AWS Cloud Practitioner Essentials - Module 5: 네트워킹

choi·2026년 6월 18일

AWS Cloud Practitioner

목록 보기
5/5
post-thumbnail

Module 5: 네트워킹

네트워킹 소개

  • 커피숍 비유를 통한 네트워킹 개념
    • 커피숍 바리스타와 계산원 비유
      • 계산원 (퍼블릭 서브넷 역할)
        • 정의
          • 고객과 직접 마주하며 주문을 받고 결제를 처리하는 대외적 접점
      • 바리스타 (프라이빗 서브넷 역할)
        • 정의
          • 고객과 직접 상호 작용하지 않고, 격리된 내부 영역에서 음료 제조에만 몰입하는 내부 자원
  • 네트워킹 구성 요소
    • Amazon Virtual Private Cloud (VPC)
      • 정의
        • AWS 클라우드 내부에서 사용자가 정의한 가상 네트워크를 실행할 수 있도록 마련된 논리적으로 격리된 영역
    • 서브넷 (Subnet)
      • 정의
        • 리소스를 역할 및 보안 수준에 따라 그룹화하고 분할하기 위해 VPC를 관리 가능한 크기인 특정 IP 주소 범위로 쪼갠 세그먼트
      • 특징/이점
        • 프라이빗 서브넷은 외부 인터넷 직접 노출을 차단하여 민감한 정보(데이터베이스 등)를 보관함
        • 퍼블릭 서브넷은 고객용 웹 사이트와 같이 인터넷 직접 액세스가 필요한 리소스를 배치함
  • 네트워킹 구성 요소: 다이어그램을 통해 연결에 대해 이해
    • 아키텍처 다이어그램 (Architecture Diagram)
      • 정의
        • AWS 클라우드 내에 구축된 네트워크의 구조와 리소스 간의 연결 관계 및 데이터 이동 경로를 나타낸 시각적 맵
      • 특징/이점
        • 시스템의 이중화, 보안성, 확장성을 직관적으로 확인하고 최적의 설정을 검증하는 설계 청사진으로 활용함

  • AWS 클라우드 (AWS Cloud)
    • 정의
      • 아키텍처 다이어그램상에서 시스템 전체 영역을 감싸는 가장 바깥쪽에 위치하는 상자
  • 리전 (Region)
    • 정의
      • AWS 클라우드 하위에 표시되는 지리적으로 격리된 독립된 물리적 영역 상자
    • 특징/이점
      • 지연 시간, 규정 준수, 가용 서비스, 비용 등을 복합적으로 고려하여 적합한 리전을 결정함
  • Amazon VPC
    • 정의
      • 리전 내부의 격리되어 논리적으로 분할된 네트워크 환경을 나타내는 실선 상자
    • 특징/이점
      • 네트워크 내부의 리소스 제어 및 보안 정책 설정을 관리함
  • 가용 영역 (Availability Zone, AZ)
    • 정의
      • 리전 내에서 1개 이상의 개별 데이터 센터로 구성되고 각각 별도의 시설에 구축된 물리적 인프라 영역 상자
    • 특징/이점
      • 독립된 전력, 네트워킹, 연결 기능을 갖추고 있으며 다중 AZ 아키텍처는 단일 장애 상황으로부터 서비스를 보호함

  • 서브넷 (Subnet)
    • 정의
      • VPC의 세그먼트로서 VPC 내의 특정 IP 주소 범위를 가지며 VPC를 관리하기 쉬운 섹션으로 나누는 단위 상자
  • 프라이빗 서브넷 (Private Subnet)
    • 정의
      • 퍼블릭 인터넷에 직접 노출되면 안 되는 리소스를 안전하게 격리하도록 설계된 실선 상자

