카테고리 Archives: AWS

AWS 의 EBS 스냅샷

현재는 EC2의 Lifecycle manager 의 등장으로 인해 오래된 snap-shot 의 삭제가 자동으로 이루어 지기 때문에 크게 필요가 없는 스크립트 이다.

물론 Lifecycle manager 에 비해 기능이 좀더 많다.

AWSCLI 를 사용하기 때문에 설치가 필요로 하다 ‘ㅅ’a

기능적으로는 아래와 같다.

1. AWS_REGION_ARR 에 선언된 리전을 타겟으로 한다.

2. RETENTION_LIMIT 에 지정된 일자(7개월) 만큼 매월 1일 데이터를 보관한다.

3. RETENTION_DAILY 에 지정된 일자(1개월) 만큼 매일 데이터를 보관한다.

4. BACKUP=ON 이 선언될 경우 작동중인 인스턴스의 모든 EBS 볼륨의 snap-shot을 생성한다.

5. SC_MODE=TEST 가 실제 작동이 아닌 어떤 작동을을 하게 될지 echo로 출력한다.

100

101

102

103

104

105

106

107

108

109

110

111

112

113

114

115

116

117

118

119

#!/bin/bash

##############################################################################################

### EDITABLE variable ### https://docs.aws.amazon.com/general/latest/gr/rande.html#ec2_region

AWS_REGION_ARR=( us-west-2 ap-northeast-2 ) ## Array ec2 locate region

RETENTION_LIMIT="215" ## first day of months retention Limit (ex: 2018-01-01, 2018-02-01 ... )

RETENTION_DAILY="31" ## every day snap-shot retention

SC_MODE="TEST" ## TEST MODE - if want OFF just Remark(#).

#BACKUP="ON" ## Make snap-shot Function. - if want OFF just Remark(#).

### Using AWS Security Credentials ###

#export AWS_ACCESS_KEY_ID=AAAAAAAAAAAAAAAAAAAA

#export AWS_SECRET_ACCESS_KEY=BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB

### FIXED variable ###

TODAY=$(date +%Y-%m-%d)

AWSCLI=$(which aws)

SCRIPTPATH=$(cd "$(dirname "$0")" && pwd)

VLIST="$SCRIPTPATH/volume_list"

SLIST="$SCRIPTPATH/snapshot_list"

### AWS - Volumes Check ###

rm -f $VLIST && touch $VLIST

for a in ${AWS_REGION_ARR[*]}

## running instance check ##

RUNNNING_INSTANCE=$($AWSCLI ec2 describe-instances --output text --region $a \

--query 'Reservations[*].Instances[*].[InstanceId]' \

--filters 'Name=instance-state-name,Values=running' | paste -s -d",")

## Get Attached Volumes List ##

if [ ! -z "$RUNNNING_INSTANCE" ];then

$AWSCLI ec2 describe-volumes --output text --region $a \

--query 'Volumes[*].[VolumeId, Attachments[0].InstanceId, AvailabilityZone, State, Tags[0].Value]' \

--filters "Name=attachment.instance-id,Values=$RUNNNING_INSTANCE" >> $VLIST

unset RUNNNING_INSTANCE

done

### stop script when Volume List are empty ###

if [ $(wc -l $VLIST | awk '{print $1}') -eq 0 ];then

echo "make sure ~]# aws configure"

exit 1

### aws snap-shot control function ###

delete_aws_snapshot() {

if [[ "$SC_MODE" == "TEST" ]];then

echo -e "\e[31;1mDELETING $SNAPID $BDATE \e[0m"

else

$AWSCLI ec2 delete-snapshot --output text --region $REGION --snapshot-id $SNAPID

}

skip_aws_snapshot() {

if [[ "$SC_MODE" == "TEST" ]];then

echo -e "\e[32;1mKEEP $SNAPID $BDATE \e[0m"

}

### AWS - snap-shots Check ###

while read b

VOLUMEID=$(echo $b | cut -d" " -f1)

REGIONx=$(echo $b | cut -d" " -f3)

REGION=${REGIONx:0:$((${#REGIONx}-1))}

rm -f $SLIST

$AWSCLI ec2 describe-snapshots --output text --region $REGION \

--query 'Snapshots[*].[SnapshotId,VolumeId,Description,StartTime]' \

--filters "Name=status,Values=completed" "Name=volume-id,Values=$VOLUMEID" | \

grep -v "Created by CreateImage" > $SLIST

## AWS - Snap-Shots Delete ##

while read c

SNAPID=$(echo $c | cut -d" " -f1)

