VPC

• VPC Peering이 안 되는 3가지 경우 https://docs.aws.amazon.com/vpc/latest/peering/invalid-peering-configurations.html#edge-to-edge-vgw

  • Overlapping CIDR blocks
  • Transitive peering
  • Edge to edge routing through a gateway or private connection

• SAML이 호환되지 않는 온 프레미스에서 LDAP를 VPC와 통합하는 방법

  ID 저장소가 SAML 2.0과 호환되지 않는 경우 사용자 지정 ID 브로커 애플리케이션을 구축하여 유사한 기능을 수행 할 수 있습니다. 브로커 애플리케이션은 사용자를 인증하고 AWS에서 사용자에 대한 임시 자격 증명을 요청한 다음 AWS 리소스에 액세스 할 수 있도록 사용자에게 제공합니다.

  애플리케이션은 직원이 LDAP, Active Directory 또는 다른 시스템을 사용할 수있는 기존 회사 네트워크의 ID 및 인증 시스템에 로그인되어 있는지 확인합니다. 그런 다음 ID 브로커 애플리케이션은 직원에 대한 임시 보안 자격 증명을 얻습니다.

  임시 보안 자격 증명을 얻기 위해 ID 브로커 응용 프로그램 은 사용자에 대한 정책을 관리하려는 방법과 임시 자격 증명이 만료되어야하는시기에 따라 **AssumeRole**또는 **GetFederationToken**임시 보안 자격 증명을 얻기 위해 또는 호출합니다 . 이 호출은 AWS 액세스 키 ID, 보안 액세스 키 및 세션 토큰으로 구성된 임시 보안 자격 증명을 반환합니다. ID 브로커 애플리케이션은 이러한 임시 보안 자격 증명을 내부 회사 애플리케이션에서 사용할 수 있도록합니다. 그런 다음 앱은 임시 자격 증명을 사용하여 AWS를 직접 호출 할 수 있습니다. 앱은 만료 될 때까지 자격 증명을 캐시 한 다음 새로운 임시 자격 증명 집합을 요청합니다.

  

EC2

• instance store

  The word ephemeral means "short-lived" or "temporary" in the English dictionary. Hence, when you see this word in AWS, always consider this as just a temporary memory or a short-lived storage.

  The virtual devices for instance store volumes are named as ephemeral[0-23]. Instance types that support one instance store volume have ephemeral0. Instance types that support two instance store volumes have ephemeral0 and ephemeral1, and so on until ephemeral23.

  The data in an instance store persists only during the lifetime of its associated instance. If an instance reboots (intentionally or unintentionally), data in the instance store persists. However, data in the instance store is lost under the following circumstances:

  • The underlying disk drive fails
  • The instance stops
  • The instance terminates

• RAID 0: Performance, RAID 1: Durability.

• HVM과 PV https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/virtualization_types.html

  • HVM은 하드웨어를 완전히 가상화. 애플리케이션도 가상화된 하드웨어 위에서 돌아감.

  • PV는 애플리케이션을 가상화된 하드웨어가 아니라 실제 하드웨어 위에서 돌릴 수 있음.

  • 예전에는 PV가 성능이 좋았으나 HVM의 발전으로 인해서 꼭 PV가 성능이 우월하다고 말할 순 없음. AWS는 HVM을 권장.

  • PV on HVM

    Paravirtual guests traditionally performed better with storage and network operations than HVM guests because they could leverage special drivers for I/O that avoided the overhead of emulating network and disk hardware, whereas HVM guests had to translate these instructions to emulated hardware. Now PV drivers are available for HVM guests, so operating systems that cannot be ported to run in a paravirtualized environment can still see performance advantages in storage and network I/O by using them. With these PV on HVM drivers, HVM guests can get the same, or better, performance than paravirtual guests.

• Scheduled Instance도 있고 Reserved Scheduled Instance도 있다.

  • Scheduled Instance는 On-Demand로 스케쥴에 따라 ec2 인스턴스 상태를 변경하는 것
  • Reserved Scheduled Instance는 RI에 스케쥴을 정한 것. 필요한 시간에 대해서만 예약해서 싸다. 안 쓴다고 돈을 안내지는 않음.

• Bring your own IP addresses (BYOIP) in Amazon EC2

  • You can bring part or all of your public IPv4 address range from your on-premises network to your AWS account. You continue to own the address range, but AWS advertises it on the Internet. After you bring the address range to AWS, it appears in your account as an address pool. You can create an Elastic IP address from your address pool and use it with your AWS resources, such as EC2 instances, NAT gateways, and Network Load Balancers. This is also called "Bring Your Own IP Addresses (BYOIP)".

    To ensure that only you can bring your address range to your AWS account, you must authorize Amazon to advertise the address range and provide proof that you own the address range.

    A Route Origin Authorization (ROA) is a document that you can create through your Regional internet registry (RIR), such as the American Registry for Internet Numbers (ARIN) or Réseaux IP Européens Network Coordination Centre (RIPE). It contains the address range, the ASNs that are allowed to advertise the address range, and an expiration date.