  • 퍼블릭 서브넷 (Public Subnet)
    • 정의
      • 내부에 배치된 리소스에 인터넷과의 양방향 통신을 제공하도록 설계된 파선 상자
    • 특징/이점
      • 외부 인터넷의 통신을 허용하기 위해 인터넷 게이트웨이(IGW)에 연결되어 동작함

aws 클라우드의 네트워크 구성 요소

aws 클라우드 리소스 구성

  • Amazon Virtual Private Cloud (VPC) 및 서브넷 기본 개념
    • Amazon VPC 개요
      • 정의
        • AWS 클라우드 내부에서 고객이 소유하고 격리시켜 프로비저닝하는 사설(프라이빗) 가상 네트워크 영역
      • 특징/이점
        • 리소스의 프라이빗 IP 범위를 정의하고, EC2 및 ELB 등의 자원을 그 안에 배치하여 경계를 설정함
        • 가상 네트워크의 설정, 관리, 검증 시간을 단축하여 온프레미스 대비 효율성을 높임
        • 보안 강화: 인스턴스 액세스 제한, 트래픽 스크리닝, 연결 보호 및 모니터링을 통한 강력한 통제권 제공
    • 서브넷 (Subnet)
      • 정의
        • 리소스를 그룹화하고 세부적으로 격리하기 위해 VPC의 IP 주소를 적절한 청크로 쪼갠 하위 섹션
      • 특징/이점
        • 나중에 설정할 네트워킹 보안 규칙과 연계하여 특정 리소스를 퍼블릭 또는 프라이빗 상태로 제어함
        • EC2 인스턴스 등 실제 구동할 컴퓨팅/네트워크 자원들을 포함하는 실질적 공간임
  • 외부 인터넷 및 사설 네트워크 연결 수단 (게이트웨이)
    • 인터넷 게이트웨이 (Internet Gateway, IGW)
      • 정의
        • VPC 내부의 리소스와 퍼블릭 인터넷 간의 직접적인 통신(양방향 연결)을 허용하는 전용 출입구
      • 특징/이점
        • 커피숍의 현관문과 같은 비유로서, 이것이 VPC에 연결되어 있지 않으면 외부에서 퍼블릭 리소스에 접근이 절대 불가능함
        • 퍼블릭 웹 사이트, 퍼블릭 로드 밸런서 등 대외용 서비스 배치 시 반드시 장착해야 함
    • 가상 프라이빗 네트워크 (VPN) 및 가상 프라이빗 게이트웨이 (VGW)
      • 가상 프라이빗 네트워크 (VPN)
        • 정의
          • 일반 공개망인 인터넷을 사용하면서도 데이터 유출을 막기 위해 가상의 보안 암호화 터널을 생성해 트래픽을 통과시키는 가상 사설망 기술
        • 특징/이점
          • 패킷을 완전 암호화하여 통신 내용을 외부 감시자로부터 보호함
          • 퍼블릭 네트워크 선로를 공유하여 사용하므로 트래픽이 몰릴 때 대역폭 저하 및 속도 지연이 발생할 수 있음
      • 가상 프라이빗 게이트웨이 (Virtual Private Gateway, VGW)
        • 정의
          • 암호화된 VPN 보안 트래픽이 VPC 내부로 유입되거나 밖으로 나갈 수 있도록 보장하는 AWS 측의 전용 사설 통신 출입구
        • 특징/이점
          • 커피숍의 비공개 사옥 보안 게이트 비유로서, 사원증(인증)을 확인한 승인된 사내 네트워크 트래픽만 내부 VPC에 들어오게 허용함
          • 온프레미스 데이터 센터나 본사/지사 사내 네트워크와 AWS VPC 간에 안전한 하이브리드 VPN 터널링을 설정할 수 있음
    • AWS Direct Connect
      • 정의
        • 고객의 온프레미스 데이터 센터에서 AWS 영역까지 인터넷망을 경유하지 않고 완전한 프라이빗 전용 광케이블 회선을 연결하는 서비스
      • 특징/이점
        • 커피숍으로 바로 이어지는 비밀 전용 통로(마법의 문) 비유로서, 네트워크 혼잡이나 공유 회선 문제를 완전히 우회함
        • 매우 안정적이고 일관된 초고속 고대역폭 전송 성능과 높은 보안 성능을 제공함
        • 데이터 주권 등 법률적 규정 준수(Compliance)를 강하게 충족하며 전용 통신망 파트너를 통해 물리 전용선을 구축함

aws 클라우드에 연결할 수 있는 추가적인 방법

  • AWS 클라우드 연결 개요

    • 정의
      • 네트워크, 온프레미스 데이터 센터, 원격 작업자의 다양성에 맞춰 기업이 AWS 클라우드 리소스에 접속할 수 있도록 제공되는 다양한 연결 방식
  • AWS Client VPN

