클라우드 서비스(2)

가용 영역

- 각 가용 영역은 하나 이상의 데이터 센터로 구성되며 내결함성을 갖도록 설계

- 전용선을 통해 다른 가용 영역과 상호 연결

 

리전

- 리전은 두 개 이상의 가용 영역으로 구성

- 리전 간 데이터 복제를 활성화하고 제어 가능

 

엣지 로케이션(POP)

- 최종 사용자에게 가까운 위치에서 더 짧은 지연 시간으로 컨텐츠를 전송하기 위한 장치

 

VPC

- 클라우드 가상 프라이빗 네트워크 공간

 

아마존 VPC 특징

- 사용자가 자신의 요구에 맞게 클라우드 상에서 가상의 네트워크를 정의

- VPC는 클라우드 내 다른 가상 네트워크와 논리적으로 분리되어 있음

- 리소스에 사용할 IP 주소 범위를 지정할 수 있고 IPv4와 IPv6 모두 지원

- 인바운드 및 아웃바운드 트래픽에 대한 엑세스 정책 설정 지원

 

VPC 생성

- VPC를 생성할 리전을 지정하고 사용할 IP 주소 범위 지정

- 지정한 리전에 속한 가용 영역을 선택하여 원하는 개수의 서브넷을 구성

- 리전당/계정당 VPC는 최대 5개 생성

 

VPC IP 주소 범위 지정

- CIDR은 클래스 없는 도메인 간 라우팅 기법으로 가장 일반적으로 활용되고 있는 IP 주소 할당 및 표기법

- VPC 생성 후 CIDR 변경 불가 (IP 범위를 넉넉하게 지정하는 것이 바람직)

 

서브넷 생성

- 서브넷은 리소스 그룹을 격리할 수 있는 VPC IP 주소 범위의 하위 집합

- 서브넷 생성 시 VPC CIDR 블록의 하위 집합에 속하는 CIDR 블록을 지정

- 서브넷 단위로 네트워크 트래픽을 제어할 수 있음

 

CIDR 블록이 10.0.0.0/24인 서브넷인 경우

- 10.0.0.0: 네트워크 주소

- 10.0.0.1: VPC 라우터용으로 예약

- 10.0.0.2: DNS 서버 용도로 예약된 주소

- 10.0.0.3 AWS에서 차후 사용을 위해 예약

- 10.0.0.255: 네트워크 브로드캐스트 주소

 

프라이빗 서브넷

- 인터넷 게이트웨이로 향하는 경로가 없는 라우팅 테이블과 연결된 서브넷

- 퍼블릭 인터넷에서 직접 엑세스할 수 없음

- 보안 측면에서 일반적으로 웹서버 용도를 제외한 대부분의 인스턴스는 프라이빗 서브넷에 배치하는 것이 바람직

 

퍼블릭 서브넷

- 인터넷  게이트웨이로 향한느 경로가 있는 라우팅 테이블과 연결된 서브넷

- 퍼블릭 인터넷에 대한 인바운드 및 아웃바운드 엑세스를 지원

- 퍼블릭 서브넷에 배치된 인스턴스는 Private IP와 Public IP를 가져야 함

 

 

라우팅 테이블

- 네트워크 트래픽이 향하는 방향을 결정하는 데 사용되는 경로

 

인터넷 게이트웨이

- VPC와 인터넷 간에 통신을 위한 리소스로 VPC 내부 리소스가 인터넷에 연결하거나 혹은 외부에서 서브넷의 리소스에 접근하고자 할 경우 활용

- IPv4와 IPv6 트래픽 지원

 

 

탄력적 IP 주소

- 동적 클라우드 컴퓨팅을 위해 설계된 고정 퍼블릭 IPv4 주소

- 일반적으로 인터넷 연결이 필요한데 퍼블릭 IP가 변경되면 안되는 경우 EIP를 발급하여 리소스에 할당

- 인스턴스, 네트워크 인터페이스, NAT gateway 등에 연결하여 활용할 수 있음

 

