Category: 서울 리전 소식


Amazon EC2 Container Service(ECS) 서울 리전 출시!

드디어 오늘 Amazon EC2 Container Service (Amazon ECS)를 아시아-태평양(서울) 리전에 출시합니다.

Amazon ECS는 Docker 콘테이너를 프로덕션 환경에 배포 및 확장하기위한 관리 서비스로서, Amazon ECS를 사용하면 클러스터 구성에 필요한 서버 용량을 추가하고, 콘테이너 이미지를 업로드 할 수 있습니다. Amazon ECS는  서버 클러스터 전체에 콘테이너를 배포하고 상태를 모니터링하며, 콘테이너 부하 분산 및 크기 조정을 처리하는 동시에 데이터베이스 및 기타 리소스에 대한 각 콘테이너 접근 제어를 안전하게 할 수 있도록합니다.

Amazon ECS는 이미 다양한 한국 고객들이 콘테이너 기반 애플리케이션에서 사용하고 있습니다. 삼성SDS  신우용 상무는 “AWS 클라우드를 선택한 이유는 Amazon EC2 컨테이너 서비스(Container Service)를 이용한 첼로 구축 POC를 진행하여 2시간 이내로 아주 빠르게 첼로를 구축할 수 있었고, 네트워크 응답 속도도 빠르고 안정적이었다. AWS 클라우드 서비스를 이용하여 고객에게 첼로를 빠르고, 안정적으로 서비스 할 수 있게 됐다”라고 설명하였습니다.

또한, 삼성전자 장수백 상무는 삼성 IoT 서비스인 Samsung Connect 구축을 위해 “오토 스케일링(Auto scaling) 적용, 아키텍처 재정비, 지역적이고 분산된 개발, 자동화 되고 독립적인 배포 및, 다양한 서비스에 최적화될 수 있는 인스턴스 타입이 적용돼야 한다. 이에 대한 적절한 해법이 AWS 클라우드를 사용한 마이크로 서비스 아키텍처(Micro services architecture) “라고 소개했습니다. 특히, 삼성전자 송주영 선임은 Samsung Connect를 위한 Amazon ECS 활용 사례를 들어 “Amazon ECS는 AWS 상의 멀티 계정을 지원하여, 다양한 보안 및 접근 제어, 그리고 확장성 및 비용 절감과 기술 지원을 받을 수 있다”라고 밝혔습니다.

좀 더 자세한 정보는 아래에서 주요 기업들의 사례를 보실 수 있습니다.

다양한 동영상을 통해 Amazon ECS에 대한 내용을 살펴 보실 수 있습니다.

지난 AWS DevDay에서 있었던 콘테이너 트랙의 최선 정보도 참고하시기 바랍니다.

Amazon ECS 서울 리전 출시와 함께, 앞으로 콘테이너 기반 서비스를 하는 많은 한국 고객들의 활용 방법도 안내해 드리도록 하겠습니다. 자세한 내용은 Amazon ECS 제품 페이지설명서블로그를 참조하십시오.

윤석찬 (Channy);

AWS CodePipeline, 서울 리전 출시

오늘 AWS 코드 개발 서비스AWS CodePipeline이 서울 리전에 출시하였습니다. 하단 언어 메뉴를 한국어로 바꾸시면 한국어 콘솔 화면도 보실 수 있습니다.

사실 민첩하고 신속한 개발 및 운영(DevOps)과 클라우드 기반 인프라 자동화 관리는 개발자에게 매우 중요한 요소입니다. AWS의 개발 도구는 이러한 라이프사이클을 완벽하게 도와 주는 것으로 소스 코드 개발부터 테스트, 빌드 및 배포까지 자동화 합니다.

특히, AWS CodePipeline 은 출시 과정을 자동으로 운영하는 것으로, AWS CodeCommit이나 Github, AWS CodeBuild나 Jekins 그리고 AWS CodeDeployAWS Elastic Beanstalk 또는 AWS OpsWorks 를 통해 EC2 인스턴스 또는 자체 물리 서버에 배포 할 수 있습니다 .

지난 2015년 6월 AWS CodePipeline 정식 출시 이후에 추가된 기능 몇 가지를 추가로 소개해 드립니다.

  • AWS OpsWorks 통합
  • 람다 함수 트리거링
  • 수동 승인 조치
  • 커밋된 변경 사항에 대한 정보

AWS OpsWorks 통합 – AWS Codepipeline에서 모델링한 소프트웨어 출시 파이프 라인에서 AWS OpsWorks를 배포 공급자로 선택할 수 있습니다 .

또한,AWS OpsWorks for Chef에 포함 된 레시피를 사용하여 코드를 배포 할 수 있습니다.

AWS Lambda 함수 트리거 – 이제 소프트웨어 출시 파이프 라인 단계에서 람다 함수 트리거 할 수 있습니다. AWS Lambda는 거의 모든 작업을 수행하는 함수를 작성할 수 있으므로 파이프 라인이 작동하는 방식을 사용자 정의 할 수 있습니다.