    • 정의
      • 원격 작업자와 온프레미스 네트워크를 AWS 클라우드에 보안 연결할 수 있게 지원하는 클라이언트 기반 VPN 서비스
    • 특징/이점
      • 탄력적인 완전관리형 서비스로서 사용자 수요에 맞춰 자동으로 리소스 규모를 스케일 업/다운함
      • 별도의 물리 하드웨어를 구매 및 관리할 필요가 없으며 OpenVPN 기반 클라이언트를 채택함
      • 고급 인증 방식과 안전한 원격 액세스를 신속히 제공해야 하는 대기업 원격 근무 환경에 적합함
  • AWS Site-to-Site VPN

    • 정의
      • 기업의 온프레미스 데이터 센터나 지사(Site) 네트워크와 AWS 클라우드 VPC 간에 안전하고 암호화된 터널링 세션을 맺어주는 IPsec VPN 서비스
    • 특징/이점
      • 고가용성, 강력한 보안, 비공개 세션을 생성하며 가상 프라이빗 게이트웨이(VGW)를 거쳐 VPC로 유입됨
      • 주로 원격 지사 위치 간의 애플리케이션 마이그레이션이나 암호화 보안 통신에 필수적으로 적용됨
  • AWS PrivateLink

    • 정의
      • 인터넷 게이트웨이, NAT 디바이스, 퍼블릭 IP, Direct Connect 또는 VPN을 거치지 않고, VPC를 다른 VPC나 AWS 서비스에 사설망(비공개)으로 가용성 높게 직접 연결해 주는 프라이빗 연결 기술
    • 특징/이점
      • 마치 고객이 독자적으로 보유한 VPC 내부에서 직접 서비스와 자원을 이용하는 것과 동일한 보안성을 제공함
      • 다른 클라이언트와의 트래픽 정체 현상을 방지하고 비공개 API 엔드포인트 연결을 중앙 제어하여 관리 복잡성을 줄임
  • AWS Direct Connect

    • 정의
      • 고객의 온프레미스 데이터 센터나 사무실에서 AWS 인프라 영역까지 인터넷을 완전히 우회하여 물리적인 전용 광케이블 회선으로 직결하는 서비스
    • 특징/이점
      • 인터넷 공유 회선을 사용하지 않아 트래픽 정체 요인이 없고 네트워크 비용이 대폭 절감됨
      • 지연 시간에 민감한 애플리케이션: 일관되게 지연 시간이 극도로 짧은 환경을 조성해 동영상 스트리밍이나 실시간 처리에 최적화됨
      • 대규모 데이터 마이그레이션: 실시간 빅데이터 분석, 신속 백업, 고용량 미디어 브로드캐스트 전송을 위한 신뢰성 있는 대역폭을 보장함
      • 하이브리드 클라우드 아키텍처: AWS와 온프레미스 네트워크를 유기적으로 직결하여 성능 저하 없는 분산 애플리케이션 가동 환경을 형성함
  • 추가적인 게이트웨이 서비스

    • AWS Transit Gateway
      • 정의
        • 중앙 집중식 가상 라우터(허브) 역할을 수행하여 수많은 VPC들과 온프레미스 네트워크를 그물망 피어링 대신 일대다(1:N) 형태로 통합 연동해 주는 게이트웨이 서비스
      • 특징/이점
        • 클라우드 인프라가 전 세계로 확장될 때 리전 간 전송 게이트웨이를 피어링하여 관리를 획기적으로 간소화함
    • Network Address Translation (NAT) 게이트웨이
      • 정의
        • 프라이빗 서브넷에 속한 인스턴스가 VPC 외부의 인터넷이나 다른 서비스로 아웃바운드 연결은 수행하게 돕되, 외부에서 해당 프라이빗 인스턴스로의 최초 인바운드 접속 시도는 전면 차단해 주는 주소 변환(NAT) 서비스
    • Amazon API Gateway
      • 정의
        • 소프트웨어 시스템 간 통신을 정의하는 API를 개발자가 손쉽게 대규모로 생성, 게시, 유지 관리, 모니터링 및 보안 제어할 수 있게 돕는 완전관리형 API 호스팅 서비스

