AWS VPC의 핵심 용어
- VPC (Virtual Private Cloud): AWS 클라우드 내에 논리적으로 격리된 사용자만의 가상 네트워크 공간.
- Subnet (서브넷): VPC를 다시 작은 단위로 쪼갠 네트워크 망. (Public/Private으로 구분)
- IGW (Internet Gateway): VPC 내부 자원들이 인터넷과 통신할 수 있게 해주는 관문.
- ALB (Application Load Balancer): 들어오는 트래픽을 여러 서버로 분산하고, 외부 접속 창구 역할을 하는 서비스.
- EC2 (Elastic Compute Cloud): 가상 서버 인스턴스. 스프링 부트 서버가 실행되는 공간.
- RDS (Relational Database Service): AWS에서 제공하는 관리형 관계형 데이터베이스 서비스.
- Bastion Host: 사설망(Private)에 있는 서버에 관리자가 접속하기 위해 거쳐가는 보안용 점프 서버.
- VPC Endpoint: 인터넷 게이트웨이를 거치지 않고 AWS 내부망을 통해 S3 등의 서비스에 직접 연결하는 전용 통로.
- S3 (Simple Storage Service): 사진, 영상 등 파일을 저장하는 무제한 객체 스토리지.
- CloudFront: 전 세계 사용자에게 정적 콘텐츠(이미지, 영상 등)를 빠르게 전달하기 위한 캐시 서버(CDN) 서비스.
- Presigned URL: S3의 비공개 객체에 대해 특정 시간 동안만 유효한 임시 접근 권한을 부여하는 URL 주소.
1. VPC 네트워크 구조 설계: 격리를 통한 보안 강화
안전한 서비스를 위해 자원을 용도에 따라 Public과 Private 구역으로 명확히 분리.
서브넷 구성 전략
- Public Subnet: 외부 소통의 관문. ALB와 Bastion Host를 배치한다.
- Private Subnet: 서비스의 심장부. Spring 서버(EC2)와 Database(RDS)를 배치하여 외부 직접 노출을 차단한다.
2. 구성 요소별 역할 및 트래픽 흐름
A. 서비스 트래픽 (User → DB)
- ALB (Public): 사용자의 요청을 받아 부하를 분산하고 내부 서버의 IP를 은닉함.
- Spring Server (Private EC2): ALB가 전달한 요청만 처리하며, 외부 직접 접근이 불가능해 보안이 강력.
- RDS (Private): 동일 VPC 내의 EC2로부터 오는 데이터 요청만 처리.
B. 관리자 트래픽 (SSH 접속)
- Bastion Host: 관리자는 Public에 있는 이 서버를 통해서만 Private 영역의 서버로 안전하게 접속가능.
3. EC2와 RDS: 보안 그룹(Security Group) 체인화
보안 그룹 설정 시 특정 IP 대신 '보안 그룹 ID'를 소스(Source)로 지정하여 유연한 보안 체계를 구축.
- RDS 보안 그룹 설정 (Inbound): 3306 포트 허용 / 소스: sg-xxxx (EC2 보안 그룹 ID)
- 고가용성 (Multi-AZ): RDS는 최소 2개 이상의 가용 영역(AZ)에 걸쳐 서브넷 그룹을 설정하여 장애에 대비.
4. S3 접근 최적화 전략: 외부 vs 내부
외부 클라이언트 (Public Access)
- CloudFront: S3 앞단에서 캐싱을 수행하여 사용자에게 파일을 빠르게 전달하고 원본 S3를 보호.
- Presigned URL: 보안상 비공개인 S3 파일에 대해 서버가 일시적인 접근 주소를 생성해 클라이언트에게 안전하게 넘김.
내부 서버 (Private Access)
- VPC Endpoint (S3 Gateway): Private EC2가 S3에 접근할 때 인터넷망을 타지 않고 AWS 내부 전용망을 사용.
5. 오늘의 핵심 요약
- 보안: 핵심 자원은 Private Subnet에 숨기고, 입구(ALB)만 Public에 둔다.
- 보안 그룹 활용: IP 대신 보안 그룹 ID 간의 참조를 통해 유연하고 자동화된 보안 설계를 지향한다.
- 전용 도로 활용: 내부 통신은 VPC Endpoint를 이용하여 비용 절감, 외부 배포는 CloudFront를 이용하여 처리 속도를 빠르게 함.
개발공부 처음해보는 사람