수동 승인 조치 – 소프트웨어 출시 파이프 라인에 수동 승인 조치를 추가 할 수 있습니다 . 코드 변경이 필요한 IAM 권한을 가진 사람에 의해 승인되거나 거부 될 때까지 실행이 일시 중지됩니다.

커밋 코드 정보 보기 – 소프트웨어 출시 파이프라인에 소스 코드에 대한 최신 정보를 보실 수 있습니다.

CloudFormation 스택 워크플로 조합 기능 –  CodePipeline의 워크 플로는 여러 가지 방법으로 스택을 만들고 조작 할 수 있습니다.  이제 CloudFormation 스택에 대한 지속적인 배포 파이프 라인을 작성할 수 있습니다.

더 자세한 정보
AWS Codepipeline에 대한 상세한 정보는 아래 온라인 세미나 영상 및 자료를 참고하시기 바랍니다.

Channy(윤석찬);

Amazon RDS for SQL Server – 윈도 인증 기능 서울 리전 출시

2012년에 Amazon RDS 서비스에 대한 SQL Server 지원을 처음 시작했습니다. 그 후 SSL 지원, 주요 버전 업그레이드, 데이터 암호화Multi-AZ를 포함한 많은 기능을 추가했습니다. 이러한 신규 기능은 SQL Server 기반 RDS 적용 범위를 넓히고 고객들의 추가 사용 사례를 열었습니다.

윈도우즈 워크로드를 실행하는 많은 기업에서 Active Directory를 기반한 계정 자격 증명 및 관련 사용 권한을 지정합니다. 디렉토리는이 정보에 대한 단일 소스를 제공하며 중앙 집중식 관리를 허용합니다. 지난 3월에 출시된 AWS Directory Service를 사용하여 Microsoft Active Directory의 Enterprise Edition을 실행을 오늘 부터 서울 리전에서도 사용 가능합니다.

서울 리전, 윈도 인증 지원
Microsoft Active Directory (Enterprise Edition)를 통해 AWS Directory Service에 저장된 자격 증명을 사용하여 SQL Server용 Amazon RDS에 대한 애플리케이션 인증을 허용 할 수 있습니다. 동일한 디렉토리에 모든 자격 증명을 유지함으로서 더 이상 각 복사본을 찾고 업데이트 할 필요가 없으므로 시간과 노력을 절약하면서 전체 보안 프로필이 향상 될 수도 있습니다.

SQL Server를 실행할 새 데이터베이스 인스턴스를 만들 때, 이 기능을 활성화하고 Active Directory를 선택할 수 있습니다. 또한, 기존 데이터베이스 인스턴스에 대해서도 새로 설정할 수 있습니다. 새 데이터베이스 인스턴스를 만들 때 디렉터리를 선택하는 방법은 다음과 같습니다 (새 데이터베이스 인스턴스를 만들 수도 있습니다).

자세한 내용은 SQL Server DB 인스턴스와 함께 Microsoft SQL Server Windows 인증 사용을 참조하십시오.

서울 리전 정식 출시
본 기능은 현재 미국 동부 (버지니아 북부), 미국 서부 (오레곤), EU (아일랜드), 아시아 태평양 (시드니), 아시아 태평양 (도쿄) 및 아시아 태평양 (싱가포르)에서 사용할 수 있으며 오늘 부터 아시아 태평양(서울) 리전에서 사용을 시작할 수 있습니다 오늘. 해당 기능은 무료이지만 Active Directory 용 AWS Directory Service의 표준 요금만 지불하게 됩니다.

Jeff;

AWS DirectConnect, LG Uplus와 신규 연결 지점(Location) 오픈

오늘부터 국내 주요 ISP 업체 중에 하나인 LG유플러스와 함께 서울 리전으로의 두번째 Direct Connect 연결 지점을 오픈합니다. 작년 1월 Asia-Pacific (Seoul) 리전이 국내에 개설 되면서 첫번째 연결 지점은  KINX에 위치하고 있으며, DX 파트너사인 드림라인세종 텔레콤을 등의 파트너를 통해 연결 지원을 하고 있습니다.

AWS Direct Connect는 여러분의 회사 내부 네트워크 혹은 기존 데이터 센터 환경의 온프레미스 IT 자원과 AWS 클라우드 자원을 전용 회선으로 연결하여, 하이브리드 환경을 구축할 수 있는 서비스 입니다. 전용 회선의 장점인 높은 보안성 및 일관된 네트워크 성능을 제공하고, AWS 서비스의 트래픽 비용 (Data transfer Out)을 절감 시킬 수 있는 장점이 있습니다.

특히, LG유플러스는 국내 다수의 데이터 센터를 보유하고 있으며, 기존에 서버 호스팅을 받고 계신 고객께서는  보다 손쉽게 AWS 클라우드와 전용 회선으로 연결하실 수 있습니다. 뿐만 아니라 전용 회선 가용성을 확보하려는 고객에게  두 개의 서로 다른 연결 지점을 제공함으로서 VPN 연결을 포함해서 다양한 옵션을 제공합니다.