탄력적 네트워크 인터페이스

- VPC에서 인스턴스에 연결할 수 있는 가상 네트워크 인터페이스

- VPC 내 인스턴스에는 VPC의 IP 주소 범위에서 Private IP 주소가 할당된 기본 네트워크 인터페이스가 있음

- ENI를 생성하여 특정 인스턴스에 추가로 연결할 수도 있고, 추후 연결된 인스턴스에서 분리, 다른 인스턴스 연결 가능

- 관리 네트워크 생성 

 

 

NAT 게이트웨이

- 네트워크 주소 변환 서비스

- 프라이빗 IP 만을 보유한 인스턴스들이 아웃바운드 트래픽을 인터넷 등 VPC 외부로 전송하기 위해 활용

 

 

방화벽

- 미리 정의된 보안 규칙에 기반하여 네트워크 트래픽을 모니터링하고 제어하는 네트워크 보안 시트템으로, 내부 네트워크와 외보와의 통신을 제어하고 내부 네트워크의 안전을 유지하기 위한 필수 기술

 

네트워크 ACL

- 서브넷 경계에서 송신 및 수신되는 트래픽을 제어하기 위한 방화벽 역할

- 1개 이상의 서브넷 내부와 외부의 트래픽을 제어하기 위한 방화벽 역할을 하는 보안 계층

- VPC 생성 시 수정 가능한 기본 네트워크 ACL을 자동으로 제공

- 상태 비저장(Stateless) 특성을 가짐

허용되는 인바운드 트래픽에 대한 응답은 아웃바운드 트래픽 규칙을 따름 (반대의 경우도 같다)

 

보안 그룹

- 리소스로 전송되는 인바운드 및 아웃바운드 트래픽을 제어하는 방화벽 역할

- 인스턴스와 같은 리소스 레벨에서 트래픽을 제어하기 위한 가상 방화벽

- 생성 시 기본 설정은 모든 인바운드 트래픽 차단, 모든 아웃바운드 트래픽 허용

- 상태 저장(Stateful) 특성을 가진 리소스

 

보안 그룹	네트워크 ACL
각 리소스 별로 적용 (1차 보안 계층)	서브넷 기준 적용 (선택적 2차 보안 계층)
룰에 대한 허용 규칙만 지원	룰에 대한 허용 및 거부 규칙 지원
등록된 모든 규칙을 평가하여 트래픽 허용	등록된 규칙의 번호순으로 트래픽 허용 및 거부
아웃바운드 요청에 대한 응답 자동 허용	아웃바운드 요청에 대한 응답 규칙 정의 필요

 

 

VPC 피어링

- 비공개적으로 VPC 간에 트래픽을 라우팅할 수 있도록 하기 위한 VPC 사이의 네트워킹 연결

- 격리된 2개의 VPC 내 리소스 간에 Private IP를 이용한 통신이 필요할 때 활용

- 동일 리전 내 VPC 간, 다른 리전에 있는 VPC, 다른 계정의 VPC와도 피어링 연결을 생성

- 피어링 연결 대상 VPC 간에는 CIDR 중복이 없어야 함

 

 

Site-to-Site VPN

- 인터넷망을 활용하여 VPC와 온프레미스 네트워크를 안전하게 연결하기 위한 방식

- VPC와 온프레미스 네트워크 간 인터넷망에 VPN 터널을 생성하고 전송 데이터를 암호화하여 통신

- 인터넷 프로토콜 보안 VPN 연결을 지원

- 터널 당 최대 대역폭은 1.25Gbps

- 빠른 연결 설정, 비용 절감

 

 

가상 프라이빗 게이트웨이

- VPN이나 Direct Connect 구성을 위해 활용하는 리소스로 2개의 엔드포인트로 구성되어 고가용성을 지원

- VPC 가상 프라이빗 게이트웨이 생성 및 연결, 사용자 지정 라우팅 테이블 생성, 보안 그룹 규칙 업테이트 과정으로 VPN 생성

 

 

