10탄- 보안 그룹을 이용한 ECS보안 강화

ECS를 이용한 서비스를 하자.

ECS는 테스크 새작업 정의 , 클러스터 , 서비스 3개를 만들어야 한다.

요건

Private망은 인터넷이 안되어야 한다.

NAT를 통해서도 인터넷이 안되어야 한다.

NAT를 통해 데이터가 유출될 수 있다.

Private Subnet에 있는 ECS가 인터넷이 안되더라도 서비스가 되도록 하자

엔드포인트를 이용해 ECS 가 서비스가 되도록 한다.

보안 그룹을 통해 ECS에서 통신해야만 하는 부분만 허용하자.

< EC2 기반 구축 >

<1> 도커 이미지 준비 , ECR에 올리기

<2> 작업 정의 등록 - EC2

<3> 클러스터 생성 - EC2 Linux+ 네트워킹 구성

<4> 서비스 생성과 LB 만들기

<5> 제약조건

<6> ECS 모니터링

< FARGATE 기반 구축>

<1> 새 작업 정의 - FARGATE

<2> 서비스 생성 - FARGATE

<3> 클러스터 생성 - 네트워크 전용 구성

<4> 엔드포인트 설정으로 내부 통신하자

<5> 보안 그룹 아웃바운드 제어는 ECS 보안 그룹에서 통신해야 할 모든 서비스를 허용해야 한다.

<6> 제약 조건

<7> ECS 모니터링

< EC2 기반 >

<1> 도커 이미지 준비 , ECR에 올리기

1

아마존 리눅스 하나 설치

2

도커 이미지 만들기, ECR에 올리기

https://docs.aws.amazon.com/ko_kr/AmazonECS/latest/developerguide/docker-basics.html

Amazon ECS의 Docker 기본 사항 - Amazon Elastic Container Service

인스턴스에 로그인

$ sudo su -

sudo yum update -y

sudo amazon-linux-extras install docker -y

sudo yum install docker

sudo service docker start

sudo usermod -a -G docker ec2-user

docker info

touch Dockerfile

// Dockerfile 내용

FROM ubuntu:18.04

# Install dependencies

RUN apt-get update && \

apt-get -y install apache2

# Install apache and write hello world message

RUN echo 'Hello World!' > /var/www/html/index.html

# Configure apache

RUN echo '. /etc/apache2/envvars' > /root/run_apache.sh && \

echo 'mkdir -p /var/run/apache2' >> /root/run_apache.sh && \

echo 'mkdir -p /var/lock/apache2' >> /root/run_apache.sh && \

echo '/usr/sbin/apache2 -D FOREGROUND' >> /root/run_apache.sh && \

chmod 755 /root/run_apache.sh

EXPOSE 80

CMD /root/run_apache.sh

docker build -t hello-world .

docker images --filter reference=hello-world

// 레파지토리 확인

3

// api 계정 생성하기

aws configure

4

aws ecr create-repository --repository-name hello-repository --region us-east-2

// aws ecr create-repository --repository-name hello-repository --region region

// us-east-2로 한다.

docker tag hello-world 99999999.dkr.ecr.us-east-2.amazonaws.com/hello-repository

//docker tag hello-world aws_account_id.dkr.ecr.region.amazonaws.com/hello-repository

5

인증

aws ecr get-login-password --region us-east-2 | docker login --username AWS --password-stdin 999999999.dkr.ecr.us-east-2.amazonaws.com

// aws ecr get-login-password --region region | docker login --username AWS --password-stdin aws_account_id.dkr.ecr.region.amazonaws.com

// Login Succeeded

https://docs.aws.amazon.com/AmazonECR/latest/userguide/Registries.html#registry_auth

Amazon ECR registries - Amazon ECR

6

docker push 99999999999.dkr.ecr.us-east-2.amazonaws.com/hello-repository

// docker push aws_account_id.dkr.ecr.region.amazonaws.com/hello-repository

<2> 작업 정의 등록 - EC2

Task definition

1

ECS > 새 작업 정의를 한다. Task definition > EC2 > 맨아래 Configure via JSON

JSON 파일로 한 번에 만들기

10 ecs-ec2.txt

https://docs.aws.amazon.com/ko_kr/AmazonECS/latest/developerguide/getting-started-ecs-ec2.html

Amazon EC2를 사용하여 Amazon ECS 시작하기 - Amazon Elastic Container Service

or

1

수동으로 만들기

2

새 작업 정의를 한다.

네트워크 모드는 3가지 선택 가능

브리지, 호스트, AWS VPC

<3> 클러스터 생성 - EC2 Linux + 네트워킹 구성

1

VPC를 사용하는 구성이다.

EC2 인스턴스가 생성된다.

AWS > EC2 가면 서버가 있다.

