3 Cloud 정리 (CloudFront, CloudWatch, CloudTrail)
1. CloudFront (CDN): "전 세계 배달부" (성능)
CloudFront는 CDN(Content Delivery Network), 즉 콘텐츠 전송 네트워크입니다. 여러분의 웹사이트 콘텐츠(이미지, 동영상, HTML, API 응답)를 전 세계 사용자에게 "빠르게" 배달해주는 서비스입니다.
-
작동 원리:
- 원본 콘텐츠(예: S3 버킷이나 EC2 서버)를 "Origin"이라고 부릅니다.
- CloudFront는 전 세계 곳곳에 있는 "Edge Location (엣지 로케이션)"이라는 캐시 서버에 이 콘텐츠를 복사(캐싱)해 둡니다.
- 미국에 있는 사용자가 접속하면, 미국 엣지 로케이션에서, 한국 사용자는 한국 엣지 로케이션에서 콘텐츠를 받습니다.
- 결과: 원본 서버(Origin)까지 가지 않으므로 지연 시간(Latency)이 획기적으로 줄어듭니다.
-
핵심 포인트:
- OAI (Origin Access Identity): S3 버킷을 프라이빗하게 유지하면서, 오직 CloudFront를 통해서만 접근하도록 허용하는 가상 "신원"입니다.
- 캐싱(Caching) 및 TTL: 콘텐츠를 엣지에 얼마나 오래 보관할지(TTL) 설정하여 성능과 최신성을 조절합니다.
- 보안: DDoS 공격을 방어하는 AWS Shield 및 웹 방화벽 AWS WAF와 통합됩니다.
SAA 키워드:
- "전 세계 사용자들에게 빠르게 콘텐츠를 제공..."
- "웹 사이트의 지연 시간(Latency)을 줄이고 성능을 향상..."
- "S3 버킷의 데이터를 비공개로 유지하면서 사용자에게 배포..." (→ OAI)
2. CloudWatch: "24시 감시자" (모니터링)
CloudWatch는 AWS 리소스에 대한 모니터링 및 관찰 서비스입니다. 여러분의 서버(EC2), 데이터베이스(RDS) 등이 잘 작동하고 있는지 "지켜보고 반응하는" 역할을 합니다.
-
비유: 병원의 24시간 환자 바이탈 모니터 (심박수, 혈압 체크)
-
주요 기능:
- Metrics (지표): 리소스의 상태 데이터(예: EC2의 CPU 사용률, 네트워크 트래픽)를 수집합니다. (기본 5분, 상세 모니터링 1분)
- Alarms (경보): 이 지표가 특정 임계값(예: CPU > 80%)을 넘으면 경보를 울립니다.
- Actions (조치): 경보가 울리면 자동으로 조치를 취합니다. (예: Auto Scaling을 트리거하여 EC2 인스턴스 추가, SNS로 관리자에게 알림)
- Logs (로그): EC2, Lambda 등에서 발생하는 애플리케이션 로그를 수집하고 검색할 수 있습니다. (EC2는 CloudWatch Agent 설치 필요)
-
핵심 포인트:
- CloudWatch Alarms + Auto Scaling: "CPU 사용률에 따라 EC2 인스턴스 수를 자동으로 조절..." 시나리오의 핵심입니다.
- EC2 메모리/디스크 사용률: 기본적으로 CloudWatch는 이 지표를 수집하지 않습니다. CloudWatch Agent를 EC2에 설치해야만 커스텀 메트릭으로 수집 가능합니다. (SAA 함정 문제)
SAA 키워드:
- "EC2 인스턴스의 CPU 사용률을 모니터링..."
- "특정 임계값을 초과하면 경보(Alarm)를 생성..."
- "Auto Scaling 정책을 트리거하여..."
- "애플리케이션 로그를 중앙에서 수집하고 분석..."
3. CloudTrail: "모든 행위 기록관" (감사)
CloudTrail은 AWS 계정에서 발생하는 모든 API 호출을 기록하는 감사(Auditing) 서비스입니다.
-
비유: 건물의 "CCTV" 또는 비행기의 "블랙박스"
-
CloudWatch와의 차이 (매우 중요!):
- CloudWatch (모니터링): 리소스의 "성능/상태"를 봅니다. (예: "서버 CPU가 90%다")
- CloudTrail (감사): "누가, 언제, 무엇을 했는지" 봅니다. (예: "admin 유저가 10분 전에 EC2 인스턴스를 삭제했다")
-
주요 기능:
- API 활동 기록: 콘솔 로그인, SDK/CLI를 통한 모든 AWS API 호출(예:
CreateInstance,DeleteBucket)을 기록합니다. - 보안 및 규정 준수: "누가" 중요한 리소스를 변경했는지 추적할 수 있어 보안 분석 및 규정 준수(감사) 요건에 필수입니다.
- 로그 저장: 기록된 로그(이벤트)는 S3 버킷에 안전하게 장기 보관할 수 있습니다. (Trail 생성 필요)
- API 활동 기록: 콘솔 로그인, SDK/CLI를 통한 모든 AWS API 호출(예:
-
핵심 포인트:
- Management Events vs. Data Events:
- Management Events (기본): 리소스 생성/수정/삭제 등 관리 활동을 기록합니다. (예:
RunInstances) - Data Events (선택, 고비용): 리소스 내의 데이터에 접근하는 행위를 기록합니다. (예: S3의
GetObject, LambdaInvoke. 매우 많은 로그가 쌓임)
- Management Events (기본): 리소스 생성/수정/삭제 등 관리 활동을 기록합니다. (예:
- Trail: 계정 활동을 S3에 영구 저장하기 위한 설정입니다. 모든 리전의 활동을 기록하는 것이 모범 사례입니다.
- Management Events vs. Data Events:
SAA 키워드:
- "보안 감사(Audit) 요건을 충족하기 위해..."
- "누가 중요한 S3 버킷을 삭제했는지 추적..."
- "모든 AWS API 호출을 기록하고..."
- "S3 버킷에 대한 GetObject 활동을 로깅..." (→ Data Events 활성화)
정리
| 서비스 | 핵심 역할 | 무엇을 다루는가? | SAA 핵심 키워드 |
|---|---|---|---|
| CloudFront | 성능 (Caching) | 콘텐츠 (파일, API 응답) | Latency, Global Users, OAI |
| CloudWatch | 모니터링 (Reacting) | 리소스 지표 (CPU, 메모리), 로그 | Metrics, Alarms, Auto Scaling |
| CloudTrail | 감사 (Auditing) | 계정 API 활동 (누가/무엇을/언제) | Audit, Compliance, API Calls |
