공부 내용 정리 블로그

AWS Service - Launch Template

민콕이 — Thu, 2 Apr 2026 14:39:25 +0900

AWS 시작 템플릿 (Launch Template)

정의 및 구성

EC2 인스턴스를 실행하기 위한 모든 설정 정보를 저장해두는 설계도입니다.

Golden Image (AMI): OS, 필수 패키지, 보안 패키지, 런타임이 미리 설치된 표준 이미지.
사용자 설정 (Instance Details):
- 인스턴스 유형 (t3.medium 등)
- 키 페어 (SSH 접속용)
- 보안 그룹 (Security Groups)
- EBS 볼륨 설정
- User Data: 인스턴스 시작 시 자동으로 실행될 쉘 스크립트.

시작 템플릿의 강력한 기능 (버전 관리)

가장 큰 장점은 버전 관리가 가능하다는 점입니다.

히스토리 관리: v1은 PHP 7.4, v2는 PHP 8.1 식으로 설정을 업데이트하며 이력을 남길 수 있습니다.
기본 버전 설정: 여러 버전 중 하나를 Default로 지정하여 실수 없이 배포할 수 있습니다.
교체 용이: 문제 발생 시 이전 버전으로 빠르게 롤백(Rollback)이 가능합니다.

실습

VPC 관련 기본 세팅을 모르겠다면 해당 글을 참고
https://velog.io/@box8741/AWS

시작 템플릿 생성

AWS에서 EC2 검색 → 시작 템플릿 → 시작 템플릿 생성

AWS Service - EFS

민콕이 — Thu, 2 Apr 2026 14:38:17 +0900

EFS(Elastic File System)는 한마디로 "여러 서버가 동시에 연결해서 사용할 수 있는 거대한 클라우드 공유 폴더" 즉 NAS같은 존재입니다.

EFS의 핵심 특징

다중 접속 (Shared Access)
- 수백, 수천 개의 EC2 인스턴스가 동시에 하나의 EFS에 연결하여 파일을 읽고 쓸 수 있습니다.
- NFS(Network File System) v4 프로토콜을 사용하여 리눅스 기반 시스템에서 일반 디렉토리처럼 마운트해 사용합니다.
완전 탄력적 (Elasticity)
- 용량을 미리 정할 필요가 없습니다. 파일을 넣으면 늘어나고, 지우면 줄어듭니다.
- 사용한 만큼만 비용을 지불하므로 관리가 매우 편리합니다.
고가용성 및 내구성
- 기본적으로 여러 가용 영역(Multi-AZ)에 데이터를 분산 저장합니다. 특정 AZ에 문제가 생겨도 데이터는 안전하며 다른 AZ의 서버에서 접근이 가능합니다.

실습

VPC 관련 기본 세팅을 모르겠다면 해당 글을 참고
https://velog.io/@box8741/AWS

파일 시스템 생성

AWS에서 EFS 검색 → 파일 시스템 → 파일 시스템 생성

생성된 EFS에 들어가서 연결 클릭

nfs로 mount

sudo mount -t nfs4 -o nfsvers=4.1,rsize=1048576,wsize=1048576,hard,timeo=600,retrans=2,noresvport fs-0932c26c953521905.efs.ap-northeast-2.amazonaws.com:/ /etc/nginx/default.d

efs로 mount

sudo dnf install -y amazon-efs-utils

sudo mount -t efs -o tls fs-0932c26c953521905:/ /etc/nginx/default.d

AWS Service - ELB

민콕이 — Thu, 2 Apr 2026 14:36:39 +0900

AWS ELB(Elastic Load Balancing) 종류 및 특징

ALB (Application Load Balancer) - L7 (응용 계층)
- 특징: HTTP/HTTPS 트래픽 처리에 최적화되어 있습니다.
- 고급 기능: URL 경로(.../images)나 호스트 이름(api.example.com), HTTP 헤더 기반의 콘텐츠 라우팅이 가능합니다.
- 대상: 마이크로서비스(MSA), 컨테이너 기반 애플리케이션(ECS/EKS)에 가장 적합합니다.
NLB (Network Load Balancer) - L4 (전송 계층)
- 특징: TCP, UDP, TLS 프로토콜을 처리하며, 초당 수백만 개의 요청을 처리할 수 있는 초고성능 로드 밸런서입니다.
- 참고: NLB는 HTTP(L7)의 내용을 읽고 라우팅(경로 기반 등)을 할 수는 없지만, HTTP 트래픽을 단순 TCP 페이로드로 보고 전달하는 것이 가능합니다.
- 핵심 장점: 고정 IP(Static IP)를 가질 수 있어 방화벽 설정이 필요한 환경에 필수적입니다.
GLB (Gateway Load Balancer)
- 특징: 방화벽, 침입 탐지 시스템(IDS/IPS) 같은 가상 어플라이언스로 트래픽을 전달할 때 사용합니다.
- 용도: 보안 및 네트워크 분석 장비를 거쳐야 하는 인프라 구성 시 사용됩니다.
CLB (Classic Load Balancer) - 권장 X
- 상태: 현재는 사용을 권장하지 않는(Deprecated) 레거시 서비스입니다.
- 특징: L4와 L7 기능을 모두 조금씩 가지고 있으나, ALB나 NLB만큼 정교하지 않습니다.
- 용도: 아주 오래된 EC2-Classic 네트워크를 사용하는 경우를 제외하고는 신규 프로젝트에서 거의 사용되지 않습니다.

실습

VPC 관련 기본 세팅을 모르겠다면 해당 글을 참고
https://velog.io/@box8741/AWS

로드 밸런서 생성

AWS에서 EC2 검색 → 로드밸런서 → 로드밸런서 생성

각각에 맞는 유형을 선택해 생성하면 되지만 여기선 ALB를 기준으로 설명하겠습니다.

미리 설정해둔 그룹이 있다면 연결하고 없다면 생성 후 연결해주면 됩니다.

로드 밸런서 그룹 생성

로드 밸런싱 할 인스턴스를 체크 후 포함 시키면 됩니다.

AWS Service - Route53

민콕이 — Thu, 2 Apr 2026 14:34:52 +0900

AWS의 Route 53 이란

AWS의 Route 53에서 호스팅은 정확히는 호스팅 영역(Hosted Zone)을 의미합니다. 쉽게 말해, 특정 도메인(예: example.com)과 그 하위 도메인(www, api 등)의 DNS 레코드를 관리하는 컨테이너이다.