    The ROA authorizes Amazon to advertise an address range under a specific AS number. However, it does not authorize your AWS account to bring the address range to AWS. To authorize your AWS account to bring an address range to AWS, you must publish a self-signed X509 certificate in the RDAP remarks for the address range. The certificate contains a public key, which AWS uses to verify the authorization-context signature that you provide. You should keep your private key secure and use it to sign the authorization-context message.

• Elastic Fabric Adapters (EFA)

  • EFA (Elastic Fabric Adapter)는 HPC (고성능 컴퓨팅) 및 기계 학습 애플리케이션을 가속화하기 위해 Amazon EC2 인스턴스에 연결할 수있는 네트워크 디바이스입니다.
  • EC2 인스턴스 당 하나의 EFA 만 연결할 수 있습니다.

• 기본 서브넷 동작과 일반 서브넷 동작의 차이

  • 기본 라우팅 테이블은 인터넷으로 향하는 서브넷의 트래픽을 인터넷 게이트웨이로 보내기 때문에 기본적으로 VPC 의 " 기본 서브넷 "은 실제로 퍼블릭 서브넷입니다. 대상 0.0.0.0/0에서 인터넷 게이트웨이로의 경로를 제거하여 기본 서브넷을 프라이빗 서브넷으로 만들 수 있습니다. 그러나 이렇게하면 해당 서브넷에서 실행중인 EC2 인스턴스가 인터넷에 액세스 할 수 없습니다.
  • 기본 서브넷으로 시작하는 인스턴스는 퍼블릭 IPv4 주소와 프라이빗 IPv4 주소, 퍼블릭 및 프라이빗 DNS 호스트 이름을 모두받습니다. 기본 VPC의 기본이 아닌 서브넷으로 시작하는 인스턴스는 퍼블릭 IPv4 주소 또는 DNS 호스트 이름을 수신하지 않습니다. 서브넷의 기본 공용 IP 주소 지정 동작을 변경할 수 있습니다.
  • 기본적으로 기본이 아닌 서브넷에는 IPv4 공용 주소 지정 속성이로 설정되어 **false**있고 기본 서브넷에는이 속성이로 설정되어 **true**있습니다. 예외는 Amazon EC2 시작 인스턴스 마법사에서 생성 한 기본이 아닌 서브넷입니다. 마법사는 속성을로 설정합니다 true.

• Placement Group (배치 그룹)

  • Cluster – packs instances close together inside an Availability Zone. This strategy enables workloads to achieve the low-latency network performance necessary for tightly-coupled node-to-node communication that is typical of HPC applications.

  

  • Partition – spreads your instances across logical partitions such that groups of instances in one partition do not share the underlying hardware with groups of instances in different partitions. This strategy is typically used by large distributed and replicated workloads, such as Hadoop, Cassandra, and Kafka.

  

  • Spread – strictly places a small group of instances across distinct underlying hardware to reduce correlated failures.

    A spread placement group can span multiple Availability Zones in the same Region. You can have a maximum of seven running instances per Availability Zone per group.

  

  There is no charge for creating a placement group.

• EC2 요금

  • https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-lifecycle.html

  

  • stopped 상태에서는 돈 안낸다.
  • 돈 내는 상태는
    • running
    • stopping (hibernation) → 메모리를 EBS로 옮겨야 하기 때문에 비용 발생
      • EBS비용은 계속 나간다. RAM 상태를 EBS에 보관하는 비용

• 다음은 서브넷에 대해 기억해야 할 중요한 사항입니다.

  • 각 서브넷은 단일 가용 영역에 매핑됩니다.
  • 생성 한 모든 서브넷은 VPC의 기본 라우팅 테이블과 자동으로 연결됩니다.
  • 서브넷의 트래픽이 인터넷 게이트웨이로 라우팅되는 경우 서브넷을 퍼블릭 서브넷이라고합니다.

• Enahnced Networking

  • Enhanced networking uses single root I/O virtualization (SR-IOV) to provide high-performance networking capabilities on supported instance types. SR-IOV is a method of device virtualization that provides higher I/O performance and lower CPU utilization when compared to traditional virtualized network interfaces. Enhanced networking provides higher bandwidth, higher packet per second (PPS) performance, and consistently lower inter-instance latencies. There is no additional charge for using enhanced networking.
  • Enhanced networking types
    • Elastic Network Adapter (ENA)
    • Intel 82599 Virtual Function (VF) interface

• Elastic Fabric Adapter: Run HPC and ML applications at scale

  • Enhanced Netwoking수준이 아니라 훨씬 빨라진다.
  • inter-node communication에 쓰임.

• Spot Instance

  • 스팟 인스턴스는 일반적으로 온 디맨드 가격에서 상당한 할인을 제공합니다.
  • 2 분 알림으로 Amazon EC2에서 용량 요구 사항으로 인스턴스를 중단 할 수 있습니다.
  • 스팟 가격은 예비 EC2 용량에 대한 장기적인 수급에 따라 점진적으로 조정됩니다.

  중단시 스팟 인스턴스를 종료, 중지 또는 최대 절전 모드로 설정할 수 있습니다. 중지 및 최대 절전 모드 옵션은 유지 옵션이 활성화 된 영구 스팟 요청 및 스팟 집합에 사용할 수 있습니다. 기본적으로 인스턴스가 종료(terminated) 됩니다.