AWS 배포를 4번해보면서, 이제 과정은 어느정도 알겠는데 그 안에 있는 구체적인 개념들은 조금 낯설어서 다시 공부해보려고 한다.

우선 과정을 단순화해보면 다음과 같다.

1. EC2 인스턴스 & RDS를 생성하고
2. EC2 서버에 내 프로젝트를 가져온다
3. 이 때 프로젝트 데이터베이스 세팅은 로컬이 아닌 RDS로 연결되어 있어야 한다.

우선 배포하면서 마주치게 되는 개념들에 대해서 리스팅 및 정리해보자.

1. 기본 개념

개념 정리가 잘 되어있는 블로그, 위키백과, AWS 공식 사이트 참고!

AWS

Amazon Web Services 아마존의 클라우드 플랫폼

아마존 웹 서비스는 다른 웹 사이트나 클라이언트측 응용 프로그램에 대해 온라인 서비스를 제공하고 있다. 이러한 서비스의 상당수는 최종 사용자에 직접 공개되는 것이 아니고, 다른 개발자가 사용 가능한 기능을 제공하는 플랫폼을 제공하는 PaaS이다. (출처:링크)

• PaaS: Platform as a Service 서비스로서의 플랫폼. 클라우트 컴퓨팅 서비스 분류 중 하나다. SaaS의 개념을 개발 플랫폼에도 확장한 방식으로, 개발을 위한 플랫폼을 구축할 필요 없이 필요한 개발 요소를 웹에서 쉽게 빌려쓸 수 있다. 구글의 앱 엔진 같은 public API의 경우 직접 온라인 서비스를 개발에서 배포, 관리까지 할 수 있는 플랫폼을 제공하고 있다.

• Saas: Software as a Service 서비스로서의 소프트웨어. 주문형 소프트웨어라고도 부르며, 고객 관리 영역이나 회계쪽 분야에서 사용된다.

---

- EC2

Elastic Compute Cloud의 약자. AWS에서 가장 중요한 서비스! 아마존이 서비스를 제공하는 리전에서 가상의 컴퓨터를 임대하는 개념이다. 인스턴스는 EC2를 생성할 때 사용하는 단위인데, 1대의 컴퓨터를 의미하고 생성 시 OS 등 가상 서버 관련 설정을 선택할 수 있다(ubuntu, window)

왠지 사용한 만큼만 지불하면 되기 때문에 elastic인 것 같다

• ECS: EC2 Container Service: EC2를 도커 컨테이너로 관리하도록 나온 서비스
• EB: Elastic Beanstalk: 웹 애플리케이션용 클라우드 플랫폼 서비스. 간단한 서비스 배포 용으로 사용
• AWS Lamda: AWS cloud function service. 서버 없이 작성한 프로그래밍 코드를 실행하는 환경을 제공 (serverless architecture 구현에 사용)

인스턴스: Instances are virtual servers that can run applications.
리전: Region - AWS 서비스들이 제공되는 서버의 물리적인 위치
가용 영역: AZ(Availablity Zone) - 리전 안에 있는 데이터센터(IDC). us-east-2a/2b/2c 이런 식으로 표시됨

- S3

Simple Stroage Service. 파일 서버

• 정적 요소인 이미지나 동영상을 가지고 있다가 제공한다.
• EC2와 다르게 무제한 저장이 가능해 주로 사용된다.

스냅샷: 스냅샷은 S3에 저장된 EC2 볼륨의 백업입니다. 스냅샷의 ID를 입력하여 스냅샷에 저장된 데이터를 사용하여 새 볼륨을 만들 수 있습니다. 또는 스냅샷 필드에 텍스트를 입력하여 퍼블릭 스냅샷을 검색할 수 있습니다. 설명은 대/소문자를 구분합니다.

- RDS

Relational Database Service: RDBMS 클라우드 서비스. 아마존 오로라, mysql, 마리아DB, PostgreSQL, 오라클 서버 등을 지원한다.

• DynamoDB: AWS의 NoSQL 데이터베이스 서비스

2. EC2 서버

EC2 콘솔에 들어오면 리소스에 아래와 같은 화면이 뜨고, 여기서 인스턴스 시작을 누르면 단계 1에 진입한다.

