AWS 기본 개념
AWS(Amazon Web Services)는 클라우드 컴퓨팅 서비스를 제공하는 플랫폼이다. AWS 서비스를 활용하기 위한 여러 가지 기본 개념을 이해해 보자.
Region
Region은 AWS의 데이터 센터가 위치한 지리적 영역이다. 각 Region은 지리적 영역 내에서 격리되고 물리적으로 분리된 최소 3개의 AZ로 구성되어 있으며, 사용자는 특정 Region을 선택하여 리소스를 배포할 수 있다.
흔히 리전을 단일 데이터 센터로 정의하는 다른 클라우드와 달리 모든 AWS 리전의 여러 AZ 설계로 이루어져 있다.
Region 선택은 데이터의 지연(latency), 사용자의 위치 등을 고려하여 결정해야한다. 예를 들어, 한국 사용자라면 서울 Region을 선택하는 것이 좋다.
AZ (Availability Zone)
AZ는 Availability Zone의 약자로, 하나의 Region 내에 물리적으로 분리된 독립적인 데이터 센터다. 각 AZ들은 서로 다른 데이터 센터에 위치해 있어, 하나의 AZ에서 장애가 발생하더라도 다른 AZ에는 영향을 주지 않는다. 이는 고가용성과 내구성을 보장하기 위한 AWS의 전략 중 하나이다.
예를 들어 아래 그림과 같은 아키텍처가 있다고 가정하자.
애플리케이션의 가용성을 고려하여 다중 AZ에 배포하여 장애 발생 시에도 서비스를 지속할 수 있도록 할 수 있다.
VPC (Virtual Private Cloud)
VPC는 Virtual Private Cloud의 약자로, AWS에서 가상 네트워크를 설정할 수 있는 서비스이다. VPC를 통해 사용자는 자신만의 격리된 네트워크 환경을 만들고, IP 주소 범위, 서브넷, 라우팅 테이블, 네트워크 게이트웨이 등을 구성할 수 있다. VPC를 이용하면 보안과 네트워크 관리를 효율적으로 할 수 있다.
논리적 네트워크 가상화 기술! -> 네트워크 구성 유연하게 변경, 네트워크 기기 관리 및 유지보수 용이
VPC - SDN(네트워크를 소프트웨어로 제어, OpenFlow), NFV(네트워크 기기의 기능을 SW로 구현)
어떻게 온프레미스랑 연결하지? 외부 VPC 트래픽?
-> VPC 엔드포인트 인터넷을 거치지 않음, Transit Gateway, Internet Gateway
-> Direct Connect(비쌈), VPN(품질 안좋음)
그럼 VPC 밖의 트래픽이 어떻게 이동하는 거지? BGP?
CIDR (Classless Inter-Domain Routing)
CIDR은 Classless Inter-Domain Routing의 약자로, IP 주소를 할당하고 네트워크를 서브넷으로 분할하기 위한 방법입니다. CIDR 표기법은 IP 주소와 서브넷 마스크를 사용하여 네트워크의 크기를 정의합니다. 예를 들어, 192.168.0.0/24는 192.168.0.0부터 192.168.0.255까지의 IP 주소 범위를 나타내며, 총 256개의 IP 주소를 포함합니다.
Internet Gateway
Internet Gateway는 VPC가 인터넷과 통신할 수 있도록 하는 게이트웨이입니다. Internet Gateway를 VPC에 연결하면 VPC 내의 리소스가 인터넷을 통해 외부와 통신할 수 있습니다. 이는 주로 퍼블릭 서브넷에서 사용되며, 외부와의 접속이 필요한 웹 서버 등을 배포할 때 사용됩니다.
Subnet
Subnet은 VPC 내에서 IP 주소를 더 작은 단위로 나누어 관리할 수 있는 서브 네트워크이다. 서브넷을 통해 네트워크 트래픽을 분리하고, 보안 그룹과 네트워크 ACL을 적용하여 네트워크를 보다 세밀하게 제어할 수 있다.
서브넷은 Internet Gatewat 연결 여부에 따라 퍼블릭 서브넷과 프라이빗 서브넷으로 나눌 수 있다.
Public Subnet
퍼블릭 서브넷은 Internet Gateway를 통해 인터넷과 직접 통신할 수 있는 서브넷이다. 주로 웹 서버, Bastion 호스트 등의 외부 접속이 필요한 리소스를 배포할 때 사용된다. 퍼블릭 서브넷에 배포된 리소스는 공인 IP 주소를 할당받아 인터넷과 직접 통신할 수 있다.
Private Subnet
프라이빗 서브넷은 인터넷과 직접 통신할 수 없는 서브넷이다. 주로 데이터베이스 서버, 로그 서버 등 외부와의 직접적인 접속이 필요 없는 리소스를 배포할 때 사용된다.
프라이빗 서브넷에 배포된 리소스는 NAT(Network Address Translation) 게이트웨이를 통해서만 외부와 통신할 수 있다.
Private Subnet 접속 방법
프라이빗 서브넷에 있는 리소스에 접속하기 위해서는 Bastion 호스트나 VPN을 이용하는 방법이 있습니다. Bastion 호스트는 퍼블릭 서브넷에 위치한 리소스로, SSH를 통해 프라이빗 서브넷의 리소스에 접속할 수 있는 중계 서버 역할을 합니다. VPN은 온프레미스 네트워크와 VPC를 연결하여 안전하게 프라이빗 서브넷에 접속할 수 있는 방법입니다.
NAT (Network Address Translation)
NAT는 Network Address Translation의 약자로, 프라이빗 서브넷에 있는 리소스가 인터넷에 접속할 수 있도록 해주는 서비스입니다. NAT 게이트웨이를 사용하면 프라이빗 서브넷의 리소스는 공인 IP 주소 없이도 인터넷과 통신할 수 있습니다. 이는 프라이빗 서브넷의 리소스가 외부로부터 직접적인 접속을 차단하여 보안을 강화할 수 있게 합니다.
Security Group
Security Group은 AWS 리소스의 인바운드 및 아웃바운드 트래픽을 제어하는 가상 방화벽입니다. 각 Security Group은 허용할 트래픽의 규칙을 정의하며, 특정 IP 주소나 포트 범위를 지정할 수 있습니다. Security Group은 인스턴스 수준에서 적용되며, 기본적으로 모든 트래픽을 차단하고, 명시적으로 허용된 트래픽만 통과시킵니다. Security Group을 적절히 설정하면 AWS 리소스의 보안을 강화할 수 있습니다.
이상으로 AWS의 기본 개념에 대해 알아보았습니다. 이 글이 AWS를 처음 접하는 분들께 도움이 되었기를 바랍니다. 각 개념을 이해하고 나면 AWS를 보다 효율적으로 활용할 수 있을 것입니다.
