https://dev.classmethod.jp/articles/myfirstnvpcsetup/

初心者向け】初めて VPC 環境作成してみた

はじめて Amzon VPC を作成してみました。まずは手を動かしてみたい方向けに、手順ごとにスクリーンショットを添付しています。Amazon VPC や各用語については AWS ドキュメントのリンクを貼っていますので、そちらを参考にしてください。

• EC2
• 認定試験

• #AWS
• #初心者向け
• #Amazon VPC
• #AWS認定
• #Amazon EC2

chicca

2019.08.31

0

1

5

こんにちは chicca です。

初めてEC2インスタンスを起動してみます。

今回はその準備として VPC 環境を作成した時のおさらいメモブログです。

とりあえず、手を動かしてみました。

知っておきたい用語

• VPC…仮想ネットワークのこと。この中に EC2 を起動する。
• CIDR（Classless Inter-Domain Routing）…VPC を作成するときに IPv4 アドレスの範囲を指定する形式。サイダーと読む。
• インターネットゲートウェイ…ネットワークの出入り口。 VPC にひとつ付ける。
• ルートテーブル…ネットワークの交通整理をする。通信の経路（ルート）を決める。パブリックサブネットに付ける。

手順

0-1．AWS アカウントにログイン

0-2．マネジメントコンソール「サービスを検索する」から「VPC」を検索

1．VPCを作成：Amazon VPC とは?

VPC > 「VPCの作成」
次の2箇所を入力し「作成」をクリックします 名前タグ: 任意の名称。今回は「vpc-no1」 IPv4 CIRD ブロック: 任意の IP アドレス。今回は「10.0.0.0/16」
VPC が作成されたら「閉じる」
VPC ができました

2．パブリックサブネットとプライベートサブネットを作成：VPC とサブネット

パブリックサブネットとプライベートサブネットの作成手順は同じです。

サブネット > 「サブネットの作成」
次の3箇所を入力し「作成」をクリックします 【パブリックサブネット】 名前タグ: 任意の名称。今回は「vpc-no1-public」 VPC: リストから先ほど作成した VPC を選択 IPv4 CIRD ブロック: 任意の IP アドレス。今回は「10.0.0.0/24」 【プライベートサブネット】 名前タグ: 任意の名称。今回は「vpc-no1-private」 VPC: リストから先ほど作成した VPC を選択 IPv4 CIRD ブロック: 任意の IP アドレス。今回は「10.0.1.0/24」
サブネット が作成されたら「閉じる」
サブネット ができました

3 .インターネットゲートウェイを作成：インターネットゲートウェイ

インターネットゲートウェイ > 「インターネットゲートウェイの作成」
次の1箇所を入力し「作成」をクリックします 名前タグ: 任意の名称。今回は「igw-no1」
ゲートウェイ が作成されたら「閉じる」
ゲートウェイ ができました

4．VPC にインターネットゲートウェイをアタッチ

手順 3．で作成したゲートウェイを選択し、「アクション」をクリック 選択肢から「VPC にアタッチ」を選ぶ
VPC: 手順 1．で作成した VPCを選択し「アタッチ」
アタッチされました

5．ルートテーブルの作成：ルートテーブル

サブネットを作成するとデフォルトのルートテーブルが作成されますが、今回は自分で作成します

ルートテーブル > 「ルートテーブルの作成」
次の2箇所を入力し「作成」をクリックします 名前タグ: 任意の名称。今回は「rtb-no1-public」 VPC: 手順 1．で作成した VPC を選択
ルートテーブル が作成されたら「閉じる」
ルートテーブル ができました

6．ルートテーブルをパブリックサブネットにアタッチ

手順 5．で作成したルートテーブルを選択し、「サブネットの関連付け」タブ > 「サブネット関連付けの編集」
手順 2．で作成したパブリックサブネットを選択し「保存」
パブリックサブネットにルートテーブルがアタッチされました

 

