AWS_oz

---

📖 AWS

---

• Infrastructure(기반) : ( 하드웨어, 인터넷망, SoftWare, Security ) Data Center
  • Network :
  • DB
  • sys
  • circit
  • os

---

📌 용어

---

• 논리적,개념적,Logical : 실제로 그런것이 아니라 가령
• 물리적,Physical : 실제로 그런거
• TCP(Transmission Control Protocol) : 연결기반 통신 , 신뢰할 수 있는 통신, 연결이 끊어지면 데이터를 안보냄 (youtube video : 끊김), 신뢰성이 더 중요하면
  • 3-way Handshake(연결 설정) : TCP는 연결 지향적인 프로토콜, 데이터를 전송하기 전에 클라이언트와 서버간에 연결을 설정해야함, 이 과정에서 사용되는 것이 3-way-Handshake ,3번의 메세지를 통해
    1. SYN(Synchronize) : 클라이언트가 서버에 연결 요청을 보내는 단계, 클라이언트 -> 서버 :SYN(seq = x)
    2. SYN-ACK : 서버는 클라이언트의 연결 요청을 수락하고 응답, 서버는 클라이언트의 SYN 요청에 대한 ACK 응답을 보냄, 자신의 시퀀스 번호도 포함하여 보냄 SYN(seq = y),ACK((ack=x+1)
    3. ACK(Acknowledge) : 클라이언트는 서버의 SYN-ACK 패킷을 받으면, 서버의 시퀀스 번호를 받으며 ACK 응답을 보내며 연결을 확립 ACK(ack=y+1)
  • 4-way Handshake(연결 종료) : 연결종료시 사용, 연결을 종료하려는 측이 FIN 플래그를 사용하여 세션을 정상적으로 종료하는 절차,4번의 메시지
    1. FIN(finsih) : 요청, FIN플래그를 설정한 패킷을 서버에 보내며 , 종료를 요청(seq = a)
    2. ACK 패킷을 보내며 응답 , 자신의 시퀀스 번호를 증가시키고 확은 응답을 보냄 ACK(ack = a+1)
    3. FIN 요청 : 서버도 데이터 전송을 마친 후, FIN 요청을 클라이언트에 보냄. 서버도 FIN플래그 패킷 전송,FIN(seq = b)
    4. ACK 응답 : 서버의 종료 요청을 확인 ACK 응답을 보내며 영ㄴ결 종료 ,ACK(ack = b+1)
• UDP(User datagram protocoal) : 비연결기반 통신, 신뢰할 수 없는 통신, 클라가 받는지 안받는지 모르는데 우선 게속 보내는 것 (youtube live :framdrop 이 일어나도 그냥 게속 방영),실시간성 이 중요하면 사용
• HTML : hyper text markup language
• HTTPS : 암호화 된 ,보안,
  vs : 기본적으로 html 기반
• HTTP : 안된
• Router : 서로 다른 데이터 네트워크 간의 데이터를 전달하는 장치 , WAN(wide area) 에 연결하여 사용,ip주소 기반 데이터 전달
• switch : 동일한 네트워크 내에서 패킷 전송 , 2계층에서 작동 , mac 주소를 기반하여 프레임 전송, Lan(loac area) 내에서 사용
• ip(internet protocal) " CIDR (classless inter domain routing) : ip 주소 공간의 효율적 사용 , 세분화된 서브넷 마스크 사용 가능 비트단위
• 라운드 로빈 알고리즘 (RR)
• AZ : Region 내의 독립적이고 물리적으로 분리된 센터, 분리 이유 : 장애 발생시 시스템의 가용서 유지를 위해
• region : 여러개의 az들을 연결해 놓은곳
• Virtual Server : 물리적 서버 하드웨어를 가상화 기술을 사용하여 여러개의 독립적인 서버 인스턴스로 분할한 것,os 커널 공유
• host hardware(mac book) -> host operating system(max os) -> hypervisor(utm) -> guest os(linux) -> app(flask,django)
• Container Server : 운영체제 수준에서 가상화가 이루어짐,컨테이너는 호스트 운영 체제의 커널을 공유하며, 필요한 애플리케이션과 종속성만 포함합니다.,Docker, Kubernetes
• virtual <-> container 차이점 : virtual 은 새로운 환경을 통째로 만드는 것맥 os 를 만드는것 ,컨테이너 서버는 프로그램만 깔려있으면 알아서 실행
• Serverless : a cloud-based model for developing and running applications without managing servers
• EC2(elastic cloud computing) : 컴퓨터 한대
• 실습환경 정리
• AWS Routing : 네트워크 내에서 트래픽(데이터 패킷)이 올바른 목적으로 전달되도록 경로를 지정하고 관리하는 작업
  • 라우팅 테이블 : 트래픽이 어디로 전달되어야 하는지를 정의하는 규칙(라우트) 를 뫃아놓은 데이터베이스, 각서브넷은 하나의 라우팅 테이블에 연결됨
  • 라우트 : 특정 ip주소 범위에 대해 데이터를 어디로 보낼지를 지정한 규칙
    • 대상과 대상으로 가는 경로로 구성 ex : 대상 0.0.0.0/0(모든트래픽) ,대상경로 :인터넷 게이트웨이(IGW)
• SSH 키pair 을 이용한 ec2 생성 : ec2인스턴스에 보안을 강화하여 접속할 수 있도록 하는 인증 방식
  • 공개키 : ec2 인스턴스에 저장 aws가관리 사용자는 이를 볼 수 없음
  • 개인키 : 사용자가 소유, ec2 에 접속시 필요, 개인키는 생성시 다운로드받아 저장, 외부에 노출하지 않도록 주의
• Network ACL 이란? : vpc 에서 서브넷 수준에서 적용되는 방화벽,inbound,outbound 트래픽을 제어하는 역할
• NAT : 사설 ip 주소를 공인 ip 주소로 변환하여 외부와 통신하게 해줌
  - NAT게이트웨이 : 프라이빗 서브넷이 아웃바운드가 가능하게 함
  - 내부 네트워크에서 외부로의 연결 :

