VPN Direct Connect & Direct Connect Gateway, Transit Gateway (유일한 multicast 지원)

잘 보면, AWS Direct Connect Location이 따로 있다. 그 말인 즉슨, 전용선을 끌어다 쓸 때는, 그냥 선만 있는게 아니라 그 선을 관리하는 컴퓨팅 리소스가 있어야한다는 뜻일거같음. 뭐 당연하겠지만... 일종의 Direct Connect만을 위한 데이터 센터가 있나보다. VPN Direct Connect는 기본적으로 private이긴 하지만 encryption이 안된다. 그래서 전송간 encryption를 하고 싶으면, VPN을 해서 IPSEC등을 이용해서 암호화를 해야한다. 최대로 Resiliency를 구현하려면, 하나의 location에 2개의 connection을 두면 된다. (total 4개) Direct Connect도 Hosted와 Dedicated 두 개가 있구나... D..

AWS VPN CloudHub

1) CGW에서 VGW에 VPN 연결하고 2) Dynamic routing 설정하고 3) Route table 설정하면 된다. 그러면 고객 온프렘 네트워크끼리 통신이 된다. (물론 인터넷을 거쳐서 가겠지만)

VPC Flow Logs

VPC Endpoint

이걸 왜 써? Serverless 서비스의 경우, AWS가 소유한 VPC에 리소스가 위치한다. 그러니까 아마존 글로벌 인프라스트럭처 내에 존재하니깐 Internet을 거치지 않고, 밑단 네트워크를 보면 VPC - VPC 연결이 되는거다. 그런데 AWS가 소유한 VPC는 사용자에게 보이면 안되니까 VPC Endpoint라는 이름으로 서비스를 만든 것 같다. (추정) Interface Endpoints는 모든 경우에 다 쓸 수 있고, Gateway Endpoints는 S3나 DynamoDB의 경우에 쓸 수 있다. 그럼 S3와 DynamoDB에 Interface Endpoints를 쓰는 경우도 있어? 1) 온프레미스에서 연결을하거나 2) 다른 VPC 혹은 다른 Region에서 연결을 할 때 쓴다.

Key (SSE, CSE)

https://m.blog.naver.com/PostView.naver?isHttpsRedirect=true&blogId=ijoos&logNo=221564391066 S3 server side client side encryption 데이터 보호를 위해서 S3에서 추가해줄 수 있는 보안요소는 (트랜잭션에 대한 보안을 제외하고) 두가지가 ... blog.naver.com 그니까... TLS로 전송할 때 보안을 확보하고 (in transit) SSE/CSE로 보관할 때 보안을 확보한다. (at rest) KMS Access Control List -> 오답 KMS IAM Policy -> 오답 KMS Key Policies -> 정답.. KMS Key Policy 안에 IAM Policy가 있는 것 같은데...

Anycast IP

https://tech.kakao.com/2014/05/29/anycast/ kakao의 Anycast 활용 사례 Overview 네트워크 기술 하나 중 Anycast 는 DNS 서비스에서 주로 사용하고 있지만 KAKAO는 Anycast 기술을 확장하여 여러가지 어플리케이션 서비스에 사용되고 있습니다. 특히 서버에서 Quagga 오픈소스를 tech.kakao.com Anycast의 장단점 장점은 L4/L7 같은 로드 밸런싱 장비가 필요 없는점: 글로벌 POP에 서버 가용성 및 성능 로드 발란싱을 위해서 비싼 L4/L7장비를 내보내지 않아도 됩니다. 라우터 + 서버로만 동작. LVS 등 서버 로드 밸런싱 기법이 있지만 구성을 위한 추가 서버가 필요하게 되므로 결론적으로 서버 대수를 줄일 수 있습니다. 너무..