호스팅 영역의 종류

퍼블릭 호스팅 영역 (Public Hosted Zone)

인터넷에서 들어오는 트래픽을 라우팅할 때 사용합니다.

용도: 웹사이트를 대중에게 공개할 때 사용.
작동 방식: 브라우저에 도메인을 입력하면 Route 53의 네임서버가 이를 퍼블릭 IP로 변환해줍니다.
특징: 생성 시 자동으로 4개의 NS(Name Server) 레코드와 1개의 SOA 레코드가 생성됩니다.

프라이빗 호스팅 영역 (Private Hosted Zone)

하나 이상의 VPC(Virtual Private Cloud) 내부에서만 도메인을 해석할 때 사용합니다.

용도: 내부 서버 간 통신(예: db.internal.local), 사내망 전용 도메인 구성.
작동 방식: 외부 인터넷에서는 이 도메인을 찾을 수 없으며, 연결된 VPC 내부의 리소스들만 이 주소를 이해할 수 있습니다.
특징: VPC 설정을 통해 enableDnsHostnames와 enableDnsSupport 옵션이 켜져 있어야 작동합니다.

실습

AWS에서 Route 53 검색 → 호스팅 영역 → 호스팅 영역 생성

레코드 등록 시 특정 IP 주소를 직접 입력하거나 별칭 기능을 통해 AWS 내부 리소스를 선택하여 연결할 수 있습니다.

AWS Service - VPC Peering

민콕이 — Thu, 2 Apr 2026 14:34:00 +0900

정의 및 특징

프라이빗 연결: 2개의 VPC 간에 비공개 연결을 생성하여, 리소스들이 Private IP를 기반으로 직접 통신합니다.
AWS 백본망 사용: 별도의 VPN 장비나 물리적 하드웨어 없이 AWS 내부 네트워크 인프라를 사용합니다.
보안성: 모든 트래픽이 공용 인터넷을 거치지 않고 AWS 백본 네트워크를 통해 라우팅되므로 보안이 우수합니다.
성능 최적화: 낮은 지연 시간과 높은 대역폭을 제공하여 고성능 애플리케이션에 적합합니다.

사용시 주의 사항

CIDR 블록 중복 불가: 연결하려는 두 VPC의 IP 대역(CIDR)이 중복되거나 겹치면 안 됩니다. 통신 경로를 찾을 수 없기 때문입니다.
전이적 루팅(Transitive Routing) 불가: 가장 많이 오해하는 부분입니다.
- VPC A-B가 연결되어 있고 B-C가 연결되어 있어도, A에서 C로 직접 통신은 불가능합니다. (A-C 간에 별도의 Peering을 맺거나 Transit Gateway를 사용해야 합니다.)
전송 비용: 동일 리전 내 Peering은 저렴하지만, *리전 간(Inter-Region) Peering *시에는 표준 AWS 리전 간 데이터 전송 요금이 부과되며 지연 시간이 발생할 수 있습니다.
쿼터(Quota) 제한: 하나의 VPC에 생성할 수 있는 Peering 연결 수에는 제한이 있습니다. 대규모 연결이 필요한 경우 Transit Gateway 도입을 검토해야 합니다.

실습

VPC 관련 기본 세팅을 모르겠다면 해당 글을 참고
https://velog.io/@box8741/AWS

일단 필자는 B 서울이다

구조 : A=>B=>C=>A Peering 실습
A 시드니 : 10.17.0.0/16 (수락자 B에게 요청, B의 ID, VPC 필요)
A 인스턴스 사설 아이피: 10.17.1.93

B 서울 : 10.9.0.0/16 (수락자 C에게 요청, C의 ID, VPC 필요)
B 인스턴스 사설 아이피: 10.9.1.90

C 서울 : 10.10.0.0/16 (수락자 A에게 요청, A의 ID, VPC 필요)
C 인스턴스 사설 아이피: 10.9.1.90

C 서울 쪽에 피어링 연결 생성과
A 시드니 쪽에서 온 피어링 요청 수락

A쪽으로 가는 라우팅과 C쪽으로 가는 라우팅 두개 작업

최종 해당 내 인스턴스 PC로 들어가 A, C 사설 아이피에 핑을 보내 연결된 것을 확인

AWS

민콕이 — Thu, 2 Apr 2026 14:31:28 +0900

AWS(Amazon Web Services)는 아마존에서 제공하는 클라우드 컴퓨팅 플랫폼입니다.
쉽게 말해, 예전처럼 직접 서버 컴퓨터를 사고 전용 창고(IDC)를 꾸릴 필요 없이, 인터넷을 통해 필요한 만큼의 컴퓨팅 자원을 빌려 쓰는 서비스 입니다.

AWS를 쓰는 이유

비용 효율성: 초기 구축 비용 없이 쓴 만큼만 돈을 냅니다.
유연성 및 확장성: 사용자가 갑자기 늘어나면 클릭 몇 번(혹은 자동 설정)으로 서버 성능을 즉시 높일 수 있습니다. (Auto Scaling)
글로벌 인프라: 전 세계 곳곳에 데이터 센터(Region)가 있어, 해외 사용자에게도 빠른 서비스를 제공할 수 있습니다.
보안: 전용 하드웨어 수준의 보안부터 소프트웨어 기반의 방화벽(WAF, Security Group)까지 강력한 보안 도구를 제공합니다.

AWS Service - User

AWS에는 접근 방식에 따라 크게 두 가지 사용자 유형이 있습니다.

Root User (루트 사용자): 계정 생성 시 만들어지는 이메일 주소 로그인 계정입니다.
- 모든 권한을 가지며 제한할 수 없습니다.
- 보안 원칙: 평소에는 절대 사용하지 말고, MFA(OTP)를 설정한 뒤 안전한 곳에 보관해야 합니다.
IAM User: 루트 사용자가 생성하는 개별 사용자입니다.
- 특정 작업에 필요한 최소 권한만 부여하여 관리합니다.
- 콘솔 접속용 비밀번호나 CLI용 Access Key를 가집니다.

Region

물리적인 호스팅 영역
Network 속도
각종 재해(장애) 대비 → High Availability
지역마다 법률 or 문화의 차이

가용 영역 - Availability Zone

Region을 더 작은 단위로 격리시킨 것
AWS 정책 : 1개의 Region은 3개 이상의 가용 영역을 가짐
가상의 Datacenter

물리적인 Datacenter group으로 가용영역별 전원,냉각,네트워크가 독립적
- 재해, 장애 상황이 발생했을 때 해당 가용 영역만 영향을 받도록 하기 위해
- AZ에 분산시 가용성과 내결함성이 크게 향상
- AZ간 연결은 초저지연 전용 광 Network로 통신

AWS Service - VPC

클라우드 내에서 사용자만이 점유하는 독립된 가상 네트워크 공간 즉 AWS 인프라 위에 나만의 전용 사설 네트워크를 구축하는 것과 같습니다.