BDATE=$(echo $c | awk '{print $NF}' | cut -d"T" -f1)

RETENTION=$(( $(( $(date -d "$TODAY" "+%s") - $(date -d "$BDATE" "+%s") )) / 86400 ))

if [ -z "$(echo $BDATE|grep "\-01$")" ];then

if [ $RETENTION -gt $RETENTION_DAILY ];then

delete_aws_snapshot;

else

skip_aws_snapshot;

else

if [ $RETENTION -gt $RETENTION_LIMIT ];then

delete_aws_snapshot;

else

skip_aws_snapshot;

fi;fi

unset RETENTION BDATE SNAPID

done < $SLIST

rm -f $SLIST

unset VOLUMEID REGION REGIONx

done < $VLIST

### AWS - Make EBS Snap-Shots from Volume if backup are "ON" ###

if [[ "$BACKUP" == "ON" ]];then

while read d

VOLUMEID=$(echo $d | cut -d" " -f1)

REGIONx=$(echo $d | cut -d" " -f3)

REGION=${REGIONx:0:$((${#REGIONx}-1))}

VOLUMENAME=$(echo $d | cut -d" " -f5)

if [ -z "$VOLUMENAME" ];then

DESCRIPTION="$(date +"%Y-%m-%d_%H:%M:%S")_$VOLUMEID"

else

DESCRIPTION="$(date +"%Y-%m-%d_%H:%M:%S")_$VOLUMENAME"

if [[ "$SC_MODE" == "TEST" ]];then

echo -e "\e[32;1mMAKE SNAP-SHOT $VOLUMEID\e[0m"

else

$AWSCLI ec2 create-snapshot --region $REGION --volume-id $VOLUMEID --description "$DESCRIPTION" > /dev/null

unset DESCRIPTION VOLUMENAME REGION REGIONx VOLUMEID

done < $VLIST

rm -f $VLIST

unset skip_aws_snapshot delete_aws_snapshot

unset SC_MODE AWS_REGION_ARR RETENTION_LIMIT RETENTION_DAILY TODAY SCRIPTPATH VLIST SLIST a b c

exit 0

AWS 클라우드 인스턴스 크기 선택

물리서버에서 오랜 경험이 있는 엔지니어의 경우

일반적으로 서버 사양 선택을 직접 하지 않거나 구매 시점의 가장 가성비가 좋은 일반적인 구매(보통 판매자 추천) 사양을 사용하여

서비스 구현을 하기 마련이므로 클라우드 진입을 고려할때 일반적으로 인스턴스 크기 선택 장애가 발생 한다.

그럼 클라우드로 넘어갈때 가장 중요한 인스턴스 선택은 무엇으로 해야 하는가?

1. 웹서버 ( prefork )

웹서버는 일반적인 운영 환경에서는 1% 미만의 load 가 발생한다.

마더 프로세스 에서 차일드 프로세스를 호출하기때문에 기본적으로 멀티쓰레드화 되어 있다.

mod_php 를 사용할 경우 메모리 사용량은 프로세스당 14.7MB 정도이다. (물론 더 커지기도 한다.)

HTTPD 메모리 사용량 체크

1	~]# ps -C httpd -o rss --no-header \| awk '{x += $1;y += 1}END{print "Total: " int(x/1024)" MB\nAverage: "int(x/y/1024)" MB"}'

Prefork 기본 mpm 설정상 150 커넥션을 활성화 하기 때문에 2,100MB 의 메모리 용량이 필요로 하다.

구글링을 통해 검색하여 max client 값을 1024 등으로 설정 했다면 최소 15G 의 메모리를 필요로 한다. (저런거 따라하지 맙시다.)

MaxConnectionsPerChild 는 지정된 횟수 만큼의 커넥션을 처리하고 프로세스가 종료 되고 새로운 차일드가 생성되도록 하는 옵션이다.

프로세스는 어려 작업을 실행함에 따라 메모리 사용량으 증가하고 이 값을 0 으로 하거나 너무 크게 잢을 경우 메모리 부족에 허덕이게 된다.

반면 너무 작게 할경우 차일드를 종료 하고 새롭세 스폰 할때 오버 헤드가 발생하여 cpu 사용량을 늘어나 악 영향을 준다.

prefork 에서의 추천하는 값은 5000 정도…

2. 웹서버 ( worker / event )

Worker/event mpm의 경우 기본적으로 250 커넥션을 가지며 1개의 차일드가 25개의 커넥션을 담당 한다.

