- 문제풀이5
NAT 인스턴스와 NAT 게이트웨이 비교
항목 NAT 인스턴스 NAT 게이트웨이 개념 퍼블릭 서브넷에 배치된 EC2 인스턴스로, 프라이빗 서브넷의 리소스가 인터넷에 접근할 수 있도록 트래픽을 전달하는 역할을 한다. AWS 관리형 서비스로, 프라이빗 서브넷의 리소스가 인터넷에 접근할 수 있도록 트래픽을 전달한다. 관리 주체 사용자가 직접 생성, 설정 및 유지보수해야 한다. AWS에서 자동으로 관리하며 설정이 간단하다. 확장성 수동으로 설정된 EC2 크기 및 용량에 의존한다. 자동으로 스케일링되며 고가용성을 제공한다. 성능 네트워크 성능은 사용자가 선택한 EC2 인스턴스 유형에 따라 달라진다. 높은 네트워크 처리량과 낮은 대기 시간을 제공한다. 가용성 사용자가 수동으로 다중 AZ 구성 및 백업 인스턴스를 설정해야 한다. 기본적으로 고가용성을 제공하며 다중 AZ에 걸쳐 배포된다. 비용 EC2 인스턴스 비용과 EBS 스토리지 비용이 발생한다. 시간당 요금과 데이터 전송량에 따른 비용이 발생한다. 보안 보안 그룹을 통해 트래픽을 제어하며 설정이 복잡할 수 있다. AWS에서 보안이 관리되며 보안 설정이 단순하다. 사용 사례 소규모 프로젝트나 비용을 최적화하려는 경우 적합하다. 대규모 트래픽 처리나 고가용성이 필요한 경우 적합하다. NAT 인스턴스와 NAT 게이트웨이의 관계 및 개념 텍스트 그림
rust 복사편집 프라이빗 서브넷 ----> NAT 인스턴스 ----> 인터넷 게이트웨이 ----> 인터넷 | | 프라이빗 서브넷 ----> NAT 게이트웨이 ----> 인터넷 게이트웨이 ----> 인터넷-
프라이빗 서브넷: 인터넷 접근이 차단된 서브넷으로, 외부와의 통신이 필요한 경우 NAT를 통해야 한다.
-
NAT 인스턴스: EC2 인스턴스를 NAT 역할로 설정해, 프라이빗 서브넷의 리소스가 인터넷에 접근하도록 돕는다.
-
NAT 게이트웨이: AWS 관리형 NAT 서비스로, NAT 인스턴스의 기능을 대체하며 고가용성을 제공한다.
-
인터넷 게이트웨이: VPC의 인터넷 출입구로, 퍼블릭 서브넷과 NAT에서 발생하는 트래픽이 통과한다.
AWS Glue와 작업 북마크의 관계
1. 작업 북마크란?
AWS Glue에서 작업 북마크는 작업(Job)이 데이터를 증분 처리할 수 있도록 이전 실행 상태를 저장하고 관리하는 기능이다.
이를 통해 새로 추가된 데이터만 처리하며, 처리 시간과 비용을 절감할 수 있다.
2. Glue와 작업 북마크의 관계
-
상태 저장: 이전 작업의 처리 상태를 저장하여 이후 작업에서 재사용.
-
증분 처리: 이미 처리된 데이터를 제외하고 새로운 데이터만 처리.
-
자동화 지원: Glue 메타데이터 저장소에 상태를 자동 저장 및 관리.
-
비용 효율성: 불필요한 데이터 재처리를 방지하여 비용 절감.
3. Glue 작업 북마크의 동작 방식
-
활성화 방법: Glue 작업 생성 시
Enable Job Bookmark옵션 활성화. -
저장 위치: AWS Glue 내부 메타데이터 저장소.
-
사용 사례: S3, 데이터베이스 등에서 증분 데이터 처리 및 로그 분석.
4. Glue와 작업 북마크의 관계 그림
rust 복사편집 데이터 소스(S3/DB) ----> Glue 작업 ----> 북마크 저장소 (이전 상태 저장) | ↑ | | ---> 새로운 데이터 -----> Glue 작업 (북마크 확인 후 증분 처리)
5. Glue와 작업 북마크를 사용하는 이유
-
효율성: 대량 데이터를 처음부터 다시 처리하지 않아 시간 절약.
-
비용 절감: 실행 시간 감소로 비용 최적화.
-
자동화: 작업 상태를 자동으로 관리하여 운영 효율성 강화.
AWS CloudFront는 엣지 로케이션에서 트래픽을 분산 처리하여 전 세계적으로 요청을 분산시키고, AWS Shield와 통합되어 악성 트래픽을 감지 및 차단함으로써 DDoS 공격을 효과적으로 방어할 수 있다.
엣지 로케이션이 가까운 위치에서 요청을 처리해 주요 서버로의 트래픽 집중을 방지하고, AWS Shield가 실시간으로 공격을 모니터링하고 완화한다.
감사목적으로 기록한다 = AWS KMS
-
AWS에서 "Snow"로 시작하는 서비스들은 대규모 데이터 전송, 저장, 마이그레이션을 위한 물리적 장치를 제공하며, 네트워크 제한이 있는 환경에서 유용하다.
AWS Snow 서비스 개요
| 서비스 이름 | 주요 기능 | 사용 사례 | 특징 |
|---|---|---|---|
| AWS Snowcone | 소형 데이터 전송 및 엣지 컴퓨팅을 지원하는 장치. | - 원격지 데이터 수집- 로컬 데이터 처리 | - 작고 휴대 가능- 2TB 용량 제공 |
| AWS Snowball Edge | 대용량 데이터 전송 및 엣지 컴퓨팅을 위한 장치. | - 데이터 센터 마이그레이션- 엣지 컴퓨팅 | - 80TB 용량- 컴퓨팅 및 스토리지 옵션 |
| AWS Snowmobile | 엑사바이트 규모의 데이터 전송을 위한 물리적 트럭 서비스. | - 대규모 데이터센터 마이그레이션 | - 최대 100PB 용량- 초대형 트럭 사용 |
Snow 서비스의 주요 개념
- 데이터 전송네트워크가 느리거나 안정적이지 않은 환경에서 물리적 장치를 사용해 데이터를 AWS로 전송.
