서버와 스토리지
특화된 어떤 업무를 수행하기 위해 설계된 컴퓨터를 서버,
정보와 데이터를 저장하기 위한 저장소 역할을 수행하는 것을 스토리지라고 한다.
서버
특화된 어떤 임무를 수행하기 위해 설계된 컴퓨터.
어떤 임무를 부여하는지에 따라 일반 노트북 또는 데스크탑 컴퓨터도 서버가 될 수 있다.
하지만 이런 특화된 임무를 수행하기 위해 일반 컴퓨터보다 고성능의 스펙을 요구한다.
그래서 일반적인 서버는 비싸고, 서버용 OS가 설치된다.
AWS는 EC2 서비스를 이용해 가상의 서버를 구성하고 필요한 소프트웨어를 설치하여 사용할 수 있다.
하드디스크
데스크탑에서 사용되는 하드 디스크, SSD 디스크와 달리 서버에서는 고성능으로 대량의 데이털르 빠르게 처리하기 위해 디스크 어레이 컨트롤러와 RAID 같은 기술을 활용한다.
AWS는 EBS 서비스를 활용하여 EC2에 디스크를 추가하여 서비스를 사용할 수 있다.
보안과 방화벽
보안
정보 보안은 각종 위험으로부터 정보 및 데이터를 안전한 상태로 유지하는 것이다.
AWS는 클라우드 서비스를 안전하게 사용하기 위해 필요한 서비스를 말한다.
AWS는 리소스에 대한 사용자 액세스 및 암호화 키 관리 서비스인 AWS IAM,
관리형 위험탐지 서비스 Amazon GuardDury,
DDoS 보호를 위한 AWS Shield,
악성 웹 트래픽 필터링을 위한 AWS WAF 등 다양한 보안 서비스를 제공한다.
방화벽
정보 시스템에서 방화벽은 인터넷과 같이 외부 네트워크에 연결되어 있는 내부 네트워크의 중요한 정보 자산에 대해 도부로부터 불법적인 침입을 보호하기 위한 시스템을 말한다.
외부 사용자 또는 외부 시스템이 내부의 서버 및 자원에 접근하기 위해서는 반드시 방화벽을 거쳐야 한다.
AWS는 자체 방화벽 서비스인 Security Group, NACL, AWS WAF를 통해 방화벽 서비스를 제공한다.
클라우드 용어
AWS는 전세계를 대상으로 서비스를 제공하기 위한 IDC(Internet Data Center)를 구축하여 운영하고 있다.
이러한 인프라 환경을 크게 리전(Region), 가용 영역(Availability Zone), 엣지 로케이션(Edge Location)으로 구분할 수 있다.
리전(Region)
물리적으로 위치가 다른 나라들을 대상으로 동일 서버를 사용하게 하면 어떠한 문제로 서버가 정지되었을 때 대처할 수 없어서 서비스를 종료해야 하거나, 물리적 거리로 인해 속도가 느려지게 된다.
이에 대비해 전세계에 여러 리전을 구축했다.
가용 영역(Availability Zone)
가용 영역이란, 데이터 센터(IDC)를 말한다.
AWS 하나의 리전에 다수의 가용 영역을 보유하고 있고,
같은 리전이라도 IDC는 서로 멀리 떨어져 있다.
가용 영역이 물리적으로 떨어져있는 이유는 어떠한 문제로 인해 작동 불능이 되더라도 다른 가용 영역에서 서비스를 재개할 수 있도록 하기 위함이다.
엣지 로케이션
엣지 로케이션이란, Amazon의 CDN 서비스인 CloudFront를 위한 캐시 서버들의 모음이다.
CDN 서비스는 Content Delivery Network의 약자로, 콘텐츠(HTML, 이미지, 동영상, 기타 파일)를 서버와 물리적으로 사용자들이 빠르게 받을 수 있도록 전 세계 곳곳에 위치한 캐시 서버에 복제해주는 서비스다.
콘텐츠를 빠르게 받기 위해 물리적으로 멀리 떨어져 있는 서버에서 다운로드 하는 것보다, 가까운 서버에 접속하여 다운로드받는 것이 훨씬 빠르기 때문에 CDN 서비스는 주요 도시에 캐시 서버를 구축해 놓는다.
Amazon EC2(Elastic Compute Cloud)
EC2
AWS 상에서 안정적이며, 크기 조정 가능한 컴퓨팅 파워를 제공하는 웹 서비스를 말한다.
이러한 가상화 서버를 '인스턴스'라 부르며, 필요에 따라 한 개의 인스턴스에서 수천 개의 인스턴스로 손쉽게 컴퓨팅 파워를 확장할 수 있다.
신규 서버를 도입해야 하는 경우, 물리 서버와 AWS EC2는 위와 같은 절차의 차이를 보인다.
AWS EC2 서비스 개요
| 구분 | 내용 |
|---|---|
| 서비스 명 | Amazon EC2(Elastic Compute Cloud) |
| 설명 | 클라우드에서 제공되는 크기를 조정할 수 있는 컴퓨팅 파워 |
| 주요 특징 | - 한 개에서 수천 개의 인스턴스로 확장 가능 - 모든 공개된 AWS Region에서 사용 가능 - 필요에 따라 인스턴스의 생성, 시작, 수정, 중단, 삭제 가능 - Linux/Windows OS에서 사용 가능하며 모든 소프트웨어 설치 가능 - 사용한 사용량에 대해서만 시간 단위 비용 과금 - 다양한 비용 모델(온디맨드, 스팟, 예약) 선택 가능 |
| 프리티어(Free Tier) | -Linux/Windows 12, micro 인스턴스 월 750 시간 제공(1GB 메모리, 32bit or 64bit 플랫폼 지원) - 가입 후 12개월 이후에 종료 |
Amazon EBS(Elastic Block Storage)
EBS는 Block Level의 스토리지 서비스이다.