本日はここまでです。

https://dev.classmethod.jp/cloud/apigateway-supports-vpc-endpoint/

ども、大瀧です。
昨日、API Gatewayの新機能としてプライベートAPIがリリースされ、同時にAPI GatewayがVPCエンドポイントに対応しました。

• Introducing Amazon API Gateway Private Endpoints | AWS Compute Blog

API Gatewayは、AWS Lambdaとの組み合わせでAWSにおけるサーバーレスアプリケーションを実現する鉄板構成です。今回追加された2つの機能で、VPCやDirect Connectなどのプライベートなネットワークからのみアクセスできるプライベートなサーバーレスアプリを構築できるようになりました。その様子をご紹介します。

プライベートなサーバーレスアプリの構成

VPCエンドポイントは、AWSでプライベートなネットワークを提供するVPCからインターネットを経由せずにAWSサービスにアクセスできる機能です。最近対応サービスが増えてきており、今回VPCエンドポイント経由でAPI Gatewayにもアクセスできるようになりました。

一方でAPI Gatewayはこれまでインターネットからのアクセスのみを想定し、リージョンごとにエンドポイントを持つ地域タイプとエッジロケーションを利用するエッジ最適化タイプから選択していました。今回、リージョンごとにVPCエンドポイントを経由するアクセスのみ可能となるプライベートタイプが追加されたわけです。

プライベートタイプは一部 ^*1を除くAPI Gatewayのほとんどの機能が利用できるため、バックエンドにLambdaを構成することでVPCエンドポイント経由でプライベートネットワークにサーバーレスアプリケーションを提供できます。

1. VPCエンドポイントの作成

今回はAPI GatewayのサンプルAPI PetStoreをVPCからアクセスできるように、東京リージョンで構成してみます。

VPCやDirect ConnectからアクセスするためのVPCエンドポイントの作成をVPC管理画面のメニュー[エンドポイント] - [エンドポイントの作成]から行います。[サービスカテゴリ]は「AWSサービス」のままにし、サービス一覧からAPI Gateway(com.amazonaws.<リージョン名>.execute-api)を選択します。

加えてVPCサブネット(基本的には全部選択)およびセキュリティグループ(API GatewayはHTTPS:443なのでそれを許可するルール)を選択、エンドポイントを作成します。

エンドポイント一覧には、プライベートネットワークから接続するためDNS名がいくつか表示されます。それぞれ解説します。

1. execute-api.<リージョン名>.amazonaws.com : ドキュメントにあるプライベートDNS名のひとつ。任意のAPI Gatewayにアクセスできるが証明書のCNが合わないため実用的ではなく、後述のCNAMEの振り先と推測される。Direct Connect経由のオンプレミスからは直接引けない点に注意。
2. *.execute-api.<リージョン名>.amazonaws.com : ドキュメントにあるプライベートDNS名のひとつ。後の手順で作成するAPI Gatewayのリソース名をサブドメインに指定してアクセスする。Direct Connect経由のオンプレミスからは直接引けない点に注意。
3. vpce-XXXX-XXXX.execute-api.<リージョン名>.vpce.amazonaws.com : ドキュメントにあるパブリックDNS名のひとつ。Hostヘッダに2のドメインを指定しないと動作しないため、あまり実用的では無い。
4. vpce-XXXX-XXXX-<AZ名>.execute-api.<リージョン名>.vpce.amazonaws.com : ドキュメントにあるパブリックDNS名のひとつ。3と同様あまり実用的では無い。

というわけで、特別な事情がない限り2を常用することになると思います。

2. APIの作成

続いてAPI GatewayでAPIを管理画面の[APIの作成]から行います。今回は[APIの例]でサンプルのPetStoreをインポートしつつ、[名前と説明]の[エンドポイントタイプ]で「プライベート」を選択します。

APIを作成したら、画面上部のパンくずリストからAPIのリソースID(PetStore(XXXXXX)のXXXXXX)を確認します。これがアクセスするリソースURLのサブドメインになります。

