4 minute read

일지

특이사항없음

오늘의 할일

  • 220409 TIL 작성
  • 정보공유 스터디 자료 작성
  • AWS 교재 10장 IAM 정리
  • Ansible 사전공부(개념,설치,작동법)
  • 별도 팀프로젝트 안건찾기

추가로 정리해야할 부분

YAML이 뭐야?
Cloudformation에서 쓰던거 봤는데 Ansible에서도 쓰네

json이랑 비슷한건가? 뭔가의 설정파일인가?
태초에 어디에서온 파일이지?
형식같은건 공통인가? 사용프로그램마다 내용형식은 달라지나?(Cloudformation이랑 ASB에 쓸때랑 같은 음..문법?)


bare metal server


교재정리

IAM

  • Identity & Access Management
  • SOA(Services-Oriented Achitecture) 및 웹 서비스 환경의 통합된 IT 계정관리 서비스
  • 내/외부 사용자 계정 생성,수정 및 삭제 자동화
  • 메인프레임부터 웹 어플리케이션 전범위 감사(Audit) 기능 제공

계정관리시스템종류

구분 내용
SSO(Single Sign On) 한번의 인증으로 추가인증없이 다른 시스템 접속가능\사용자편의성 및 관리비용절감
EAM(Extranet Access Mgmnt) SSO,사용자인증관리,데이터 접근관리 기능제공
IAM(Identity Access Mgmnt) 계정관리 및 프로비저닝까지 포함한 포괄적개념\고객요구를 반영한 기능조합및 확장\업무프로세스 정의 및 관리

서비스

  • AWS 사용자 및 그룹 생성 관리
  • 권한을 이용해 리소스에 대한 액세스 허용 및 거부
  • 암호 또는 액세스키 공유하지않아도 리소스 사용 및 관리 권한부여
  • 리소스에 따른 권한 부여 또는 특정 EC2 또는 어플리케이션에서 실행가능하도록 함
  • 멀티팩터인증(MFA) 추가인증을 통한 계정보호기능

IAM 주요 특징

용어 정의

  1. 사용자(User)
    • AWS 리소스 및 서비스와 상호작용하는 사람 또는 서비스
    • 필요시 신규 생성,수정,삭제 가능, 한개의 AWS 계정에게만 연결
    • 직접 권한 할당 / 그룹(Group), 역할(Role)을 통한 권한 할당
  2. 그룹(Group)
    • IAM 사용자들의 집합
    • 다수의 사용자에게 권한 지정 > 권한 관리 용이함
    • 사용자를 그룹에 추가 및 제거하는 것으로 권한 부여/박탈
  3. 역할(Role)
    • User와 비슷하나, 권한이 필요한 사용자 또는 그룹에게 연결
    • 예. 사용자에게 특정 리소스에 대한 권한 부여, 하나의 AWS 계정에서 다른 계정 리소스에 대한 액세스 권한 부여, 모바일 앱에서 AWS 키 변동 없이 리소스에 대한 권한 부여

동작 방식

  • AWS의 리소스 및 서비스에 대해 보안자격증명 생성
  • 서비스 API 및 리소스에 대한 권한을 부여하여 안전한 리소스 관리 가능
  • 주요 제어 대상
    • AWS 리소스 관리를 위한 콘솔(Console) 접속 권한
    • AWS 내부 리소스 접근 권한
    • AWS 데이터에 대한 프로그래밍방식(API) 접속 권한

자격 증명 관리 기능

  • 임시 자격증명이 필요한 경우 역할을 사용하여 임시적 권한부여가능
  • 주요 시나리오
    • EC2 인스턴스 상의 어플리케이션 권한부여
      어플리케이션이 S3 버킷 또는 DynamoDB 데이터와 같은 리소스 접근가능
    • 교차 계정 액세스
      개발환경 <> 프로덕션 환경 분리, 여러 AWS 계정 생성 대신 자격증명으로 해결
    • AWS 서비스 권한부여
      사용자 대신 서비스가 타 AWS 서비스 호출 및 AWS 리소스 생성 및 관리 가능
  • 다음 유형의 자격증명 관리기능 제공
    • 암호, 액세스키, CloudFront 키페어, SSH 퍼블릭키, X.509 인증서
  • 타 인증서 연동 가능
    • IAM Federation와 함께 SSO를 사용해, LDAP 및 Active Directory와 연동 가능
    • SAML(Security Assertion Markup Language 2.0)과 같은 개방형 표준인증 사용가능