VPC의 핵심 구성 요소

Public Could (공공 클라우드)를 사용하는 기업/사용자에게 격리된 Private Network를 구성할 수 있게 해줍니다.

Subnet : VPC를 더 작은 네트워크 단위로 나눠 사용
Routing Table : VPC 내부/외부 트래픽 흐름 제어
Internet Gateway : Internet(Public Network)와 1:1로 연결(NAT)
NAT Gateway : 내부 서버가 인터넷 환경으로 나갈 수 있는 기능 제공 (외부에서는 진입 X)
Security Group/Network ACL : 방화벽 규칙을 설정하여 보안
VPC Peering : 서로 다른 VPC끼리 통신 가능하게 연

VPC 관련 구성요소 실습

VPC 생성

AWS에서 VPC 검색 → VPC → VPC 생성

Subnet 생성

Routing Table 생성 및 Subnet 연결

Internet Gateway 생성 및 VPC 연결

Routing Table에 Internet Gateway 연결

Security Group 생성

EC2 인스턴스 생성

이제 해당 퍼블릭 IP로 SSH 접속해 원하는 작업을 할 수 있습니다.

VPN

민콕이 — Thu, 2 Apr 2026 14:28:55 +0900

VPN - Virtual Private Network

가상 사설 네트워크 -> Tunneling + Encrytion
Public Network를 Priavte Network처럼 사용하기 위한 기술
본사/지사(or 외부) 각각의 Network를 연결하여 하나의 전용선처럼 연결
Tunneling을 통해 논리적인 연결을 생성 인증/암호화/접근제어 등을 통해 보안성을 높임

구성 방법

VPN 전용 장비

VPN용으로 제작된 전용 H/W를 이용하여 구축

장점: 확장이 용이
단점: 별도의 H/W를 구매해야한다. (초기 구축 비용이 높다)

Router

Router(Access Server)에서 지원하는 VPN 기능을 이용하여 구축

장점: 별도의 장비 구입이 필요하지 않고, Topology의 변화가 없다.
단점: Router 자체 성능에 따라 VPN 성능이 결정. Router 자체의 보안 문제가 VPN에 영향을 준다.

Firewall

Firewall에 지원하는 VPN 기능을 이용하여 구축

장점: 별도의 장비 구입 없이 기존 장비로 구축하기 때문에 관리 및 유지보수가 용이
단점:병목현상(bottleneck) 발생 가능

터널링(Tunneling)

물리적으로 떨어진 특정 장소들을 논리적으로 하나로 연결하는 기술

송신측 : Data Encapsulation
수신측 : Data Decapsulation (De-Encapsulation)

목적

Protocol이 호환되지 않는 Network를 통해 Data를 전달
ex) IPX는 IP망에서 통신이 불가(Routing X)

Tunnel로 전달되는 Data를 암호화하여 보안을 높임

기능

Packet 암호화

암호화 키 관리 -> 협상을 통해서 지정
Tunneling 생성 관리

용어 정리

Passenger Protocol

원본 데이터를 담고 있는 Protocol

Encapsulation Protocol

src 에서 dst로 data를 전달할 때 Encapsulation/Decapsulation을 수행하는 Protocol
Layer2 Tunneling Protocol → PPTP, L2TP, L2F …
Layer3 Tunneling Protocol → Cisco GRE, 표준 GRE, IPsec(ESP) …

Carrier Protocol

Tunneling Protocol로 재 Encapsulation된 Data의 물리적인 src와 dst 정보를 지정하기 위해 추가되는 Protoco
Tunneling된 data를 물리적인 Network로 전송하기 위해 사용
모든 장비에서 지원하는 범용적인 Layer3 Protocol을 사용 (IP)

GRE

GRE (Generic Routing Encapsulation)

CISCO에서 개발한 Tunneling Protocol -> 산업 표준으로 사용됨
다양한 Passenger Protocol을 Encapsulation하여 전달
단순한 Tunneling 기능만 제공 -> 암호화 x

GRE 실습

hostname
R0 - ISP / R1 - HQ / R2 - BR

기본 라우팅 작업

HQ(config)#ip route 0.0.0.0 0.0.0.0 1.1.1.2
BR(config)#ip route 0.0.0.0 0.0.0.0 2.2.2.2

ISP(config)#ip route 192.168.53.0 255.255.255.0 1.1.1.1
ISP(config)#ip route 172.16.0.0 255.255.0.0 2.2.2.3

터널링 작업

HQ(config)#interface tunnel 0
HQ(config-if)#tunnel mode gre ip
HQ(config-if)#tunnel source g0/0
HQ(config-if)#tunnel destination 2.2.2.3
HQ(config-if)#ip address 10.0.0.1 255.0.0.0

BR(config)#interface tunnel 0
BR(config-if)#tunnel mode gre ip
BR(config-if)#tunnel source g0/0
BR(config-if)#tunnel destination 1.1.1.1
BR(config-if)#ip address 10.0.0.2 255.0.0.0

Tunnel로 Routing
HQ(config)#ip route 172.16.0.0 255.255.0.0 10.0.0.2
BR(config)#ip route 192.168.53.0 255.255.255.0 10.0.0.1

Before

After

TTL 값이 변경된것을 볼 수 있습니다

IPSec (IP Security)

Network Layer에서 동작하는 IP망에서 사용하는 표준 보안 Protocol

3계층 Tunneling을 위한 방식
protocol suite : 여러개의 Protocol의 집합 (AH, ESP ..)
- AH : 무결성 / ESP : 무결성 + 기밀성
암호화 알고리즘을 위한 키 결정, 인증키 협상
- Protocol
- 무조건
IPSec에서 사용하는 알고리즘
- 기밀성
  - 대칭키 알고리즘 → DES, 3DES, AES
  - Key 교환 알고리즘 → DH1, DH2, DH5
- 무결성
  - HMAC-MD5, HMAC-SHA-1
- 인증
  - PSK, 인증
Tunneling Mode
- Transport Mode : 통신 대상이 암호화에 대한 설정
- Tunnel Mode : 통신 대상에 암호화 설정 X