즉 10개의 차일드가 각각 25커넥션을 담당 하며 각 차일드의 메모리 사용량은 적당한 평균치가 없다. 너무 격차가 심하기 때문에..

다만 사용하는 메모리는 prefork 대비 작은편이고 약 1024 커넥션의 경우 12기가 정도의 메모리 사용량을 확인한 적이 있다.

MaxConnectionsPerChild 는 약 50000 정도가 적당 하였다.

3. 웹서버 ( nginx )

메모리 사용량은 비 튜닝 기준으로 120~150MB 정도 이다.

일반적으로 정적 데이터 처리 및 Revers Proxy 용도로 사용 했다.

rewrite 룰셋을 바꿔야 하는 불편한 점이 있기 때문에 다중 사이트 보다는 한개의 사이트를 운영하기엔 유리 하다.

4. 웹서버 ( tomcat )

tomcat 은 기본값으로 200 connect 를 처리할 수 있으며 메모리 사용량은 500 MB 이상이며 일반적인 사용에서 900MB 정도의 메모리 사용량을 보인다.

5. DB 서버( mysql )

cpu와 메모리를 많이 사용한다.

프로세스를 보고 있으면 50% 는 기본적으로 먹고 간다. 기본값에서는 기본 메모리 500M 정도를 사용하고 DB가 증가함에 따라 사용량이 늘어 난다.

AWS 클라우드 에서 범용 상품군은 크게 t2, m4, m5, c4, c5 이다.

이중 t2 상품군의 경우 기본적으로 다른 상품군 보다 저렴 하지만.. cpu 과점이 될경우 추가 사용료가 청구 된다.

AWS 테스트 서버를 올리고 (일반적으로 free tier 인 t2.micro) 사용하다 방치하게 될 경우 해킹을 통해 CPU 가 과점상태가 되어 막대한 추가 비용이 발생 한다.

CPU가 과다 사용되는 DB 서버의 경우에는 c4, c5 상품군 혹은 r4 상품군이 적합하다고 볼수 있다.

( RDS 서비스도 좋다. ec2 직접 구성 보단 약 10%~20% 가량 비싸지만 백업등등 생각하면 동등 하다고 본다. )

웹서버는 과도한 로드가 발생하지 않을 경우 t2 에서 충분하다 (cpu가 nano = 5% / micro = 10% 미만으로 사용 해야 한다.)

표는 aws 메뉴얼에서 확인할 수 있다.

리눅스는 기본적으로 자체 커널을 위해 약 300M~500M 정도의 메모리 사용한다.

nginx + php 만 구성하여 웹서버를 구성하면 약 t2.micro/t2.small 정도면 충분하다.

예약 인스턴스 (1년 선납) 을 한다고 하면 약 40% 정도 할인이 된다. (3년은 60% 정도 할인…)

한 서버에 DB 및 웹서버를 사용하려면 t2.medium 정도는 사용해야 한다. (cpu 크레딧 사용량이 40% ) ( $504.576 )

그이상은 t2.large 부터는 전혀 효용 가치가 없다 다른 상품군( m5.large )이 가성비가 더 쓸만하다고 생각된다.

스타트업 기업에서는

t2.medium/c5.large 으로 LAMP (Linux – Apache – Mysql – PHP) 로 사용하다가

추후 DB 를 분리한다는 구조로 가는게 적합 한듯 하다.

1 클라이언트는 서버에 8개의 tcp 를 동시 접속 하기 때문에 ServerLimit 는 8배로 지정 한다. (최대값 2000)

(4G 메모리 분배 : 커널 500M / Mysql 1G / Apache 2G / 버퍼 500M ) ( 동시 접속자수( Maxclient: 130 // ServerLImit : 1040 ) 정도의 값을 지향한다.
(8G 메모리 분배 : 커널 500M / Mysql 2G / Apache 4.2G / 버퍼 800M ) ( 동시 접속자수( Maxclient: 320 // ServerLImit : 2000 ) 정도의 값을 지향한다.

기존 물리서버에서 클라우드로의 이행을 생각한다면 위 표를 참조로 필요 대수와 발생 금액등을 생각한다.

물리서버의 평균 수명인 3년 금액 과 클라우드 3년 사용료를 비용 을 대조 하고

클라우드의 +@인 관리 편의, 백업 편의, 가용성 등을 고려하여 잘 생각한다.

