클라우드 네이티브 환경에 맞는 IT 운영 원칙과 모범사례 - 권신중 솔루션즈 아키텍트, AWS :: AWS Summit Seoul 2019

2. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved. 1. 클라우드 네이티브 환경 : 몇 가지 변화 2. “클라우드 환경에 맞는” 운영? 3. AWS의 운영/관리 서비스 • Provisioning • Configuration management • Monitoring • Operations & Compliance management 4. “나는 정말 잘 하고 있을까?” : Self Assessment

5. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved. 관리 대상의 변화 Physical Infrastructure Hypervisor Data Encryption OS, Network, Firewall Identity, Access Mgmt. Platform, Application Data Mgmt. Datacenter Physical Infrastructure Hypervisor Data Encryption OS, Network, Firewall Identity, Access Mgmt. Platform, Application Data Mgmt. Datacenter

10. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved. Infrastructure provisioning Configuration management Governance & compliance Monitoring & performance Resource optimization 운영 프로세스

16. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved. AWS 리소스 배포 지금부터 아주 간단한 3-Tier Application 을 만들어 보겠습니다 • Seoul Region • VPC 생성, Public, Private Subnet 생성 • Aurora RDS 설치, Security Group 설정 • Ubuntu AMI로 Web/WAS EC2 생성 • Apache/Tomcat 설치, Configuration • Elastic Load Balancer 설정 • Routing, Security Group 설정 • …

17. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved. AWS 리소스 배포 아주 간단하게 만든 3-Tier Application 을 다른 리전에도 배포합니다. Tokyo Region • VPC 생성, Public, Private Subnet 생성 • Aurora RDS 설치, Security Group 설정 • Ubuntu AMI로 Web/WAS EC2 생성 • Apache/Tomcat 설치, Configuration • Elastic Load Balancer 설정 • Routing, Security Group 설정 • … N.Virginia Region • VPC 생성, Public, Private Subnet 생성 • Aurora RDS 설치, Security Group 설정 • Ubuntu AMI로 Web/WAS EC2 생성 • Apache/Tomcat 설치, Configuration • Elastic Load Balancer 설정 • Routing, Security Group 설정 • … Oregon Region • VPC 생성, Public, Private Subnet 생성 • Aurora RDS 설치, Security Group 설정 • Ubuntu AMI로 Web/WAS EC2 생성 • Apache/Tomcat 설치, Configuration • Elastic Load Balancer 설정 • Routing, Security Group 설정 • … Singapore Region • VPC 생성, Public, Private Subnet 생성 • Aurora RDS 설치, Security Group 설정 • Ubuntu AMI로 Web/WAS EC2 생성 • Apache/Tomcat 설치, Configuration • Elastic Load Balancer 설정 • Routing, Security Group 설정 • … Ireland Region • VPC 생성, Public, Private Subnet 생성 • Aurora RDS 설치, Security Group 설정 • Ubuntu AMI로 Web/WAS EC2 생성 • Apache/Tomcat 설치, Configuration • Elastic Load Balancer 설정 • Routing, Security Group 설정 • … Sydney Region • VPC 생성, Public, Private Subnet 생성 • Aurora RDS 설치, Security Group 설정 • Ubuntu AMI로 Web/WAS EC2 생성 • Apache/Tomcat 설치, Configuration • Elastic Load Balancer 설정 • Routing, Security Group 설정 • …

18. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved. AWS CloudFormation • 텍스트 파일로 인프라스트럭처, 어플리케이션 스택 정의 • Infrastructure as Code : AWS Code-Series와 연동 • Cloudformation 스택 업데이트, 롤백 지원 직접 YAML, JSON CloudFormation 템플릿 작성 또는 샘플 템플릿 활용 로컬 템플릿 파일 또는 S3 내 템플릿 파일 업로드 CloudFormation 스택 생성 – Console/API/CLI 템플릿 대로 CloudfFormation 스택, 리소스 프로비저닝

21. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved. AWS CloudFormation Drift Detection • CloudFormation Stack에 통제되지 않은 변경이 있었는지 Detection 최초 Cloudformation Stack 현재 Cloudformation Stack 최초 생성 이후 변경사항 Detection • EC2 Instance AMI • Auto Scaling Group Parameter • ELB Parameter • IAM Policy • … • 지원 AWS 서비스 : API Gateway, Auto Scaling, CloudTrail, CloudWatch Events, CloudWatch Logs, DynamoDB, Amazon EC2, Elastic Load Balancing, IAM, AWS IoT, Lambda, Amazon RDS, Route 53, Amazon S3, Amazon SNS, Amazon SQS

22. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved. Developer preview AWS CDK (Cloud Development Kit) AWS CloudFormation template AWS CDK application Stack(s) Construct Construct Resources • For loop, if statement 지원 • TypeScript, JavaScript, Java, .NET, Python • Compile 후 Cloudformation template 생성 https://docs.aws.amazon.com/ko_kr/CDK/latest/userguide/what-is.html

25. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved. Service Catalog (IT운영자 View) AWS Product/Service AWS 마켓플레이스 third-party products 고객이 생성한 AWS 솔루션 AWS Service Catalog ü 제약 조건 ü 보안 통제 ü Parameter 검증 ü IAM 권한 할당 ü 표준 Tag 사용 베스트 프랙티스 적용, 표준화 Cloudformation 템플릿 Admin

26. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved. EC2 p3.8xlarge ü 조직 정책 준수 ü 빠른 배포 ü 표준 태그 적용 ü 예산 통제AWS Service Catalog 사용자 별 권한이 부여된 Product List User Service Catalog (사용자 View)

29. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved. EC2에 적용되는 Configuration 영역 패키지/ 라이브러리 파일 설정 • Web서버에 Apache 2.4.37 서버 설치 • WAS 서버에 OpenJDK 11.0.1 설치 • DB접속을 위해 tnsnames.ora 파일 수정 • 머신 러닝 인스턴스에 Tensorflow, Pandas, Matplot설치

30. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved. AWS OpsWorks • 관리형 Configuration 관리 서버 • Chef Automate, Puppet Enterprise 지원 • Configuration 관리 DSL(Domain Specific Language)로 EC2에 configuration 적용

32. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon CloudWatch AWS 환경은 물론 하이브리드, 온프레미스의 어플리케이션 및 인프라스트럭처 모니터링 가시성 확보 • AWS 및 온프레미스 리소스의 통합된 뷰 제공 • Root Cause 분석, Troubleshooting 모니터링 • Application & Infra 메트릭, 로그 모니터링 • 로그에서 실행 가능한 통찰력 확보 액션 CloudWatch Dashboard CloudWatch Logs CloudWatch Metric CloudWatch Alarms CloudWatch Events

36. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved. CloudWatch Log Insights • CloudWatch Logs내 로그 데이터를 대화식으로 검색/분석 • VPC Flow Log, Route 53, Lambda, CloudTrail 및 기타 Custom 로그 지원 • filter, stats, sort, limit, parse Query Command 지원 • CloudWatch Dashboard에 Query 결과 추가 가능 Log group name fields @timestamp, @message | sort @timestamp desc | limit 20

37. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon CloudWatch : 모니터링 & 액션 • Auto Scaling과 CloudWatch Alert 연동 EC2#1 Auto Scaling group EC2#2 CloudWatch Alarm CPU Util% > 70% Auto Scaling Policy Alarm전송 Trigger 신규 EC2 Launching EC2#3

38. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon CloudWatch : 모니터링 & 액션 • Auto Scaling과 CloudWatch Alert 연동 EC2#1 Auto Scaling group EC2#2 CloudWatch Alarm Auto Scaling Policy Alarm전송 Trigger 신규 EC2 Launching EC2#3

41. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved. AWS Config & AWS Config rules • 지속적으로 AWS 리소스 구성 변경 사항 트래킹 • 리소스 구성 상태가 AWS Config Rules에서 정의한 정책에 위배되지 않는지 평가 • 구성 상태가 정책에 위배될 경우 SNS 서비스를 통해 Alert를 받거나 CloudWatch Event와 연동하여 사용자 정의 Action 수행 • Multi Region, Multi Account Data Aggregation 지원 AWS 리소스에 변경사항 발생 AWS Config AWS Config Rules • Compliant • Noncompliant 이력, 스냅샷 통지 API 접근 Normalized

44. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved. AWS Config Advanced Query • AWS Config가 지원하는 AWS 리소스 별 속성 메타데이터를 표준 SQL문으로 조회 • Inventory 조회, 보안/운영 인텔리전스, 비용 최적화에 활용 샘플 SQL문 사용하지 않는 EBS 볼륨 조회 SELECT resourceId, resourceType, configuration.volumeType, configuration.size, resourceCreationTime, tags, configuration.encrypted, configuration.availabilityZone, configuration.state.value WHERE resourceType = 'AWS::EC2::Volume' AND configuration.state.value <> 'in-use'

45. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved. AWS Config Rules • AWS 리소스 별 Compliance 규칙 정의 “모든 S3 버킷은 Versioning을 Enable해야 한다” “모든 IAM 사용자는 MFA(Multi Factor Authentication)이 Enable 되어야 한다” “인터넷 구간(0.0.0.0/0)에서 SSH 접속을 허용하는 정책은 Security Group에 포함되면 안된다” “허용된 AMI(Amazon Machine Image)만 사용해야 한다” ”AWS 리소스는 회사 표준에서 정의한 Tag을 가지고 있어야 한다” “모든 S3 버킷은 Public Read/Write를 허용해서는 안된다” “RDS Storage는 암호화 되어야 한다” ”~~~ 해야 한다” / “~~~하면 안된다”

47. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved. AWS Config RDK (Rule Development Kit) https://github.com/awslabs/aws-config-rdk $ pip install rdk $ rdk init $ rdk create MyRule $ rdk test-local MyTestRule $ rdk modify MyRule $ rdk deploy MyRule

49. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved. AWS Config Rules : 교정(Remediation) Amazon EC2 Amazon S3 Amazon RDS Amazon VPC AWS Config Rules Systems Manager Documents CloudWatch Event Amazon SNS AWS Lambda 주기적 또는 구성항목(CI) 변경 시 Config 룰 체크 “Rule 위반” AWS Resources Admin 교정(Remediation)

50. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved. AWS CloudTrail • 모든 API 호출 내역을 기록. 감사 또는 컴플라이언스에 사용 • 보안 분석 수행, 서비스/유저/어카운트 별 사용자 행동 패턴 감지 • CloudWatch Events/Logs와 연동하여 Critical 이벤트 발생 시 Alarm 생성 • S3 오브젝트 레벨 로깅 가능 (S3 Bucket 단위로 Enable 해야 함) CloudTrail이 저장될 S3 버킷 생성 AWS Account별 API 호출 (예 : Terminate EC2) Events AWS CloudTrail CloudTrail 은 API 호출 내역을 캡쳐 API 호출 내역을 S3에 전송. CloudWatch Event/Logs와 연동 가능 AWS SDK Desktop Mobile

52. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved. AWS Systems Manager AWS, 그리고 On-premise상 대규모의 Windows/Linux 서버를 관리하게 위한 서비스 Systems Manager Agent 설치 필요 Resource Groups Run Command Inventory Patch Manager Automation Parameter Store State Manager Maintenance Window Session Manager Distributor

53. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved. AWS Systems Manager : Resource Group 대규모 EC2를 효율적으로 관리하기 위해서는 적절한 Tag 정책 수립이 필요합니다 AWS Cloud Stack=DEV Stack=PROD Platform=Windows Platform=Linux Linux 개발 EC2만 Reboot!!

54. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved. AWS Cloud Patch Group= WebServers Web Server Patch Baseline Patch Manager Compliance 체크 Notifications!Maintenance Window Patch Group= WebServers Corporate data center AWS Systems Manager : Patch Manager 패치 적용 Tag기반 패치 그룹 생성, 패치 그룹 별로 사전에 정의된 Maintenance Window 에 패치 적용

55. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved. AWS Systems Manager : Run Command JSON 기반 Document를 다수의 관리대상 EC2/On-premise 서버에 명령 수행 Documents 관리대상 EC2Run Command Document 선택 대상 선택 후 실행 (by tag, manual) 작업 결과 저장(Optional) S3 Bucket • Windows Powershell, Linux Shell Script 수행 • Bootstrapping, OS/Application 환경 설정 변경 • Built-in / Custom Document 기반 명령 수행 • 동시 수행 Rate 조절

57. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved. • 관리대상 EC2 인스턴스에 SSH/Remote Desktop이 아닌 Web Browser 기반 Shell 또는 CLI로 직접 접속 가능 • 인바운드 네트워크 포트 오픈 불필요 • SSH Key Pair 관리 불필요 • IAM을 통해 Access Control • 세션 접속 로그는 CloudTrail에 저장되어 감사 목적에 활용 AWS Systems Manager : Session Manager IAM CloudTrail AWS Cloud VPC EC2 Instance Auditing & Logging권한체크 Session Manager Shell 또는 CLI

58. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved. AWS Systems Manager : Parameter Store 어플리케이션 공통 파라미터 중앙 관리, 민감한 정보 암호화 및 Access Control EC2 IAM Role Parameter Store Name /summit2019/demo/Password Value AWS Key Management Service 암호화 요청 PASSWORD!!! 암호화 후 저장 /summit2019/demo/Password 복호화 요청 복호화 PASSWORD!!! Amazon Elastic Container Servic (ECS) IAM Role AWS Lambda IAM Role

63. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved. Infrastructure provisioning Configuration management Governance & compliance Monitoring & performance Resource optimization AWS Management Services

64. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved. Next Step • AWS Management Tool Blog https://aws.amazon.com/ko/blogs/mt/ • Systems Manager Github https://github.com/awslabs/aws-systems-manager • AWS Config Rules Github https://github.com/awslabs/aws-config-rdk • AWS Well-Architected https://aws.amazon.com/ko/architecture/well-architected/?nc1=h_ls • Architecting for the cloud https://d1.awsstatic.com/whitepapers/AWS_Cloud_Best_Practices.pdf

클라우드 네이티브 환경에 맞는 IT 운영 원칙과 모범사례 - 권신중 솔루션즈 아키텍트, AWS :: AWS Summit Seoul 2019

You are reading a preview.

Check these out next

클라우드 네이티브 환경에 맞는 IT 운영 원칙과 모범사례 - 권신중 솔루션즈 아키텍트, AWS :: AWS Summit Seoul 2019

More Related Content

Slideshows for you (20)

Similar to 클라우드 네이티브 환경에 맞는 IT 운영 원칙과 모범사례 - 권신중 솔루션즈 아키텍트, AWS :: AWS Summit Seoul 2019 (20)

More from Amazon Web Services Korea (20)

Recently uploaded (20)