서브넷, 보안 그룹, 네트워크 엑세스 제어 목록

  • VPC 네트워크 보안 개요

    • 정의
      • 외부 위협으로부터 클라우드 내부 자원을 보호하기 위해 VPC 내부와 서브넷, 인스턴스 등 각 계층별로 적용되는 다층 방어 네트워킹 보안 설계
    • 특징/이점
      • 게이트웨이 경계 보안 외에도 방화벽, DDoS 방지, 암호화, 패킷 스크리닝 등 다양한 보안 계층 도구를 종합 활용함
  • 네트워크 액세스 제어 목록 (Network ACL)

    • 정의
      • 서브넷 수준에서 인바운드 및 아웃바운드 트래픽을 제어하는 스테이트리스(Stateless) 기반의 가상 방화벽
    • 특징/이점
      • 출입국 심사 직원 비유: 서브넷 경계를 드나드는 모든 데이터 패킷의 발신 정보와 포트를 규칙 목록(승인/거부 목록)과 대조해 검사함
      • 기본 네트워크 ACL은 기본적으로 모든 인바운드/아웃바운드 트래픽을 허용함
      • 사용자 지정 네트워크 ACL은 명시적 규칙을 추가하기 전까지 모든 트래픽을 차단함 (마지막에 매칭되지 않는 패킷을 전면 드롭하는 명시적 거부 규칙 존재)
      • 한계: 패킷이 서브넷 경계를 통과할 때만 동작하며, 동일 서브넷 내부에서 인스턴스 간에 주고받는 트래픽 흐름은 통제할 수 없음
  • 보안 그룹 (Security Groups)

    • 정의
      • Amazon EC2 인스턴스 등 개별 리소스 수준에서 인바운드 및 아웃바운드 트래픽을 세밀하게 제어하는 스테이트풀(Stateful) 기반의 가상 방화벽
    • 특징/이점
      • 아파트 건물의 도어맨 비유: 인스턴스 단위로 동작하며, 들어올 때만 허가 목록을 확인하고 나갈 때는 검사하지 않음
      • 기본적으로 모든 인바운드 트래픽을 차단(거부)하고, 모든 아웃바운드 트래픽을 허용하도록 설정되어 시작됨
      • 허용(Allow) 규칙만 정의할 수 있으며, 거부(Deny) 규칙은 작성할 수 없음 (규칙에 없는 트래픽은 자동으로 모두 차단됨)
  • 패킷 필터링 방식 비교 (스테이트풀 vs 스테이트리스)

    • 스테이트풀 패킷 필터링 (Stateful Packet Filtering)

      • 정의
        • 아웃바운드로 나간 요청의 연결 상태(세션)를 메모리에 기억해 두었다가, 해당 요청의 반환 트래픽이 들어올 때 인바운드 규칙 검사를 생략하고 무조건 허용하는 방식 (보안 그룹에 적용)
    • 스테이트리스 패킷 필터링 (Stateless Packet Filtering)

      • 정의
        • 과거에 나간 아웃바운드 요청 상태를 전혀 저장(기억)하지 않고, 인바운드와 아웃바운드 양방향에 대해 매번 독립적으로 규칙 목록과 대조하여 통과 여부를 검사하는 방식 (네트워크 ACL에 적용)
  • 서브넷 간 패킷 이동 시나리오 (인스턴스 A에서 다른 서브넷의 인스턴스 B로 송수신 시 검사 순서)