부트캠프에서 배울 때는 오하이오 리전을 하는 것이 비용 효율적?이라고 들어서 계속 리전을 오하이오로 설정하고 있었다. 그런데 반응 속도가 너무 느려서 (포스트맨으로 거의 200ms, 심하면 400~500ms) 정도로 나와서 아는 개발자분이 확인해주셨더니 리전이 문제였던 것 같다.

실제로 리전을 서울로 바꾼다음에 EC2서버에 접속하니까 vim에서부터 속도가 다르다. 반응속도도 똑같이 돌려보니까 100ms 이하로 떨어졌다.

1) software configuration

AMI(Amazon Machine Image)는 소프트웨어 설정 탬플릿이다. 소프트웨어 구성(운영 체제, 애플리케이션 서버, 애플리케이션)을 선택할 수 있는 단계다.

• 루트 디바이스 유형: ebs
• 가상화 유형: hvm
• ENA 활성화: y/n

2) instance type

해당 단계에서 CPU, 메모리, 스토리지 등 하드웨어적(?)인 부분과 네트워크 용량 조합을 선택할 수 있다. instance type을 눌러보면 general purpose, compute/memory/storage optimized 혹은 GPU instance 등으로 나눌 수 있다.

3) instance detail

여기서부터 인스턴스의 세부적인 내용에 대해서 설정하는데, 검토 및 시작 버튼이 생성된다. 그러니까 이 뒤에 있는 내용은 설정하지 않아도 서버가 생성될 수 있다는 뜻이다. 모르는 개념들에 대해서만 정리해보자.

• Auto scaling: 트래픽에 따라 EC2 인스턴스들을 자동으로 확장/삭제해주는 서비스
• 스팟 인스턴스: EC2 스페어 용량의 수요,공급에 따라 가격이 결정되어 on-demand 요금보다 절감된 비용으로 서버를 사용할 수 있다. 내가 제시하는 가격(최고 가격 기준)보다 스팟 시장 가격이 낮으면 인스턴스가 시작되고, 반대로 스팟 시장 가격이 높으면 인스턴스가 종료된다. 약간 광고 비딩가를 설정하는 것과 비슷한 느낌인 것 같다.

---

• 네트워크: 인스턴스를 Amazon Virtual Private Cloud(VPC)로 시작합니다. VPC를 생성하고 고유의 IP 주소 범위를 선택하며 서브넷을 생성하고, 라우팅 테이블을 구성하며, 네트워크 게이트웨이를 구성할 수 있습니다.
• 서브넷: EC2 리소스를 리소스 서로 간에 또는 인터넷으로부터 격리하는 데 사용할 수 있는 VPC 내 IP 주소 범위입니다. 각 서브넷이 한 가용 영역에 상주합니다.
• 테넌시

4) 보안그룹 구성

3과 4 중간에 스토리지 추가, 태그 추가가 있지만 기본 설정으로 하고 넘어갔다.

- 보안 그룹

보안그룹에서 프로토콜이나 리소스, 포트 등을 선택해서 어떤 트래픽이 인스턴스에 도달할 수 있는지에 대한 규칙을 정한다. 인터넷 트래픽을 인스턴스에 도달하도록 하는 경우 HTTP, HTTPS 트래픽을 허용하고, 어떤 전송 방식을 사용할지, 어떤 포트를 통해 접속할지에 대해 정할 수 있다.

AWS의 설명: 보안 그룹은 인스턴스에 대한 트래픽을 제어하는 방화벽 규칙 세트입니다. 이 페이지에서는 특정 트래픽을 인스턴스에 도달하도록 허용할 규칙을 추가할 수 있습니다. 예를 들면 웹 서버를 설정하여 인터넷 트래픽을 인스턴스에 도달하도록 허용하려는 경우 HTTP 및 HTTPS 트래픽에 대한 무제한 액세스를 허용하는 규칙을 추가합니다. 새 보안 그룹을 생성하거나 아래에 나와 있는 기존 보안 그룹 중에서 선택할 수 있습니다.

방화벽: 방화벽 또는 firewall은 미리 정의된 보안 규칙에 기반한, 들어오고 나가는 네트워크 트래픽을 모니터링하고 제어하는 네트워크 보안 시스템이다. 방화벽은 일반적으로 신뢰할 수 있는 내부 네트워크, 신뢰할 수 없는 외부 네트워크 간의 장벽을 구성한다.

