리눅스를 잘 모르고 aws 볼려고 했는데 ...아쉽군요

강의에선 EC2 컴퓨팅 리소스에 연결 안 함을 선택했는데, 연결하는 것과 어떠한 차이가 있나요? 강의 예제의 경우엔 EC2 컴퓨팅 리소스에 연결하는 방법은 적절하지 않은 방법인가요? 이미 완강했는데 잠깐 복습하면서 궁금해서 여쭤 봅니다.

안녕하세요! 늘 좋은 강의에 감사하며 듣고 있는 학생입니다! EC2 서버를 운영하는데, 보안적 이슈들을 어떻게 처리해야할까에 대한 고민때문에 질문드립니다. 상황 sudo cat /var/log/auth.log, sudo last -f /var/log/btmp 를 보는데, 모르는 IP로 SSH 접속 요청이 많이 찍혀있는 것을 봤습니다. 대부분 시도하자마자 실패한 것 같은데, 일부 요청에선 세션이 21시간정도 머물러 있는 이력들을 포착했습니다.또한 악성 웹봇(?)으로부터 무작위 api 요청하는 것 또한 포착했습니다. (api/.env, api/vendor, api/...php,..) 이때 약간 뭔 심정이였냐면...이런걸 당하는 느낌이었습니다. 일단 제가 적용한 해결책은 ... SSH 연결 세션이 장시간이라는건 위험 -> 서버를 새로 갈자Inbound에서 SSH 접속을 0.0.0.0 으로 둔게 문제이지 않을까내 IP로 제한하자CICD는? 깃헙 러너 IP에 대해 일시적으로 자동으로 보안그룹에서 허용해주고 흐름끝나면 다시 제거하자IP는 근데 바뀌지 않나? 고정 혹은 유동 IP 뭐 어쩌구 있었던거 같은데그럼 그때가서 AWS Console가서 바꿔주면 된다.그래도 SSH 접속 요청이 계속 오면 어떻게 해?Fail2Ban으로 동일 IP 요청 시도 오면 밴 먹이자보니까 여러 포트로 시도가 들어오던데?80, 443, 8080, 22만 허용하자 -> ufw 라는 방화벽?을 사용하자GPT 형님이 PasswordAuthentication과 PermitRootLogin을 no라고 하라던데..sshd_config 에서 막아두고, 철저히 pem 접속만 가능하게 하자근데 저렇게 막아놔도 일단 22포트로 시도는 계속 들어올 수 있잖아그럼 SSH 접속을 22가 아닌 내가 설정한 임의 포트로 제한하자CICD에서 SCP, SSH 접속 시 설정한 포트로 접속하도록 수정하자sshd_config에서 내가 원하는 포트로 설정ufw에 내가 지정한 포트를 allow로 설정지정한 포트로 접속 테스트Inbound에서 22 포트 제거, ufw allow 22포트 제거, sshd_config에서 22포트 제거22포트 접속 시도 -> 실패해야함 -> OK근데 무작위 API 요청은 도메인만 알면 가능하잖아? 이건 어떻게 막지?일단 API의 공통 Prefix 단위로 필터링 -> 허용 및 인증필요 API를 제외한 모든 요청 denyAll 처리 브루투포스 요청이니까 Prefix로 제한해도 결국엔 뚫림그렇게 뚫려도 물론 .authenticated() 에서 막히기는 하지만.. 일단 여기까지 오는 것도 불안하다내가 하고 싶은건 무작위 요청 자체를 막았으면 하는데 어떻게하지?사람이 작정하고 요청하는건 어쩔 수 없어도 웹봇 대상으로는 할 수 있을 것 같은데...고민 저정도로 과연 보안이 지켜질까 하는 걱정이 있습니다. 울타리 좀 쳤다고 빈틈이 메워지는건 아니잖아요. 백엔드 팀원 중 서버 관리를 제가 도맡아하고 있는데, 저 때문에 팀원들 및 사용자 정보가 노출되면 죄책감이 이만저만 아닐 것 같아요. 현업에서는 보통 저런 무작위 접속/요청 공격에 대해 어떻게 어느수준으로 대응할지 궁금합니다. 강사님의 AWS 중급 강의를 수강할 예정인데, 위의 이슈들을 커버칠 수 있는 내용이 포함되어 있는지 궁금합니다. 목차만 봐서는 잘 감이 안와서요... 근데 일단 제가 무지한 상태이기 때문에 무조건 들을거긴합니다.혹시 저기서 더 필요한 보안 작업은 뭐가 있을까요? 일단 WAF 방화벽 (혹은 뭐 CloudFront를 쓰면 된다는 Reddit 글을 본거같습니다)과 침입감지, 취약점 점검을 위한 wazuh라는 플랫폼의 도입을 고려하고 있습니다. 혹시 서버 자체가 털리면, 네트워크 상 주고받는 raw 데이터도 털릴 수 있나요?DB 내부 정보는 중요한 것들은 다 해싱처리해서 털어도 뭐 할 수 있는게 없으니 괜찮겠지~하고 있었는데요. 근데서버 자체가 털려버리는거면 아무리 https로 중간 과정에서의 raw데이터가 보호된다고 해도, 결국 종착지인 EC2 서버에서 그 raw데이터를 가로챌 수도 있는거잖아요?만약 참이라면, 이것도 고려를 하긴 해야할거같은데... 햐 어렵네요 무섭기도하고 재밌기도하고 난감하기도하고    

