에서 Amazon RDS 인스턴스 복제 자동화 AWS 계정 - 권장 가이드
요약사전 조건 및 제한 사항아키텍처도구에픽관련 리소스추가 정보

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

에서 Amazon RDS 인스턴스 복제 자동화 AWS 계정

작성자: Parag Nagwekar(AWS) 및 Arun Chandapillai(AWS)

요약

이 패턴은 AWS Step Functions 및를 사용하여 서로 다른에서 Amazon Relational Database Service(AmazonRDS) DB 인스턴스를 복제, 추적 및 롤백 AWS 계정 하는 프로세스를 자동화하는 방법을 보여줍니다 AWS Lambda. 이 자동화를 사용하면 조직의 규모에 관계없이 성능 영향이나 운영 오버헤드 없이 RDS DB 인스턴스를 대규모로 복제할 수 있습니다. 또한이 패턴을 사용하면 조직이 서로 다른 AWS 계정 및 간에 데이터를 복제하고 중복하도록 요구하는 필수 데이터 거버넌스 전략 또는 규정 준수 요구 사항을 준수할 수 있습니다 AWS 리전. 대규모 Amazon RDS 데이터의 교차 계정 복제는 비용이 많이 들고 시간이 많이 걸릴 수 있는 비효율적이고 오류가 발생하기 쉬운 수동 프로세스이지만,이 패턴의 자동화는 교차 계정 복제를 안전하고 효과적이며 효율적으로 달성하는 데 도움이 될 수 있습니다.

사전 조건 및 제한 사항

사전 조건 

  • 2개 AWS 계정

  • 소스에서 실행 중인 RDS DB 인스턴스 AWS 계정

  • 대상의 RDS DB 인스턴스에 대한 서브넷 그룹 AWS 계정

  • 소스에서 생성 AWS 계정 되어 대상 계정과 공유되는 AWS Key Management Service (AWS KMS) 키(정책 세부 정보에 대한 자세한 내용은이 패턴의 추가 정보 섹션을 참조하세요.)

  • 대상 계정 AWS KMS key 의 데이터베이스를 암호화 AWS 계정 하기 위한 대상의

제한 사항

제품 버전

  • Python 3.9(사용 AWS Lambda)

  • PostgreSQL 11.3, 13.x 및 14.x

아키텍처

기술 스택

  • Amazon Relational Database Service(AmazonRDS)

  • Amazon Simple Notification Service(AmazonSNS)

  • AWS Key Management Service (AWS KMS)

  • AWS Lambda

  • AWS Secrets Manager

  • AWS Step Functions

대상 아키텍처 

다음 다이어그램은 Step Functions를 사용하여 소스 계정(계정 A)에서 대상 계정(계정 B)으로 RDS DB 인스턴스의 예약된 온디맨드 복제를 오케스트레이션하기 위한 아키텍처를 보여줍니다.

Step Functions를 사용하여 소스 및 대상 계정 간에 Amazon RDS DB 인스턴스 복제.

소스 계정(다이어그램의 계정 A)에서 Step Functions 상태 시스템은 다음을 수행합니다.

  1. 계정 A의 RDS DB 인스턴스에서 스냅샷을 생성합니다.

  2. AWS KMS key 계정 A의 로 스냅샷을 복사하고 암호화합니다. 전송 중 암호화를 보장하기 위해 DB 인스턴스의 암호화 여부와 관계없이 스냅샷이 암호화됩니다.

  3. 계정 B에게 스냅샷에 대한 액세스 권한을 부여하여 계정 B와 DB 스냅샷을 공유합니다.

  4. SNS 주제에 대한 알림을 푸시한 다음 SNS 주제는 계정 B에서 Lambda 함수를 호출합니다.

대상 계정(다이어그램의 계정 B)에서 Lambda 함수는 Step Functions 상태 시스템을 실행하여 다음을 오케스트레이션합니다.

