eks에선 iam을 RBAC 구성에 사용할 수 있다. $ aws eks update-kubeconfig --name 위 명령어 입력 시 현재 aws sts get-caller-identity 를 통해 확인되는 iam으로 ~/.kube/config에 파일이 생성된다. 때문에 AWS_ACCESS_KEY_ID, AWS_SECRET_ACCESS_KEY 환경변수 설정 시 해당 iam으로 구성되고 또한 update-kubeconfig 뒤에 —profile을 붙여 이미 configure 된 iam을 사용할 수도 있다. 다만, 현재는 새로운 Role 구성 테스트이므로 eks를 생성한 계정으로 kube config를 생성한다. k8s에서 role 구성 rbac.yaml apiVersion: v1 kind: Namespa..
ALB, NLB idle timeout, keepalive 차이점, 문제상황 및 해결방법 ALB, NLB 차이점 ALB는 http header까지 모두 확인하여 트래픽을 전달하고, NLB는 4계층 까지의 정보만 확인 후 전달한다. 이때 ALB에서는 이러한 트래픽을 Proxying 하게 되는데, 때문에 서버에서 tcpdump 시 반대쪽 IP가 alb의 IP로 찍히게 된다.(EC2에서 client로 전달되는 패킷은 DSR 방식으로 처리된다.) NLB에서는 client의 ip가 그대로 전달되며 proxying하지 않고 패킷 포워더와 같이 작동한다. client → NLB(80 listening) → ec2(8080 listening)일 때, NLB는 트래픽의 포트만을 변경하여 패킷을 ec2로 전송한다. 이때문..
AWS Direct Connect란? aws Direct Connect는 internet을 통해 aws services에 접근하는 것에 대한 대안을 제공하는 서비스입니다. Direct Connect(DX)를 사용하며 되면 기존에 internet을 통해 전송되어왔던 데이터들이 고객의 시설와 AWS 사이의 private network connection 사이로 전송됩니다. Virtual Interfaces DX는 public, private, transit 3가지 타입의 가상 인터페이스를 제공합니다. public VIF public VIF를 통해 publicIP를 통해 모든 public AWS service에 접근할 수 있습니다. private VIF private VIF는 private IP주소를 통해 A..
Routa table을 통해 VPC로부터의 네트워크 트래픽의 목적지를 결정할 수 있습니다. Site-to-Site VPN 구축을 위해서는 remote network와 Virutal Private Gateway을 route table에 특정하여야합니다. 이를 통해 VPC 와 remote network 사이를 통신하는 트래픽이 tunnel을 통해 이동할 수 있게 됩니다. AWS는 트래픽이 가장 특정되는 route table을 통해 경로를 결정합니다.(Longest prefix match) 만약 해당 경로가 중복된다면 아래 규칙을 따르게 됩니다. Site-to-Site VPN 연결, 또는 Direct Connect 연결에서 전파된 경로가 VPC에서의 local route 와 중복된다면 전파된 경로가 더욱 구체..
Cloudformation Signed URL Cloudformation Signed URL에는 만료 일자와 시간과 같이 컨텐츠에 대한 더 많은 제어 액세스 권한을 제공하는 추가적인 정보가 담깁니다. 이 추가적인 정보는 canned policy 또는 custom policy 중 하나에 기반한 정책 설명에서 나타납니다. Canned policy에서, 당신은 사용자가 더 이상 컨텐츠에 접근할 수 없도록 하는 날짜와 시간을 특정할 수 있습니다. 각 document는 다른 만료 일자를 따르므로, 정책은 재사용할 수 없으며 각 document에 따라 제각각으로 생성하여야합니다. 이를 요구 사항으로 사용하면 미리 준비된 정책을 설정하기 쉽고 URL도 사용자 지정 정책처럼 길지 않습니다. 이 요구 사항에 대한 cus..
predescription tgw를 통한 S2S VPN 연결을 통해 AWS에 대한 온프레미스 연결과 AWS와 온프레미스 데이터 센터 간의 AWS Direct Connect connection으로 구성된 간단한 hybrid 네트워크에서 IPv4와 IPv6를 지원하는 dual-stack을 구성하기 위해선 아래 나열된 방법을 수행하여야합니다. tgw를 통한 S2S VPN에서의 dual connectivity를 위해 하나는 IPv4 stack을 위해서, 다른 하나는 IPv6를 위해서 2개의 VPN 연결을 만듭니다. TGW 위의 Site-to-Site VPN은 VPN 터널 내부의 IPv4 트래픽 또는 IPv6 트래픽을 지원할 수 있습니다. 이 이야기는 dual-stack 연결을 위해선, 당신은 하나는 IPv4를 ..
