Somaz의 IT 공부 일지

AWS CDN 구축 가이드: Kubernetes + AWS CloudFront로 API와 정적 파일 서빙 최적화

Overview현대의 웹 애플리케이션에서 CDN(Content Delivery Network)은 더 이상 선택이 아닌 필수가 되었다. 특히 글로벌 서비스를 운영하거나 대용량 트래픽을 처리해야 하는 경우, 적절한 CDN 전략 없이는 사용자 경험과 서버 안정성을 보장하기 어렵다. 이 글에서는 Kubernetes 환경에서 AWS CloudFront를 활용하여 API 서버와 정적 파일 서빙을 모두 최적화하는 완전한 CDN 솔루션을 구축하는 방법을 다룬다. External-DNS를 통한 자동 DNS 관리부터 ALB + CloudFront, S3 + CloudFront 두 가지 패턴의 Distribution 설정까지 전체 아키텍처를 실무 관점에서 상세히 설명하겠다. 📅 관련 글2022.02.13 - [..

Overview이전 글에서는 AWS DynamoDB의 개념과 사용 사례에 대해 살펴보았다. 이번에는 로컬 환경 또는 쿠버네티스 클러스터에서 DynamoDB Local을 설치하고 테스트하는 방법에 대해 다룬다. DynamoDB Local은 AWS에서 제공하는 로컬 테스트용 NoSQL 데이터베이스이며, 실제 AWS DynamoDB와 유사한 인터페이스를 제공한다. 개발 및 테스트 환경에서 비용 없이 DynamoDB 연동 기능을 검증할 수 있으며, AWS 자격 증명이나 인터넷 연결 없이도 사용할 수 있다는 장점이 있다. 특히, Kubernetes 환경에서 In-Memory 방식과 Data Storage 방식의 차이를 이해하고, 목적에 따라 적절한 배포 전략을 선택하는 것이 중요하다. 📅 관련 글2..

OverviewAmazon DynamoDB는 AWS가 제공하는 완전관리형 서버리스 NoSQL 데이터베이스로, 대규모 애플리케이션에서 실시간 성능과 높은 확장성을 요구할 때 이상적인 선택이다.테이블 기반의 비정형 데이터 저장 구조와 자동 확장 기능, 그리고 AWS 서비스와의 밀접한 통합을 통해 빠르고 안정적인 데이터 처리를 가능하게 한다. 특히 게임, IoT, 모바일 백엔드, 전자상거래 등 다양한 실시간 기반 워크로드에서 활발히 사용되고 있으며, DynamoDB Streams와 Lambda를 활용하면 이벤트 기반 아키텍처도 손쉽게 구축할 수 있다.  이 글에서는 DynamoDB의 핵심 개념, 기능, 사용 사례, 다른 데이터베이스와의 비교 등을 통해 전반적인 이해를 돕고자 한다.       📅 관련 글20..

OverviewAmazon EKS Pod Identity는 EKS에서 Kubernetes 서비스 계정과 IAM 역할을 간편하게 연결하여 Pod 단위의 AWS 자격 증명 제공을 자동화하는 기능이다.2023년 12월 정식 출시되었으며, 기존 IRSA(서비스 계정용 IAM 역할) 방식보다 구성 및 운영이 간단하고 유연하다는 장점이 있다.EKS Pod Identity는 클러스터에 별도의 OIDC 설정 없이 IAM 역할을 매핑할 수 있어, 멀티 클러스터 환경이나 CI/CD 자동화, 보안 통제에 탁월한 기능이다. 본 글에서는 기존 IRSA와의 차이점, 작동 원리, 실습 방법, 실무 활용 포인트까지 모두 정리한다.       📅 관련 글2022.02.13 - [AWS] - AWS IAM (Identity and A..

Overview이 글에서는 AWS Application Load Balancer(ALB)의 Access Log 기능 활성화부터 S3 권한 설정, 그리고 로그 저장 방식까지 실무 중심으로 자세히 정리했다.ALB의 접근 로그는 보안 및 트래픽 분석을 위한 중요한 데이터로, 로그를 안정적으로 수집하고 저장하기 위한 S3 버킷 구성이 필수이다. 특히 Kubernetes 환경에서는 `alb.ingress.kubernetes.io/load-balancer-attributes` 어노테이션을 통해 손쉽게 로그 설정이 가능하며, 서비스 주체(logdelivery.elasticloadbalancing.amazonaws.com)를 활용한 정확한 S3 권한 정책 구성이 핵심이다.       📅 관련 글2022.02.13 -..