AWS DirectConnect에 대한 연결 방법은 AWS Direct Connect 서울 리전에 연결하기 혹은 AWS Direct Connect 가이드(PDF)을 참고하시고, DX에 대한 복잡한 질문/추가 질문은  aws-dx-korea@amazon.com으로 연락하시기 바랍니다.

더 자세한 사항은 AWS Direct Connect 홈페이지한국어 기술 문서를 참고하시면 됩니다.

Channy(윤석찬);

AWS CodeCommit, 서울 리전 출시 및 한국어 콘솔 등

AWS 개발 도구는 최신 개발 환경인 데브옵스(DevOps)을 지원해 주는 서비스 모음입니다. 이를 위해 AWS CodeCommit, CodeDeployCodePipeline, CodeBuild 서비스 등을 제공하고 있습니다.

데브옵스를 좀 더 원활하게 운영하기 위해 이번에 AWS CodeDeploy에 이어 AWS CodeCommit이 서울 리전에 출시되었습니다.

AWS CodeCommit는 안전하고 확장성이 뛰어난 전용 Git 저장소를 쉽게 호스트 할 수 있는 매니지드 소스 관리 서비스입니다. CodeCommit를 사용하면 자체 소스 제어 시스템을 운영하거나 인프라 조정을 염려할 필요가 없습니다. CodeCommit를 사용하면 소스 코드에서 바이너리까지 모든 것을 안전하게 저장할 수 있고 기존 Git 도구와 완벽히 호환됩니다.

또한, 저장소 트리거를 이용하여 단위 테스트 및 배포 도구 소스 코드 관리 워크 플로우에 통합할 수 있습니다. 트리거는 효율적이고 확장이므로 변경을 가져오도록 구축 된 모델보다 더 광범위하게 적용 가능합니다. 지속적인 통합지속적인 전달을 기반으로 한 개발 방법론을 위해 트리거 기능이 매우 유용합니다.

특히 코드 콘솔 조회 기능, 커밋  기록 보기, 커밋 기록 그래픽 표시 기능 , Elastic Beanstalk 통합 기능 등이 출시 되었으며 이번에 몇 가지 기능을 추가로 소개합니다.

한국어 콘솔 – AWS CodeCommit은 한국어 콘솔이 함께 출시되었습니다. 현재 Amazon ECS, AWS CloudWatch, AWS Certificate Manager, Directory Service, AWS Rekognition,  AWS Storage Gateway 등의 관리 콘솔에 한국어 지원이 계속 추가될 예정입니다.

브랜치 관리 기능 – 이제 콘솔에서 브랜치 생성 및 변경 등의 기능을 사용 할 수 있습니다.

코드 커밋 비교 기능 – 코드 보기 뿐만 아니라, 커밋간 혹은 브랜치 커밋 간 비교가 가능합니다.

더 자세히 살펴 보기

AWS 기반 데브옵스 살펴 보기

이제 AWS CodeCommit을 통해서 좀 더 간편하게 Git 레포지터리 관리 서비스를 이용해 보시기 바랍니다.

Channy(윤석찬);

AWS Summit SF 및 서울 행사 발표 신규 서비스 소개

지난 주 AWS Summit 샌프란시스코 및 서울 행사 중 AWS 상반기에 주요 신규 서비스와 기능 출시가 있었습니다. AWS는 작년만 해도 1,017개의 기능 출시가 있었으며 고객의 소리에 부응하는 신규 기능을 계속적으로 제공하고 있습니다.

이번에 발표된 신규 서비스는 인공지능, 데브옵스, 빅데이터 등 다양한 분야의 고객의 피드백을 기반으로 하였습니다.

서울 리전 소식

  • AWS X-Ray 정식 출시 (서울 리전 포함) – 분산 애플리케이션 성능 측정을 위한 서비스. (AWS Lambda 연동 기능 미리보기 출시 포함)
  • Amazon Athena 서울 리전 정식 출시 임박 – Amazon S3 데이터에 대한 서버리스 임의 질의 서비스로서 수주 내에서 서울 리전에 출시됩니다.

신규 서비스

  • Amazon DynamoDB Accelerator (DAX) – Amazon의 NoSQL 데이터베이스에서 읽기 중심 워크로드에 대해 인-메모리 캐싱을 통해 마이크로초 기반의 응답 속도를 제공합니다.
  • Amazon Redshift Spectrum – Redshift에서 Amazon S3의 데이터를 바로 로딩함으로서 엑사바이트급 데이터를 빠르게 질의할 수 있습니다.
  • AWS CodeStar – AWS CodeStar를 사용하면 몇 분 만에 개발 도구 체인을 구성하고, 팀 전체에서 더 빠르게 개발 작업 운영 및 관리가 가능합니다.

정식 서비스

신규 기능

기조 연설 동영상 보기

각 서비스에 대한 자세한 소개는 위의 링크의 블로그 글을 참고하시면 도움이 되실 것입니다. 앞으로 더 자세한 소식을 계속 알려드리도록 하겠습니다.