PPP, PPTP

PPP

VPN 인증, 암호화
Point-to-Point Protocol, 두 지점간 데이터 전송을 목적으로 사용하는 Protocol
Layer2에서 동작
인증 방식 : PAP, CHAP 같은 인증 Protocol 내장
- PAP (Password Authentication Protocol) : 단순 사용자명/비밀번호를 평문으로 전송
- CHAP (Challenge Handshake Authentication Protocol) : 암호화된 Challenge/Response 방식

PPTP

PPTP
- Point-to-Point Tunneling Protocol
- Layer2에서 동작(MS에서 개발)
- no-ip protocol들이 ip망에서 이동하도록 지원 → 별도의 IP헤더를 사용해서 Routing (Carrier)

실습 - IPSec Transport Mode

secpol.msc

IP 보안 정책 > IP 보안 정책 만들기
> IP 보안 정책 이름 : IPSec ICMP
> 보안 통신 요청 : 기본 응답 규칙 활성화 체크 해제된 상태로 진행
> IP 보안 정책 마법사 완료

IP 보안 정책 > IPSec ICMP 우클릭 > 속성
> 추가 마법사 사용 체크 해제 > 추가
> IP 필터 목록 > 추가 > 추가 마법사 시용 체크 해제 > 추가 > 새 IP 필터 목록 체크
> 원본/대상 주소 : 모든 주소, 프로토콜 : ICMP > 확인 > 확인
> 필터 동작 > 추가 마법사 사용 체크 해제 > 추가
> 보안 방법 > 보안 협상 > 추가 > 무결성 및 암호화 > 확인 > 적용 > 확인 > 새 필터 동작 체크
> 인증 방법 > 편집 > 이 문자열 사용 : ipsec@<<원하는번호>>
> 확인 > 적용 > 확인
> 적용 > 확인
> IPSec ICMP 우클릭 > 할당

wireshark icmp || esp || isakmp 로 필터 걸고 새로 패킷 잡기
다시 ping 보내서 패킷 확인

ISAKMP : 암호화 준비 과정, 협상 Protocol
- Main Mode : 통신 대상 확인
- Quick Mode : 암호화 Key 생성
ESP : 실제 암호화된 상태로 통신
- icmp는 encapsulation되어 보이지 않는다.

실습 - IPSec Tunnel Mode

VM 구성

- window server 2022 - 00
    - vmnet0 : 10.x.0.100
    - vmnet1 : 192.168.x.1
- window server 2022 - 01
    - vmnet0 : 10.x.0.200
    - vmnet1 : 192.168.x+50.1
- window 10 - 00
    - vmnet1 : 192.168.x.100
- window 10 - 01
    - vmnet1 : 192.168.x+50.100

2022-00

방화벽 활성
인바운드 규칙 - IPv4 규칙 사용
연결 보안 규칙 → 새 보안 규칙

규칙 종류: 터널
터널 종류 : 사용자 지정 구성
요구사항 : 인바운드및 아웃바운드에 대한 인증 필요
터널 끝점
    끝점 1에 있는 컴퓨터~~ : 추가 > 작업중인 서버의 vmnet1에 설정한 대역
    끝점 1 가장 가까운 끝점 : 편집 > 작업중인 서버의 vmnet0에 설정한 IP
    끝점 2 가장 가까운 끝점 : 편집 > 연결할 서버의 vmnet0에 설정한 IP
    끝점 2에 있는 컴퓨터~~ : 추가 > 연결할 서버의 vmnet1에 설정한 대역
인증 방식
    고급 > 사용자 지정 > 첫번째 인증 방법 추가 > 미리 공유한 키(PSK) : ipsec@<<원하는번호>> > 확인
이름 : IPSec Tunnel Mode

> 마침

라우팅 활성화

관리도구 > 서버 관리자 > 역할 및 기능 추가 > 역할 또는 기능 기반 설치 > 서버풀에서 서버 선택
> 원격 액세스 체크 > 기능 : 그대로 >
원격 액세스
> 역할 서비스 라우팅 체크 , DirectAccess 도 같이 체크됨
> 필요한 경우 다시 시작 체크 후 설치

관리 도구
> 라우팅 및 원격액세스 >> 라우팅 및 원격 액세스 구성 및 사용
구성 : 사용자 지정 구성
사용자 지정 구성 : LAN Routing 선택

PPTP

TCP 1723, GRE 47
암호화 : MS-CHAP v1/v2, 매우 취약함
구성 단계
- TCP 1723 port로 제어 연결을 연다
- GRE Protocol을 통해 Data Tunneling
- CHAP 방식으로 암호화 - 로그인 정보가 확인됨.

실습

VM 구성

win2022(Gateway), win10(Host) → G to H (Remote Access VPN)

win2022 - vmnet0(10.x.0.150), vmnet1(192.168.x.1)
win10 - vmnet0(10.x.1.150)

2022) VPN 기능 설정

관리도구 > 서버 관리자 > 역할 및 기능 추가 > 역할 또는 기능 기반 설치 > 서버풀에서 서버 선택
> 원격 액세스 체크 > 기능 : 그대로 >
원격 액세스
> 역할 서비스 라우팅 체크 , DirectAccess 도 같이 체크됨
> 필요한 경우 다시 시작 체크 후 설치

관리도구 > 서버 관리자 > 도구 > 라우팅 및 액세스 설정 > 2022-00(로컬) 우클릭 > 라우팅 및 원격 액세스 구성 및 사용
> VPN 액세스 및 NAT 선택 > VPN 연결 Ethernet0 선택
> IP 주소 할당: 지정한 주소 범위에서 > 주소 범위 할당: 192.168.x.1 ~ 192.168.x.50
> 이름 및 주소 변환 서비스 : 나중에 설치
> 다중 원격 액세스 서버 관리 : 아니요,~~ 선택
> DHCP 릴레이 에이전트 속성 ~~ : 확인
> 마침
> 2022-00(로컬) 우클릭 > 속성 > 보안 > 인증 방법 > MS-CHAP v2만 남기고 확인

win+r > lusrmgr.msc > 사용자 > 사용자 추가
> 이름 : vpnuser / 암호 : P@ssw0rd / 암호 변경 체크 해제, 기간 만료 없음 체크
> vpnuser 우클릭 속성 > 전화 접속 로그인 > 액세스 허용

win10) VPN 연결 설정

관리도구 > 서버 관리자 > 역할 및 기능 추가 > 역할 또는 기능 기반 설치 > 서버풀에서 서버 선택
> 원격 액세스 체크 > 기능 : 그대로 >
원격 액세스
> 역할 서비스 라우팅 체크 , DirectAccess 도 같이 체크됨
> 필요한 경우 다시 시작 체크 후 설치