Direct Connect

- 인터넷망을 거치지 않고 AWS 전용 네트워크를 통해 VPC와 온프레미스 네트워크를 연결하는 방식

- 최대 1 또는 10Gbps의 전용 프라이빗 네트워크 연결 제공

- 대용량의 데이터를 빠르게 전송할 수 있는 하이브리드 네트워크 환경 제공

 

---

 

 

아마존 EC2

- 클라우드에서 컴퓨팅 작업을 담당하는 가상 머신

- 온프레미스에서 서버가 수행할 수 있는 모든 워크로드를 지원

- 글로벌 인프라를 활용하여 고객이 원하는 위치에 배포 가능

- 비용 최적화 실현

 

EC2 생성 절차

1. 이름/태그 지정

2. 인스턴스 기본 옵션: AMI 지정, 인스턴스 유형, 키 페어, 네트워크, 스토리지

3. 기타 고급 설정: 사용자 데이터/메타데이터, 전용 옵션, 배치 그룹, 요금 옵션, IAM

 

EC2 인스턴스 유형

- M6g.xlarge: M(인스턴스 패밀리), 6(인스턴스 세대), g(추가 역량), xlarge(인스턴스 크기)

 

EC2 키 페어

- 서비스 운영 중 로그 확인, 설치 등을 위해 특정 인스턴스에 직접 접속하려면 키 페어가 필요

- 퍼블릭 키는 EC2 인스턴스에 내장되어 있고 사용자가 다운로드 받은 프라이빗 킷를 사용하여 인스턴스에 접속을 시도하면 인스턴스는 퍼블릭 키를 이용해 사용자의 접속 허용 여부 결정

- 보통 RSA 사용

- EC2 인스턴스 스토리지 옵션: 아마존 EBS, EC2 with Instance Store, EFS/FSx

 

 

AMI(Amazon Machine Image)

- 인스턴스를 시작하는 데 필요한 정보를 제공하며 인스턴스를 생성 시 소스 AMI를 지정해야 함

- 동일한 구성의 인스턴스가 필요할 때 하나의 AMI에서 다수의 동일한 인스턴스를 생성할 수 있음

- 용도별 AMI를 이용하여 다양한 용도의 인스턴스를 생성할 수 있음

- AWS에서 제공하는 사전 구축된 AMI, AWS 마켓에서 다운로드, 사용자가 자체 생성한 사용자 AMI 활용 가능

- EC2 인스턴스 루트 볼륨용 템플릿 (OS, 구성 요소 포함)

- 해당 AMI를 사용하여 인스턴스를 시작할 수 있는 권한

- 인스턴스에 연결할 볼륨을 지정하는 블록 디바이스 매핑 정보

 

 

인스턴스 생명주기

- 사용 요금은 실행 중인 경우에만 청구되며 정지나 종료/삭제 상태에서는 과금되지 않음

- 인스턴스 상태가 Pending 혹은 Shutting-down 하는 시기에 특정 목적의 쉘 스크립트를 활용하여 필요한 작업을 수행

 

아마존 EC2 요금 옵션

- 온디맨드 인스턴스: 장기 약정 없이 컴퓨팅 파워에 대해 시간당 또는 초 당 비용 지불

-- 사전 H/W 용량 계획이 어려운 예측할 수 없는 신규 서비스 제공에 적합한 유형

 

- 절감형 플랜: 1년 또는 3년 약정으로 구매하는 방식으로 할인 제공

-- 인스턴스 사용량 수준을 알고 있다면 미리 정해진 용량을 예약하여 비용 절감

 

- 스팟 인스턴스: 기구축한 컴퓨팅 용량에서 미사용 용량을 온디맨드 대비 최대 90% 할인된 가격으로 활용

-- 상태 비저장 서비스 혹은 실패해도 재시도 하면 되는 일회성 작업에 주로 사용

 

 

 

 

 

 

AWS는 이론도 어렵고 실습은 이해가 되었다. 그렇지만 혼자 클라우드 구축하기엔 정말 힘들겠다.