Channy;

AWS X-Ray, 서울 리전 포함 정식 출시 (Lambda 연동 기능 미리보기)

작년 AWS re:Invent에서 발표한 AWS X-Ray 에 대해 이미 말씀 드린 적이 있습니다.(AWS X-Ray – 분산 애플리케이션 분석 참고).오늘 AWS X-Ray를 서울 리전을 포함해서 정식 출시하게 되었습니다.

X-Ray를 사용하면 Amazon EC2 인스턴스, Amazon ECS 컨테이너 등의 마이크로 서비스와 AWS 데이터베이스 서비스 및 AWS 메시징 서비스를 실행 할 때, 애플리케이션 요청을 추적 할 수 있습니다. 개발 및 정식 사용으로 만들어져  수천 개의 마이크로 서비스로 구성된 애플리케이션은 물론 간단한 3 계층 응용 프로그램도 처리 할 수 ​​있습니다. 작년에 여러분에게 보여 드렸던 것처럼 X-Ray는 각 요청 엔드포이트 간 추적을 수행하고, 대표 샘플을 기록하며 서비스 맵과 추적 데이터를 보고 성능 문제와 오류를 분석합니다. 이를 통해 애플리케이션과 기본 서비스가 어떻게 수행되고 있는지 파악하여, 버그 원인을 식별하고 해결할 수 있습니다.

You can take a look at the full X-Ray walk-through in my earlier post to learn more.

지난 re:Invent에서 미리보기 형식으로 X-Ray를 시작했으며, 오늘 부터 미국 동부 (버지니아 북부), 미국 서부 (캘리포니아 북부), 미국 동부 (오하이오), 미국 서부 (오레곤), EU (아일랜드), EU (프랑크푸르트), 남미 (São Paulo), 아시아 태평양 (Tokyo), 아시아 태평양 (Seoul), 아시아 태평양 (Sydney), 아시아 태평양 (Sydney) 및 아시아 태평양 (Mumbai) 리전에 정식 공개하였습니다.

Lambda 함수 연동 (미리보기)
베타 기간 동안 서비스를 일부 업데이트하고, AWS Lambda 통합 기능을 추가했습니다. 오늘 부터 미리보기 형식으로 시작합니다. 이제 Lambda 함수 개발자는 X-Ray를 사용하여 함수 실행 및 성능에 대한 가시성을 확보 할 수 있습니다. 이전에는 애플리케이션 대기 시간 분석, 속도 저하 진단 또는 시간 초과 문제 해결을 원하는 Lambda 고객은 CloudWatch나 사용자 정의 로깅 및 분석에 의존 해야했습니다.

Lambda 연동 기능을 사용하려면, Lambda 함수에 X-Ray에 쓰기 권한을 부여한 실행 역할이 있는지 확인한 다음, 함수별로 추적을 사용하도록 설정하면 됩니다 (새 콘솔을 사용하는 기능, 적절한 사용 권한이 자동으로 할당됩니다). 그런 다음 X-Ray 서비스 맵을 사용하여 람다 함수, EC2 인스턴스, ECS 컨테이너 등을 통해 요청이 어떻게 전달되는지 확인하시기 바랍니다. 원하는 서비스와 리소스를 확인하고, 필요 시 확대하여 자세한 정보를 검토 하고, 문제를 해결할 수 있습니다.

람다 함수를 호출 할 때마다 X-Ray 맵에 두 개 이상의 노드가 생성됩니다.

 

  • Lambda Service -이 노드는 Lambda 자체에서 보낸 시간을 나타냅니다.
  • 사용자 함수 -이 노드는 람다 기능의 실행 시간을 나타냅니다.
  • 다운 스트림 서비스 호출 -이 노드는 람다 기능이 다른 서비스에 대해 수행하는 모든 호출을 나타냅니다.

좀 더 자세한 것은 Using X-Ray with Lambda를 참고하시기 바랍니다.

정식 출시
오늘 정식 출시 하지만, X-Ray 서비스 비용 과금은 2017년 5월 1일 부터 시작됩니다.  가격은 추적 갯수와 분석 갯수를 기반으로합니다 (각 추적 기능은 애플리케이션의 요청임). 매월 무료로 10만개를 저장하고, 백만 개까지 검색할 수 있습니다. 이 이상의 경우, 백만 건 저장할 때 마다 5 달러를 지불하고, 검색을 위해서는 $ 0.50을 지불합니다. 좀 더 자세한 것은 AWS X-Ray 가격 페이지 를 참고하시기 바랍니다.

오늘 부터 여러분의 애플리케이션 성능 추적에 활용해 보시기 바랍니다.

Jeff;

이 글은 AWS X-Ray Update – General Availability, Including Lambda Integration의 한국어 번역입니다.

