DevOps/AWS

[AWS] AWS 클라우드 : 네트워크

샤아이인 2022. 1. 25.

2021/09/30 에 있었던 AWSome Day 컨퍼런스의 내용을 요약한 글 입니다. 해당 글의 모든 사진의 출처는 AWS 입니다.

 

강의 4 : AWS 클라우드 핵심 서비스 소개 - 네트워크

Amazon Virtual Private Cloud는 줄여서 VPC로 논리적으로 격리되어있는 계정 전용 가상 네트워크 입니다.

이 VPC 안에서 EC2 인스턴스와 같은 AWS 리소스를 생성하여 사용할 수 있습니다.

또한 VPC는 리전 범위의 서비스 이며, 가용 영역에 걸쳐서 사용됩니다.

 

VPC는 IP주소의 범위 선택, 서브넷 생성, 라우팅 테이블 및 인터넷 게이트웨이 구성 등 가상 네트워크 환경을 완벽하게 제어할수 있습니다.

 

VPC 하나에 서비스를 배치할수도 있지만, 개발 및 테스트 환경, 운영, 부서와 같이 용도를 나누어서 사용할수 있습니다.

기본적으로 VPC끼리는 통신이 되지 않지만, 추가적으로 연결할 방법이 존제하긴 합니다.

 

VPC는 논리적으로 격리되어있는 가장 네트워크 이며, Private IP 대역을 할당할수 있습니다.

하지만 VPC만 만들었다고 해서 EC2인스턴스와 같은 서비스를 바로 배치할수는 없습니다.

VPC는 서브넷이라고 하는 VPC IP 주소 범위 내의 세그먼트 또는 파티션으로 볼수있으며 서브넷을 생성하고 해당 서브넷에 EC2 인스턴스와 같은 서비스를 배치할 수 있습니다.

 

서브넷은 기본적으로 외부와 통신할수 없는데 이를 프라이빗 서브넷이라 부릅니다.

하지만 웹서비스와 같은경우 외부에서 접근 가능해야하기 때문에 이를 위해 프라이빗 서브넷을 퍼블릭 서브넷으로 만들 수 있습니다.

 

퍼블릭 서브넷이 되기 위해서는 3가지 조건이 필요합니다.

1) 인터넷 게이트웨이 라고 불리는 서비스를 생성해서 VPC에 연결해야하며,

2) 라우팅 테이블에서 해당 항목에 대한 트래픽 경로가 지정되어야 합니다.

3) 퍼블릭 서브넷에 있는 서비스가 외부에서 접근할 수 있는 퍼블릭 IP주소를 갖고있어야 합니다.

 

● 인프라 구조화

 

외부에서 EC2 인스턴스에 접근하기 위해서는 인터넷 게이트웨이라는 서비스를 통해서 접근하게 됩니다.

인터넷 게이트웨이를 통해 들어온 트래픽은 라우팅테이블의 경로 정보를 가지고 이동하게 됩니다.

라우팅테이블에서 정보를 주지 않으면 해당 트래픽은 EC2 인스턴스에 접근할수가 없습니다.

 

그다음으로 라우팅 테이블을 통해서 트래픽은 서브넷 앞단의 네트워크 ACL을 거치게 됩니다.

네트워크 ACL은 허용되는 트레픽인지 확인합니다.

 

허용된 트래픽은 다음으로 인스턴스 레벨의 가상 방화벽 보안 그룹을 거치게 됩니다.

 

위의 경로를 거쳐서 EC2 인스턴스에 트래픽이 접근하게 되므로 이를 계층적 보안 이라고 하며, 라우팅 테이블, ACL, 보안 그룹 등의 설정을 정확하고 정밀하게 하는것이 중요합니다.

 

● Elastic Load Balancing (ELB)

ELB는 들어오는 애플리케이션 트래픽을 EC2 인스턴스, 컨테이너, IP주소, Lambda 함수, 가상 어플라이언스와 같은 여러 대상으로 자동 분산시킵니다.

ELB는 단일 가용영역 또는 여러 가용 영역에서 다양한 어플리케이션의 부하를 처리할 수 있습니다.

 

ELB는 총 4가지 로드 밸런서를 제공합니다.

1) Application Load Balancer

2) Network Load Balancer

3) Gateway Load Balancer

4) Classic Load Balancer

 

여러곳으로 부하를 나누기 때문에 하나의 가용 영역에 있는 애플리케이션에서 문제가 생겨도 나머지 가용 영역에 있는 대상으로 트래픽이 전달되니 서비스를 지속할수 있습니다.

 

두번째로 상태확인 부분에서 ELB는 비정상 대상을 감지하고, 해당 대상으로 트래픽 전송을 중단한 다음 나머지 정상 대상으로 로드를 분산합니다.

 

● Amazon Route 53

가용성과 확장성이 뛰어난 DNS 웹 서비스 입니다.

1) 도메인 이름 등록 기능

2) 인터넷을 통해 웹 서버같은 리소스로 자동화된 요청을 보내고 접근 및 사용이 가능하고, 정상 작동하는지 확인합니다.

리소스를 사용할수 없게 될때 알림을 수신하고 비정상 리소스가 아닌, 다른 곳으로 인터넷 트래픽을 라우팅할 수 있습니다.

 

● 네트워킹 요약

사용자는 DNS를 통해 여러분들의 어플리케이션에 접근하게 되며 Route53이 이를 IP정보로 변경하여 전달합니다.

전달받은 IP 정보로 트래픽을 요청하면 AWS 클라우드의 VPC에 연결된 인터넷 게이트웨이 서비스가 이를 먼저 처리하게 됩니다.

트래픽은 라우팅 테이블의 트래픽 경로를 따라서 ELB로 연결되며 EBL 뒤에 연결된 EC2 인스턴스에 적절하게 분배됩니다.

 

보안

Identity and Access, 즉 자격 증명과 접근에 대한 관리를 하는 서비스 입니다.

IAM을 사용하면 AWS 서비스에서 생성한 리소스에 대해 접근을 안전하게 통제할 수 있습니다.

또한 AWS사용자 및 그룹, 역할을 만들어 관리할수 있고, 접근 권한을 허용하거나 거부하는 정책을 정의해서 AWS 리소스에 대한 접근 관리를 합니다.

즉, IAM에서 사용자를 생성하거나, 사용자에게 개별 보안 자격 증명을 할당하거나, 임시 보안 자격 증명을 요청해서 상용자에게 AWS 서비스 및 접근 권한을 제공할수 있습니다.

'DevOps > AWS' 카테고리의 다른 글

[AWS] EC2에 MySQL 설치하기  (8) 2022.03.19
[AWS] EC2 인스턴스 만들기  (0) 2022.03.19
[AWS] AWS 클라우드 : 스토리지  (0) 2022.01.25
[AWS] AWS 클라우드 : 컴퓨팅  (0) 2022.01.25
[AWS] AWS 클라우드 소개  (0) 2022.01.25

댓글