예를 들어, 집에서 여러 대의 컴퓨터가 인터넷에 연결되어 있다고 가정합시다. 각 컴퓨터는 사설 IP 주소를 가지고 있습니다(예: 192.168.x.x).
하지만 이들 컴퓨터는 공용 인터넷에 연결할 때 하나의 공인 IP 주소(예: 203.0.113.5)를 사용합니다.
NAT는 내부 네트워크에서 나가는 패킷의 사설 IP 주소를 공인 IP 주소로 변환하여, 외부 서버와 통신할 수 있게 만듭니다.
외부에서 내부로의 연결:

외부 서버는 NAT가 변환한 공인 IP 주소로만 응답합니다. NAT는 다시 그 응답을 내부 네트워크에 적합한 사설 IP 주소로 변환하여 올바른 내부 장치에 전달합니다.
예를 들어, 외부 서버가 응답을 보내면, NAT는 어떤 내부 장치(컴퓨터)로 응답을 전달해야 하는지 알기 위해 변환된 주소를 추적합니다.
예를 들어, 가정이나 기업 내에서 여러 대의 컴퓨터가 하나의 공인 IP 주소를 통해 인터넷에 접속하는 방식입니다,NAT는 로컬 네트워크의 프라이빗 IP 주소를 공인 IP 주소로 변환하거나 그 반대로 변환하여, 인터넷과 같은 공용 네트워크와의 통신을 가능하게 만듭니다.

• NAT 게이트웨이 : 프라이빗 서브넷에 있는 인스턴스가 인터넷과 통신할 수 있도로 지원, 외부에서 해당 인스턴스로 직접 접근할 수 없도록 설정
• IGW (인터넷게이트웨이) : VPC 내부의 리소스가 인터넷과 통신할 수 있도록 하는 역할, EC2인스턴스나 다른서비스가 외부 인터넷과의 양방향 통신을 가능하게 함(퍼블릿 서브넷의 리소스가)
• VPC 엔드포인트란? : 인터넷 게이트웨이나 NAT 게이트웨이를 거치지 않고 aws 서비스에 직접 연결 할 수 있도록 하는 서비스
• RR(라운드 로빈 알고리즘) : 서버마다 일정한 시간 간격으로 끊어 동작을 실행함 한 동작이 완료되지 못하면 멈췄다. 다시 해당 서버의 시간이 작용되면 그 작업을 마무리함
• stateful : 내 서버에서 나갔다 내서버로 돌아노는 통신 : Egress
• 보안그룹은 stateful L4 계층
• stateless : 각자의 서버에서 전달 하는 통신 : : Ingress, 인바운드, 아웃바운드 각자의 방화벽이 필요함
• Nacl 은 stateless L7 계층
• 5가지 상태를 표시하는 대표적인 숫자 약속
  • 1xx : Information
  • 2xx : Success
  • 3xx : Redirect
  • 4xx : Client Error (내가 잘못해서 발생하는 에러)
  • 5xx : Server Error
• 주요 사설 IP 주소 범위:
  • 10.0.0.0 ~ 10.255.255.255 (/8, 대규모 네트워크)
  • 172.16.0.0 ~ 172.31.255.255 (/12, 중규모 네트워크)
  • 192.168.0.0 ~ 192.168.255.255 (/16, 소규모 네트워크