      1. 송신 과정 (A -> B)
      • 인스턴스 A 보안 그룹: 아웃바운드 트래픽 자동 통과 (기본 설정상 모든 발신 허용)
      • 서브넷 1 네트워크 ACL: 송신(발신) 규칙에 따라 패킷 검사 후 통과 결정
      • 서브넷 2 네트워크 ACL: 수신(입산) 규칙에 따라 패킷 검사 후 통과 결정
      • 인스턴스 B 보안 그룹: 인바운드 허용 규칙 목록과 대조하여 패킷 진입 허용 여부 판정
      1. 반환 과정 (B -> A)
      • 인스턴스 B 보안 그룹: 요청에 대한 회신이므로 아웃바운드 필터 자동 통과
      • 서브넷 2 네트워크 ACL: 스테이트리스이므로 송신 규칙에 따라 패킷 재검사 실행
      • 서브넷 1 네트워크 ACL: 스테이트리스이므로 수신 규칙에 따라 패킷 재검사 실행
      • 인스턴스 A 보안 그룹: 스테이트풀이므로 아웃바운드 요청에 대한 반환 트래픽임을 기억하고 규칙 검사 없이 자동으로 패킷 최종 수용
  • 보안 그룹과 네트워크 ACL 핵심 요약

    • 보안 그룹
      • 작동 범위: 인스턴스 수준 (개별 리소스 제어)
      • 연결 상태 유지: 스테이트풀 (Stateful)
      • 규칙 성격: 허용(Allow) 규칙만 정의 가능
      • 반환 트래픽 처리: 인바운드가 허용되면 반환 트래픽은 자동 허용됨
    • 네트워크 ACL
      • 작동 범위: 서브넷 수준 (광범위한 서브넷 경계 제어)
      • 연결 상태 유지: 스테이트리스 (Stateless)
      • 규칙 성격: 허용(Allow) 및 거부(Deny) 규칙 모두 정의 가능
      • 반환 트래픽 처리: 아웃바운드와 인바운드 각각 개별 규칙 통과가 요구됨
  • 공동 책임 모델상의 네트워크 보안 책임

    • 정의
      • AWS 인프라의 기본 환경은 AWS가 책임지지만, 그 내부의 가상 네트워크(VPC) 서브넷과 리소스를 안전하게 설계하고 방화벽 규칙을 적용할 책임은 고객에게 있다는 원칙

amazon vpc 데모

  • AWS 클라우드에서 Amazon VPC 구축 개요

    • 정의
      • AWS Management Console을 활용해 VPC, 가용 영역별 서브넷, 인터넷 게이트웨이, 라우팅 테이블을 설계하고 구성하는 실제 네트워크 구축 프로세스
    • 특징/이점
      • 고가용성 네트워크의 기본 구성 요소들을 순차적으로 연계 설정하여 인터넷 직접 통신이 가능한 퍼블릭 영역과 차단된 프라이빗 영역을 분리함
  • 1단계: Amazon VPC 생성

    • 정의
      • 클라우드 내에 격리된 사설 네트워크의 기본 주소 공간을 프로비저닝하는 작업
    • 설정 세부정보
      • Resource to create: VPC only 선택
      • Name tag: my-vpc
      • CIDR(IPv4 주소 블록 범위): 10.0.0.0/16 지정 (해당 VPC에서 생성되는 모든 리소스는 10.0으로 시작하는 고유 프라이빗 IP를 할당받음)
  • 2단계: 가용 영역별 서브넷 생성