관리도구 > 서버 관리자 > 도구 > 라우팅 및 액세스 설정 > 2022-00(로컬) 우클릭 > 라우팅 및 원격 액세스 구성 및 사용
> VPN 액세스 및 NAT 선택 > VPN 연결 Ethernet0 선택
> IP 주소 할당: 지정한 주소 범위에서 > 주소 범위 할당: 192.168.x.1 ~ 192.168.x.50
> 이름 및 주소 변환 서비스 : 나중에 설치
> 다중 원격 액세스 서버 관리 : 아니요,~~ 선택
> DHCP 릴레이 에이전트 속성 ~~ : 확인
> 마침
> 2022-00(로컬) 우클릭 > 속성 > 보안 > 인증 방법 > MS-CHAP v2만 남기고 확인

win+r > lusrmgr.msc > 사용자 > 사용자 추가
> 이름 : vpnuser / 암호 : P@ssw0rd / 암호 변경 체크 해제, 기간 만료 없음 체크
> vpnuser 우클릭 속성 > 전화 접속 로그인 > 액세스 허용

결과

L2TP

L2F + PPTP
PPTP의 단점인 보안을 향상 시킨 Protocol (+확장성)
로그인 전까지 암호화가 되지 않는다.
구성 단계
- IPSec으로 인증 (Pre-Shared-Key)
- 암호화
- PPP로 사용자 인증

실습 - Windows VPN Gateway

PPTP 실습 구성이 되어있는 상태로 진행

2022) VPN 설정 변경

관리도구 > 서버 관리자 > 도구 > 라우팅 및 액세스 설정
> 2022-00(로컬) 우클릭 > 속성 > 보안 > L2TP/IKEv2 ~~ 체크 > 미리 공유한 키: ipsec@<<원하는번호>>

win10) VPN 연결 정보 변경

설정 > 네트워크 및 인터넷 > VPN > VPN 연결 > 고급 설정
> 편집 > VPN 종류 : L2TP~~ 미리 공유한키 > 미리 공유한 키 : ipsec@<<원하는번호>>
> 사용자 이름: vpnuser / 암호 : P@ssw0rd > 저장

설정 > 네트워크 및 인터넷 > VPN > VPN 연결 > 연결

실습 - Linux VPN Gateway

VM 구성

ubuntu22.04(Gateway), win10(Host) → G to H (Remote Access VPN)

ubuntu22.04 - vmnet0(10.x.0.150), vmnet1(192.168.x.1)

win10 - vmnet0(10.x.1.150)

ub2204) VPN 기능 구성 (PPTP)

# Routing 관련 패키지 설치
apt update
apt install -y iptables-persistent

# pptp 설치
apt install -y pptpd

# pptpd 설정
vi /etc/pptpd.conf
localip 192.168.x+50.1
remoteip 192.168.x+50.100-200

vi /etc/ppp/chap-secrets
vpnuser * P@ssw0rd *

cp /etc/ppp/pptpd-options /etc/ppp/pptpd-options.bak
vi /etc/ppp/pptpd-options
name pptpd
refuse-pap
refuse-chap
refuse-mschap
require-mschap-v2
require-mppe-128
ms-dns 8.8.8.8
ms-dns 8.8.4.4
proxyarp
lock
nobsdcomp

# pptpd 실행
systemctl start pptpd

win10) VPN 연결

설정 > 네트워크 및 인터넷 > 네트워크 및 공유 센터
> 새 연결 또는 네트워크 설정
> 회사에 연결 > 내 인터넷 연결 사용
> 인터넷 주소 : ub2204의 IP > 만들기

ncpa.cpl
vpn 연결 우클릭 > 속성 > 보안
> VPN 종류 : PPTP / 인증 - 다음 프로토콜 허용 : MS-CHAP만 선택 > 확인

설정 > 네트워크 및 인터넷 > VPN > VPN 연결 > 고급 설정
> 편집 > 사용자 이름: vpnuser / 암호 : P@ssw0rd > 저장

설정 > 네트워크 및 인터넷 > VPN > VPN 연결 > 연결

cmd
ipconfig > ppp 어뎁터 확인
ping 8.8.8.8 로 외부 통신 확인
tracert 8.8.8.8로 어느 환경에서 통신하는지 확

ub2204) VPN 기능 구성 (L2TP)

# PPTPD 중지
systemctl stop pptpd

# 패키지 설치
apt install -y strongswan xl2tpd ppp lsof

# IPSec 설정
cp /etc/ipsec.conf /etc/ipsec.conf.bak
vi /etc/ipsec.conf
config setup
    charondebug="ike 2, knl 2, cfg 2, net 2, esp 2, dmn 2, mgr 2"

conn L2TP-PSK
    keyexchange=ikev1
    type=transport
    authby=secret
    ike=aes256-sha1-modp1024
    esp=aes256-sha1
    left=10.x.0.150
    leftid=10.x.0.150
    leftprotoport=17/1701
    right=%any
    rightprotoport=17/%any
    auto=add

# IPSec PSK 설정
vi /etc/ipsec.secrets
%any %any : PSK "ipsec@출석번호"

# L2TP 설정
cp /etc/xl2tpd/xl2tpd.conf /etc/xl2tpd/xl2tpd.conf.bak
vi /etx/xl2tpd/xl2tpd.conf
[global]
port = 1701

[lns default]
ip range = 192.168.x+50.10-192.168.x+50.25
local ip = 192.168.x+50.1
require chap = yes
refuse pap = yes
require authentication = yes
name = L2TP-VPN
ppp debug = yes
pppoptfile = /etc/ppp/options.xl2tpd
length bit = yes

# ppp 설정
vi /etc/ppp/chap-secrets
vpnuser * P@ssw0rd *

vi /etc/ppp/options.xl2tpd
require-mschap-v2
ms-dns 8.8.8.8
ms-dns 1.1.1.1
asyncmap 0
auth
hide-password
debug
name l2tpd
proxyarp
lcp-echo-interval 30
lcp-echo-failure 4

# service 시작
systemctl restart strongswan-starter
systemctl restart xl2tpd

Kubernetes(k8s) 에 대해서

민콕이 — Thu, 2 Apr 2026 14:09:36 +0900

Kubernetes 란?

