[AWS] Developer Associate #4 컨테이너(ECR, ECS, EKS)

컨테이너란?

• 컨테이너 이미지는 환경에 상관없이 실행되기 위해 실행에 필요한 모든 요소를 포함한 소프트웨어 패키지입니다.
• 컨테이너 이미지는 애플리케이션 코드와 코드를 실행할 수 있는 런타임(JVM, Node.js 등), 라이브러리, 설정 파일로 구성됩니다.
• 컨테이너는 컨테이너 이미지의 인스턴스이며 종료 시 모든 데이터가 휘발됩니다.
• AWS는 컨테이너 이미지를 저장하는 Registry로 ECR, 컨테이너를 스케줄링하고 관리하는 Orchestration 도구로 ECS와 EKS를 제공합니다.
• 컨테이너 레지스트리는 컨테이너 이미지를 저장하고 액세스하는데 사용됩니다.
• 컨테이너 오케스트레이션 도구는 컨테이너의 프로비저닝과 배포, 라이프 사이클을 자동화하는 것을 목표로 합니다.

ECR(Elastic Container Registry)

• Amazon ECR은 컨테이너 이미지 및 아티팩트를 공유하고 배포할 수 있게 해주는 완전 관리형 컨테이너 레지스트리입니다.
• ECR은 S3를 사용하여 컨테이너 이미지를 저장하여 뛰어난 가용성을 제공합니다.
• ECR은 IAM과 통합되어 각 레포지토리를 리소스 수준으로 제어할 수 있으므로 조직뿐만 아니라 전 세계 누구와도 공유할 수 있습니다.
• ECR에 대한 모든 접근은 IAM으로 제어하기 때문에 ECR에 권한 에러가 생긴다면 IAM 정책을 확인해야 합니다.
• ECR은 프라이빗 레포지토리와 퍼블릭 레포지토리를 제공합니다.
• 프라이빗 레포지토리는 IAM 기반 인증을 거쳐야 이미지를 가져올 수 있습니다.
• 퍼블릭 레포지토리는 누구나 어디서든 인증을 거치지 않고도 이미지를 가져올 수 있습니다.
• ECR은 Docker CLI와 통합되므로 ‘docker push’ 명령으로 이미지를 푸시하고 ‘docker pull’ 명령으로 이미지를 가져올 수 있습니다.
• Tag immutability를 활성화하면 이미지 태그를 덮어쓰는 걸 방지할 수 있습니다.
• ECR Image Scan은 컨테이너 이미지의 소프트웨어 취약성을 식별하는 데 사용하는 기능입니다.
• ECR Lifecycle은 기간 또는 개수에 따라 이미지를 만료시키고 레포지토리를 정리하는 방법을 제공합니다.

ECS(Elastic Container Service)

• ECS는 AWS에서 만든 독자적인(opinionated) 컨테이너 오케스트레이션 서비스입니다.
• ECS는 AWS에서 컨테이너를 운영하기 위한 완전 관리형 서비스입니다.
• ECS는 컨테이너가 실행되는 인프라인 Capacity와 컨테이너를 배포하고 관리하는 Controller로 구성됩니다.
• Capacity는 옵션으로 EC2 인스턴스와 Fargate, On-premise VM(또는 서버)를 제공합니다.
• ECS는 Task, Task definition, Serivce, Cluster로 구성됩니다.
• ECS Task definition은 ECS에서 컨테이너를 실행하기 위해 사용할 컨테이너 이미지와 개방할 포트, 환경 변수 등을 정의하는 JSON 형식의 텍스트입니다.
• ECS Task는 Task definition의 인스턴스화 한 것입니다.
• ECS Task는 ECS에서의 애플리케이션 실행 단위로 하나 이상의 컨테이너로 구성되어 있습니다.
• ECS Task는 standalone으로 실행되거나 service의 일부로 실행됩니다.
• ECS Service는 원하는 수의 Task를 동시에 실행하고 유지 관리하는 스케줄러로 로드 밸런서와 태스크를 실행할 네트워크를 지정합니다.
• ECS Task가 어떠한 이유라도 실패하거나 중지되는 경우 ECS Service scheduler는 Task definition에 맞게 Task를 실행하여 Task의 수를 유지합니다.
• ECS Cluster는 task 또는 service의 논리적 그룹입니다.
• Task Role은 ECS Task가 AWS API를 호출할 때 사용하는 역할이고 Task Execution Role은 ECS Agent가 AWS API를 호출할 때 사용하는 역할입니다.

