연결하고자 합니다. (openswan은 Ubuntu 18.04부터 포함되어있지 않아 apt-get을 활용하여 설치할 수 없기에 유사한 솔루션인 Libreswan을 테스트 함) AWS VPN에서 Libreswan을 명시적으로 지원하지 않아 Openswan의 config를 다운 받아 설정에 활용합니다. [목표] [기본 환경] VPC 2개 겹치지 않는 CIDR을 활용하여 2개 생성 (ex. 10.0.1.0/24, 10.0.2.0/24) Public Subnet, Public route table 각각 생성 EC2 2개 Libreswan용 EC2 + EIP OS : Ubun..

EKS 클러스터에 배포된 Cluster Autoscaler Pod가 OOMkilled 되는 현상이 발생했다. 일시적으로 해당 Deployment의 Memory를 상향 조정하여 해결하였으나 지속적인 모니터링이 필요해 보인다. (Pod/Node 수에 따라 Memory가 더 필요하다는 글이 있음 : https://github.com/kubernetes/autoscaler/issues/3044) [2022/05 - AWS 제공 cluster autoscaler yaml] --- apiVersion: v1 kind: ServiceAccount metadata: labels: k8s-addon: cluster-autoscaler.addons.k8s.io k8s-app: cluster-autoscaler name: ..

0. 사전 준비 사항 Github 계정 Jenkins 서버 Terraform backend용 S3, DynamoDB 1. Terraform 플러그인 설치 [Jenkins] 1-1) Jenkins 관리 > 플러그인 관리 > 설치 가능 > terraform 검색 후 설치 1-2) Jenkins 관리 > Global Tool Configuration Terraform > Terraform installations > Add Terraform 클릭 1-3) Jenkins 서버 Terraform CLI 설치 링크 : https://www.terraform.io/downloads> 참고) Jenkins를 Docker Image로 배포한 경우 Docker Image 수정 필요 2. 신규 레파지토리 생성 및 파일 업로..

이번 글에서는 AWS Solutions Architect - Associate(SAA-C01) 자격증 취득 후기와 자료들을 공유하고자 합니다. 주로 AWS 공식 문서(FAQ, 백서)를 활용했으며, Udemy 강좌와 연습문제로 공부를 했습니다. (덤프를 활용하지 않는 시간이 오래 걸리는 방법임을 미리 밝힙니다.) 1. 시험개요 AWS SAA 시험은 1000점 중 720점 이상을 획득하면 통과입니다. 시험 결과는 시험을 끝내고 설문을 마치자마자 알 수 있습니다. ('축하합니다'라는 문구가 보이면 합격입니다.) 자세한 시험 결과는 2-3일 후 메일로 안내가 오며, 저는 881점으로 다행히 통과를 했습니다. 시험은 한국어/영어 등 다양한 언어로 볼 수 있으며, 저는 한글로 시험을 응시했습니다. (한국어로 응시를..

AWS 시험 공식 가이드 (AWS 백서 및 FAQ, 샘플 문제 링크) AWS Certification 시험 준비 AWS 공인 고급 네트워킹 – 전문 분야 공식 시험 학습 안내서는 AWS 전문가가 작성합니다. 이 안내서는 시험 목표를 다루며, AWS 공인 고급 네트워킹 전문가로서 겪을 수 있는 상황을 토대로 실습할 수 있도록 하여 시험 환경에서 네트워킹 기술을 입증하도록 준비하는 데 도움이 됩니다. AWS를 사용한 클라우드 기반 솔루션 설계, 개발 및 배포에서 도구를 활용한 AWS 네트워킹 작업 자동화까지, 이 안내서는 AWS와 관련된 프로세스와 모범 사례를 습득하는 aws.amazon.com AWS SAA 시험 비공식 가이드 AWS Certified Solutions Architect Unofficial..