rygus 님의 블로그

안녕하세요. 오늘은 AWS Lightsail을 이용하여 간단하게 OpenClaw를 배포하는 방법에 대해 알아보겠습니다. # Lightsail 이란? Amazon Lightsail은 인스턴스, 컨테이너, 스토리지, 데이터베이스 등을 월별 고정 가격으로 제공하는 사용하기 쉬운 가상 프라이빗 서버(VPS) 서비스입니다. 주요 특징 및 장점클라우드 입문 최적화: 복잡한 설정 없이 간단한 웹 어플리케이션 및 웹사이트를 즉시 배포 가능비용 예측 가능: 리소스 사용량에 관계없이 매달 고정된 요금이 청구되어 예산 관리가 용이단점수동 및 자동 확장이 EC2에 비해 매우 제한적임모든 EC2 타입을 사용할 수 없음인스턴스 타입 변경 불가능Reserved Instances / Savings Plan 등 사용 불가능즉, Li..

안녕하세요. 오늘은 AWS EBS를 활용해서 EKS 환경에 PV(Persistent Volume)를동적 프로비저닝(Dynamic Provisioning)하는 방법을 알아보겠습니다. 본격적인 PV 배포 실습에 앞서, 이를 위해 꼭 알아두어야 할 핵심 개념인 'EBS CSI Driver'와 'EKS Pod Identity Agent'에 대해 먼저 짚고 넘어가겠습니다.# EBS CSI DriverPVC를 Pod에 할당하려면 PV 역할을 할 EBS 볼륨이 필요합니다.저희는 이 과정을 자동화하는 '동적 프로비저닝(Dynamic Provisioning)' 방식을 사용할 것입니다.이때 EKS가 우리 대신 AWS API를 호출해 EBS를 만들고 실제 노드에 볼륨을 마운트하는 과정이 필요합니다. 이 역할을 대신하는 ..

안녕하세요. 오늘은 EKS의 VPC CNI에 대해 알아보겠습니다. # VPC CNI 란? Amazon VPC CNI는 EKS(Amazon Elastic Kubernetes Service) 클러스터에서Pod의 네트워킹을 담당하는 기본 플러그인입니다.가장 큰 특징은 파드가 VPC의 실제 IP 주소를 직접 할당받는다는 점입니다.다른 쿠버네티스 CNI(예: Calico, Flannel)가 오버레이 네트워크(Overlay Network, VXLAN/IP-in-IP 등)를 사용하여 캡슐화 통신을 하는 것과 달리, VPC CNI는 AWS의 VPC 네트워크 인프라에 파드를 직접 편입시킵니다. # VPC CNI의 IP 할당 과정1. Primary ENI 에서 찾기Pod가 생성되면 가장 먼저 Primary ENI를 확인..

안녕하세요. 오늘은 EKS에서 AWS LoadBalancer Controller를 통해 Ingress를 배포하겠습니다. # AWS LoadBalancer Controller 란?AWS LoadBalancer Controller는 EKS 내에서 AWS의 Elastic Load Balancing(ELB) 리소스를 관리하는 컨트롤러입니다.특정 리소스 이벤트가 발생하면 AWS API를 호출하여 로드 밸런서를 프로비저닝하거나 구성합니다. 기존 Ingress Controller와의 차이 1. Nginx Ingress Controller트래픽 처리 : 로드 밸런서가 클러스터 내부의 Pod(Nginx)로 트래픽을 보내고, Nginx Pod가 다시 애플리케이션 Pod로 라우팅 (Hop이 한 번 더 발생)LoadBala..

안녕하세요.오늘은 AWS의 대표적인 서비스 ALB와 NLB 차이점에 대해 알아보겠습니다. # ALB의 통신 방식ALB는 7계층 로드밸런서로 `Reverse Proxy` 방식으로 동작하여 클라이언트와 Target 간에 별도의 TCP 세션을 맺습니다. 리버스 프록시는 클라이언트를 대신해 백엔드 서버로 요청을 전달하고 응답을 받아 되돌려주는 중간 서버입니다. Client와 ALB 간 1개, ALB 백엔드 서버 간 1개 하여 총 2개의 세션이 만들어집니다. Client ↔ ALB (세션)ALB ↔ WEB 서버 (세션)위 그림과 같이 두 개의 세션이 생성되게 됩니다. 1) Client → ALBSrc : Client IPDst : ALB IP Protocol : Http 2) ALB → EC2 백엔드 Src : ..