📌 CIRD(classless inter-Domain Routing)

---

네트워크 정보를 여러개로 나누어진 Sub-Network들을 모두 나타낼 수 있는 하나의 Network 로 통합해서 보여주는 방법,/ <- 하나만으로 네트워크 범위를 추측 할 수 있음

• (선행) ip 클래서, 서브넷 마스크, 서브넷팅

  • A(3개의 옥텟),B(2개),C(1개) 클래스 <- 를 제외한 앞 옥텟은 네트워크 IP
  • 가장 첫번째 호스트 주소는 네트워크 자체를 칭함, 마지막 주소는 브로드캐스트용 주소 이 2개는 사용 불가(고정임)
    첫번째 주는 보통 라우터가 가져가게 됨

• 비효율적으로 낭비되는 ip를 막기 위해, 사용하는 네트워크 장치 수에 따라 효율적으로 사용 할 수 있는 Subnet

• 서브넷 마스크 : 네트워크 ID와 호스트 ID 구분하기 위한 목적 : 연속된 1과 연속된 0으로 구성

  • ex : 1111 1111. 1111 1111. 1111 1111. 0000 0000 = 255.255.255.0 (서브넷 마스크) 1 -> 네트워크 id 0 -> 호스트 id
  • 클래스 A : 255.0.0.0 (디폴트)
    클래스 B : 255.255.0.0
    클래스 C : 255.255.255.0

• prefix 표현을 통해 서브넷 마스크 보다 간소화해서 표현

  • 192.168.0.1/24 이라면 뒤에 /24 가 서브넷 마스크를 표현한 것
    • /24 : 32비트중 앞에서부터 차례대로 1의개수가 24개란 의미
    • 10.10.10.10/8 : A클래스
    • 172.16.1.10/16 : B클래스
    • 192.168.100.10/24 C클래스
    • 서브넷 정보를 알려주기위해 기존은 4B 가 필요했지만 6bit만 있으면 절달 가능해짐->리소스절약
  • 서브넷 분리 (반드시 크기가 큰 것 부터 나누기)
    1. 10.0.1.0/24 : 웹서버 (ip256)
    • 10.0.1.128/25 : 웹서버를 2개로 나누는것 (ip128)
    • 10.0.1.2/25
    2. 10.0.2.0.24 : 데이터베이스 서버 (ip 256개)
    3. 10.0.3.0.24 : 어플리케이션 서버 (ip 256개)
  • 서브넷 합치기(슈퍼네팅) /24 -> /23
  • 효과
    1. 웹서버가 10.0.1.0/24 에있으면 외부에서 10.0.1.0 ip로 접근 가능
    2. 데이터베이스 서버는 외부와 격리된 10.0.2.0/24 에 있어 웹서버만 데이터베이스와 통신
    3. 각 서브넷은 서로 다른 라우팅 테이블과 보안 규칙을 가질 수 있어, 관리와 보안이 간편