이 강의를 통해 HTTPS를 적용하기 전에, CloudFront의 배포 도메인 이름(https://d3~~~~~~.cloudfront.net/)으로 접속을 해 봤는데 https가 적용이 됐었습니다. 이유가 무엇인가요? 이 강의에서 HTTPS를 적용하는 거랑, 적용 안 하고도 https로 접속이 되는 것이 어떠한 차이인지 궁금합니다! 강의 잘 보고 있습니다.

여기선 HTTP 프로토콜을 선택하고 HTTP로 오면 HTTPS로 리다이렉트로 하겠다고 선택하였는데 이것이 의미하는 정확한 의미가 궁금합니다. 이 설정에선 HTTP만 허용하고, HTTP로 온 걸 HTTPS로 리다이렉트하긴 하지만, 사용자가 HTTPS 요청을 보내는 거에 대해선 허락하지 않은 건가요?

ELB로 도메인에 인증서 연결 후 EC2 인스턴스의 경우 여전히 IP로 접근이 가능한데, HTTP로 접근이 가능하기도하고... 혹시 어떻게 처리하나요?

혹시 백엔드도 ngnix 랑 https 연결을해야하나요?

 Postman으로 요청을 보내는 게 첫 번째 사진에서 '사용자 -> EC2',그리고 2번째 사진인 Postman으로부터 받은 응답은 'EC2 -> 사용자' 맞죠?  S3가 EC2엔 저 URL을 보내고, 서버에서 다시 가공해서 사용자에게 응답한 게 2번째 사진이 맞는지 궁금합니다. 좀 당연하다고 생각하고 있는데 혹시 제가 헷갈려서 틀렸을까 봐 확인차 질문드립니다.

사이트에 들어온 사용자가 화면에 뜨는 이미지들을 보려면 퍼블릭 액세스 차단을 다 풀어서 퍼블릭 액세스를 허용해야 한다면,  퍼블릭 액세스 차단을 해야 하는 경우는 어떤 상황일 때 사용하는 건지 궁금합니다. 현업에선 S3 버킷을 보통 여러 개 만들고, 퍼블릭 액세스 허용하는 버킷과 차단하는 버킷들로 나뉘나요?

