[AWS] EBS 다중 연결 & EBS 암호화

EBS 다중 연결

이름에서 알 수 있듯 다중 연결 기능은 하나의 EBS 볼륨을 같은 가용 영역(AZ)에 있는 여러 EC2 인스턴스에 연결하게 해주는 것이다.

→ 여러 EC2 인스턴스가 있고, 다중 연결 기능이 활성화된 io2 볼륨이 있을 때 이 볼륨을 여러 개의 EC2 인스턴스에 동시 연결할 수 있다는 뜻이다.

→ io1, io2 제품군에서만 사용할 수 있는 기능이다.

• 각 인스턴스는 고성능 볼륨에 대한 읽기 및 쓰기 권한을 전부 갖는다.
• 사용 사례
  • 어플리케이션 가용성을 높이기 위해 Teradata처럼 클러스터링 된 Linux 애플리케이션에서 사용한다.
  • 애플리케이션이 동시 쓰기 작업을 관리해야 할 때 사용.
• 다중 연결 기능은 해당 가용 영역 내에서만 사용할 수 있다.
  • 한 AZ에서 다른 AZ로 EBS 볼륨을 연결할 수 없다.
• 다중 연결은 한 번에 16개의 EC2 인스턴스만 연결할 수 있다.
• 다중 연결을 실행하려면 반드시 클러스터 인식 파일 시스템을 사용해야 한다.
  • 이는 XFS, EX4와 같은 파일 시스템과 다르다.

---

EBS 암호화

EBS 볼륨을 생성하면 즉시 다음과 같은 일이 발생한다.

• 저장데이터가 볼륨 내부에 암호화된다.
• 인스턴스와 볼륨 간의 전송 데이터 역시 암호화된다.
• 스냅샷 뿐만 아닌 스냅샷으로 생성된 볼륨 역시 모두 암호화된다.

→ 이때 암호화 및 복호화 메커니즘은 보이지 않게 처리된다.

→ 즉, 백그라운드에서 EC2와 EBS가 모두 처리한다.

→ 지연 시간에 거의 영향이 없기 때문에 사용하면 좋다.

→ KMS에서 암호화 키를 생성해 AES-256 암호화 표준을 갖는다.

EBS 볼륨을 암호화하거나 푸는 방법

1. 볼륨의 EBS 스냅샷을 생성한다.
2. 암호화된 볼륨을 인스턴스 원본에 연결한다.

Ex

1. 암호화 하지 않은 1GB 볼륨을 생성한다.
2. Encrypt this volume를 선택하면 된다.

→ 이 때 선택하지 않으면 자동으로 스냅샷도 암호화되지 않는다.

1. Actions Copy snapshot 으로 스냅샷을 복사할 때 동일한 대상 리전에 암호화를 활성화한다.
2. KMS키를 선택한다.
3. 이를 통해 Create volume from snapshot를 클릭하여 볼륨을 생성하면 암호화된다.

위에 설명한 것처럼 순서에 차이가 있을 뿐 어떤 순서에서든 암호화를 선택하여 더욱 간편하게 이용하는 방식도 존재한다.