개요
Amazon Elastic Compute Cloud(Amazon EC2)는 클라우드 데이터베이스를 위한 안전하고 크기 조정이 가능한 컴퓨팅 용량을 제공하는 웹 서비스입니다. Amazon EC2에서 데이터베이스를 호스팅하면 데이터베이스와 그 환경에 대한 높은 수준의 사용자 지정 및 제어가 가능합니다. 복제, 장애 조치, 모니터링, 알림 및 백업 관리를 비롯하여 기존 수작업 데이터베이스 관리를 그대로 유지합니다. Amazon Relational Database Service(Amazon RDS)와 같은 AWS 관리형 데이터베이스 솔루션은 이러한 모든 작업에 대한 완전 자동화 솔루션을 제공합니다.
Amazon RDS를 사용하면 클릭 몇 번으로 동기식 복제를 구성할 수 있습니다. 장애가 발생하면 Amazon RDS가 자동으로 60~120초 내에 보조 서버로 장애 조치합니다. DNS 엔드포인트를 사용하면 복잡한 라우팅, IP 재할당 또는 DNS 전파 지연을 방지할 수 있습니다. 이 서비스를 성공적으로 구현하려면 자동 장애 조치가 애플리케이션에 어떤 영향을 미치는지 이해하는 것이 중요합니다. 이 실습에서는 장애 조치 이벤트를 복제하고 애플리케이션이 어떻게 대응하는지 살펴봅니다.
사용자 액세스 관리는 데이터베이스 서비스를 사용할 때 또 다른 중요 고려 사항입니다. 데이터베이스를 지속적으로 보호하려면 정기적으로 암호를 변경하는 것이 중요합니다. 그러나 필요한 모든 위치에서 루트 수준 암호를 업데이트하는 것은 번거로울 정도로 복잡합니다. AWS Secrets Manager를 사용하여 비밀을 안전하게 관리하고 저장할 수 있습니다.
Secrets Manager를 사용하면 데이터베이스 서비스 및 기타 여러 AWS 서비스를 구성하여 런타임 시 비밀을 가져와 올바른 최신 비밀이 제공됩니다. 따라서 모든 시스템에 대해 복잡한 암호를 설정할 수 있습니다. 이 실습에서는 Secrets Manager를 구성하고 AWS Lambda 함수를 추가하여 설정된 빈도로 데이터베이스 사용자의 암호를 자동으로 교체하는 방법을 보여줍니다.
Amazon RDS: Amazon RDS는 클라우드에서 관계형 데이터베이스의 설정, 운영 및 확장을 용이하게 합니다. 하드웨어 프로비저닝, 데이터베이스 설정, 패치 및 백업과 같은 시간 소모적인 관리 작업을 자동화하면서 비용 효율적이고 크기 조정 가능한 용량을 제공합니다.
AWS Secrets Manager: Secrets Manager는 애플리케이션, 서비스, IT 리소스에 액세스할 때 필요한 비밀을 보호하는 데 도움이 됩니다. 이 서비스를 사용하면 데이터베이스 자격 증명, API 키 및 기타 Secret을 수명 주기 동안 쉽게 회전, 관리 및 검색할 수 있습니다. 사용자 및 애플리케이션은 Secrets Manager API를 호출하여 Secret을 검색하므로 민감한 정보를 일반 텍스트로 하드 코딩할 필요가 없습니다. Secrets Manager는 Amazon RDS와 기본적으로 통합되어 비밀 교체 기능을 제공합니다.
목표
이 실습을 완료하면 다음을 수행할 수 있습니다.
- 다중 AZ 장애 조치 및 암호화를 사용하여 Amazon RDS 인스턴스 설정 및 구성
- Secrets Manager를 통해 비밀 생성 및 저장
- Secrets Manager를 통해 비밀 자동 교체 활성화
- SSL을 사용하여 전송 중 암호화 설정
- 다중 AZ 장애 조치 및 데이터 동기화 테스트
수강 전 권장 사항
이 실습에는 다음이 필요합니다.
- Microsoft Windows, macOS X 또는 Linux(Ubuntu, SUSE, Red Hat)가 실행되는 Wi-Fi 지원 노트북
- 참고: 이 지침은 iPad 또는 태블릿 디바이스를 사용해 실습 콘솔에서 확인할 수 있습니다.
- 인터넷 브라우저(예: Chrome, Firefox 또는 IE9 이상)
- 참고: 이전 버전의 Internet Explorer는 지원되지 않습니다.
- PuTTY와 같은 SSH 클라이언트
필수 기술 지식
이 실습을 성공적으로 완료하려면 다음 내용에 익숙해야 합니다.
- AWS 관리 콘솔에 대한 기본 탐색
- 데이터베이스 개념, MySQL 및 데이터베이스 가용성에 대한 이해
- 다른 서비스 및 애플리케이션과 통합 시 비밀의 기능적 역할에 대한 이해
소요 시간
이 실습을 완료하는 데 60분 정도가 소요됩니다.
실습 환경
이 실습에서 사용할 수 있도록 Amazon EC2 인스턴스가 프로비저닝되었습니다. 이 인스턴스는 퍼블릭 서브넷 내에서 CommandHost 역할을 합니다. EC2 인스턴스는 포트 3306을 통해 프라이빗 서브넷에 위치한 데이터베이스 인스턴스와 커뮤니케이션하도록 구성되어 있습니다. 인스턴스가 비밀 자동 교체를 위해 구성된 Secrets Manager 역할에 추가되었습니다. Amazon RDS 인스턴스를 초기화하는 데 시간이 걸릴 수 있습니다. 이러한 이유로 실습의 일부로 구성할 인스턴스를 미러링하는 사전 구성된 Amazon RDS 인스턴스가 생성되었습니다. 이렇게 하면 기다릴 필요 없이 실습을 계속할 수 있습니다.