RDS 파트 다 듣고 삭제까지 하고 궁금해져서 직접 확인을 못 했는데퍼블릭 액세스에 체크를 하면 퍼블릭 IP 주소가 할당된다고 나와 있는데, RDS에도 탄력적 IP처럼 공인 IP가 있나요? 노션 자료엔 엔드포인트만 있고 IP 주소가 안 보여서 질문드립니다. +) 강의 순서가 CI/CD -> Docker인데Docker 먼저 듣는 건 비추하시나요? Docker 강의 자체가 CI/CD 강의를 이미 수강한 사람들이라 가정하고 만들어진 강의인지, 아니면 우선순위 자체가 CI/CD가 먼저인 건지 궁금합니다. 잘은 모르겠는데 CI/CD 강의 중에 Docker를 활용하는 부분이 있길래... 그냥 Docker 먼저 듣는 게 나을까 생각이 드는데, 아무래도 그냥 로드맵 순서대로 하는 게 나을까요?

복습하다가 궁금한 점이 생겼습니다. 강의에서 ELB 리스너에서 프로토콜을 HTTPS로 구성했는데 대상 그룹은 이전에 HTTP로 설정한 대상 그룹으로 지정한 거 맞죠? 근데 이전 자료(ELB란? / TLS, SSL과 HTTPS)에서 "HTTPS 인증을 받은 웹 사이트가 백엔드 서버와 통신하려면, 백엔드 서버의 주소도 HTTPS 인증을 받아야 한다." 이거 때문에 좀 헷갈리네요. HTTPS에 대한 대상 그룹을 새로 만들 필요는 없나요? 제가 이 부분에 대한 이해가 아직 부족한 것 같습니다. 강의에서 한 대로면 ELB의 HTTPS 리스너로 요청을 받으면 그걸 다시 대상 그룹으로 보낼 땐 HTTP로 보낸다고 생각하면 되나요? EC2 인스턴스 인바운드 규칙에도 HTTPS 말고 HTTP만 설정했던 거 같고... 지금은 인스턴스를 삭제해서 제가 어떻게 설정했었는지, 강의 그대로 하긴 했는데 다시 확인을 못 하네요.. +) 로드 밸런서는 삭제했는데, 대상 그룹은 굳이 삭제 안 해도 비용 발생은 안 하나요? EC2 인스턴스를 삭제해서 그런지, 대상 그룹 내부에 등록된 대상은 지금은 없다고 뜨긴 합니다.

안녕하세요!항상 좋은 강의 잘 듣고 있습니다! 서버 인프라를 어떻게 설계해야할 지 판단이 잘 안서서 이렇게 질문드립니다.제가 개념이 미숙하다보니 제 생각에 대한 설명이 뭔가 중구난방할 수 있다는 점 양해부탁드립니다. 일단 첫번째로 생각하고 있는건 ELB, Nginx에 대한 고민입니다. 내용이 길어서 질문은 나눠서 올리려고 합니다.제 머릿 속에 있는 걸 그냥 그대로 끄집어낼게요. ELB로 EC2에 직접 접근 (Client -> ELB -> Spring Boot) ELB를 80/443 으로 열고, http에 대한 타겟그룹을 8080로 설정한 후 EC2 쪽 인바운드는 8080만 열어야 하는가?ELB는 WAS가 아니라서 Nginx처럼 리액트 빌드 결과물 (정적파일)을 서빙 못하지 않을까?그럼 S3 파트에서 배웠던 내용대로 S3 + Cloud Front 방식으로 리액트 결과물 내보내야 할까?https 설정은 Nginx 대비 이게 더 편한거같음  Nginx만 사용 (Client -> WAS (Nginx) -> Spring Boot & React)ELB 대비 https 인증이 경험 상 상당히 까다로웠음 (자동 인증사 만료 처리도 해야하고...)EC2 안에서 React까지 처리하기 좋았음이 경우는 인바운드를 80/443 열고 nginx 에서 reverse proxy ELB + Nginx 사용 (Client -> ELB -> Nginx -> Spring Boot & React)ELB는 로드밸런서 역할과 https 인증 담당용 (로드밸런싱은 추후 확장가능성 염두, https 인증은 elb가 더 쉬우니까)Nginx는 내부에서 리버스 프록시 적용https 처리는 elb가 쉬우니까 이거 쓰고, 리버스프록시와 정적 파일 서빙은 nginx에게 위임하겠다는 취지만약 이럴 경우, ELB는 80/443 열고 EC2는 80만 허용하면 되는건가? 그러면 80->443 리다이렉션하고 443은 타겟그룹 80을 향해 들어가면, EC2에서 80으로 들어온 요청을 nginx가 리버스 프록시어떤게 적절한 선택일지 고민중입니다.서버 인프라를 구성하기 위해 참조할 만한 자료로 깃헙을 찾아보니, 다른 프로젝트 아키텍처 보면 다 2번처럼 하는 것 같았습니다. 근데 실습을 했을 때 ELB가 https 인증이 너무 쉽게 되었던게 매력적이었어서 차마 2번 방식에는 손이 잘 안갑니다. 근데 1번만 하자니, 과연 1번만으로 충분할까? 라는 의문이 들었습니다. 그래서 ELB랑 Nginx를 혼합해서 쓸까라는 생각까지 이어진건데요. 3번은 저 생각대로면 각자의 편의를 챙겨가기는 하지만 좀 더 복잡한 아키텍처같은 생각도 들어요. 우선 각각의 생각에 오류가 있는지, 그리고 전문가의 식견으로 봤을 때 어떤게 더 나은 접근인지 여쭤보고싶습니다. 어려운게 있으면 항상 박재성님 강의부터 찾습니다. 늘 도움받아갑니다. 감사합니다.  