Ansible 사전공부

IT 환경에서의 자동화란? 레드햇 앤서블 쉽게 이해하기, Red Hat Korea

  • 자동화?
    기존에 사람이 수동으로 작업하던것을 로봇이나 컴퓨터를 이용해서 자동으로 처리. 단순반복적인 일을 대신 수행시킴으로써 보다 생산적이고 가치있는 일에 집중

  • IT 환경에서의 Red Hat Ansible?
    • IT 인프라 배포,구성,설정관리등을 손쉽게 자동화
      • 앞선 작업이 완료 된 후 다음 작업을 진행하도록 업무흐름 자동화 asb1
      • 일정 시간이 되면 정해진 작업을 수행(백업 등)
  • 이점
    • 기업의 생산성 제고, 협업과정의 불필요한 대기시간 제거> 비즈니스 신속성
      • 서비스 자동화
      • 운영 자동화
      • 배포 자동화
      • 네트워크 자동화
      • 보안
      • Compliance 관리
    • 단순한 사용법, 강력한 생태계 구축으로 활용범위 넓음, Human Error로인 한 운영오류 최소화

What is Ansible, TechWorld with Nana

  1. Overview
    • Real Life scenario
    • Ansible cpnt.
      • Modules & Playbook
    • ASB w/Docker
    • ASB vs. alt tools (eg.puppet)
  2. What is Ansible?

    • Tool to automate diff. IT tasks
      • What is IT tasks?
      • Why it’s good to automate them? rather than manually?
  3. Why uses Ansible?

    • Before..
      • Tedious job; distribute or update apps on 10 server
      • Repetitive tasks; updates, backups, weekly sys reboots, create usr/grp, assign permissons, etc.
    • Ansible comes in!
      More efficient & Less time consuming in 4 ways

      1. Execute task from the own machine
        versus inst. ssh into all target serv.

      2. conf. inst. dply in a single YAML File
        versus manual&shell script

      3. Reuse same file multiple times & for diff. envir.

      4. More reliable and less likely for human errors

    • ASB supports all infra. from OS to cloud provider.
  4. Agentless

    asb2

    If control mach. has ASB and ssh, then the trg serv can work w/o ASB

    No deply effort in beginning
    No upgrade effort for version change

  5. How ASB works? > Modules

    • Small programs that do the actual work

      • pushed to the trg serv.
      • Do their work and get removed
    • One small specific task
      • e.g Start/Install Nginx Serv.
      • Create or copy file
      • Start docker container
      • Create cloud instance
    • List of modules in asb official doc
  6. YAML Syntax
    • No need for learning a specific lang. for ASB
    • examples of jenkins, docker, postgressql,
  7. ASB Playbook

    Modules are granular and specific

    > How to handle complex apps?

    • multiple small modules
    • in a certain seq.
    • grped together

    > playbooks come in

    how and which order

    at what time and where (on which machines)

    what(the modules) should be executed

    Orchestartes the module execution

  8. ASB Inventory

    이부분은 이해안감
    플레이북보다 조금 더 큰단위인거같은데.. 공부해봐야할듯

  9. ASB For Docker

    asb3

    Not only for docker container, but other envir.
    By playbook, ASB can manage both Container & its Host

  10. Ansible Tower

    asb4

    얘도 이해안감
    그러니까… 모니터링 툴같은거야? 아니면 GUI?

  11. Ansible vs Puppet & Chef

    Ansible Puppet&Chef
    Simple YAML Ruby, difficult to learn
    Agentless Inst. needed
    need for managing updates of trg server
  12. Summary

    Automation tool to prevent human error&tedious manual work

Categories:

Updated:

Leave a comment