  1. 계정 A의를 사용하여 먼저 데이터를 복호화한 다음 계정 B의를 사용하여 데이터를 암호화하면서 계정 A AWS KMS key 의 공유 스냅샷 AWS KMS key 을 계정 B로 복사합니다.

  2. Secrets Manager에서 보안 암호를 읽어 현재 DB 인스턴스의 이름을 캡처합니다.

  3. 스냅샷에서 DB 인스턴스를 새 이름과 AWS KMS key Amazon의 기본값으로 복원합니다RDS.

  4. 새 데이터베이스의 엔드포인트를 읽고 Secrets Manager에서 보안 암호를 새 데이터베이스 엔드포인트로 업데이트한 다음, 나중에 삭제할 수 있도록 이전 DB 인스턴스에 태그를 지정합니다.

  5. 데이터베이스의 최신 N 인스턴스를 유지하고 나머지 인스턴스는 모두 삭제합니다.

도구

AWS 서비스

  • Amazon Relational Database Service(Amazon RDS)를 사용하면에서 관계형 데이터베이스를 설정, 운영 및 확장할 수 있습니다 AWS 클라우드.

  • Amazon Simple Notification Service(Amazon SNS)를 사용하면 웹 서버 및 이메일 주소를 포함하여 게시자와 클라이언트 간의 메시지 교환을 조정하고 관리할 수 있습니다.

  • AWS CloudFormation는 AWS 리소스를 설정하고, 리소스를 빠르고 일관되게 프로비저닝하고, AWS 계정 및 수명 주기 전반에 걸쳐 리소스를 관리할 수 있도록 지원합니다 AWS 리전.

  • AWS Key Management Service (AWS KMS)를 사용하면 암호화 키를 생성하고 제어하여 데이터를 보호할 수 있습니다.

  • AWS Lambda는 서버를 프로비저닝하거나 관리할 필요 없이 코드를 실행하는 데 도움이 되는 컴퓨팅 서비스입니다. 필요할 때만 코드를 실행하며 자동으로 확장이 가능하므로 사용한 컴퓨팅 시간만큼만 비용을 지불합니다.

  • AWS SDK for Python (Boto3)는 Python 애플리케이션, 라이브러리 또는 스크립트를와 통합하는 데 도움이 되는 소프트웨어 개발 키트입니다 AWS 서비스.

  • AWS Secrets Manager는 암호를 포함하여 코드의 하드 코딩된 자격 증명을 Secrets Manager에 프로그래밍 방식으로 암호를 검색하라는 API 호출로 대체하는 데 도움이 됩니다.

  • AWS Step Functions는 Lambda 함수 및 기타를 결합하여 비즈니스 크리티컬 애플리케이션을 구축하는 AWS 서비스 데 도움이 되는 서버리스 오케스트레이션 서비스입니다.

코드 리포지토리

이 패턴의 코드는 GitHub 크로스 계정 RDS 복제 리포지토리에서 사용할 수 있습니다.

에픽

작업설명필요한 기술

소스 계정에 CloudFormation 스택을 배포합니다.

  1. 소스 계정(계정 A)의 AWS Management Console 에 로그인하고 CloudFormation 콘솔을 엽니다.

  2. 탐색 창에서 스택을 선택합니다.

  3. 스택 생성을 선택한 다음 기존 리소스 사용(리소스 가져오기))를 선택합니다.

  4. 리소스 식별 페이지에서 다음을 선택합니다.

  5. 템플릿 지정 페이지에서 템플릿 업로드를 선택합니다.

  6. 파일 선택을 선택하고 GitHub 크로스 계정 RDS 복제 리포지토리에서 Cloudformation-SourceAccountRDS.yaml 파일을 선택한 다음 다음을 선택합니다.

  7. 스택 이름에 스택에 대한 이름을 입력합니다.

  8. Parameters(파라미터) 섹션에서 스택 템플릿에서 정의된 파라미터를 다음과 같이 지정합니다.

    • 에 대상 RDS DB 인스턴스의 계정 번호를 DestinationAccountNumber입력합니다.