안녕하세요!항상 좋은 강의 잘 듣고 있습니다! 서버 인프라를 어떻게 설계해야할 지 판단이 잘 안서서 이렇게 질문드립니다.제가 개념이 미숙하다보니 제 생각에 대한 설명이 뭔가 중구난방할 수 있다는 점 양해부탁드립니다. 고민하고 있는건 EC2 등 모델 선정입니다. 그리고 RDS, ElastiCache 도입여부 또한 고민중입니다.제 프로젝트는 거의 싸이월드 같은 사이트를 만들어야 하는 상황입니다.알림, 조회수, 좋아요 기능, 파일 업로드, 스트리밍, 게시판, 댓글 등이 주된 기능입니다.(이때 파일 업로드는 multipart/form-data 업로드와, 동영상과 같은 대용량 파일 처리를 위한 AWS Multipart Upload 방식으로 나뉩니다.) 한번 AWS 강의에서 배운걸 다 써먹어보고 싶어서 EC2, RDS, S3, ElastiCache 도입을 상정해봤습니다. 초기 단계 모델을 먼저 결정한 후 K6 등으로 동시접속자 수 100명 200명 300명 순으로 테스트를 진행해서 스케일업을 고려중입니다. (데모 시연도 하고, 실제로 한달 간 출시도 해봐야해서요)구상중인건 다음과 같습니다. 1단계 (개발 중) ::CI/CD용 : t4g.small (EBS 있으니까 여기 안에서 Redis랑 DB, 서버 다 돌림) + S3 2단계 (개발 완료 후 배포) ::실제 운영 테스트용 :Case 1. t4g.small + S3 (CI/CD용 그대로)Case 2. t4g.small + RDS + S3 (Redis는 EC2 안) (RDS는 EC2모델과 같은 사양으로)Case 3. t4g.small + RDS + S3 + ElastiCacheCase 4. t4g.medium + RDS + S3 + ElastiCache 근데 Case 3까지만 가도 AWS 계산기 돌려보니 월 10만원이 조금 넘더라구요. RDS에서 프록시나 Insights 설정 빼고 SingleAZ로 변경한게 저 수준이었습니다. 너무 비싸더라구요. Case 4는 한 17만 7천원 나오더라구요... RDS가 많이 비싼 것 같습니다.비용이 비정상적인게 아니라면, 그대로 진행해도 전 좋습니다. 배움에 돈아끼면 안된다고 생각하거든요.근데 그게 오버스펙이나 비정상적인 설계로 비용이 많이 나오는건 별개의 문제잖아요. 그래서 결국 어떻게 서버 인프라를 구축할지에 대한 고민이 많습니다.비용이 제 기준에서는 높지만 남들 기준에선 높은게 아닐 수도 있고, 아니면 정말로 너무 높게 나온걸 수도 있어서 정상적으로 프로젝트에 맞게 아키텍처를 구축한게 맞는지, 잘못되었다면 어떻게 조정해야할지에 대한 판단이 어렵습니다. 실례가 안된다면, 지금 제가 어떤 문제가 있는지, 제 상황에선 어떤 아키텍처가 적절한지 설명부탁드려도 될까요? 이건 저 생각이 들기까지의 내용들을 정리한 노션 페이지입니다.https://hooby.notion.site/Server-Infra-Setup-28af6c063f3e80b7a8c3d653add0c068   