OverviewAWS에서 보안 그룹(Security Group)과 네트워크 ACL(Network ACL)은 VPC(Virtual Private Cloud) 내 리소스의 네트워크 트래픽을 제어하는 핵심 보안 도구다.Security Group은 인스턴스 단위로 작동하는 상태 저장형(Stateful) 방화벽이고,Network ACL은 서브넷 단위로 작동하는 비상태형(Stateless) 방화벽이다. 두 보안 메커니즘은 기능, 적용 대상, 처리 방식 등에서 서로 다르기 때문에, 정확한 개념을 이해하고 상황에 맞게 조합하여 사용하는 전략이 중요하다.  이 글에서는 두 보안 도구의 차이점을 표로 비교하고, 제한 사항 및 실무 활용 팁까지 함께 정리한다.      📅 관련 글2022.02.13 - [AWS] - AW..

OverviewAWS Ingress Annotations는 EKS 환경에서 Kubernetes Ingress 리소스를 통해 ALB(Application Load Balancer) 의 동작을 세밀하게 제어할 수 있게 해주는 핵심 설정 도구이다.로드밸런서의 스킴(퍼블릭/프라이빗), SSL 리디렉션, 리스너 포트, 트래픽 라우팅 조건, 보안 그룹, CIDR 제한 등 다양한 설정을 annotations 형식으로 정의할 수 있어 인프라와 애플리케이션을 선언형으로 관리하는 데 적합하다. 특히 IngressGroup을 통한 다중 Ingress → 단일 ALB 통합 운영은 팀/서비스 간 네트워크 리소스를 절약하면서도 분리된 트래픽 규칙을 효과적으로 구성할 수 있는 강력한 기능이다. 이 글에서는 Ingress Annot..

OverviewAWS Assume Role은 하나의 AWS 계정이나 사용자, 서비스가 다른 역할(Role)을 임시로 가정(Assume)하여 그 역할의 권한으로 리소스에 접근할 수 있도록 해주는 핵심 보안 기능이다. 특히 다음과 같은 환경에서 자주 사용된다.교차 계정 액세스 (Cross-Account Access): 계정 A에서 계정 B의 리소스를 관리하고 싶을 때OIDC 기반 외부 인증 (예: GitHub Actions, Kubernetes 등)임시 권한 부여로 최소 권한 원칙 구현 `sts:AssumeRole`, `sts:AssumeRoleWithWebIdentity` API 호출을 통해 역할을 수락하고, 일시적인 자격 증명(access key, secret key, session token)을 발급받..

OverviewIRSA(IAM Roles for Service Accounts)는 AWS EKS 환경에서 Kubernetes의 ServiceAccount와 AWS IAM Role을 연결하여, Pod 단위로 AWS 리소스에 대한 접근 권한을 부여할 수 있는 메커니즘이다.이는 기존에 노출되기 쉬운 IAM Access Key를 사용하는 방식보다 훨씬 안전하며, 클라우드 네이티브 환경에 적합한 권한 관리 방식으로 자리잡고 있다. IRSA의 핵심 구성 요소는 다음과 같다.ServiceAccount (Kubernetes 내부 주체)IAM Role (AWS 권한 주체)OIDC Provider (EKS에서 자동 제공하는 인증 토큰 발급자)AWS STS (IAM Role을 임시로 Assume해주는 역할) 이러한 요소들..

Overview오늘은 AWS에서 네트워크 환경을 구성할 수 있는 핵심 서비스인 Amazon VPC(Virtual Private Cloud)에 대해 공부해보았다.VPC는 퍼블릭 클라우드 환경에서 가상의 프라이빗 네트워크를 구성하여 보안성과 유연성을 동시에 확보할 수 있게 해주는 중요한 개념이다. 이번 글에서는 VPC의 기본 개념부터 구성 요소들(서브넷, 라우팅 테이블, NAT 게이트웨이, 보안 그룹 등),그리고 VPC 피어링, Transit Gateway, NAT 인스턴스 vs NAT 게이트웨이 비교,Direct Connect / Client VPN / Site-to-Site VPN 등 고급 네트워크 연동 기능까지 체계적으로 정리해보았다.      📅 관련 글2022.02.13 - [AWS] - AWS ..