EKS(Elastic Kubernetes Service)

• Kubernetes는 컨테이너 오케스트레이션 시스템으로 오픈 소스입니다.
• EKS는 AWS에서 Kuberntes를 운영하기 위한 완전 관리형 서비스입니다.
• Kubernetes는 컨테이너화된 애플리케이션을 배포하고 관리하는 데 사용하는 오픈 소스 컨테이너 오케스트레이션 시스템입니다.
• Kubernetes cluster는 Control plane과 Worker node로 구성되어 있습니다.
• Control plane은 클러스터를 관리하고 Worker node는 실제 워크로드가 실행되는 위치를 제공합니다.
• EKS는 Control plane을 설치, 운영 및 유지관리 할 필요가 없습니다.
• EKS는 고가용성 및 내결함성을 위해 여러 AZ에 걸쳐 Control plane을 프로비저닝하고 확장합니다.
• EKS는 Kubernetes 규격 인증을 받아 기존의 Kubernetes에서 동작하던 애플리케이션을 수정하지 않고도 EKS에서 실행할 수 있습니다.

ECS와 EKS

• ECS는 오픈소스가 아니지만 Kubernetes는 오픈소스입니다.
• ECS는 러닝커브가 낮지만 EKS는 러닝커브가 높습니다.
• ECS는 버전이 없어 클러스터를 업그레이드하지 않아도 됩니다. 그러나 EKS는 버전이 있어 클러스터를 주기적으로 업그레이드해야 합니다.
  EKS는 kubernetes 최신 버전과의 호환성을 유지하기 위해 유지 관리 기간이 지나면 컨트롤 플레인 버전을 자동으로 업데이트합니다.
• ECS는 사용한 EC2, Fargate에 대한 요금만 부과되지만 EKS는 EC2, Fargate와 EKS 클러스터 자체의 요금도 부과됩니다.
• ECS는 단순함과 유연성을 중심으로 설계되어 사용자가 쉽게 사용할 수 있습니다.
• EKS는 기존의 Kubernetes를 사용하고 있거나 Kubernetes를 AWS에서 사용하고자 하는 경우 사용할 수 있습니다.
• 기존의 워크로드를 클라우드로 마이그레이션하기 위해서 ECS로 시작하여 EKS로 점진적으로 확장할 수 있습니다.

ECS Anywhere & EKS Anywhere

• ECS Anywhere와 EKS Anywhere는 고객이 관리하는 인프라(on-premise, VM 등)에서 컨테이너를 실행하는 방법입니다.
• ECS Anywhere는 고객의 인프라에서 컨테이너 워크로드를 실행하고 관리할 수 있는 Amazon ECS의 기능입니다.
• EKS Anywhere를 사용하면 고객의 인프라에서 Kubernetes 클러스터를 생성하고 운영할 수 있습니다.
• EKS Anywhere는 EKS 오픈소스 배포판인 EKS Distro를 기반으로 구축됩니다.

AWS Copilot

• AWS Copilot은 컨테이너화된 애플리케이션을 쉽게 구축, 배포, 운영할 수 있도록 도와주는 오픈 소스 CLI입니다.
• AWS Copilot은 고객이 인프라를 설정하는 대신 애플리케이션 구축에 집중할 수 있도록 도와줍니다.
• AWS Copilot은 하나의 명령으로 컨테이너 애플리케이션을 실행하는 데 필요한 모든 인프라(VPC, ELB, ECR 등)를 프로비저닝 할 수 있습니다.
• AWS Copilot은 Request-Driven, Load Balanced, Worker, Static Site등의 서비스를 구성할 수 있습니다.
• AWS Copilot은 Cloudformation으로 인프라를 프로비저닝합니다.
• AWS Copilot은 Amazon ECS, AWS Fargate, AWS App Runner에서 컨테이너를 구축 및 운영 관리하는 데 사용할 수 있습니다.