서버에 장착하는 서버용 하드디스크라고 생각하면 편함
| 구분 | 내용 |
|---|---|
| 서비스 명 | Amazon EBS(Elastic Block Storage) |
| 설명 | EC2 인스턴스용 영구 블록 수준의 스토리지 볼륨으로 안정적이고 지연 시간이 짧음 |
| 주요 특징 | -크기는 1GB 단위로 1GB~1TB까지 선택 가능 - 크기/사용 기간을 기준으로 비용 과금 - 마그네틱의 경우 발생하는 I/O 횟수에도 비용 과금 - EC2 인스턴스와 독립적으로 사용 가능하며, 다른 EC2 인스턴스에 교체 가능 - 데이터는 영구적으로 저장되며, 원하는 가용 영역에 생성 가능 - 백업된 스냅샷에서 EBS 볼륨을 생성/복원 가능 |
| 프리티어(Free Tier) | - 30GB 범용(SSD) 또는 마그네틱을 원하는 대로 조합 - 2백만 I/O(EBS 마그네틱) - 1GB 스냅샷 스토리지 - 가입 후 12개월 이후 종료 |
EBS 스냅샷 활용
EBS 볼륨의 데이터를 스냅샷으로 만들어 Amazon S3에 백업 및 보관할 수 있는 기능이다.
하드디스크를 통째로 백업하는 기능.
이 스냅샷으로 EBS 볼륨을 새로 생성하고나, 다른 EC2로 연결하여 데이터를 복원하는 작업을 할 수도 있다.
스냅샷의 특징
- 스냅샷 진행 과정 중에도 EBS나 EC2의 서비스 중단 없이 기존 서비스를 즉시 사용 가능
- EBS 볼륨의 크기 조정에 사용될 수 있다. 보통 Disk의 크기를 늘리는 작업은 기존의 Disk를 스냅샷으로 백업 후 신규 장착할 EBS의 크기를 늘려서 볼륨의 사이즈를 늘릴 수 있다.
- 스냅샷의 공유 기능을 활용하여 권한 있는 다른 사용자에게 공유할 수 있으며, 이를 이용해 새 EBS를 생성할 수 있다.
- 다른 리전으로 복사가 가능하다. 리전 간 복사 기능을 활용하여 전세계의 리전으로 지리적 확장이나, 데이터 센터 마이그레이션 및 재해복구를 손쉽게 할 수 있다.
EBS의 성능과 보안성
EBS는 EC2의 Disk 성능 향상과 보안성을 위한 옵션을 가지고 있다.
- 프로비저닝된 IOPS(Provisoned IOPS) : EBS 유형에서 선택 가능하며, EBS의 성능을 높이기 위해 IOPS의 성능을 지정할 수 있는 기능이다. 보다 높은 I/O 성능을 제공하여 고성능의 서비스 제공에 적합한 EBS 유형이다.
- EBS 최적화된 인스턴스(EBS-Optimized Instance) : Disk 서비스를 위한 전용 네트워크 대역폭을 사용하도록 구성하여 Disk 성능을 최적화한다. EC2의 인스턴스 타입중, C, M, R 시리즈에서 추가 비용 없이 사용 가능하다.
- EBS 암호화 : AES-256을 사용하여 EBS 내부를 암호화한다. 암호화 키는 AWS의 KMS에서 직접 생성하거나 기본키를 사용할 수 있습니다. 이렇게 암호화된 EBS 스냅샷은 공유 및 타 AWS 계정에 공유되어도 사용할 수 없다.
Amazon 보안 그룹(Security Group)
보안 그룹
보안 그룹은 인스턴스에 대한 인바운드, 아웃바운드의 네트워크 트래픽을 제어하는 가상의 방화벽 역할을 수행한다.
EC2 인스턴스를 시작할 때 각 인스턴스당 최대 5개의 보안 그룹을 할당할 수 있다.
이런 구성의 보안 그룹은 기존의 온프레미스에서 사용되는 방화벽의 정책과 유사한 기능이다.
다만 보안 그룹은 네트워크 트래픽에 대한 허용만 가능하며, 차단은 설정할 수 없다.
이는 보안 그룹이 EC2 인스턴스 수준에 적용되기 때문이며, 차단 기능을 적용하기 위해서는 VPC의 기능 중 하나인 네트워크 ACL을 통해 서브넷 수준에서 제어할 수 있다.
보안 기룹의 특징
- 보안 그룹은 생성 가능한 보안 그룹의 숫자와 규칙에 제한이 있다. 하나의 VPC 당 생성할 수 있는 보안 그룹은 500개이며, 각 보안 그룹당 추가할 수 있는 규칙은 50개 이며, 네트워크 인터페이스당 5개의 보안 그룹을 적용할 수 있다. AWS Support를 통해 한도 증가를 요청할 수 있다.
- 네트워크 트래픽을 위한 허용 정책은 있으나 차단 정책은 없다. 차단 정책을 적용하려면 VPC의 네트워크 ACL를 이용해야한다.
- 인바운드 트래픽과 아웃바운드 트래픽을 별도로 제어할 수 있다.
- 초기 보안 그룹 설정에는 인바운드 보안 규칙이 없다. 처음 EC2를 생성하고 다른 EC2와 통신하려면 해당 EC2와의 통신을 위한 인바운드 규칙을 추가해야한다.