続いて画面左のメニューから[API] - [PetStore] - [リソースポリシー]を選択し、画面右下にある[ソースVPCホワイトリスト]ボタンをクリックしてリソースポリシーのテンプレートを呼び出します。

以下のJSONドキュメントがテキストエリアに貼り付けられるので、13行目の値を作成したVPCエンドポイントのIDに書き換えて[保存]をクリックします。

画面左のメニューから[API] - [PetStore] - [リソース]を選択し、[アクション]ボタンをクリックし[APIのデプロイ]を選択します。[デプロイされるステージ]は[新しいステージ]で任意のステージ名(今回はv1)としてデプロイすればOKです。

動作確認

早速VPCに配置したEC2からアクセスしてみると...

正常にレスポンスが返ってきました。ホスト名のIPアドレスを調べてみると...

CNAMEになっていて、IPアドレスはVPCエンドポイントで設定したVPCサブネットのプライベートIPが返ってきています。VPC内で通信が完結していることがわかりますね。ちなみにサブドメインに何を指定してもexecute-api.ap-northeast-1.amazonaws.comが返ってくるので、Amazon DNS側ではCNAMEレコードがワイルドカードとして設定されているっぽいです。

言い換えると、VPCエンドポイントを一回作成しておけばそこから複数のプライベートAPIにアクセスできます。

まとめ

API GatewayプライベートAPIとVPCエンドポイントを利用して、サーバーレスアプリをプライベートサービスとして構築する様子をご紹介しました。Internal ELBのようにサーバーレスで開発するマイクロサービスを内部同士で呼び出すケースなどに利用できそうですね。

考察

興味深いのは、VPCエンドポイント側にはAPI GatewayのAPIを特定する設定を特に持たないところです。それゆえ任意のAWSアカウントのAPIにVPCエンドポイント経由でアクセスできるので、API Gatewayのリソースポリシーできちんと制限しないといけないわけですが、この特徴を逆手に取るとクロスアカウントでAPIを提供する手段としてオープンなプライベートAPIを作成することも可能だったりします。以下のリソースポリシーを試してみたところ、別のAWSアカウントのVPCエンドポイントでプライベートAPIにアクセスすることができました。動作確認用途のポリシーなので、十分リスクを理解したうえで利用してください

同様の機能で承認プロセスを踏むエンドポイントサービスもありますが、あちらよりも簡単に提供する手段として利用できるかもしれません。API Gatewayのカスタム認証やAPIキーを用いてアクセス元を識別する感じにすると良さそうですよね。

また、インターネットに出ない経路なので各種閉域サービスとの組み合わせも模索したいですね。VPCエンドポイントの制約でAWSハードウェアVPNは利用できない一方、Direct Connectを利用する各種閉域接続サービスでの利用を検討する価値がありそうです。IoT向け閉域サービスのSORACOM Canalのピア元(Virtual Private Gatewayのある)VPCでAPI Gateway用のVPCエンドポイントを用意してエンドポイントIDをユーザーに提示してくれると、IoTデバイスにプライベートAPI経由でサーバーレスアプリケーションを提供できて便利そうです。ソラコムさん、ご検討ください！

参考URL

• Create a Private API in Amazon API Gateway - Amazon API Gateway

脚注

https://qiita.com/sho7/items/6b1c58924d26f0398cd6

from __future__ import print_function

import json
import urllib
import boto3

print('Loading function')

#http://boto3.readthedocs.io/en/latest/reference/services/s3.html#client
s3 = boto3.client('s3')


def lambda_handler(event, context):


    bucket_name = event['Records'][0]['s3']['bucket']['name']
    print('==== bucket information =====')
    print(bucket_name)
    print('=============================')