📌 AWS VPC

---

클라우드 환경에서 네트워크를 독립적이고 안전하게 관리하기 위해 만듬, 클라우드 내에서 격리된 네트워크 환경 생성

VPC 주요 기능

1. 네트워크 격리:
   • VPC는 AWS 클라우드 내에서 독립적인 네트워크를 구성할 수 있게 해줍니다. 이를 통해 각 VPC가 다른 VPC와 격리되어 보안상 안전한 환경을 유지할 수 있습니다.
2. 서브넷:
   • VPC 내에서는 네트워크를 서브넷(subnet)으로 나누어 관리할 수 있습니다. 서브넷은 VPC의 IP 주소 범위 내에서 더 작은 네트워크로 나뉘며, 각 서브넷은 퍼블릭 서브넷과 프라이빗 서브넷으로 분리할 수 있습니다.
     • 퍼블릭 서브넷: 인터넷과 연결된 서브넷입니다. 외부에서 접근이 가능합니다.
     • 프라이빗 서브넷: 인터넷과 직접 연결되지 않는 서브넷으로, 외부에서 직접 접근할 수 없습니다.
3. 라우팅 테이블:
   • 각 서브넷에는 라우팅 테이블을 지정할 수 있습니다. 라우팅 테이블은 VPC 내에서 데이터가 어디로 가야 할지를 결정하는 규칙을 정의합니다. 예를 들어, 인터넷과의 연결이 필요한 서브넷은 인터넷 게이트웨이로 연결될 수 있습니다.
4. 인터넷 게이트웨이:
   • VPC 내에 있는 퍼블릭 서브넷은 인터넷 게이트웨이를 통해 외부 인터넷과 연결할 수 있습니다. 인터넷 게이트웨이는 VPC의 퍼블릭 서브넷에서 외부와의 통신을 가능하게 해줍니다.
5. NAT (Network Address Translation):
   • NAT 게이트웨이나 NAT 인스턴스를 사용하여 프라이빗 서브넷에 있는 리소스들이 인터넷에 접근할 수 있게 할 수 있습니다. NAT는 외부에서의 직접 접근은 차단하면서, 내부 리소스가 외부와의 연결을 할 수 있도록 합니다.
6. 보안 그룹 (Security Group):
   • 보안 그룹은 VPC 내의 인스턴스(서버)에 대한 방화벽 역할을 합니다. 인바운드 및 아웃바운드 트래픽을 필터링하여, 허용된 IP와 포트에 대해서만 접근을 허용할 수 있습니다.
7. 네트워크 ACL (Access Control List):
   • 네트워크 ACL은 서브넷 레벨에서 인바운드 및 아웃바운드 트래픽을 제어하는 보안 계층입니다. 보안 그룹이 인스턴스 수준에서 트래픽을 제어하는 반면, ACL은 서브넷 수준에서 작동합니다.
8. VPC 피어링:
   • VPC 피어링은 서로 다른 VPC들 간에 통신을 허용하는 방식입니다. 이를 통해 동일한 리전 내에서 여러 VPC 간의 트래픽을 주고받을 수 있습니다.
9. VPN 연결:
   • VPC는 가상 사설망(VPN)을 통해 온프레미스 네트워크와 연결할 수 있습니다. 이를 통해 클라우드와 온프레미스 간에 안전한 연결을 유지할 수 있습니다.
10. Direct Connect:
    • AWS Direct Connect는 온프레미스 데이터 센터와 AWS 클라우드 간의 전용 네트워크 연결을 제공하는 서비스입니다. 이를 통해 보다 안정적이고 빠른 네트워크 연결을 유지할 수 있습니다.

📌 AWS subnet

---

vpc 안에서 ip 주소를 더 세분화 하여 자원을 논리적으로 분리하고 관리하기 위해 사용하는 네트워크 세그먼드, vpc 내에서 ip주소 범위를 나눠 리로스를 배치하는 작은 네트워크 단위

• iP주소 범위 분리
• 가용 영역과 연계
• 퍼블릭 서브넷과 프라이빗 서븐세
• 라우팅 테이블 기반 트래픽 관리
• 사용 이유 :
  1. 네트워크격리 : 퍼블릭,프라이빗 서브넷으로 분리 보안 강화
  2. 트래픽 관리 : 라우팅 테이블을 설정해 네트워크 트래픽 흐름을 세부적으로 제어
  3. 고가용성 설계 : 여러 가용 영역에 서브넷을 배치해 장애 발생 시에도 안정적인 서비스 운영 가능
  4. 리소스 분리 : 데이터베이스, 애플리케이션 서버, 웹 서버 등 역할에 따라 리소스를 적절한 서브넷에 배치

📌 OSI(Open Systems Interconnection) 7계층

---

데이터 통신 과정을 개의 계층으로 나눈 모델

1. 물리 계층 (Physical Layer), Ethernet, Wi-Fi

   • 역할: 실제 데이터 전송을 담당합니다. 전기적, 기계적 신호를 통해 데이터를 물리적으로 전송하는 계층입니다. 네트워크 케이블, 무선 신호, 비트 전송 등을 포함합니다.
   • 기능: 비트 단위로 데이터를 전송합니다. 예를 들어, Ethernet 케이블, 광섬유, 무선 네트워크 등이 이 계층에 해당합니다.

2. 데이터 링크 계층 (Data Link Layer), Ethernet, PPP

   • 역할: 물리 계층을 통해 전송되는 데이터를 올바르게 전달할 수 있도록 포맷하고 오류를 검사합니다.
   • 기능: 데이터 프레임을 생성하고, 오류 검사 및 수정, MAC 주소 기반의 주소 지정 등을 담당합니다. Ethernet, Wi-Fi, PPP(Point-to-Point Protocol) 등이 이 계층에 해당합니다.

3. 네트워크 계층 (Network Layer), IP, ICMP

   • 역할: 데이터가 다른 네트워크로 전달될 수 있도록 경로를 선택하고, 데이터를 패킷으로 포장하여 목적지까지 전송합니다.
   • 기능: 라우팅, IP 주소 지정, 패킷 포워딩 등을 담당합니다. 예를 들어, IP (Internet Protocol)가 이 계층의 대표적인 프로토콜입니다.