AWS – AMI 리전 복사

AWS 에서 생성하여 운영중인 EC2 를 AMI(Amazon 머신 이미지) 를 생성하여 다른 Region 으로 복사 할 수 있다.

즉 서버 이동이 리전을 이동하여 생성할 수 있기 때문에 많이 쓰이지는 않겠지만…

사용된 OS 는 CentOS 7 이고 AMI 복사 및 인스턴스 시작은 문제 없이 진행이 되었다.

리전간 복사한 AMI를 이용하여 인스턴스를 시작할 경우 SSH로 로그인을 할수 없는 경우가 발생 하였다.

발생한 사유는 selinux 의 fcontext 가 리전간 복제 후 인스턴스를 시작할때 풀려버리는 문제가 있다.

Server refused our key

Disconnected: No supported authentication methods available.

정상 값 ssh_home_t

1 2	.ssh]# ls -lZ ~/.ssh/authorized_keys -rw-------. centos centos system_u:object_r:ssh_home_t:s0 authorized_keys

비 정상 값 default_t

1 2	.ssh]# ls -lZ ~/.ssh/authorized_keys -rw-------. centos centos system_u:object_r:default_t:s0 authorized_keys

해결 방법은 아래와 같이 해결이 가능할 것으로 보인다.

원본 서버에서 selinux 를 disabled 시킨다. ( vi /etc/sysconfig/selinux )
AMI를 생성 한다.
AMI를 다른 리전으로 복사 한다.
복사된 AMI를 이용하여 인스턴스를 새롭게 띄운다.
selinux 를 enforcing 시킨다.

아울러서 복사전에 다음과 같이 authorized_keys 파일의 컨텍스트를 선언해 두는것도 도움이 될 수 있다.

1 2	~]# semanage fcontext -a -t ssh_home_t '/home/centos/.ssh/authorized_keys' ~]# restorecon -R /home/centos

AWS – IAM ( Identity & Access Management )

AWS – IAM 은 AWS 에서 각 사용자의 계정을 생성 하는 기능 이다.

개인 계정의 경우 딱히 필요로 한 부분은 아니지만

아마존에서 권고 하기로는 주계약 계정의 경우 최초 계정을 생성할때 사용을 하고 이후의 모든 작업은 IAM 에서 계정을 추가 하여 진행할 것을 권고 하고 있다.

아울러 MFA 인증을 사용하여 계정 보호를 할것을 권고 하고 있다.

AWS IAM ( https://console.aws.amazon.com/iam/home )

접속 URL변경

접속을 하고 주 계약 계정으로 로그인을 하면 아래와 같이 IAM 대시보드를 확인할 수 있다.

빨간색 네모칸 부분이 추후에 자신이 생성한 ID들의 로그인 URL 이다. (계약번호가 노출되기 때문에 모자이크 하였음)

계약번호는 외우기도 어렵고 노출하는것보다는 다음 그림과 같이 변경하여 운영하는것이 좋다.

계정 생성

사용자 추가는 아래와 같이 진행한다.

AWS Management Console 액세스 는 웹 브라우져로 접근하는것을 의미 한다.

즉 일반 사용자를 위한 계정은 이것을 선택 하며, 서버에서 자동화 구현을 위한 프로그램 구동방식을 생성할때 프로그래밍 방식 엑세스를 선택한다.

AdministratorAccess 권한을 주어 주계약 계정과 동등한 권한을 할당 한다.

마지막 화면에서 자동 생성된 비밀번호를 확인할 수 있다.

자동 생성된 패스워드는 최초에 웹 접근시에 변경하여 사용하도록 되어 있다.

IAM 생성 계정으로 로그인 ( https://enteroa.signin.aws.amazon.com/console )

최고 관리자 권한이 있는 아이디는 MFA (멀티 팩터) 인증을 걸어 사용한다.

주계약 계정 MFA 인증을 설정하는 방법은 아래와 같다.

위와 같이 나온 화면을 스마트폰에서 authenticator 를 검색하여 설치 하여 추가 진행을 한다.
여기서는 Microsoft Authenticator 를 사용하였다. ( 이름을 수정할 수 있는 기능이 있어 google 보다 관리 하기 쉽다. )
인증코드 1 -> 인증코드 2 는 화면에 MFA 인증번호 6자리를 나오는 순서대로 순차 입력을 하면 다음으로 넘어갈 수 있다.