    #https://github.com/bloomberg/chef-bcs/blob/master/cookbooks/chef-bcs/files/default/s3-example-boto3.py
    print('==== your bucket list ====')
    buckets = s3.list_buckets()
    for bucket in buckets['Buckets']:
        print(bucket.get('Name'))

    print('==== file list in bucket ====')
    # https://github.com/boto/boto3/issues/134
    AWS_S3_BUCKET_NAME = 'example.read.000'
    s3_resource = boto3.resource('s3')
    bucket = s3_resource.Bucket(AWS_S3_BUCKET_NAME)
    result = bucket.meta.client.list_objects(Bucket=bucket.name, Delimiter='/')
    for o in result.get('Contents'):
        print(o.get('Key'))


    print('==== file details ====')
    # https://docs.aws.amazon.com/ja_jp/AmazonS3/latest/dev/UsingObjects.html
    GET_OBJECT_KEY_NAME = 'sample.png'
    object = s3.get_object(Bucket=AWS_S3_BUCKET_NAME, Key=GET_OBJECT_KEY_NAME)
    print('Content ->' + object['body'].read().decode('utf-8'))

    print('ContentType ->' + str(object.get('ContentType')))
    print('ContentLength ->' + str(object.get('ContentLength')))


    print('==== uploaded file ====')
    for rec in event['Records']:
        print(rec['s3']['object']['key'])
    print('=============================')

    print("Received event: " + json.dumps(event, indent=2))

START RequestId: bdbee72e-f28b-11e7-a401-0d0509334621 Version: $LATEST
==== bucket information =====
sourcebucket
=============================
==== your bucket list ====
example.read.000
learnjs.benrady.com
==== file list in bucket ====
sample.png
sample2.png
==== file details ====
ContentType ->image/png
ContentLength ->82361
==== uploaded file ====
HappyFace.jpg
=============================

https://dev.classmethod.jp/cloud/aws/elasticache-redis-supports-encryption-in-transit-and-client-auth/

Amazon ElastiCache for Redisの通信暗号化とクライアント認証をやってみた

2017年10月末のアップデートにより、Amazon ElastiCache for Redis が通信の暗号化とクライアント認証に対応しました。

通信の暗号化(encryption in-transit)を使うと

• アプリとRedis間の通信(encrypted connections)
• プライマリ↔レプリカなどのRedis間の通信(encrypted replication)

が暗号化されます。

また、Redis の AUTH コマンドによるクライアント認証にも対応したため、認証レベルを強化できます。

これらの機能追加により、個人を特定できる情報(PII)など機密度の高い情報を扱うシステムでAmazon ElastiCache for Redisを導入しやすくなりました。

それでは、実際に使ってみましょう。

なお、同時に機能追加された、保管時の暗号化は次のブログをご確認下さい。

通信の暗号化

Redis の公式ドキュメント "Redis Security" では "Redis general security model" について次のように記載されています。

Redis is designed to be accessed by trusted clients inside trusted environments.

この前提の上で、Redis サーバーとは TCP や UNIX ソケットで通信します。

一方で、よりセキュアなシステムが求められるシステムには、 Redis Labs が提供する Redis Enterprise Pack (RP)のような通信の暗号化に対応した Redis が利用されてきました。

今回の機能追加は以下のような通信の暗号化機能を提供するというものです。

• TLS 1.2
• 追加費用なし
• サーバ証明書の発行・更新も含めてフルマネージド

クライアントとサーバー間(encrypted connections)だけでなく、プライマリ↔レプリカのようにRedis間の通信(encrypted replication)も含めて暗号化されます。

TLS 通信には AmazonがOSSとして開発する S2N が利用されている点も見逃せません。

設定

Redisクラスター作成時に「Encryption in-transit」をチェックするだけです。

2017/11/15時点では、最新の 3.2.10 では利用出来ませんでした。お気をつけ下さい。

Enables encryption of data on-the-wire. Currently, enabling encryption in-transit can only be done when creating a Redis cluster using Redis version 3.2.6 only.