4. 전송 계층 (Transport Layer), TCP, UDP

   • 역할: 송신지와 수신지 간의 데이터 전송을 관리하고, 데이터의 오류 복구 및 흐름 제어를 수행합니다.
   • 기능: 신뢰성 있는 데이터 전송을 보장하고, 데이터를 세그먼트 단위로 나누어 전송합니다. TCP (Transmission Control Protocol)와 UDP (User Datagram Protocol)가 이 계층의 주요 프로토콜입니다.

5. 세션 계층 (Session Layer), RPC, NetBIOS

   • 역할: 두 시스템 간의 세션(연결)을 설정, 유지 및 종료하는 계층입니다.
   • 기능: 통신 세션을 설정하고, 관리하며, 세션이 끝날 때 종료합니다. 예를 들어, RPC (Remote Procedure Call)나 NetBIOS가 이 계층의 예입니다.

6. 표현 계층 (Presentation Layer), JPEG, SSL

   • 역할: 데이터를 시스템 간에 전달할 때, 데이터 형식 및 인코딩을 처리합니다. 이 계층은 데이터를 적절한 형식으로 변환하거나 압축, 암호화 등을 수행합니다.
   • 기능: 데이터의 형식 변환, 압축, 암호화 및 복호화 등을 처리합니다. 예를 들어, JPEG, GIF, SSL(Secure Sockets Layer) 등이 이 계층에서 동작합니다.

7. 응용 계층 (Application Layer), HTTP, FTP, DNS

   • 역할: 최종 사용자에게 직접적인 서비스를 제공합니다. 애플리케이션 간의 통신을 관리합니다.
   • 기능: 네트워크 서비스를 제공하며, 사용자가 직접 상호작용하는 계층입니다. HTTP, FTP, SMTP, DNS 등이 이 계층의 프로토콜입니다.

• 송신 측에서:
  1. 응용 계층 (Application Layer):
     • 사용자 요청(예: 웹 페이지 요청)을 처리합니다.
  2. 표현 계층 (Presentation Layer):
     • 데이터를 적절한 형식으로 변환하거나 압축/암호화합니다.
  3. 세션 계층 (Session Layer):
     • 응용 프로그램 간 세션을 설정하고 관리합니다.
  4. 전송 계층 (Transport Layer):
     • 데이터를 세그먼트로 나누고, 전송의 신뢰성을 보장합니다 (예: TCP로 세그먼트화).
  5. 네트워크 계층 (Network Layer):
     • 데이터가 목적지까지 올바르게 전달될 수 있도록 라우팅하고 IP 주소를 사용합니다.
  6. 데이터 링크 계층 (Data Link Layer):
     • 데이터를 프레임으로 변환하고, 오류 검출 및 수정 처리를 합니다.
  7. 물리 계층 (Physical Layer):
     • 데이터를 전기적/광학적 신호로 변환하여 물리적 매체를 통해 전송합니다.
• 수신 측에서: 데이터가 수신 측에 도달하면, 이 순서가 역순으로 적용됩니다.
  1. 물리 계층 (Physical Layer):
     • 물리적 매체에서 신호를 수신하여 1과 0의 디지털 신호로 변환합니다.
  2. 데이터 링크 계층 (Data Link Layer):
     • 받은 데이터를 프레임에서 처리하여 오류를 검사하고, 패킷을 재구성합니다.
  3. 네트워크 계층 (Network Layer):
     • IP 주소를 확인하고, 목적지에 맞게 데이터를 전달합니다.
  4. 전송 계층 (Transport Layer):
     • 세그먼트를 재조합하고, 신뢰성 있는 전송을 보장합니다.
  5. 세션 계층 (Session Layer):
     • 세션을 관리하고, 데이터를 응용 프로그램에 전달합니다.
  6. 표현 계층 (Presentation Layer):
     • 데이터를 사용자가 이해할 수 있는 형식으로 변환하거나 복호화합니다.
  7. 응용 계층 (Application Layer):
     • 최종적으로 응용 프로그램이 데이터를 처리하고, 사용자에게 필요한 정보를 제공합니다.
• 모든 계층이 동시에 작용 하는 것이 아니라, 데이터의 흐름에 따라 각 계틍이 역할을 분담하여 처리

---

Tip

---

• 겹치는 IP 경로가 있더라도 세부경로가 있으면 세부경로의 IP로 따라감
• private 서버가 바로 외부로 나가면 안되기에 public 서버에 중개기(NAT) 를 설치해서 퍼블릭 IP에 프라이빗 IP 에서 보내서 외부에 전달 가능 ,NAT(Network Access Translator)