    • 정의
      • 고가용성(High Availability) 모범 사례에 따라 단일 리전 내의 서로 다른 2개의 물리 가용 영역(AZ)에 퍼블릭 및 프라이빗 서브넷을 각각 분산 배치하는 작업
    • 설정 세부정보
      • 프라이빗 서브넷 생성:
        • private-subnet-1: 가용 영역 us-east-1a, CIDR 블록 10.0.1.0/24 지정
        • private-subnet-2: 다른 가용 영역(예: us-east-1b), CIDR 블록 10.0.2.0/24 지정
        • 주의 사항: 외부 인터넷 접근이 불가능하도록 퍼블릭 IPv4 자동 할당(Auto-assign IP settings)을 활성화하지 않음
      • 퍼블릭 서브넷 생성:
        • public-subnet-1: 가용 영역 us-east-1a, CIDR 블록 10.0.3.0/24 지정
        • public-subnet-2: 다른 가용 영역(예: us-east-1b), CIDR 블록 10.0.4.0/24 지정
        • 필수 설정: 외부 접속용 퍼블릭 IP를 부여하기 위해 퍼블릭 IPv4 자동 할당(Auto-assign public IPv4) 옵션을 명시적으로 활성화(Save)
      • 주의 사항
        • 단순히 서브넷 이름에 'public'이나 'private'을 기재하는 것만으로는 실제 퍼블릭/프라이빗 기능이 활성화되지 않으며, 인터넷 게이트웨이 연결 및 라우팅 설정이 완료되어야 실질적으로 동작함
  • 3단계: 인터넷 게이트웨이 생성 및 연결

    • 정의
      • VPC가 외부 인터넷과 직접 양방향 통신을 처리하기 위한 논리적 출입문을 생성하여 장착하는 작업
    • 설정 세부정보
      • Name tag: my-ig로 인터넷 게이트웨이 생성
      • VPC 연결: Actions 메뉴의 VPC에 연결(Attach to VPC)을 실행하여 대상 VPC(my-vpc)에 게이트웨이를 정상 부착함
  • 4단계: 라우팅 테이블 생성 및 서브넷 연결

    • 정의
      • 네트워크 패킷이 올바른 목적지로 이동할 수 있도록 라우팅 규칙(경로)을 정의하고, 이를 특정 서브넷들과 맵핑하는 작업
    • 설정 세부정보
      • 라우팅 테이블 생성: Name을 public-route-table로 정하고 대상 VPC(my-vpc)를 지정하여 생성
      • 라우팅 규칙 추가 (Edit routes):
        • 대상(Destination)에 0.0.0.0/0(모든 외부 트래픽) 입력
        • 대상(Target)에 방금 생성하여 연결한 인터넷 게이트웨이(my-ig)를 지정 및 저장
      • 명시적 서브넷 연결 (Subnet associations):
        • 생성한 라우팅 테이블의 서브넷 연결 탭에서 public-subnet-1public-subnet-2를 연결함
        • 이 연결을 거친 서브넷은 인터넷 게이트웨이로 향하는 유효 경로를 가져 실질적인 퍼블릭 서브넷으로 승격되며, 경로가 없는 프라이빗 서브넷들은 격리 상태를 계속 유지함
  • 5단계: 보안 규칙 구성 및 리소스 배포 준비

    • 정의
      • 구축된 네트워크 환경의 트래픽을 안전하게 필터링하기 위해 보안 제어를 설정하고 리소스를 추가할 최종 단계를 준비하는 작업
    • 특징/이점
      • 앞서 생성한 CIDR 블록 범위를 소스/대상 정의용으로 활용하여 보안 그룹 및 네트워크 ACL에 정밀한 허용/차단 규칙을 명시함
      • 필터링 정책이 완벽히 구성되면 해당 서브넷에 EC2 인스턴스, 데이터베이스 등의 실제 비즈니스용 리소스를 최종 배포함