딥러닝용 P2 인스턴스 타입, 서울 리전 출시

최근 인공 지능에 대한 관심이 높아짐에 따라 활용 요구가 높은 기계 학습 및 딥러닝(Deep Learning), 유체 역학 컴퓨팅 연산, 지진파 분석, 분자 모델링, 유전학 및 금융 분석 등 대량 컴퓨팅 연산에 도움이 될 P2 인스턴스 타입을 서울 리전에 오늘 출시하였습니다.
P2 인스턴스 타입은 8 NVIDIA Tesla K80 Accelerators (각각 2개의 NVIDIA GK210 GPU)을 지원합니다. 각 GPU는 12GB 메모리를 가지고 있으며 (초당 240GB 메모리 대역폭 제공) 2,496개의 병렬 코어를 지원합니다. 또한, 더블 비트 오류를 검출해서 싱글 비트 오류를 고치는 ECC 메모리 보호 기능을 지원합니다. ECC 메모리 보호 가능 및 이중 플로팅 포인트 기능을 통해 위의 다양한 요구 사항을 수용할 수 있습니다.

아래는 P2 인스턴스 타입 스펙입니다.

Instance Name GPU Count vCPU Count Memory Parallel Processing Cores
GPU Memory
Network Performance
p2.xlarge 1 4 61 GiB 2,496 12 GB High
p2.8xlarge 8 32 488 GiB 19,968 96 GB 10 Gigabit
p2.16xlarge 16 64 732 GiB 39,936 192 GB 20 Gigabit

더 자세히 알아보기

Channy;

AWS Organizations – 정책 기반 멀티 계정 조직 관리 서비스 정식 출시

많은 AWS 고객이 여러 개의 AWS 계정을 관리하고 있습니다. 이러한 상황은 여러 가지 이유로 발생할 수 있습니다. 때로는 점진적인 개발 방식의 진화에 따라 서비스 팀과 부서가 분산되어 진화 하는 경우나, 합병 및 인수를 통해 성장하는 경우도 기존 계정을 사용해야 합니다. 표준 규정 준수를 위한 엄격한 가이드 라인을 준수하거나 개발, 테스트 및 정식 서비스을 위해 별개의 계정을 사용하여 애플리케이션 테스트 및 배포를 할 때 이를 격리하기 위해 여러 계정을 정기적으로 생성합니다.

계정이 많아지면 확장성 높은 방식의 관리가 필요합니다. 팀 단위, 부서 단위 또는 애플리케이션 단위의 수 많은 계정을 따로 관리하는 대신 전체 계정, 일부 계정 또는 개별 계정에 쉽게 적용 할 수 있는 접근 제어 정책이 필요하다는 피드백을 많이 받았습니다. 대부분의 경우 이러한 고객은 요금 청구 및 비용 관리에 관심이 있으며, 대량 할인 및 예약 인스턴스와 같은 AWS 가격 책정이 각 계정에 적용되는 관리하고자 합니다.

AWS Organizations 정식 출시
이러한 요구 사항을 지원하기 위해 만든 AWS Organizations 서비스를 미리보기에서 정식으로 출시합니다. 본 서비스를 사용하여 조직 단위(OU)의 계층 구조를 만들고, OU에 각 계정을 할당하고, 정책을 정의한 다음 전체 계층 구조에 적용하고, OU를 선택하거나, 또는 OU를 선택하여 여러 AWS 계정을 중앙에서 관리 할 수 ​​있습니다. 기존 AWS 계정을 조직에 가입하도록 초대 할 수 있으며 새 계정을 만들 수도 있습니다. 이 모든 기능은 AWS 관리 콘솔AWS 명령어 모드 (CLI), AWS Organizations API를 사용할 수 있습니다.

다음은 본 서비스를 을 이해하는 데 도움이 되는 몇 가지 중요한 용어 및 개념입니다 (사용자가 AWS 멀티 계정 전체와 마스터 계정을 담당하고 있다고 가정합니다.)

Organization은  여러분이 관리하는 통합 AWS 계정 세트입니다. 새로 생성 된 Organization에서는 서비스 제어 정책과 같은 정교한 계정 제어 기능 구현할 수 있습니다. 이를 통해 조직 관리자는 허용 및 차단 AWS API 함수 목록과 개별 계정에  배치하고, 리소스를 관리 할 수 ​​있습니다. 예를 들어, R&D 팀에 다양한 AWS 서비스에 대한 접근 권한을 부여한 후, 개발 및 테스트 계정에 대해 좀 더 엄격한 접근 제어를 할 수 있습니다. 또는, 정식 서비스에는 (의료 정보만을 다루는 규정을 준수하는) HIPAA 자격이 있는 AWS 서비스에만 액세스 할 수 있습니다.

기존 고객 중 일부는 AWS 통합 결제 (Consolidated Billing) 기능을 사용합니다. 이를 통해 여러 AWS 계정에서 계정 사용량을 하나의 청구서(Invoice)로 모아서  비용을 추적하는 중앙 집중식 방법을 제공하는 최종 지불 계정을 선택할 수 있습니다.