作成済みのクラスターで有効にすることは出来ません。クラスターの再作成が必要です。

サーバー接続を試す

Redisクラスター作成後、実際に接続を試してみましょう。

telnet コマンドから暗号化通信を試す

Redis への通信が暗号化されていない場合の接続方法は、過去に次のブログにまとめました。

telnet で暗号化されたRedisに接続してみましょう。

telnet は TLS をしゃべれないので接続をきられました。

openssl コマンドから暗号化通信を試す

TLS 通信のクライアントとして、Linux 系 OS であれば必ず入っている openssl を利用します。

Redis クラスターのエンドポイントに接続し、PING コマンドを実行します。

無事 PONG がかってきました。

サーバーの証明書も確認してみましょう

Redis-Py から試す

Python の Redis クライアント Redis-Py から通信が暗号化された Redis に接続してみます。

pip 経由で Redis-Py をインストールします。

まずは暗号化せずに接続してみます

ConnectionError エラーが発生しました。

TLSで接続するには、接続時の引数で ssl=True を追加するだけです。

クライアント認証

Redis には認証トークンでサーバーと認証する AUTH コマンドが存在します。 素の Redis では redis.conf の requirepass ディレクティブで設定可能です。

今回の機能追加は、Amazon ElastiCache for Redis でもこの機能を提供するというものです。

設定

encryption in-transit を有効にする場合のみ、クライアント認証もオプションで有効にできます。

また、トークンには16文字〜128文字まで長さで、' '(半角スペース)、"(ダブルクオート)、/(スラッシュ)、@(アットマーク)を除いた printableアスキー文字を利用出来ます。

At least 16 characters, and maximum 128 characters, restricted to any printable ASCII character except ' ', '"', '/' and '@' signs.

サーバー接続を試す

Redisクラスター作成後、実際に接続を試してみましょう。

openssl コマンドから試す

まずは先程と同じコマンドでサーバーに接続します。

認証なしに PING コマンドを呼び出します

NOAUTH エラーが発生しました。

次にクラスター作成時に設定したトークンを利用してAUTH コマンドで認証し、PING コマンドを呼び出します。

無事 PONG がかってきました。

Redis-Py から試す

Redis-Pyからも認証なしにPINGを呼び出してみます

NOAUTH エラーが発生しました。

接続時のオプションに認証トークンを渡します。

無事疎通に成功しました。

通信の暗号/Authを有効にしたクラスターの識別方法

管理コンソール

Redis クラスターで赤枠を確認下さい。

CLI

aws elasticache describe-cache-clusters のレスポンスの

• TransitEncryptionEnabled
• AuthTokenEnabled

を確認します。

注意

パフォーマンスへの影響

通信を暗号化すると、データの暗号・復号のオーバーヘッドが発生します。

パフォーマンスが求められるシステムでは、暗号の有無によるパフォーマンスへの影響をベンチマークするようにお願いします。

対応バージョン

通信の暗号化は 3.2.6 にしか対応しておりません。 2017/11/15時点で最新の 3.2.10 では利用出来ないため、お気をつけ下さい。

新規インスタンスのみ対象

作成済みRedisクラスターに対して、通信の暗号化は行なえません。 クラスターの再構築が必要です。

まとめ

通信の暗号化・クライアント認証と、地味ではありますが、セキュリティが重要視されるお客様・システム向けには、要件を満たす上で非常に大事な機能追加です。

通信の暗号の際にはオーバーヘッドが発生するため、パフォーマンスへのインパクトにお気をつけ下さい。

また、システムを見守る人にとっては、Redisの通信が暗号化されていると、これまで慣れ親しんできたコマンドでは接続できなくなります。障害時に接続できずにパニクらないように、接続方法を再確認していただければと思います。

参考

• http://docs.aws.amazon.com/AmazonElastiCache/latest/UserGuide/in-transit-encryption.html#in-transit-encryption-enable
• https://aws.amazon.com/about-aws/whats-new/2017/10/amazon-elasticache-for-redis-now-supports-in-transit-and-at-rest-encryption-to-help-protect-sensitive-information/
• https://aws.amazon.com/blogs/security/amazon-elasticache-now-supports-encryption-for-elasticache-for-redis/
• https://redis.io/topics/security
• https://redis.io/commands/auth
• https://docs.objectrocket.com/redis_py.html#configuration

https://qiita.com/whim0321/items/093fd3bb2dd287a72fba

PS C:\Windows\System32> Enable-WindowsOptionalFeature -Online -FeatureName Microsoft-Windows-Subsystem-Linux