• AWS Security Group의 기본 정책은 Inbound Deny All / Outbound Any Open
• EC2로 들어오는 트래픽은 아무런 정책을 넣지 않은 상태에서 모두 차단
• EC2 (서버)에서 나가는 트래픽은 기본적으로 모두 허용
  • 허용 할 Protocol 과 Port, IP를 지정함으로써 해당 정책에 대해 허용 해주는 방식

- 프로토콜

프로토콜은 기본적으로 통신 규약을 뜻한다. 네트워크는 정말 다양한 컴퓨터로 구성되어 있기 때문에 네트워크간 공통으로 사용할 수 있는 규약이 필요하기 때문이다. AWS에서 보안그룹을 선택할 때 유형과 프로토콜이 따로 나뉘어져있는 것을 볼 수 있다. 궁금해서 구글링해봤고 결과는 아래 번외로 따로 정리했다.

네트워크 트래픽에 개발할 프로토콜입니다. SSH(Linux 인스턴스용), RDP(Windows 인스턴스용) 및 HTTP 및 HTTPS 등 일반적인 프로토콜을 선택하여 인터넷 트래픽이 인스턴스에 도달하도록 허용할 수 있습니다. 또한 사용자 지정 포트 또는 포트 범위를 수동으로 입력할 수도 있습니다.

- 방화벽

• CIDR: IP를 Class 단위로 나눠서 할당 하거나, 관리 할 수 있는 방법을 의미합니다. VPC의 사설 아이피 할당, subnet 나누기, 아이피 대역 허용 등의 작업들을 쉬운 표현방법으로 가능하게 해준다.

- 소스

접속할 클라이언트의 IP를 기입한다. 소스가 0.0.0.0/0인 규칙은 모든 IP 주소에서 인스턴스에 액세스하도록 허용한다. 보통 쇼핑몰과 같은 공개형 웹 서비스가 port 80에 대해 anywhere로 허용한다.

5) EC2 서버 접속

ssh가 pem 파일을 여는 vim 명령어 같은 것인줄 알았는데, 보안 프로토콜 이름이었다 🤔 오호... 링크를 보면 네트워크에서 안전한 데이터 커뉴니케이션을 하기 위해 쓰이고, 다른 시스템(보통 서버)에 remote login을 할 때 사용된다.

ssh -i keypair파일이름.pem ubuntu@EC2서버의공인ip 
# ssh : Linux 인스턴스에 접속하기 위한 보안 프로토콜 
# -i : insert mode 
# pem확장자의 Keypair 파일을 통해 사용자 인증 
# ubuntu 서버의 ip로 접속 

- 서버 세팅

미니콘다를 깔아주고, 내 프로젝트를 클론해와서 가상환경에 requirements.txt 패키지목록을 다운로드한다. host는 EC2 공인 IP로 변경하고, 데이터베이스 관련 설정에서 host도 localhost -> RDS host로 수정한다.

이후 public IP로 사용하기 위해 run할 때 장고, 파이썬 별로 아래와 같이 명령어를 입력해준다.

# django
python manage.py runserver 0:8000

# flask run.py
from app import create_app

if __name__ == "__main__":
    app = create_app()
    app.run(host="0.0.0.0", port=5000)

3. RDS

RDS는 EC2에 비해 설정해야 하는 옵션이 적고 새로운 개념이 많이 없어서, 단계만 간략히 설명하고 내가 겪었던 문제에 대해서만 정리하려고 한다.

데이터베이스 엔진 옵션 및 버전을 정하고, DB 인스턴스의 이름/크기/스토리지 설정, 마스터 설정(ID/PW)과 인증 등을 선택하면 바로 데이터베이스를 생성할 수 있다.

VPC 연결

RDS에 local database dump 파일을 insert하고 EC2 서버와 연결했는데, 새롭게 생성되는 데이터는 보이는데 기존에 dump한 데이터는 response로 넘어가지 않았다.

예를 들어 이미 user 1-5까지 생성된 상태에서 dump를 떴는데 rds 연결 이후 user 6을 만들었더니 user 6만 보이는 식이었다.

