ISFJ 개발자의 이야기

RDS Healthcheck Disaster Recovery

이번 글에서는 AWS RDS를 Multi-Region 구조로 구성하여 고가용성을 확보하는 방법에 대해 정리해보겠습니다.단일 리전에 RDS를 구성할 경우, 해당 리전에 장애가 발생하면 데이터베이스에 접근할 수 없게 되는 치명적인 문제가 발생할 수 있습니다. 이러한 리전 단위 장애(Region Failure)에 대비하기 위해, RDS를 서로 다른 리전에 구성하고 장애 발생 시 자동으로 다른 리전의 RDS로 트래픽을 전환하는 Disaster Recovery(재해 복구) 아키텍처를 설계해보겠습니다. 구축 방안우선 아래의 Github 링크를 통해 인프라를 테라폼을 이용해 구성해야 합니다.https://github.com/learning-wlstmd/db-health GitHub - learning-wlstmd/d..

AWS EC2 Fail2ban

이번 블로그에서는 리눅스에서 주로 보안을 강화하기 위해 사용되는 도구인 Fail2ban을 AWS EC2에 적용하는 글을 작성해보겠습니다. Fail2ban 개념Fail2ban은 리눅스에서 주로 보안을 강화하기 위해 사용되는 도구입니다. 서버에 대한 무차별 공격을 방어하기 위해 개발된 이 도구는 주로 SSH와 같은 네트워크 서비스에 적용됩니다. 로그 파일을 모니터링하여 특정 IP에서 지속적으로 실패한 로그인 시도를 감지하고, 일정한 규칙에 따라 해당 IP를 자동으로 차단하는 역할을 합니다. 또한 Fail2ban은 iptables와 연동하여 IP를 차단하고, 차단된 IP는 일정 시간이 지나면 자동으로 해제될 수 있습니다. 구축 방안먼저 AWS EC2에 SSH로 접속해 아래의 명령어로 필요한 패키지들을 설치 및..

이번 블로그에서는 DNS 스푸핑 등 여러가지 DNS공격을 막기위한 장치인 Route53 DNSSEC에 대한 글을 작성해보겠습니다. DNSSEC의 필요성공격자는 DNS 쿼리를 가로채고 인터넷 엔드포인트의 실제 IP 주소 대신 자신의 IP 주소를 DNS 해석기로 반환하여 웹 서버와 같은 인터넷 엔드포인트로 전송되는 트래픽을 가로챕니다. 그러면 사용자는 공격자가 웹 사이트를 위조하기 위해 스푸핑한 응답의 IP 주소로 라우팅됩니다. DNS 트래픽을 보호하는 프로토콜인 DNSSEC(Domain Name System Security Extensions)를 구성하여 DNS 스푸핑 또는 메시지 가로채기(man-in-the-middle) 공격으로 알려진 이러한 유형의 공격으로부터 도메인을 보호할 수 있습니다. 구축 방안..

이번 블로그에서는 Kubernetes 클러스터에서 네트워크 정책과 보안을 제공하는 네트워크 플러그인 Calico에 대한 글을 작성해보겠습니다. Calico 개념Calico는 컨테이너와 가상 머신을 위한 네트워킹 솔루션입니다. 즉 여러 컴퓨터나 서버에서 실행되는 애플리케이션들이 서로 안전하고 효율적으로 통신할 수 있도록 도와주는 도구라고 생각하시면 될 것 같습니다. Calico는 아래의 주요 특징을 가지고 있습니다.다양한 환경 지원 : Kubernetes, OpenShift 등 여러 플랫폼에서 사용할 수 있습니다.빠른 성능 : 최신 기술(eBPF)이나 기존 리눅스 네트워킹을 사용해 빠른 속도를 제공합니다.일관된 사용 경험 : 클라우드에서든 회사 내부 서버에서든, 작은 규모에서든 큰 규모에서든 동일한 방식으..

이번 블로그에서는 KEDA의 개념과 Event Driven AutoScaling을 구현하는 글을 작성해보겠습니다. KEDA의 개요Kubernetes 기본 오토스케일링인 HPA(Horizontal Pod Autoscaler)는 CPU/메모리 기반 스케일링에는 최적이지만, 다음과 같은 한계를 가지고 있습니다.Scale-to-Zero 적용에 어려움을 겪습니다. 즉 Pod를 0개로 줄일 수 없으며 비용 최적화에 불리합니다.지표가 실제 서비스 부하 원인과 간접적입니다. 즉 HPA는 부하가 생긴 결과로써 대응을 하기 때문에 트래픽 처리에 대한 대응이 늦을 수 있습니다.외부 이벤트 소스(메시지 큐, 스트림 등)를 스케일링 기준으로 삼기 복잡합니다. 그러므로 이런 문제를 해결하기 위해 등장하게 된 것이 바로 KEDA..

