금융권 등 온프라미스에서 클라우드로 전환 하는 기관이 많아졌습니다.
클라우드 전환에 도움이 되었으면 합니다.
클라우드 인프라 초기 셋업 법 공유합니다.
서비스가 1개가 아니므로 새 Account ID는 여러 개가 생기게 된다.
이것을 관리해야 한다.
파트너사가 AWS Organization을 비용 Master가 되고, 사용자는 Organization의 비용 Member로 구성한다.
비용만 통합하는 방법으로 사용하자.
새 Account ID를 만들고, 해당 Account ID에 파트너사 계정(Accessk-key)을 Readonly로 만들어주면
파트너사에서 Organization의 비용 연결 요청을 메일로 한다.
메일을 수락하면, AWS Organization 비용 Member가 된다.
비용 납부 프로세스 : 회사는 비용을 파트너사에게 납부한다.
이후, 비용을 파트너사가 AWS에 납부한다.
비용 관리를 따로 할 필요 없는 장점
AWS Organization을 만들고 , 새 Account ID를 Member로 구성한다.
Organization을 통해 비용을 통합 관리하는 것이다.
Organization 방법 2가지가 있는데 비용만 통합하는 방법과 비용과 관리를 통합하는 방법이 있다.
수동으로 새 Account ID를 만들고, 수동으로 Organization과 연결을 한다.
AWS AVM(Account Vanding Machine)을 사용해 새 계정 만들 때, 자동으로 Master계정에 비용이 연결되도록 한다.
https://aws.amazon.com/ko/solutions/implementations/aws-landing-zone/
계정이 적거나 바로 서비스를 해야 하는 경우 방법 1로 운영한다.
계정이 많아 지거나 , 체계 적인 관리를 해야 하면 방법 2를 통한 자동화 시스템을 구축하도록 하자.
단지, 시스템 구축 시간이 좀 걸린다.
회사 IP 블록 , 온프라미스 IDC IP 블록 , 공장 IP 블록 , 클라우드 IP 블록이 서로 중복되지 않아야 한다.
그래야 서로 연동이 가능하다.
이미 ip블록을 사용하고 있다면, 중복되지 않도록 클라우드 IP 블록을 미리 할당하도록 하자.
국내 서비스는 개발/비전 금법 서비스/전금법 서비스 3가지 정도로 나누면 될 거 같다.
국내 서비스용 블록
해외 서비스용 블록
개발용 IP 블록 정의
서비스용 비 전금법 IP 블록 정의
서비스용 전금법 IP 블록 정의 - 전자금융 거래법 IP 블록
별도의 시스템으로 관리하자.
보안팀과 공유 필수
보안팀과 공유 필수
ISMS-P 나 전자금융 거래법의 경우 3 티어 구조로 사용하면 이상이 없다.
안정성을 위해 2개 이상의 AZ를 사용하면 된다. - 증적 자료로 캡처해 제출해야 하므로 필수이다.
AWS의 경우는 보통 AZ-A. 와 AZ-C 2를 사용해 구축하도록 한다.
B와 D는 구형 EC2인 T2타입을 제공하지 않아 간혹 개발자의 문의가 온다.
AWS 콘솔 VPC에서 클릭 클릭해서 만든다.
AWS VPC 마법사를 사용하기도 한다.
CloudFormation으로 만든다.
Retain 옵션을 주어 지워지지 않도록 한다.
AWS 서비스 카탈로그 서비스를 이용해 자동화한다.
AWS 서비스 카탈로그와 AWS Landing zone (착륙 서비스)를 이용해 자동화한다. (추천)
테라폼등 인프라 코드로 자동화하여 생성한다.
AWS 네트워크 자료
https://brunch.co.kr/@topasvga/1714
EKS의 도메인 메핑을 위해 route53에서 도메인 관리를 해야 하면 AWS Route53에서 위임받아 사용할 수도 있다.
관리를 위해서는 온프라미스 DNS를 사용해 운영하는 것을 권장한다.
AWS 각 개별 Account에서 도메인을 구매하고, Route53을 설정해 사용은 가능하다.
그러나 , 관리가 안 되는 단점이 있다.
클라우드에서 DNS는 온프라미스 DNS를 이용해도 된다.
통합 관리를 위해, 온프라미스 DNS에서 통합 운영하는 것을 권장한다.
온프라미스가 있는 구성에서 개발 Aws Account에 도메인을 설정해 사용하면 관리가 안된다.
2차 도메일을 직접 운영하고 싶다면, 온프라미스에서 2차 도메인을 위임받아 Route 53에서 사용해도 된다.
serverchk.com을 온프라미스에서 운영 중이라면, game1.serverchk.com을 AWS Route53으로 위임하자.
www. game1.serverchk.com 등은 route53에서 관리하면 된다.
온프라미스와 클라우드 DNS통합을 할 수도 있다. (선택)
통합은 온프라미스에서 AWS 도메인 서버를 질의했을 때 lookup이 되도록 포워드 설정하는 방법이다.
필수는 아니니 하지 않아도 된다.
DNS 구성은 단순한 게 좋다. 그래서 통합은 추천하지 않는다.
Route53 자료
https://brunch.co.kr/@topasvga/1777
웹 이미지 등을 사용하는 경우 CDN을 사용하자.
AWS에서는 CDN인증서의 경우 버지니아에서 발급받아야 하는 특이한 점이 있다.
비용은 장기 계약으로 할인받을 수 있다.
구성은 CSP인 AWS가 가장 잘 알기 때문이다.
다양한 지원 프로그램이 있다.
구성과 신규 서비스에 대해 도움받자.
기존에 개발자와 커뮤니케이션하는 시스템을 그대로 사용하자.
업무 혼선이 줄어든다.
단지, 클라우드 관련 메뉴는 따로 분리해 만드는 것은 필수다.
모든 클라우드 업무 요청은 업무 요청 시스템으로 받아 처리 하자.
ISMS-P, 전자금융 거래법의 증적 자료로 반드시 필요하다.
계정 신청부터 권한 신청등 모두 증적이 필수이다.
회사 내 비용 배분을 위해 bm구분 =서비스 코드는 필수이다.
구분은 온프라미스와 다르지 않다.
업무의 혼선을 줄이기 위해 변경 관리 시스템을 그대로 사용한다.
변경 작업은 반드시 변경 관리 시스템에 등록하고 작업을 하도록 한다.
서비스와 관련 있는 모니터링 포인트는 별도로 등록해 관리하자.
AWS Cost explorer를 사용하여 RI와 SP를 즉시 구매하도록 하자.
비용 절감 효과가 크다.
전체 다시 보기
https://brunch.co.kr/@topasvga/3442