AWS에 EC2가 없다면 클러스터 생성 - 네트워크 전용 구성이다.

클러스터 생성하면 EC2에 아래에서 만든 EC2 인스턴스가 있다.

2

회사에서 제공한 AWS VPC를 선택하자.

서비스용이면 절대 새로 만들지 않는다.

회사에서 제공하는 VPC를 사용해야 관리가 된다.

<4> 서비스 생성과 LB 만들기

1

서비스 2개 만들자.

ECS > Clusters > 해당 클러스터 클릭 > Services 탭 > Create

2

EC2로 서비스 구성하자

서비스 이름과 작업 개수를 지정해야 한다.!!!

3

생성시 LB를 만든다.

EC2기반

LB 에 타켓도 등록해야 한다.

LB DNS이름으로 접속 확인한다.

4

만든 서비스 확인

ECS > Clusters

EC2로 만든 서비스 2개가 보인다.

4

서비스 확인

ECS > Cluster > 해당 클릭 Cluster > Services

Launch type 확인 => 서비스가 EC2로 돌아가는지 FARGATE로 돌아가는지 확인 가능하다.

< FARGATE 기반>

<1> 새 작업 정의 - FARGATE

1

새 작업 정의하기

Jason으로 한 번에 만든다.

20 ecs-far.txt

https://docs.aws.amazon.com/ko_kr/AmazonECS/latest/developerguide/AWS_Fargate.html

Amazon ECS 에 AWS Fargate - Amazon Elastic Container Service

https://docs.aws.amazon.com/ko_kr/AmazonECS/latest/developerguide/getting-started-fargate.html

Fargate를 사용하여 Amazon ECS 시작하기 - Amazon Elastic Container Service

또는

하나씩 수동으로 만든다.

FARGATE는 네트워크 모드가 무조건 AWS VPC이다.

<2> 서비스 생성 - FARGATE

서비스 만들자

1

서비스 확인

Clusters > 해당 클러스터 클릭 > Services

Launch type 확인 => 서비스가 EC2로 돌아가는지, FARGATE로 돌아가는지 확인 가능하다.

<3> 클러스터 생성 - 네트워크 전용 구성

VPC는 선택사항이다.

중간에 VPC를 만들 수 있다.

회사에서는 따로 만들지 않도록 한다. 왜냐하면 회사들은 IP 블록이 중복되지 않도록 관리하고 있다.

아무 IP 블록의 VPC 만들면 통신이 되지 않는다.

2

네트워크 전용 구성 완료

<4> 엔드포인트 설정으로 내부 통신하자

1

잡아야 할 엔드포인트 --- 서비스

s3

monitoring - cloudwatch

logs - cloudwatch logs

ecr.dkr

ecr.api

ecs

ecs-agent

ecs-telemetry

kms

2

보안 그룹 설정?

인바운드, 아웃바운드 모두 허용

<5> 보안 그룹 아웃바운드 제어는 ECS 보안 그룹에서 통신해야 할 모든 서비스를 허용해야 한다.

1

보안 그룹 설정 시

보안 그룹은 기본 모두 차단이다, 그래서 모두 허용해야 한다.

2

보안 그룹 아웃바운드 제어해서 데이터 유출을 차단하자!!!

S3는 Prefix list로 허용할 수 있다. Pl-xxxxxxxxxxx

보안 그룹에 대해 허용할 수 있다. sg-xxxxxxxxxxxxx

접속해야 할 ip 블록 단위로 허용할 수 있다. ip /32

3

실제 작업

ECR, ECS, 모니터링 시스템으로 나가는 쪽과 통신해야 한다. 해당 보안 그룹을 허용한다. sg-xxxxxxxxxxxxx

DB로 접속해야 한다. sg-xxxxxxxxxxxxx

연동된 내부 구간과 통신해야 한다. ip /32

4

대상

s3

monitoring - cloudwatch

logs - cloudwatch logs

ecr.dkr

ecr.api

ecs

ecs-agent

ecs-telemetry

kms

https://medium.com/@ravi.aakula/deploying-asp-net-core-microservices-in-aws-ecs-using-fargate-p art-ii-d03108bdcfaa

Deploying Asp.net core Microservices in AWS ECS using Fargate -Part II

<6> 제약 조건

엔드포인트가 없는 서비스는 외부통신 필요

Ecr대신 마켓플레이스에서 가져다 사용하는 경우 외부와 통신 필요

배치 서비스는 외부와 https통신 필요.

<7> ECS 모니터링

https://docs.aws.amazon.com/ko_kr/AmazonECS/latest/developerguide/monitoring-automated-manual.html

모니터링 도구 - Amazon Elastic Container Service

추가 공부 자료

https://brunch.co.kr/@topasvga/1629

3. AWS ECS 시작하기 3/4

감사합니다.