안녕하세요.오늘은 보안그룹과 NACL의 차이점에 대해 알아보겠습니다. # "보안그룹"이란?보안그룹은 방화벽의 역할을 하는 AWS 서비스입니다. 특징Deny는 불가능화이트 리스트 기반한 개의 EC2에는 반드시 하나 이상의 보안그룹이 필요Stateful 방식이다보안그룹의 위치는 서브넷 안 EC2 앞단에 위치하게 된다앞으로 말씀드릴 NACL과의 차이점 중에 가장 큰 차이점이 Stateful이냐 Stateless냐 입니다.stateful은 상태 저장 방식으로 트래픽의 상태를 저장하는 것입니다. EC2 A에서 EC2 B로 SSH 통신을 한다고 가정해보겠습니다. EC2 B의 보안그룹 인바운드 룰에는 EC2 A 대역에서 들어오는 SSH 통신을 허용한다는 규칙이 있습니다.그러나 아웃바운드룰에는 아무것도 없습니다. 이때..

안녕하세요.오늘은 AWS의 ENI에 대해 알아보겠습니다. # ENI 란? ENI란 Elastic Network Interface의 약자로 EC2 인스턴스가 네트워크에 연결되기 위해 사용하는 가상 네트워크 어댑터(Virtual NIC) 입니다. 또한 ENI는 Private IP와 MAC 주소를 가지고 있으며 Public IP를 붙일 수도 있습니다. 그렇다고 ENI가 단순한 NIC는 아닙니다. AWS에서 ENI는 EC2의 네트워크를 정의하는 논리적 단위입니다.즉, EC2 인스턴스가 어떤 서브넷에 속할지, 어떤 보안그룹 규칙을 적용받을지,그리고 어떤 라우팅 테이블을 따라 외부와 통신할지가 모두 ENI 단위에서 결정됩니다. 저희가 네트워크 아키텍쳐를 표현할 때 흔히들 서브넷 내부에 EC2를 표현하고는 합니다..

안녕하세요. 오늘은 Azure 클라우드에서 구축한 아키텍쳐를 AWS 클라우드에서 배포했을 때 차이점과 신경써야할 부분에 대해 포스팅해보겠습니다.# Azure위 그림은 Azure 클라우드에서 구현한 Hub & Spoke 아키텍쳐로 최상단에 Application Gateway가 있고 백엔드의 서비스는 각 AKS 의 Ingress-Controller로 배포되어 있습니다. Application Gateway로 트래픽이 들어오면 호스트 헤더 기반으로 각 Ingress Controller로 로드밸런싱됩니다.AGW와 백엔드 중간에 Azure Firewall를 두어 패킷 검사를 진행해야 하기 때문에 서브넷에는 UDR을 설정하여 패킷이 방화벽을 통과하게 합니다. (*참고로 Azure Firewall에는 X-Forward..

안녕하세요.오늘은 AWS에서 모든 리소스를 한 번에 삭제하는 방법을 소개해 드리고자 합니다. # AWS Nuke 란? 오픈소스 서비스로 AWS 계정에서 삭제 가능한 모든 리소스를 제거하는 툴입니다.저는 주로 테스트 환경 구성 후 비용 발생 방지를 위해 사용하는데요. 정말 모든 리소스를 삭제하기 때문에 실제 라이브 환경에서는 사용하지 않으시는 걸 강력히 권장드립니다. # 사용 방법앞서 말씀드린 대로 굉장히 위험한 오픈소스기 때문에 여러 안전장치들이 존재하는데요.`--no-dry-run` 옵션이 있어야 실제 리소스 삭제 가능AWS 계정에 Alias가 없을 경우 사용 불가능 반드시 하나 이상의 Block Account ID 명시 필요리소스 삭제할 Account ID도 반드시 명시config 파일 필요앞서 말씀..

안녕하세요. 오늘은 Transit Gateway와 Network Firewall를 이용하여 Hub and Spoke 환경을 구성해 보겠습니다. # Transit GatewayTransit Gateway(TGW)는 여러 VPC와 온프레미스 네트워크를 하나의 중앙 허브처럼 연결해주는 네트워크 서비스입니다.저희는 각 VPC를 TGW를 이용하여 연결하고 모든 통신이 AWS Network Firewall를 통해서 이루어지게 하겠습니다. VPC에서 `transit gateway`를 선택하여 "생성"을 클릭합니다.이름을 설정합니다. 각 구성에 대해 설명드리자면 DNS 지원: Transit Gateway를 통해 연결된 네트워크(예: VPC, VPN, Direct Connect)에서도 Route 53 등 AWS DN..