글로벌 네트워킹

  • 엣지 네트워킹 (Edge Networking) 개요
    • 정의
      • 콘텐츠를 소비하는 사용자 및 데이터를 생성하는 디바이스에 물리적으로 더 가까운 위치에서 정보 저장 및 컴퓨팅 서비스를 수행하는 인프라 아키텍처
    • 특징/이점
      • 로컬에 데이터를 캐싱하거나 연산 태스크를 수행하여 네트워크 통신의 지연 시간(Latency)을 획기적으로 감축함
      • 최종 사용자에게 정체 없는 빠른 응답 속도를 보장하여 전반적인 애플리케이션 인터랙션 만족도를 향상시킴
  • Amazon Route 53
    • 정의
      • 최종 사용자를 AWS 내부 및 외부의 인터넷 애플리케이션으로 신뢰성 있게 안내하는 고가용성 및 확장성을 갖춘 클라우드 도메인 이름 서비스 (DNS)
    • 특징/이점
      • 인터넷의 전화번호부/번역기 비유: 사람이 읽을 수 있는 도메인 주소를 컴퓨터가 해석할 수 있는 IP 주소로 신속 변환함
      • 다양한 지능형 라우팅 정책 지원: 지연 시간 기반 라우팅, 지리적 위치(고객의 대륙/국가 위치에 따른 분기), 지리적 근접성, 가중치 기반 라운드 로빈(Weighted Round Robin) 등
      • 도메인 이름 구매 및 등록 관리를 Route 53 한 곳에서 일원화하여 통합 관리할 수 있는 도메인 레지스트라 기능 지원
  • Amazon CloudFront
    • 정의
      • 웹 콘텐츠, 동영상, 이미지, 애플리케이션, API 등을 글로벌 엣지 로케이션망을 활용하여 전 세계 사용자에게 신속하게 분배하는 콘텐츠 전송 네트워크 (CDN) 서비스
    • 특징/이점
      • 글로벌 배달 트럭 네트워크 비유: 중앙의 오리진 서버에 매번 직접 패킷을 요청하지 않고, 엣지 로케이션에 사본(캐시)을 미리 보관해 빠르게 반환함
      • 동영상 스트리밍: 동시 대규모 접속자가 몰리는 피크 시간에도 버퍼링을 차단하고 끊김 없는 전송 신뢰성을 확보함
      • 전자상거래 웹 사이트: 대규모 쇼핑 시즌에도 고용량 상품 이미지와 제품 세부 정보를 사용자 부근 엣지에서 즉각 띄워 이탈률을 저하시킴
      • 모바일 앱: 실시간 변동이 잦은 위치/지도 데이터나 미디어 자산을 모바일 디바이스에 지체 없이 안정적으로 로드함
  • AWS Global Accelerator
    • 정의
      • 지능형 트래픽 라우팅 및 신속한 장애 조치(Failover) 기술과 AWS의 프라이빗 글로벌 백본 네트워크망을 활용해 글로벌 애플리케이션의 가용성, 보안 및 전송 성능을 극대화하는 서비스
    • 특징/이점
      • 정체가 발생하기 쉬운 공용 인터넷 고속도로망 대신, 트래픽을 위한 독점 보안 고속 차선을 구축하여 기동함
      • 글로벌 온라인 게임: 전 세계 플레이어(예: 도쿄, 뉴욕, 런던 등) 간의 지연 편차를 좁혀 동등하고 매끄러운 반응성의 게임플레이 환경을 보장함
      • 금융 및 은행 서비스: 접속자가 대거 밀리는 피크 타임이나 지역 네트워크 불안 상황에서도 가동 중지 및 지연 없이 신뢰할 수 있는 속도로 금융 거래 및 계좌 액세스를 보장함