먼저 유사한 질문이 있는지 검색해보세요.학습 관련 질문을 남겨주세요. 상세히 작성하면 더 좋아요!인프런 서비스 운영 관련 문의는 1:1 문의하기를 이용해주세요.  핑계지만 여러사정상 이제서야 수강 하려고 하는데 기간이 얼마 남지 않아서요...꼭 강의 듣고 합격해서 합격 수기 수강평 남겨놓겠습니다 ㅠㅠ부탁드립니다

HTTPS 적용 이후엔 api.jscode-test.net/로 접속하니 정상적으로 HTTPS가 적용됩니다. 그런데 아이피인 43.200.101.5 혹은 43.200.101.5:80 혹은 43.200.101.5:3000으로 접속하면 HTTPS가 적용이 안 되어 있습니다.이유가 뭘까요? cmd에서 nslookup으로 www.google.com 아이피를 알아낸 다음에 아이피로 접속하면처음엔이렇게 뜨지만 '사이트로 이동' 버튼을 누르면 HTTPS가 적용이 되더라고요. 왜 구글은 아이피로 접속해도 HTTPS가 되고 제 사이트는 안 되는 걸까요? 구글은 뭔가 다른 설정을 더 했기 때문인가요?

이 사진은 24. 비용 나가지 않게 EC2 깔끔하게 종료하기스크린샷이고 이 스크린샷은 지금 강의입니다. 둘 다 EC2 인스턴스를 먼저 삭제하고 나서 탄력적 IP를 삭제하려고 하는데 왜 첫 번째 사진에선 탄력적 IP 주소 연결 해제 버튼이 활성화되어 있지 않고, 이번엔 왜 활성화되어 있는 건가요? 강의 잘 보고 있습니다.

인증서는 삭제하지 않아도 돈이 안 나간다는 글을 봤는데, 호스팅 영역은 삭제해야 비용 청구가 안 되는 거 맞죠? 이번 영상엔 언급이 없어서 질문드립니다. 혹시 이후 강의에서 만들어 뒀던 호스팅 영역을 재사용하나요?

저는 jscode-test.net 도메인을 구매했고, 인증서 발급받을 땐 강의에서처럼 api.jscode-test.net로 적었습니다.이럴 경우 jscode-test.net에 대한 인증서가 아닌 api.jscode-test.net에 대한 인증서만 발급받은 거 맞죠?현업에서는 인증서를 요청할 때 어떤 식으로 하나요? api.jscode-test.net, temp.jscode-test.net, mail.jscode-test.net 등등 많다면, 각 도메인마다 인증서를 따로 발급하나요?

그냥 그렇다구요 허허.. 아무래도 pdf 보다 노션을 이용하는 게 좋을 것 같습니다.

안녕하세요!클라우드프론트 UI가 바뀐 부분에 대해서 가이드 주신대로 go to previous ~ 클릭하는 상단 탭이 안뜨고 있습니다 ㅠ혹시 몰라 gpt나 구글통해 이전 버전 ui로 직접 접속할 수 있는 주소도 검색해 보는데 나오지 않아서요 이럴 경우 어떻게 해야할 지 문의드립니다.!