쿠버네티스(Kubernetes, 줄여서 K8s)는 수많은 컨테이너화된 애플리케이션을 자동으로 배포, 확장 및 관리해주는 오픈소스 오케스트레이션 플랫폼입니다.

k8s 라는 표기는 "K"와 "s"와 그 사이에 있는 8글자를 나타내는 약식 표기이다

쿠버네티스가 필요한 이유

과거에는 서버 한 대에 하나의 운영체제를 설치하고 앱을 실행했지만, 현대의 서비스는 수십, 수백개의 작은 서비스로 쪼개져 컨테이너 형태로 돌아갑니다. 사람이 일일이 이 컨테이너들을 관리하는 것은 불가능에 가깝기 때문에 쿠버네티스가 다음과 같은 일을 대신 해줍니다.

컨테이너란 애플리케이션과 그 실행에 필요한 모든 환경(라이브러리, 설정 등)을 하나로 묶어 독립적으로 실행하는 기술

자동 복구(Self-healing): 컨테이너가 다운되면 즉시 감지하여 다시 살려냅니다.
자동 확장(Auto-Scaling): 사용자가 몰리면 컨테이너 수를 늘리고, 한산해지면 다시 줄여 비용을 절감합니다.
로드 밸런싱: 트래픽이 몰리지 않도록 여러 컨테이너에 골고루 나누어 줍니다.
무중단 배포: 서비스를 멈추지 않고도 새로운 버전으로 업데이트할 수 있습니다.

Kubernetes vs Docker 차이점

핵심적인 차이는 "단일 컨테이너를 만드느냐(Docker)"와 "수많은 컨테이너를 관리하느냐(Kubernetes)"의 차이

역할의 차이

도커 (Docker): 컨테이너 기술의 표준입니다. 애플리케이션을 실행하는 데 필요한 모든 것을 하나로 묶어 컨테이너 이미지를 만들고 실행하는 것에 집중합니다.
쿠버네티스 (Kubernetes): 도커로 만든 컨테이너들을 여러 대의 서버(클러스터)에 걸쳐 효율적으로 운영하는 도구입니다. 컨테이너가 꺼지면 다시 살리고, 트래픽이 몰리면 개수를 늘리는 등의 관리를 자동화합니다.

클러스터의 기본 구조

쿠버네티스 클러스터는 컨트롤 플레인과 하나 이상의 워커 노드로 구성된다
사용자가 앱을 배포하면, 클러스터는 마치 하나의 거대한 가상 컴퓨터처럼 작동하여 내부적으로 어떤 노드가 여유로운지 계산하고 적절한 곳에 앱을 띄워줍니다.

클러스터의 핵심 구성 요소

마스터 노드 (Control Plane): 클러스터의 '뇌'입니다. 전체적인 상태를 관리하고 명령을 내립니다.
(예: master00)
- API Server
  쿠버네티스 시스템의 중심 창구로, 모든 내부 및 외부 요청을 처리하는 REST API를 노출
- etcd
  클러스터의 모든 상태 정보(설정, 포드 상태, 노드 정보 등)를 저장하는 고가용성 키-값(Key-Value) 저장소
- Scheduler
  생성되었지만 아직 특정 노드에 배치되지 않은 파드를 감지하여 최적의 노드를 결정
- Controller Manager
  클러스터 내의 다양한 상태를 모니터링하고 원하는 상태로 유지하기 위해 지속적으로 루프를 실행하는 프로세스
- Cloud Controller Manager (선택 사항)
  쿠버네티스 클러스터를 특정 클라우드 제공업체(AWS, Azure, GCP 등)의 API와 연결
워커 노드 (Worker Nodes): 실제 '몸통'입니다. 컨테이너(앱)가 실제로 돌아가는 물리 서버 또는 가상 머신들입니다.
(예: worker00, worker01, ...)
- Kubelet
  각 노드에서 실행되는 기본 에이전트로, 파드(Pod)와 컨테이너의 생명 주기를 관리
- Kube-proxy (선택 사항)
  노드 내부의 네트워크 규칙을 관리하여 쿠버네티스 서비스 개념을 구현
- Container Runtime
  실제로 컨테이너를 실행하고 관리하는 핵심 소프트웨어

Resource

Docker 에 대해서

민콕이 — Thu, 2 Apr 2026 14:07:17 +0900

Docker 란 무엇인가

도커는 애플리케이션을 구축, 테스트 및 배포할 수 있는 소프트웨어 플랫폼 입니다.
특징으로는 애플리케이션과 그 애플리케이션을 실행하는 데 필요한 모든 파일(코드, 라이브러리, 설정)을 컨테이너라는 단위로 묶는 것입니다.

왜 쓰는걸까?

도커를 사용하는 가장 큰 이유는 내 컴퓨터에서는 잘 되는데, 왜 서버에서는 안돼? 라는 고질적인 문제를 해결해주기 떄문입니다.
도커는 애플리케이션과 이를 실행하는 데 필요한 모든 환경을 컨테이너라는 독립된 공간에 모두 집어넣습니다

환경 일관성
개발자 PC, 테스트 서버, 운영 서버가 모두 다른 운영체제나 설정을 가지고 있더라도, 도커 컨테이너는 어디서나 똑같이 작동합니다.
가볍고 빠른 실행
도커 컨테이너는 가상 머신(VM)과 달리 운영체제를 통째로 부팅하지 않습니다. 호스트 운영체제의 커널을 공유하며 애플리케이션만 격리하여 실행하기 때문에, 훨씬 가볍고 부팅 속도가 몇 초 단위로 빠릅니다.
이식성
"컨테이너"로 묶인 애플리케이션은 도커만 설치되어 있다면 노트북, 물리 서버, 클라우드(AWS, Google Cloud 등) 어디로든 쉽게 옮겨서 실행할 수 있습니다.
효율적인 자원 관리
VM은 각 서버마다 OS를 따로 설치해야 해서 자원 낭비가 심하지만, 도커는 불필요한 OS 오버헤드가 없어서 같은 하드웨어 자원에서 더 많은 애플리케이션을 실행할 수 있습니다.
쉬운 버전 관리와 배포
도커 이미지는 마치 코드의 Git처럼 버전 관리가 가능합니다.
문제가 발생하면 이전 버전의 이미지로 즉시 되돌릴 수 있습니다.

Docker와 VMware의 차이점

도커(Container 기반)와 VMware(Virtual Machine 기반)는 애플리케이션을 격리된 환경에서 실행한다는 점은 같지만, 격리하는 방식과 목적에서 큰 차이가 있습니다.