$ git --version
git version 2.7.4

$ gcc
The program 'gcc' is currently not installed. You can install it by typing:
sudo apt install gcc

$ sudo apt-get install gcc

$ gcc --version
gcc (Ubuntu 5.4.0-6ubuntu1~16.04.9) 5.4.0 20160609
Copyright (C) 2015 Free Software Foundation, Inc.
This is free software; see the source for copying conditions.  There is NO
warranty; not even for MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.

$ apt list openssh*
Listing... Done
openssh-client/bionic,now 1:7.6p1-4 amd64 [installed]
openssh-client-ssh1/bionic 1:7.5p1-10 amd64
openssh-known-hosts/bionic 0.6.2-1 all
openssh-server/bionic,now 1:7.6p1-4 amd64 [installed]
openssh-sftp-server/bionic,now 1:7.6p1-4 amd64 [installed]

$ sudo ssh-keygen -A
ssh-keygen: generating new host keys: RSA DSA ECDSA ED25519
$
$ sudo service ssh start
 * Starting OpenBSD Secure Shell server sshd                                              [ OK ]

ubuntu.exe config --default-user root

passwd root

ubuntu.exe  config --default-user ubuntu

>wslconfig
Linux 用 Windows サブシステムの管理操作を実行します

使用法:
    /l、/list [/all] - 登録されたディストリビューションを一覧表示します。
        /all - すべてのディストリビューションを一覧表示します (オプション)。
               現在インストールまたはアンインストール中のものも含まれます。
    /s、/setdefault <DistributionName> - 指定のディストリビューションを既定として設定します。
    /u、/unregister <DistributionName> - ディストリビューションの登録を解除します。

>wslconfig /l
Windows Subsystem for Linux ディストリビューション:
Ubuntu-18.04 (既定)

https://qiita.com/sirotosiko/items/2371290e19ab21296ce9

[ec2-user@ip-10-10-0-210 ~]$ ssh -i *****.pem ec2-user@10.20.1.4

       __|  __|_  )
       _|  (     /   Amazon Linux 2 AMI
      ___|\___|___|

https://aws.amazon.com/amazon-linux-2/
[ec2-user@ip-10-20-1-4 ~]$

[ec2-user@ip-10-10-0-210 ~]$ ssh -i *****.pem ec2-user@10.30.0.152
       __|  __|_  )
       _|  (     /   Amazon Linux 2 AMI
      ___|\___|___|

https://aws.amazon.com/amazon-linux-2/
[ec2-user@ip-10-30-0-152 ~]$

[ec2-user@ip-10-10-11-200 ~]$ ssh -i *****.pem ec2-user@10.20.1.4

       __|  __|_  )
       _|  (     /   Amazon Linux 2 AMI
      ___|\___|___|

https://aws.amazon.com/amazon-linux-2/
[ec2-user@ip-10-20-1-4 ~]$

[ec2-user@ip-10-10-11-200 ~]$ ssh -i *****.pem ec2-user@10.30.0.152

       __|  __|_  )
       _|  (     /   Amazon Linux 2 AMI
      ___|\___|___|

https://aws.amazon.com/amazon-linux-2/
[ec2-user@ip-10-30-0-152 ~]$

lambda layers란

[lambda들이 공통적으로 사용하는 라이브러리 + 람다에 실기에는 너무 무거운 라이브러리]를 lambda 보다 한 단 위에 있는 레이어에 실어 lambda들이 공통적으로 사용할 수 있게 하는 기능입니다.

(더 자세한 건 [https://medium.com/@rabter/aws-lambda-layer%EB%A5%BC-%EC%82%AC%EC%9A%A9%ED%95%98%EB%8A%94-%EB%B0%A9%EB%B2%95-how-to-use-aws-lambda-layers-c206ba40d4cc] 참고)

무한정으로 라이브러리를 실을 수 있는 것은 아니고, 5개의 layers, 전체 layers 용량 250m 까지라는 제한이 존재 합니다.

lambda layers를 디렉토리 구조로 관리할 수 있을까?