이번 블로그에서는 Route53 DNS Query Logging에 대한 글을 작성해보겠습니다. DNS Query Log란?내가 소유한 DNS에 누군가가 보안침해 시도를 할때에 DNS 쿼리 로그를 검출하여 분석하고 파악할 때 사용 되는 로그입니다.로그 정보Route53 DNS 쿼리 로그에서 아래의 정보를 확인할 수 있습니다.요청한 도메인 또는 하위 도메인요청 날짜 및 시간DNS 레코드 유형(A, AAAA 등)DNS 쿼리에 응답하는 Route 53 엣지 위치DNS 응답 코드 구축 방안Route53 DNS Query Logging은 Public Domain으로만 생성할 수 있습니다.먼저 Route53의 Public Hosted Zone을 생성해줍니다.다음으로 Configure query logging을 선택해..

이번 블로그에서는 EC2 Connect Endpoint에 대한 개념 및 구축방법을 소개하는 글을 작성해보겠습니다. EC2 Connect Endpoint 개념EC2 Instance Connect Endpoint는 결국 VPC Endpoint입니다. 이를 생성하게 되면 VPC 내부에 ENI가 생기게 되며 해당 ENI를 통해 Private Subnet에 22(SSH) 접속을 하게되는 원리입니다.EC2 Connect Endpoint의 제한사항EC2 Connect Endpoint는 다음과 같은 제한사항을 가지고 있습니다.포트는 22 및 3389 포트만 지원됩니다.Ipv6주소를 지원하는 인스턴스 연결을 지원하지 않습니다.클라이언트 Ip 보존이 활성화되면 연결할 인스턴스는 EC2 Connect Endpoint와 동일..

NodeLocal DNSCache는 클러스터 노드에서 DaemonSet으로 DNS 캐싱 에이전트를 실행하여 클러스터 DNS 성능을 향상시키는 역할을 합니다. Install NodeLocalDNSwget https://github.com/kubernetes/kubernetes/raw/master/cluster/addons/dns/nodelocaldns/nodelocaldns.yamlkubedns=`kubectl get svc kube-dns -n kube-system -o jsonpath={.spec.clusterIP}`domain='cluster.local' ## default 값localdns='169.254.20.10' ## default 값sed -i "s/__PILLAR__LOCAL__D..

이번 블로그에서는 Event Bridge를 이용해서 ECR의 새로운 Image가 Push 될 경우 서버의 새로운 ECR Image를 실행되게하는 아키텍처 글을 작성해보려 합니다.아키텍처는 아래와 같이 구성됩니다. Event Bridge를 이용해 ECR Image Push를 감지하는 아키텍처를 구성하기 위해서는 아래의 순서를 따라야합니다. 1. ECR 생성2. EC2 Server 생성3. IAM 구성4. Event Bridge 생성 ECR 생성아래의 명령어를 이용해서 Image 저장소인 ECR Repository를 생성해줍니다.aws ecr create-repository \ --repository-name skills-app EC2 Server 생성다음으로 아래의 UserData를 갖도록 하는 E..

이번 블로그에서는 CNCF 프로젝트 중 하나이며 쿠버네티스 클러스터에서 인프라, 서비스 및 애플리케이션을 직접 관리할 수 있도록 쿠버네티스를 확장하는 오픈소스 쿠버네티스 애드온인 Cross Plane을 EKS 상에서 구축하는 글을 작성해보려 합니다.아키텍처는 아래와 같이 구성됩니다. EKS 상에서 Cross Plane을 구성하기 위해서는 아래의 순서를 따라야 합니다. 1. EKS Cluster 구성2. Helm을 이용해 Cross Plane 설치 및 구성3. EKS IRSA 구성4. Cross Plane을 이용해 DynamoDB Resource 구성 EKS Cluster가 생성되어있다는 전제로 진행합니다. Helm을 이용해 Cross Plane 설치 및 구성우선 Helm을 이용해서 Cross Plane..