특징	도커 (Container)	VMware (Virtual Machine)
격리 수준	애플리케이션 단위 격리	하드웨어(가상) 단위 격리
OS 사용	호스트 OS의 커널 공유 (경량)	게스트 OS를 각 VM마다 설치 (무거움)
격시작 속도	수 초 (초고속)	수 분 (부팅 과정 필요)
크기(용량)	메가바이트(MB) 단위 (매우 작음)	기가바이트(GB) 단위 (매우 큼)
성능 오버헤드	거의 없음	가상화 계층으로 인한 오버헤드 존재

구조적 차이점

VMware (VM): 하드웨어 위에 하이퍼바이저를 설치하고, 그 위에 가상 하드웨어를 에뮬레이션하여 게스트 OS를 설치합니다. 진짜 컴퓨터 한 대를 가상으로 만드는 것입니다.
도커 (Container): 호스트 OS 위에 도커 엔진이 있고, 컨테이너는 호스트 OS의 커널을 공유하면서 애플리케이션에 필요한 파일들만 격리하여 실행합니다. 컴퓨터 안의 '폴더'를 격리하는 것과 비슷합니다.

하이퍼바이저 (Hypervisor)

하이퍼바이저는 하드웨어 위에서 여러 개의 가상 머신(VM)을 실행하고 관리하는 소프트웨어입니다. 쉽게 말해 진짜 컴퓨터 한 대를 가상으로 쪼개주는 역할을 합니다.

역할: 물리적인 서버의 CPU, 메모리, 디스크 등의 자원을 가상 머신들에게 나누어 줍니다.

특징: 각 가상 머신(VM)마다 독립적인 운영체제(Guest OS)를 설치해야 합니다. 그래서 무겁고 시작하는 데 시간이 걸립니다.

대표적인 예: VMware, VirtualBox, Hyper-V, KVM

컨테이너 (Container)

컨테이너는 애플리케이션과 그 실행에 필요한 모든 파일(코드, 라이브러리, 설정 등)을 하나로 묶어 격리된 환경에서 실행하는 기술입니다.

역할: 애플리케이션을 실행하는 데 필요한 환경만 딱 싸서 실행합니다.

특징: 운영체제(OS)를 새로 설치하지 않고, 호스트 운영체제의 커널을 공유합니다. 그래서 가볍고 시작하는 데 몇 초밖에 걸리지 않습니다.

대표적인 기술: Docker, Containerd

Docker의 구조

도커 이미지 (Docker Image)

도커 이미지는 애플리케이션을 실행하는 데 필요한 모든 파일, 라이브러리, 설정, 실행 명령어 등을 포함하고 있는 읽기 전용 템플릿입니다.

구조: 여러 개의 레이어(Layer)가 겹겹이 쌓인 구조입니다. 각 레이어는 Dockerfile의 명령어(RUN, COPY 등)에 의해 생성됩니다.

특징: 불변(Immutable) 상태입니다. 이미지는 한 번 생성되면 수정할 수 없습니다.

도커 컨테이너 (Docker Container)

도커 컨테이너는 도커 이미지를 기반으로 생성된 실제 실행 중인 인스턴스입니다.

구조: 이미지 레이어 위에 쓰기 가능 레이어(Writable Layer)가 추가된 형태입니다.

특징: 가변(Mutable) 상태입니다. 애플리케이션 실행 중 발생하는 파일 생성, 수정, 삭제 작업은 쓰기 가능 레이어에서 일어납니다. 컨테이너를 삭제하면 이 레이어도 함께 삭제됩니다.

격리: 리눅스 커널 기술인 네임스페이스(Namespaces)와 컨트롤 그룹(Cgroups)을 사용하여 호스트 운영체제 및 다른 컨테이너로부터 파일 시스템, 네트워크, 자원 사용량을 격리합니다.

도커 레지스트리 (Docker Registry)

도커 이미지를 저장하고 공유하기 위한 저장소입니다.

동작: 사용자는 레지스트리에 이미지를 업로드(push)하거나 다운로드(pull)할 수 있습니다.

대표 예시: 도커 허브(Docker Hub)와 같은 공개 레지스트리나 사설 레지스트리(Private Registry)가 있습니다

Ansible

민콕이 — Thu, 2 Apr 2026 14:04:08 +0900

IT System, Infrastructure (Server, Storage, OS, Network) 자동화하는 관리 도구
"Server 설정, Application 배포, 작업 스케줄링" 을 스크립트로 처리

괸리해야 할 서버가 100대인 경우 모든 서버를 똑같은 보안 패치를 설치해야 한다고 가정할때 기존 방식대로라면 일일이 원격접속해서 작업해야하지만 Ansible 방식으로 한다면 내 컴퓨터에서 명령어 한줄이면 모든 PC가 작업이 완료됩니다.

특징

Agentless로 대상 서버에 별도의 소프트웨어 설치 없이 ssh 접속만 활성화 되어있으면 된다.
YAML file로 설정을 저장하여 작업을 정의(playbook 형식)
같은 작업을 여러 서버에 똑같이 반복이 가능하고 대상 서버의 개수 제한이 없다(확장성)
같은 작업을 여러번 실행해도 같은 결과를 보여준다. (멱등성)

구성 요소

Control Node : Ansible이 설치된 컴퓨터 (명령을 내리는 곳)
Managed Node : 관리 대상 서버 (명령을 받는 곳)
Inventory : 관리할 서버들의 목록과 IP 주소를 적어둔 파일
- 대상 파일의 IP(Domain)만 정의하는게 아닌 다른 정보(접속 정보 - SSH IP, Port User)
- Static Inventory, Dynamic Inventory
- yaml(yml), ini 파일 형식
- Group에 대상 서버를 추가하여 사용(ungrouped도 존재)
  - all (모든 대상), Group 이름을 지정하면 해당 그룹에만 적용
  - 그룹 이름에는 _(언더바)만 허용
Playbook : 어떤 작업을 할지 정의해둔 시나리오 파일 (YAML 형식)
- yaml(yml), ini 파일 형식으로 지정
- Inventory에서 정의한 서버들이 적용할 동작을 정의
- ad-hoc : 필요한 Module을 단발성으로 사용
- playbook : 동작 시킬 작업들을 yaml 파일로 일괄 적용
Module : Ansible이 실행하는 작은 프로그램
단위
- Playbook에서 Task이 어떻게 수행될지를 지정
- ansible-doc -I : 사용할 수 있는 모든 Module을 나열하고 간단한 설명
- ansible-doc : 특징 Module의 상세 설명

※ Variable 변수

ansible 환경에서 사용할 변수

전역 범위 : 명령어로 실행 할 때 (-e 옵션) 또는 ansible 구성 단계에서 설정 변수
플레이 범위 : 플레이 단계에서 정의한 변수
호스트 범위 : 등록한 호스트 그룹 또는 개별 호스트에서 설정한 변수
우선 순위
- 전역 범위 > 플레이 범위 > 호스트 범위