이번 출시와 함께 현재 통합 결제를 사용하는 고객은 모든 기능을 제공하는 가상 조직을 갖게 되었습니다. 그러나, 기본적으로 현재 제공되는 새로운 기능 (예 :서비스 제어 정책)은 없습니다. 이러한 고객은 AWS Organization의 모든 기능을 쉽게 사용할 수 있습니다. 이는 조직의 마스터 계정에서 모든 Organization 기능을 사용하도록 설정 한 다음 각 구성원 계정으로 조직에 대한 변경 사항을 승인하도록 할 수 있습니다. (통합 결제 기능 만 지원하는 새로운 조직을 만드는 것을 계속 지원할 것입니다. 통합 결제 기능만 사용하려는 고객은 마스터 계정 관리자가 조직의 구성원 계정에 대한 고급 정책 제어를 시행하지 않고도 계속해서 그렇게 할 수 있습니다.)

먼저 AWS account는 AWS  자원을 가지고 있습니다. 이 중 Master 계정은 전체 조직의 관리 허브이며, 모든 AWS 계정에 대한 지불 계정이기도 합니다. 마스터 계정은 기존 계정을 가입하도록 초대 할 수 있으며 새 계정을 만들 수도 있습니다.

Member accounts는 조직의 비 마스터 계정입니다. Organizational Unit (OU) 은 AWS 계정 세트의 컨테이너입니다. OU는 최대 5 단계까지 계층 구조로 정렬 할 수 있습니다. OU 계층 구조의 최상위를 Administrative Root라고도 합니다. .

Service Control Policy (SCP)는 조직의 마스터 계정이 조직, 각 OU 또는 계정에 적용 할 수 있는 일련의 제어 방법입니다. OU에 적용되면, OU와 그 하위 계층의 다른 OU에 적용됩니다. 계정에 SCP를 적용하면, 해당 계정의 루트 사용자에게 부여 된 사용 권한을 지정합니다. 계정 내에서 IAM 사용자 및 역할을 평소와 같이 사용할 수 있습니다. 그러나, 사용자 또는 역할의 권한과 관계없이 SCP에 정의 된 것 이상으로 확장되지 않습니다. 이를 사용하여 계정 수준에서 AWS 서비스 및 API 기능에 대한 접근을 세부적으로 제어 할 수 있습니다.

Invitation은 AWS 계정에 가입을 요청하는 데 사용합니다. 15 일 이내에 수락해야 하며 이메일 주소 또는 계정 ID에 대해 연장할 수 있습니다. 최대 20 회의 초대장이 주어진 시간에 미해결 상태가 될 수 있습니다. 초대 기반 모델을 사용하면 마스터 계정에서 시작하여 기존 계정을 접을 수 있습니다. 초대장이 수락되면 계정이 조직에 가입하며 모든 적용 가능한 정책이 효력을 발생합니다. 계정이 조직에 가입하면 적절한 OU로 이동할 수 있습니다.

AWS Organizations 관리하는 AWS 계정간에 강력한 격리 경계를 만들려는 경우에 적합합니다. 그러나 AWS 리소스 (EC2 인스턴스, S3 버킷 등)는 특정 AWS 계정 내에 존재하며 한 계정에서 다른 계정으로 이동할 수 없습니다. VPC 피어링, AMI 공유, EBS 스냅샷 공유, RDS 스냅샷 공유, 멀티 계정 이메일 전송, IAM 역할 별 권한 배정, 멀티 계정 S3 버킷 접근, 멀티 계정 AWS 콘솔 접근 등 여러 가지 교차 계정 AWS 기능에 접근할 수 있습니다.

통합 결제와 마찬가지로 AWS Organizations은 EC2 및 RDS 예약 인스턴스를 사용할 때, 몇 가지 이점을 제공합니다. 과금 청구의 경우, 조직의 모든 계정은 하나의 계정 인 것처럼 취급되며 동일한 조직의 다른 계정으로 구입 한 RI의 시간당 비용 혜택을받을 수 있습니다 (이 혜택이 예상대로 적용될 수 있도록, 가용성 구역 및 RI의 기타 속성은 EC2 또는 RDS 인스턴스의 속성과 일치해야합니다.

Organization 만들기
처음 부터 직접 시작해 보겠습니다. AWS 관리 콘솔에서 신규 조직을 만들고  조직 단위를 만든 다음, 계정을 연결하거나 만듭니다. Create organization를 클릭하여 시작합니다.

그런 다음 ENABLE ALL FEATURES을 선택하고 Create organization를 클릭하십시오.

몇 초 내에 구성을 완료합니다.

Add account를 클릭 한 다음 Create account를 선택하여 새 계정을 만들 수 있습니다.

그런 다음 세부 정보를 제공합니다 (IAM 역할은 새 계정에서 생성되고 계정이 생성 된 후, 맞춤 사용자 정의를 통해 충분한 권한을 부여합니다).

Dev, Test 및 Prod 계정을 만든 후에 콘솔 모습은 다음과 같습니다.

이 시점에서 모든 계정이 계층 구조의 맨 위에 있습니다.