분명 rds에 접속해서 확인하면 데이터가 있는 것을 볼 수 있었는데, response로 가지 않아서 너무 이상했는데 오늘 VPC를 배우고 보니 네트워킹 환경을 다르게 설정해서 혹은 네트워크 간 연결이 되지 않아서 그런 것은 아닐까...? 생각해보았다. 그러니까 다른 보안 그룹에서 access를 허용하지 않았기 때문에 내가 RDS VPC에서 생성한 데이터만 보였던 것이라고 추측했는데 나름 신빙성이 있는 것 같다 😟 호...

링크에 EC2와 RDS가 같은 혹은 다른 VPC에 있는 상황에서 EC2의 인스턴스와 RDS의 인스턴스 간 액세스를 관리하는 방식이 정리되어있다. 같은 VPC 그룹에 있더라도 DB인스턴스 보안그룹에서 EC2인스턴스의 연결을 허용하는 규칙을 만들어야 된다고 한다.

4. 추가 개념

TCP/IP

프로토콜이 내가 이해하려고 했던 수준보다 내용이 깊어서 😞 따로 정리했다. TCP/IP 프로토콜은 계층 구조를 가지고 있다고 한다. (참고: 링크)

• 응용 계층은 원격 접속을 위해 사용 (HTTP, HTTPS, FTP, SSH, SSL 등이 다 여기 해당)
• 전송 계층: 데이터 전송을 담당하는 계층 (TCP, UDP)
• 인터넷 계층: 패킷 전송을 제어, 데이터 전송 시 경로 선택 (IP, ARP, ICMP, IGMP)
• 네트워크 접속 계층: 프로토콜을 식별하고 캡슐화

HTTP : Hyper Text Transfer Protocol 인터넷에서 하이퍼 텍스트 문서를 교환하기 위해 사용
HTTPS : Hyper Text Transfer Protocol Secure SSL이나 TLS 프로토콜을 통해 세션 데이터를 암호화한다. 데이터의 적절한 보호를 보장한다.
FTP : File Transfer Protocol
SFTP : Secure File Transfer Protocol
Telnet : TErminaL NETwork
POP3 : Post Office Protocol version 3
SMTP : Simple Mail Transfer Protocol
SSH : Secure Shell
SSL : Secure Socket Layer
SOAP : Simple Object Access Protocol
ARP : Adress Resolution Protocol

CIDR

Classless Inter-Domain Routing, CIDR는 클래스 없는 도메인 간 라우팅 기법으로 1993년 도입되기 시작한, 최신의 IP 주소 할당 방법이다. 사이더는 기존의 IP 주소 할당 방식이었던 네트워크 클래스를 대체하였다.

VPC

Amazon Virtual Private Cloud. AWS 클라우드와 논리적으로 분리되어 있다고 규정함으로써 사용자에게 프라이빗한 가상 클라우드를 제공하는 클라우드 컴퓨팅 시스템. 설명을 너무 잘해놓은 블로그가 있어 첨부한다.

- VPN

Virtual Private Network 가상 사설망. 예를 들어 같은 네트워크를 쓰고 있는 직원들을 분리하고 싶다면, VPN을 구축하게 되면 같은 네트워크에 있는 컴퓨터를 논리적으로 다른 네트워크인 것처럼 동작하게 할 수 있다.

다시 VPC 설명으로 돌아와, VPC가 없으면 EC2 인스턴스들도 거미줄처럼 연결되어 시스템 복잡도가 증가한다. VPC를 적용하면 VPC별로 네트워크를 구성하고, 각각 독립된 네트워크처럼 작동하게 만들 수 있다. 그룹 별로 네트워크를 손쉽게 구성하기 위해 많이 사용한다.

서브넷

서브넷은 VPC를 잘게 쪼개는 과정이다. 서브넷을 나누는 이유는 더 많은 네트워크 망을 만들기 위해서이다. 각각의 서브넷은 가용영역 안에 존재하며 서브넷 안에 RDS, EC2와 같은 리소스를 위치시킬 수 있다.

아마존을 통해 내부, 외부 IP가 할당되었던 전통적인 EC2 인스턴스와 다르게 사용자가 자신의 서브넷들 중 선택해서 IP를 할당할 수 있다. 선택적으로 어떤 자원이 public한지 아닌지를 선택할 수 있어 보안상으로 더 우수해질 수 있다.