    • 에를 KeyName입력합니다 AWS KMS key.

    • cron 표현식을 ScheduleExpression입력합니다(기본값은 매일 오전 12시).

    • SourceDBIdentifier에 소스 데이터베이스의 이름을 입력합니다.

    • S ourceDBSnapshot이름에 스냅샷의 이름을 입력하거나 기본값을 수락합니다.

  9. Next(다음)를 선택합니다.

  10. 스택 옵션 구성 페이지에서 기본 옵션을 유지하고 다음(Next)을 선택합니다.

  11. 스택 구성을 검토하고 제출을 선택합니다.

  12. 스택의 리소스 탭을 선택한 다음 SNS 주제의 Amazon 리소스 이름(ARN)을 기록해 둡니다.

클라우드 관리자, 클라우드 아키텍트

대상 계정에 CloudFormation 스택을 배포합니다.

  1. 대상 계정(계정 B)의 AWS Management Console 에 로그인하고 CloudFormation 콘솔을 엽니다.

  2. 탐색 창에서 스택을 선택합니다.

  3. 스택 생성을 선택한 다음 기존 리소스 사용(리소스 가져오기))를 선택합니다.

  4. 리소스 식별 페이지에서 다음을 선택합니다.

  5. 템플릿 지정 페이지에서 템플릿 업로드를 선택합니다.

  6. 파일을 선택하고 GitHub 크로스 계정 RDS 복제 리포지토리에서 Cloudformation-DestinationAccountRDS.yaml 파일을 선택한 다음 다음을 선택합니다.

  7. 스택 이름에 스택에 대한 이름을 입력합니다.

  8. Parameters(파라미터) 섹션에서 스택 템플릿에서 정의된 파라미터를 다음과 같이 지정합니다.

    • 에 데이터베이스의 이름을 DatabaseName입력합니다.

    • Engine의 경우 소스 데이터베이스와 일치하는 데이터베이스 엔진 유형을 입력합니다.

    • 에 기본 데이터베이스 인스턴스 유형을 DBInstanceClass입력하거나 기본값을 수락합니다.

    • 서브넷 그룹에 기존 VPC 서브넷 그룹을 입력합니다. 서브넷 그룹 생성에 대한 지침은 Amazon RDS 설명서의 2단계: DB 서브넷 그룹 생성을 참조하세요.

    • 에 경로와 보안 암호 이름을 SecretName입력하거나 기본값을 수락합니다.

    • 에 대상 클러스터의 보안 그룹 ID를 SGID입력합니다.

    • 에 대상 계정에 있는 KMS 키ARN의를 KMSKey입력합니다.

    • 에 롤백을 위해 보관하려는 RDS DB 인스턴스의 이전 복사본 수를 NoOfOlderInstances입력합니다.

  9. Next(다음)를 선택합니다.

  10. 스택 옵션 구성 페이지에서 기본 옵션을 유지하고 다음(Next)을 선택합니다.

  11. 스택 구성을 검토하고 제출을 선택합니다.

  12. 스택의 리소스 탭을 선택한 다음 물리적 ID 및 ARN의를 기록해 둡니다InvokeStepFunction.

클라우드 아키텍트, DevOps 엔지니어, 클라우드 관리자

대상 계정에서 RDS DB 인스턴스가 생성되었는지 확인합니다.

  1. 에 로그인 AWS Management Console 하고 Amazon RDS 콘솔을 엽니다.

  2. 탐색 창에서 데이터베이스를 선택한 다음 새 RDS DB 인스턴스가 새 클러스터 아래에 나타나는지 확인합니다.

클라우드 관리자, 클라우드 아키텍트, DevOps 엔지니어

Lambda 함수를 SNS 주제에 구독합니다.

대상 계정 AWS Command Line Interface (계정 B AWS CLI)의 Lambda 함수를 소스 계정(계정 A)의 SNS 주제에 구독하려면 다음() 명령을 실행해야 합니다.