계층 구조를 추가하려면 Organize accounts을 클릭하고 Create organizational unit (OU)을 선택한 다음 이름을 입력하십시오.

두 번째 OU에 대해서도 동일한 작업을 수행합니다.

그런 다음 Prod 계정을 선택하고 Move accounts을 클릭 한 다음, 이동할 해당 조직(Operations OU)를 선택합니다.

다음으로 개발 및 테스트 계정을 개발 OU로 이동합니다.

현재 4개의 계정 (원래 만든 계정과 방금 만든 계정)과 2 개의 OU를 가지고 있습니다. 다음 단계는 Policies을 클릭하고 Create policy을 선택하여 하나 이상의 서비스 제어 정책을 작성하는 것입니다. Policy Generator를 사용하거나 기존 SCP를 복사 한 다음, 설정할 수 있습니다. Policy Generator를 사용하겠습니다. 내 정책에 이름을 지정하고 Allow으로 지정합니다.

그런 다음 Policy Generator를 사용하여 EC2 및 S3에 대한 전체 접근 권한과 Lambda 함수를 실행 (호출) 할 수 있는 정책을 구성합니다.

이 정책은 계정 내에서 허용되는 모든 행위를 정의합니다. 계정 내의 IAM 사용자가 이러한 작업을 사용하려면, 적절한 IAM 정책을 만들어 사용자 (모두 회원 계정 내)에 연결해야 합니다. Create policy을 클릭하면 정책을 만들 수 있습니다.

그런 다음 개발 및 테스트를 위한 두 번째 정책을 만듭니다. AWS CodeCommit, AWS CodeBuild, AWS CodeDeploy, AWS CodePipeline에 접근 할 수 있습니다.

요약하면, AWS 계정을 OU에 넣고 이에 대한 정책을 만들었습다. 이제 정책 사용을 활성화하고 OU에 정책을 첨부해야합니다. 정책을 사용하려면 Organize accounts을 클릭하고 Home 을 선택합니다 (조직이 여러 개의 독립적인 계층 구조를 지원하도록 설계 되었기 때문에 루트를 의미하는 게 아닙니다). 그런 다음 최상위 OU의 확인란을 클릭합니다. 그런 다음 오른쪽에서 Details 섹션을 확장하고 Enable을 클릭합니다.

이제 이를 모두 통합해 보겠습니다! 최상위 OU를 클릭하여 계층 구조로 내린 다음 Operations OU의 확인란을 클릭합니다. 그런 다음 오른쪽의 Control Policies을 확장하고 Attach policy을 클릭하십시오.

그런 다음 OperationsPolicy를 찾아 첨부를 클릭합니다.

마지막으로 FullAWSAccess 정책을 제거합니다.

DevTestPolicy를 Development OU에 연결할 수도 있습니다.

위에서 설명한 모든 작업은 AWS Command Line Interface (CLI)에서 시작하거나  CreateOrganization, CreateAccount, CreateOrganizationalUnit, MoveAccount, CreatePolicy, AttachPolicy, and InviteAccountToOrganization과 같은 함수를 호출하여 시작할 수 있습니다. 실제 CLI를 보려면 Announcing AWS Organizations: Centrally Manage Multiple AWS Accounts를 살펴 보시기 바랍니다.

서비스 활용 시 모범 사례
AWS Organizations 서비스에 대한 몇 가지 모범 사례를 알려드립니다.

  • Master Account 리소스 사용 금지– 한 가지 예외를 제외하고는 마스터 AWS 리소스를 사용하지 않는 것이 좋습니다. 이를 통해 고품질 제어 결정을 보다 쉽게 ​​수행 할 수 있을 뿐만 아니라 AWS 청구서 항목을 더 쉽게 이해할 수 있습니다.
  • CloudTrail 활용 – 마스터 계정에서 (뛰어난 기능을 가진) AWS CloudTrail을 사용하여 회원 계정의 모든 AWS 사용 현황을 추적합니다.
  • 최소 권한 부여 – OU에 대한 정책을 설정할 때 최대한 적은 권한을 할당하십시오..
  • 조직 구성 단위 (OU) 활용 – 계정이 아닌 OU에 정책을 할당합니다. 이렇게 하면 조직 구조와 필요한 AWS 접근 수준 간의 매핑을 잘 유지할 수 있습니다.
  • 테스트 필수 – 규모를 확대하기 전에 단일 계정에서 새 정책과 수정 된 정책을 테스트합니다
  • 자동화 – API와 AWS AWS CloudFormation 템플릿을 사용하여 새로 생성 된 모든 계정이 원하는 대로 구성합니다. 템플릿은 IAM 사용자, 역할 및 정책을 만들 수 있습니다. 또한 로깅을 설정하고 VPC를 만들고 구성 할 수 있습니다.

자세한 정보
아래는 WS Organizations 서비스를 시작하는 데 도움이 되는 정보 모음입니다.