최근 프로젝트에서 lambda를 통해 api를 디플로이하는 요건이 있었습니다. 약 10여개의 api를 디플로이 해야 했는데, 다른 라이브러리에 의존성이 존재했습니다.

위에서 언급했다시피, layers에는 무한정의 라이브러리를 넣을 수 있는 것이 아닙니다. layers직하라면 5개의 라이브러리밖에 들어가지 못하죠.

그래서 다음과 같이 라이브러리의 종류를 나누고 각 디렉토리에 해당하는 디펜던시를 관리하기로 했습니다.

layers
    ├─calculation
    ├─network
    ├─data
    └─custom

이때 !

layers를 인풋하기 위해서 특정한 디렉토리 구조를 지키지 않으면 lambda에서 임포트하지 못합니다.
이를 설명하기 위해 custom 이라는 이름의 layer를 추가하는 시나리오를 가정해봅니다.

└─python
    ├─anasdk
    │  └─src
    │      └─logic
    │          ├─common
    │          └─definition
    └─bizsdk
           └─src
               └─logic
                   ├─common
                   └─definition

1. 먼저 python 이라는 디렉토리를 만들고, 그 안에 개발자가 원하는 라이브러리를 넣어줍니다. 저같은 경우는 자작된 anasdk, bizsdk라는 라이브러리를 python 디렉토리의 직하에 넣어두었습니다.
2. python 디렉토리를 zip합니다.
3. layers만들기에 들어간 후, zip파일을 업로드하고 custom이라는 이름의 layer명으로 저장합니다.
4. 각 lambda에서 custom 레이어를 디플로이합니다.
5. lambda에서 잘 import 되는지 확인합니다. lambda에서는 아래와 같은 방식으로 import가 가능합니다.

import json
import anasdk
import bizsdk

라이브러리를 넣는게 아니라 좀 더 화끈하게 가상환경 디펜더시를 통째로 넣어볼까

제가 만든 lambda함수에서는 requests 라이브러리를 사용하고 있습니다. 그런데 lambda에선 requests모듈을 지원하지 않아, layer에 추가하여 관리해야하죠. 그래서 request 라이브러리를 layer에 넣고 사용하려니 이번에는 request에서 필요한 디펜던시를 또 넣어야 하는 문제가 발생했습니다. 이후의 라이브러리를 넣어도, 또 그에 필요한 라이브러리를 넣어달라는 에러가 언제까지나 지속되겠죠.

그래서 로컬 가상환경에 가지고 있는 라이브러리 전체를 layer에 넣기로 했습니다. 방법은 다음과 같습니다.

1. 로컬에서 pip 가상환경을 인스톨하고, 필요한 라이브러리를 모두 인스톨합니다.
2. [가상환경 루트] / Lib / site-packages 에 인스톨한 라이브러리가 모두 들어있습니다. 이를 모두 복사합니다.
3. 위에서 처럼 python 디렉토리를 만든 후, 그 안에 복사한 라이브러리를 모두 넣습니다. 용량이 꽤큽니다.
4. python 디렉토리를 zip합니다.
5. layers만들기에 들어간 후, zip파일을 업로드합니다.
6. 잘 작동하는군요.

주의할 점

주의할 점이 있습니다. pip으로 인스톨한 라이브러리가 lambda에서 전부 사용가능한 것이 아니라는 점. lambda가 제공하는 기본 파이썬 모듈이 기존의 리눅스와는 다르기 때문입니다. 예를 들어 pip으로 인스톨한 pandas 라이브러리나, postgresql을 사용할 수 있는 가장 유명한 프레임워크인 psycopg2 조차도 보통의 소스코드를 인스톨해서는 lambda에서 사용이 불가합니다. 이러한 라이브러리는 검색해서 따로 다운 받은후 넣어주어야 합니다.