실제 환경에서의 클라우드

글로벌 아키텍처

  • 실제 환경의 글로벌 네트워크 요구사항
    • 정의
      • 전 세계 사용자를 지원하기 위해 여러 계정, 여러 리전, 다중 VPC 및 온프레미스를 통합하는 복잡한 하이브리드 네트워킹 구조
    • 특징/이점
      • 비즈니스 규모 확장과 지리적 이중화를 실현하여 가동 중지 시간을 방지하고 고성능 가용성을 보장함
  • 하이브리드 연결 방식 비교 (Site-to-Site VPN vs Direct Connect)
    • AWS Site-to-Site VPN
      • 정의
        • 퍼블릭 인터넷 위에 보안 암호화 프라이빗 터널을 생성하여 온프레미스 네트워크와 AWS VPC를 가상 프라이빗 게이트웨이(VGW)로 연결하는 서비스
      • 특징/이점
        • 안전하고 유연하며 설정이 신속해 소규모 데이터 전송 및 원격 리소스 액세스에 최적화됨
        • 한계: 공용 인터넷 대역폭을 공유하므로 대용량 데이터 전송 시 속도가 저하되며, 특정 보안 규정 준수 충족에 제약이 있을 수 있음
    • AWS Direct Connect
      • 정의
        • 인터넷을 우회하여 고객 데이터 센터에서 Direct Connect 로케이션을 거쳐 가상 프라이빗 게이트웨이(VGW)까지 물리적인 전용 광케이블 회선을 직결하는 서비스
      • 특징/이점
        • 일관되게 지연 시간이 짧고 대규모 데이터 전송 속도를 대폭 높여 중요한 애플리케이션 성능을 극대화함
        • 동영상 스트리밍, 실시간 백업, 하이브리드 연산 등 고대역폭과 강력한 보안 규정 준수가 필요한 비즈니스에 필수적임
  • Direct Connect 장애 조치 및 가용성 설계
    • VPN 장애 조치 (Backup & Failover)
      • 정의
        • 비용 효율성을 극대화하기 위해 Direct Connect 전용선 단선 장애 시 백업 연결용으로 Site-to-Site VPN을 설정해 자동 복구(Failover)하는 이중화 방식
      • 특징/이점
        • 평소에는 전용선을 쓰고 비상시에만 인터넷망 VPN을 사용해 보조 회선 비용을 줄이지만, 장애 복구 시에는 대역폭이 VPN 성능 수준으로 한정됨
    • 보조 Direct Connect 구성
      • 정의
        • 핵심 시스템의 성능 저하 없는 고가용성을 유지하기 위해 또 다른 물리적 Direct Connect 회선을 평행하게 구축하여 상호 백업하는 구조
      • 특징/이점
        • 단선 사고가 일어나더라도 고대역폭과 초저지연 성능을 일관되게 유지하는 강력한 내결함성을 확보함
    • 대역폭 집계 (Bandwidth Aggregation)
      • 정의
        • 네트워크 처리 용량을 물리적으로 증가시키기 위해 여러 개의 Direct Connect 전용선 연결을 하나로 결합하는 기술
      • 특징/이점
        • 회선 여러 개를 묶어 집계 대역폭을 향상시킴으로써 한 번에 대용량 트래픽 전송이 가능한 네트워크 파이프라인을 형성함
    • 하이브리드 아키텍처 연결 경로
      1. 고객 네트워크: 고대역폭 연결을 요구하는 클라이언트 및 백엔드 서버
      2. 콘텐츠 라우터 / 방화벽: 온프레미스 최경계에서 Direct Connect 선로에 유입을 중계하는 전용 게이트 장비
      3. 다중 Direct Connect 연결: 내결함성과 대역폭 향상을 위해 이중화로 연결된 물리 전용 회선
      4. 가상 프라이빗 게이트웨이 (VGW): VPC 관문에서 암호화되거나 격리된 사설 트래픽 통신을 안전하게 최종 수용하는 허브
      5. Amazon VPC: 전용선을 경유해 들어온 트래픽으로 실제 서비스를 처리하는 여러 프라이빗 서브넷 내 컴퓨팅 리소스
  • Route 53 & CloudFront 연동을 통한 글로벌 콘텐츠 배포
    • 정의
      • 전 세계 사용자에게 낮은 지연 시간으로 웹 사이트와 미디어를 서비스하기 위해 Route 53 DNS와 CloudFront CDN을 상호 연계하는 통합 글로벌 아키텍처
    • 작동 흐름
      1. 사용자 요청: 사용자가 브라우저를 통해 도메인 주소로 웹 사이트에 접속을 시도하면 Route 53 DNS 서버가 이를 수신함
      2. 라우팅 정책 판정: Route 53가 지연 시간 기반 라우팅 정책 등을 활용해 사용자에게 가장 가까운 리전을 즉각 판정함
      3. 엣지 로케이션 연동: Route 53의 제어에 따라 사용자는 해당 리전과 연동된 최적의 CloudFront 엣지 로케이션으로 연결됨
      4. 다중 AZ 오리진 서버 콘텐츠 인출: 엣지 로케이션은 해당 리전의 다중 가용 영역(AZ)에 안전하게 배포된 고가용성 오리진 서버에서 원본 자원을 불러와 최종 가동시킴

profile
늦게나마 정신을 차리려고 하는 개발 뭐시기하는 사람

0개의 댓글