계정 A에서 다음  명령을 실행합니다.

aws sns add-permission \
--label lambda-access --aws-account-id <DestinationAccount> \
--topic-arn <Arn of SNSTopic > \
--action-name Subscribe ListSubscriptionsByTopic

계정 B에서 다음  명령을 실행합니다.

aws lambda add-permission \
--function-name <Name of InvokeStepFunction> \
--source-arn <Arn of SNSTopic > \
--statement-id function-with-sns \
--action lambda:InvokeFunction \
--principal sns.amazonaws.com

계정 B에서 다음  명령을 실행합니다.

aws sns subscribe \
--protocol "lambda" \
--topic-arn <Arn of SNSTopic> \
--notification-endpoint <Arn of InvokeStepFunction>
클라우드 관리자, 클라우드 아키텍트, DBA

소스 계정의 RDS DB 인스턴스를 대상 계정과 동기화합니다.

소스 계정에서 Step Functions 상태 기계를 시작하여 온디맨드 데이터베이스 복제를 시작합니다.

  1. Step Functions 콘솔을 엽니다.

  2. 탐색 창에서 상태 머신을 선택합니다.

  3. 상태 머신을 선택합니다.

  4. 실행 탭에서 함수를 선택한 다음 실행 시작을 선택하여 워크플로를 시작합니다.

참고

스케줄러는 일정에 따라 자동으로 복제를 실행하는 데 도움이 되도록 마련되어 있지만 스케줄러는 기본적으로 꺼져 있습니다. 대상 계정의 CloudFormation 스택 리소스 탭에서 스케줄러에 대한 Amazon CloudWatch 규칙의 이름을 찾을 수 있습니다. CloudWatch 이벤트 규칙을 수정하는 방법에 대한 지침은 CloudWatch 설명서의 CloudWatch 이벤트 규칙 삭제 또는 비활성화를 참조하세요.

클라우드 아키텍트, DevOps 엔지니어, 클라우드 관리자

필요한 경우 데이터베이스를 이전 복사본 중 하나로 롤백합니다.

  1. Secrets Manager 콘솔을 엽니다.

  2. 보안 암호 목록에서 이전 CloudFormation 템플릿을 사용하여 생성한 보안 암호를 선택합니다. 애플리케이션은 보안 암호를 사용하여 대상 클러스터의 데이터베이스에 액세스합니다.

  3. 세부 정보 페이지에서 보안 암호 값을 업데이트 하려면, 보안 암호 값 섹션에서 보안 암호 값 검색을 선택한 후 편집을 선택합니다.

  4. 데이터베이스 엔드포인트의 세부 정보를 입력합니다.

클라우드 관리자, DBA, DevOps 엔지니어

관련 리소스

추가 정보

다음 예제 정책을 사용하여 AWS KMS key 를 공유할 수 있습니다 AWS 계정.

{
    "Version": "2012-10-17",
    "Id": "cross-account-rds-kms-key",
    "Statement": [
        {
            "Sid": "Enable user permissions",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::<SourceAccount>:root"
            },
            "Action": "kms:*",
            "Resource": "*"
        },
        {
            "Sid": "Allow administration of the key",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::<DestinationAccount>:root"
            },
            "Action": [
                "kms:Create*",
                "kms:Describe*",
                "kms:Enable*",
                "kms:List*",
                "kms:Put*",
                "kms:Update*",
                "kms:Revoke*",
                "kms:Disable*",
                "kms:Get*",
                "kms:Delete*",
                "kms:ScheduleKeyDeletion",
                "kms:CancelKeyDeletion"
            ],
            "Resource": "*"
        },
        {
            "Sid": "Allow use of the key",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::<DestinationAccount>:root",
                    "arn:aws:iam::<SourceAccount>:root"
                ]
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:DescribeKey",
                "kms:CreateGrant"
            ],
            "Resource": "*"
        }
    ]
}