VPC Flow Log
Flow Log (흐름 로그)
- VPC의 네트워크 인터페이스에서 전송되고 수신되는 IP 트래픽에 대한 정보를 수집할 수 있는 기능
- 데이터는 Amazon CloudWatch Logs 또는 Amazon S3에 저장 가능
- VPC, Subnet, EC2 인스턴스 레벨에 Flow Log 활성화 가능
- 트래픽을 실시간으로 캡처하지 않으며 기본 최대 집계간격이 10분 (1분으로 지정 가능)
- Flow Log 레코드는 허용(Accept), 거부(Reject), 모든 트래픽(All Traffic)을 캡처
- 인스턴스가 AWS DNS 서버에 연결할 때 생성한 트래픽
- AWS Windows 라이선스 인증을 위해 Windows 인스턴스에서 생성한 트래픽
- 인스턴스 메타데이터를 위해 169.254.169.254와 주고받는 트래픽
- AWS Time Sync Service를 위해 169.254.169.123과 주고받는 트래픽
- DHCP 트래픽
- 기본(Default) VPC 라우터의 예약된 IP 주소로 보내는 트래픽
- 엔드포인트 네트워크 인터페이스와 Network Load Balancer 네트워크 인터페이스 간의 트래픽
AWS Time Sync Service
2017년 12월 17일부터 시작된 각 리전에서 멀 티 위성 연결 및 원자 시계 플릿을 사용하여 매우 정확한 기준 시계를 제공하고 NTP(Network Time Protocol)를 통해 제공되는 시간 동기화 서비스인 Amazon Time Sync Service를 시작합니다. 이 서비스는 추가 비용 없이 제공되며 모든 퍼블릭 AWS 리전에서 VPC에서 실행 중인 모든 인스턴스에 즉시 사용할 수 있습니다.
로컬 169.254.169.123 IP 주소 링크를 통해 서비스에 액세스할 수 있으며, 이것은 외부 인터넷 엑세스를 구성할 필요 없이 프라이빗 서브넷 내에서 서비스에 안전하게 액세스할 수 있습니다.
설정 방법
Chrony는 ntpd에서 사용되는 것과 다른 NTP 구현이며 ntpd보다 더 빠르고 정확하게 시스템 시계를 동기화할 수 있습니다. 따라서 ntpd를 사용해야 할 특별한 이유가 없다면 Chrony를 사용하는 것이 좋습니다.
Amazon Linux에서 Chrony를 설치 및 구성하는 방법은 아래와 같습니다.
sudo sudo yum erase ntp*
sudo yum -y install chrony
sudo service chronyd start
또는 다음 줄을 추가하여 기존 NTP config를 수정하면 됩니다.
server 169.254.169.123 prefer iburst.
net stop w32time
w32tm /config /syncfromflags:manual /manualpeerlist:"169.254.169.123"
w32tm /config /reliable:yess
net start w32time
윤초 설정
시간은 엄격하며 과학과 사회 분야에서 ICRF(International Celestial Reference Frame)를 기준으로 시간을 측정합니다. ICRF는 멀리 떨어져 있는 퀘이사의 장기선 간섭법, GPS 위성 퀘도, 달의 레이저 거리 측정법 등을 이용하여 계산됩니다. 지구의 회전 속도가 불규칙하여 UTC 시간이 ICRF와 차이 나게 됩니다. 이 시계 오차를 해결하기 위해 IERS(International Earth Rotation and Reference Systems)에서는 실제 시간의 0.9초 이내에서 유지되는 윤초를 UTC에 도입했습니다.
윤초로 인해 애플리케이션 오류가 발생하는 것으로 알려져 있으며, 대부분의 고지식한 개발자와 시스템 관리자에게 이는 문제가 될 수 있습니다. 이 169.254.169.123 시계에서 일정 시간 동안 윤초를 제거하려(일반적으로 윤초 스미어링(leap smearing)이라고 함) 애플리케이션에서 윤초를 쉽게 처리할 수 있도록 합니다.