- 엣지 컴퓨팅데이터가 생성되는 곳(엣지)에서 바로 데이터를 처리하고 저장.
- 보안
- 전송 중 데이터 암호화 및 AWS Key Management Service(KMS)를 통한 키 관리.
- 장치 분실 시에도 데이터 보호.
Snow 서비스 선택 가이드
| 필요 사항 | 적합한 서비스 |
|---|---|
| 소규모 데이터 전송 및 원격 처리 | AWS Snowcone |
| 대규모 데이터 전송 및 컴퓨팅 | AWS Snowball Edge |
| 초대규모 데이터센터 마이그레이션 | AWS Snowmobile |
1. 클라이언트 요청 (Global)
↓
2. Global Accelerator
↓
3. Route 53 (DNS 서비스)
├── 퍼블릭 IP → NLB (퍼블릭 서브넷)
│ ├── EC2 인스턴스 (퍼블릭 서브넷)
│ └── 탄력적 IP (고정 IP 사용 가능)
│
└── 프라이빗 IP → NLB (프라이빗 서브넷)
└── EC2 인스턴스 (프라이빗 서브넷)
└── 백엔드 애플리케이션
설명
- Global Accelerator
- 클라이언트의 요청을 가장 가까운 AWS 글로벌 네트워크 엣지 로케이션으로 라우팅.
- 레이턴시를 줄이고 성능을 최적화.
- Route 53
- DNS 서비스를 통해 도메인 이름을 IP 주소로 변환.
- 퍼블릭 또는 프라이빗 IP로 트래픽을 라우팅.
- NLB (Network Load Balancer)
- 클라이언트 요청을 여러 EC2 인스턴스로 분산.
- 퍼블릭 서브넷(NLB의 퍼블릭 IP 노출)과 프라이빗 서브넷(NLB의 프라이빗 IP 노출)을 지원.
- EC2 인스턴스
- 애플리케이션이 실행되는 가상 서버.
- 퍼블릭 서브넷에 배치하면 인터넷에 직접 접근 가능.
- 프라이빗 서브넷에 배치하면 내부 네트워크에서만 접근 가능.
- 탄력적 IP
- 퍼블릭 IP를 고정하여, EC2 인스턴스가 중지되거나 이동해도 동일한 IP 주소 유지.
ACM과 KMS, SSL/TLS
| 항목 | ACM (AWS Certificate Manager) | KMS (AWS Key Management Service) |
|---|---|---|
| 주요 기능 | SSL/TLS 인증서 관리 및 제공 | 암호화 키 생성, 저장, 관리 및 보안 |
| 주요 목적 | 웹사이트 및 애플리케이션에 SSL/TLS 인증서 자동 관리 및 제공 | SSL/TLS 암호화를 포함한 데이터 암호화 및 키 관리 |
| SSL/TLS 관련 역할 | SSL/TLS 인증서를 발급, 관리 및 자동 갱신하여 HTTPS 연결을 설정 | SSL/TLS 암호화 키를 생성하고 관리하여 데이터 암호화 및 보안 처리 |
| 사용 사례 | - 웹 애플리케이션에 SSL/TLS 인증서 배포- HTTPS 통신 보안 | - S3, RDS 등 데이터 암호화- SSL/TLS 암호화된 데이터를 안전하게 저장 및 전송 |
| 인증서 관리 | SSL/TLS 인증서를 AWS 서비스에 배포 (예: ELB, CloudFront 등) | 암호화 키 관리 (SSL/TLS에서 사용될 수 있음) |
| 주요 서비스 통합 | - Elastic Load Balancer (ELB)- CloudFront- API Gateway 등 | - S3- RDS- Lambda- EBS 등 |
| 자동화 기능 | 인증서 자동 갱신 및 배포 | 자동 키 회전 및 관리 정책 설정 가능 |
| SSL/TLS 연관 | - HTTPS와 같은 보안 연결을 설정- SSL/TLS 인증서를 제공 | SSL/TLS 프로토콜을 통한 데이터 암호화에서 사용되는 암호화 키 관리 |
| 비용 | 인증서 발급 및 관리가 무료, 외부 인증서 사용 시 비용 발생 | 키 생성 및 관리, 사용에 따른 비용 발생 |
*ACM (AWS Certificate Manager)와 KMS (AWS Key Management Service)**의 SSL/TLS 관련 기능
- ACM은 SSL/TLS 인증서를 관리하고 배포하여 웹사이트, 애플리케이션, API 등에서 HTTPS 연결을 설정합니다. 주로 SSL/TLS 인증서를 사용하여 보안 연결을 제공합니다.
- KMS는 SSL/TLS 암호화에 필요한 암호화 키를 관리하고 생성하는 역할을 합니다. KMS에서 생성된 암호화 키는 데이터를 암호화하거나, SSL/TLS 연결을 위한 데이터 암호화 시 사용될 수 있습니다.
차이점 요약
- ACM은 SSL/TLS 인증서를 관리하여 보안 연결을 설정하고, KMS는 암호화 키를 생성하여 데이터를 암호화하거나, SSL/TLS 연결에서 사용되는 키를 관리합니다.
공부 한줄 평
- 왜 공부해도 기억이 안날까? 용어 정리가 시급하다...