- 실습 -

테스트 환경

3대 Guest (Rocky9.7)
- ansible-host / Mem 2G / 10.9.0.200
- ansible-node01 / Mem 1G / 10.9.0.201
- ansible-node02 / Mem 1G / 10.9.0.202

SSH 키 발급 해서 넘겨주는 방법 (Windows)

해당 작업 시 -k 옵션을 안 붙이고 명령을 보낼 수 있습니다

# RSA 키 생성 (Windows)
ssh-keygen -t rsa -b 4096

# hosts pc로 RSA 파일 전송 (Windows -> Linux)
# 위치 : C:\Users\<<사용자 이름>>\.ssh
scp id_rsa.pub root@10.9.0.200:/root/.ssh/authorized_keys

SSH 키 발급 해서 넘겨주는 방법 (Linux)

# RSA 키 생성 (Linux)
ssh-keygen

# hosts pc로 id_rsa.pub 파일 전송 (Linux -> Linux)
ssh-copy-id root@10.9.0.201 && ssh-copy-id root@10.9.0.202

실습 1

설치할 패키지 (Host)

dnf install -y epel-release
dnf install -y ansible

관리 대상 리스트 등록 (hosts가 관리할 컴퓨터)

Ansible은 기본적으로 어떤 서버에 접속해야 할지 모릅니다. 따라서 /etc/ansible/hosts 파일에 IP 주소나 도메인을 적어줌으로써 hosts가 관리할 서버들은 해당 컴퓨터들이라고 목록을 작성 하는 것입니다.

#/etc/ansible/hosts
... 
[rockylinux]
10.9.0.201
10.9.0.202

SSH 접속이 가능한지 확인

해당 명령어를 작성 할 경우 “이 서버의 식별 번호 (Fingerprint)”를 신뢰 할 수 있니?” 라고 묻고, 승인하면
~/.ssh/known_hosts 라는 파일에 저장하게 됩니다.

> ansible all -m ping -k

실습 2 (ad-hoc)

인벤토리에 있는 모든 서버에 접속해서, 특정 명령어를 대상 서버에 전달 (실제 리눅스 명령어)

$ansible \quad [대상] \quad -m \quad [모듈] \quad -a \quad "[명령어]" \quad [옵션]$

Shell Module

# uptime 
ansible all -m shell -a "uptime" -k

# last reboot
ansible all -m shell -a "last reboot" -k

# ifconfig
ansible all -m shell -a "ifconfig" -k

User Module

# user 생성
ansible all -m user -a "name=ans01" -k

# user 확인 (shell)
ansible all -m shell -a "tail -1 /etc/passwd" -k

# user 삭제
# User Module에서 삭제 : state=absent
ansible all -m user -a "name=ans01 state=absent" -k

Dnf Module

# httpd 설치
ansible all -m dnf -a "name=httpd state=present" -k

# httpd 상태 확인 (Shell)
ansible all -m shell -a "systemctl status httpd" -k

Copy Module

# 복사할 File 생성
echo "My Web Server" > index.html

# copy module로 복사
ansible all -m copy -a "src=/root/index.html dest=/var/www/html/index.html" -k

# index.html 파일 복사 됐는지 확인 (Shell)
ansible all -m shell -a "cat /var/www/html/index.html" -k

Systemd Module

# httpd service 실행
ansible all -m systemd -a "name=httpd.service state=started" -k

# ansible host에서 curl로 확인
curl 10.9.0.201
curl 10.9.0.202

실습 3 (Playbook)

ad-hoc처럼 단발성으로 실행하는 명령어들의 집합을 play라고 하는데, 그런 play가 1개 이상 있는 집합을 playbook이라고 한다.

playbook yaml
작성 규칙

--- : 시작
name : 작업 구분용 이름
hosts : 작업 대상
tasks : 적용할 작업
... : 종료 (생략 가능)

# 문법 검사
ansible-playbook playbooks/create_user.yaml --syntax-check

# 파일 실행
ansible-playbook playbooks/create_user.yaml -k

ans01 라는 이름의 유저 생성

playbooks/create_user.yaml 파일 생성 후 아래와 같이 작성

---
- name: Create User Playbook
  hosts: all
  tasks:
  - name: Create user
    user:
      name: ans01
      uid: 1100
      state: present
...

epel-release, Nginx 패키지 설치와 Nginx 실행

playbooks/install_nginx.yaml 파일 생성 후 아래와 같이 작성

---
- name: Install nginx
  hosts: all
  gather_facts: false  #정보를 수집하는 과정을 생략 (설치 속도 UP)
  tasks:
    - name: Install epel-release
      dnf: 
        name: epel-release
        state: present
    - name: Install nginx
      dnf:
        name: nginx
        state: present
    - name: Start nginx
      systemd:
        name: nginx
        state: started
...

copy 모듈을 사용해 index.html 파일 복사

playbooks/copy_index.yaml 파일 생성 후 아래와 같이 작성

---
- name: Copy index.html to nginx
  hosts: all
  tasks:
    - name: Copy local index.html to Nginx Web Server
      copy:
        src: /root/index.html
        dest: /usr/share/nginx/html/index.html
...

실습 3-2 (Playbook-loop)

create_group_loop.yaml 파일 생성 후 아래와 같이 작성

---
- name: Create Group by loop
  hosts: all
  tasks:
    - name: Add Group loop
      group: 
        name: "{{ item.gname }}"
        state: present
      loop: 
        - gname: "test_grp01"
        - gname: "test_grp02"
        - gname: "test_grp03"
...

실습 3-3 (Playbook)

---
- name: Exam01
  hosts: all
  gather_facts: false
  tasks:
    - name: Create User Group
      group: 
        name: "{{ item.name }}"
        state: present
      loop: 
        - { name: "g-adm" }
        - { name: "g-test" }
    - name: Create User
      user:
        name: "{{ item.name }}"
        group: "{{ item.group }}"
        uid: "{{ item.uid }}"
        state: present
      loop:
        - { name: "u-adm", group: "g-adm", uid: 2000 }
        - { name: "u-test01", group: "g-test", uid: 3001 }
        - { name: "u-test02", group: "g-test", uid: 3002 }
    - name: Install package traceroute
      dnf:
        name: traceroute
        state: present
    - name: Stop crond.service
      systemd:
        name: crond
        state: stopped
    - name: Create file
      file:
        path: /root/503.html
        state: touch
        mode: 0644
...