정식 출시
AWS Organizations은 현재 중국 (베이징) 및 AWS GovCloud (US) (미국)를 제외한 모든 AWS 리전에서 무료로 사용할 수 있습니다. (서비스 엔드포인트인 미국 동부 (버지니아 북부) 및 SCP는 모든 관련 리전에 적용됩니다). 모든 AWS 계정은 동일한 회사의 계정이어야 하며, 동일한 조직에서 AWS와 AISPL (인도 AWS 서비스 계정의 리셀러 역할을 하는 현지 법인)을 혼합 할 수 없습니다.

앞으로 Organizations 서비스에 대한 많은 서비스 계획을 가지고 있으며, 현재 다중 지불 지원 추가, 예약 인스턴스 할인 할당, 다중 계층 구조 및 기타 제어 정책 추가를 고려 중입니다. 항상 여버룬의 의견과 제안은 환영합니다.

Jeff;

이 글은 AWS Organizations – Policy-Based Management for Multiple AWS Accounts의 한국어 번역입니다.

차세대 I3 인스턴스 타입 출시 – 고성능 I/O를 위한 애플리케이션 지원

지난 AWS re:Invent에서 EC2 Instance 업데이트 소식을 알려드리면서, 향후 새로운 소식을 추가로 알려드리겠다는 말씀을 드렸습니다.

오늘 AWS 서울 리전을 포함하여 총 15 개의 리전에서 아래와 같이 6 가지 종류의 새로운 I3 인스턴스를 출시하게 되었습니다.  I/O 최적 워크로드 용으로 설계된 I3 인스턴스 패밀리는  높은 효율의 NVMe SSD 스토리지를 갖추고 있으며, 4KB 블록에서 최대 330만 IOPS를 제공하고 순차 디스크 처리량에서 최대 16GB/초를 제공 할 수 있습니다. 따라서, 이를 통해 관계형 데이터베이스, NoSQL 데이터베이스, 검색 엔진, 데이터웨어 하우스, 실시간 분석 및 디스크 기반 캐시를 포함하여 높은 I/O 처리량과 낮은 지연 시간을 요구하는 모든 업무에 적합합니다. I2 인스턴스와 비교할 때, I3 인스턴스는 훨씬 저렴하면서 밀도가 높은 스토리지를 제공하며 CPU 코어 당 IOPS 및 네트워크 대역폭이 훨씬 더 많습니다.

I3 스펙 자세히 보기
자세한 스펙은 아래의 표를 참고하시기 바랍니다.

인스턴스타입 vCPU 숫자 메모리
스토리지 (NVMe SSD) 시간당 비용
i3.large 2 15.25 GiB 0.475 TB $0.15
i3.xlarge 4 30.5 GiB 0.950 TB $0.31
i3.2xlarge 8 61 GiB 1.9 TB $0.62
i3.4xlarge 16 122 GiB 3.8 TB (2 volumes) $1.25
i3.8xlarge 32 244 GiB 7.6 TB (4 volumes) $2.50
i3.16xlarge 64 488 GiB 15.2 TB (8 volumes) $4.99

위의 가격은 아시아 태평양 (서울) 리전의 가격표로서, 다른 리전의 자세한 가격은 EC2 요금표를 참고하시기 바랍니다.

I3 인스턴스는 온디멘드, 예약, 스팟 인스턴스로 제공되며 US East (Northern Virginia), US West (Oregon), US West (Northern California), US East (Ohio), Canada (Central), South America (São Paulo), EU (Ireland), EU (London), EU (Frankfurt), Asia Pacific (Singapore), Asia Pacific (Tokyo), Asia Pacific (Seoul), Asia Pacific (Mumbai), Asia Pacific (Sydney) AWS GovCloud (US) 리전에서 제공되며, Dedicated Hosts  및 Dedicated Instances로도 사용 가능합니다.

본 인스턴스는 하드웨어 가상화 (HVM) AMI 만 지원하며 가상 사설 클라우드(VPC) 내에서 실행해야합니다. NVMe 스토리지로 가능한 성능을 얻으려면 다음 운영 체제 중 하나를 실행해야합니다.

  • Amazon Linux AMI
  • RHEL – 6.5 이상
  • CentOS – 7.0 이상
  • Ubuntu – 16.04 또는 16.10
  • SUSE 12
  • SUSE 11 with SP3
  • Windows Server 2008 R2, 2012 R2, 2016

I3 인스턴스는 최대 8개의 NVMe SSD를 제공합니다. 최고 처리량과 가능한 많은 IOPS를 얻으려면 여러 볼륨을 함께 연결하거나 I/O 워크로드를 다른 방법으로 분산시킬 수 있습니다.

각 vCPU (가상 CPU)는 2.3 GHz를 지원하는 Intel E5-2686 v4 (Broadwell)를 탑재하고 있으며, 이들 프로세스는 Turbo Boost 및 NUMA와 함께 AVX2를 지원합니다.

정식 출시
I3 인스턴스는 오늘 부터 사용 가능하며, 서울 리전에서도 바로 사용할 수 있습니다.

Jeff;

이 글은 Now Available – I3 Instances for Demanding, I/O Intensive Applications의 한국어 버전입니다.