🚧 AWS ELB, NginX – HTTPS 적용하기

이 글에서는 http를 https로 리디렉션해 ALB(Application Load Balancer)와 NginX를 통해 IP 주소만 달랑 있는 EC2 백엔드 서버에 HTTPS를 적용하고 트래픽을 관리하는 방법을 다룹니다.

도메인 호스팅을 할 계획이 없던 프로젝트를 하던 중 프론트엔드로부터 백엔드를 HTTPS 서버로 만들어달라는 요청이 왔다. 그래서 HTTPS를 적용하기 위해 ELB와 NginX를 활용해보려 한다.

🤔 HTTPS?

HTTP와 HTTPS의 개념

HTTP는 HyperTextTransfer Protocol의 약자로, 클라이언트와 서버 간에 데이터를 주고 받기 위한 프로토콜이다. 반면, HTTPS는 HTTP에 Secure Socket Layer(SSL) 또는 Transport Layer Security(TLS)를 추가한 버전으로, 암호화된 통신을 제공한다. 따라서 HTTPS는 데이터를 암호화하여 제3자가 데이터를 중간에 가로채더라도 내용을 복호화할 수 없어 보안성이 뛰어나다.
데이터 보안이 중요해진 현대 사회에서 정보의 안전한 전송은 필수적이기 때문에 개인정보를 다루는 웹 사이트에서는 HTTPS를 사용하는 것이 권장된다.

NginX?

Event-driven 구조로 설계되어 비동기 방식으로 처리되는 웹 서버를 의미한다. NginX는 여러 요청을 비동기 방식으로 처리하기 때문에 동시 접속 요청이 많아도 Thread 생성 비용이 존재하지 않는다. NginX를 프록시 서버로 앞단에 놓고, 뒤에 백엔드 서버를 넣어 버퍼 오버플로우에 대한 위협을 일부분 방지할 수 있다.
보안성 또한 큰 장점이다. 웹 서버를 reverse proxy 구조로 설계해 NginX를 가짜 서버로 두고 뒤에 있는 웹 서버를 보호할 수 있다.

그래서 뭘 하고 싶은건데

이 글에서 하고자 하는 것은 간단하다. 처음 요청은 AWS ELB를 거쳐 들어온다. 해당 요청은 EC2 앞단의 NginX로 들어오고, NginX는 이를 뒤에 있는 BE 서버로 전달한다. 이 과정을 통해 http 요청을 https로 EC2에 전달한다.

🚀 How to use

1. EC2 배포 및 inbound 설정

EC2 배포

EC2의 8080포트에 이미 백엔드 서버가 배포되어 있다고 가정한다. 자세한 배포 과정 및 CI/CD 파이프라인 구축 방법은 여기에서 다룬다.

inbound 설정

사용하는 EC2 인스턴스에서 보안 규칙에 들어가 HTTPS와 HTTP 요청만 받을 수 있도록 아래와 같이 인바운드 규칙을 설정해준다.

2. ACM에서 SSL 인증서 발급

ACM은 AWS Certificate Manager의 약자이다. AWS console에서 Certificate Manager로 검색해 해당 메뉴로 들어간다.

도메인 호스팅

SSL 인증서 발급을 위해서는 도메인 호스팅이 선행되어야 한다. 호스팅 시 CNAME을 설정해준다. CNAME 값은 아직 설정할 필요 없다. 이후 ELB 설정을 완료한 다음 넣어주면 된다.

SSL 인증서 발급

ACM > 인증서 > 인증서 요청에서 인증서를 발급한다.

아래에서 앞서 호스팅한 도메인(사용하고자 하는 도메인)을 입력하고 검증 방법을 DNS 인증으로 설정하고 완료한다.

DNS 인증

위의 단계만 거쳤을 때에는 아직 DNS 인증이 완료되지 않아 인증서 발급이 완료되지 않았다. DNS 인증을 위해서 인증서 나열 메뉴에서 발급한 인증서를 선택한다. 인증서 내에 도메인 항목에 앞서 설정한 도메인과 CNAME 이름, 값이 있는 것을 확인할 수 있다.

해당 CNAME 이름과 CNAME 값을 아래와 같이 도메인 호스팅 사이트에서 CNAME으로 추가하고 설정을 적용한다.

시간이 지나면 DNS 인증이 완료되어 인증서가 정상적으로 발급된 것을 확인할 수 있다.

3. ELB 생성 및 리스너 설정

ELB 생성

EC2 > 로드 밸런서에서 로드 밸런서를 생성한다. 로드 밸런서 유형은 Application Load Balancer로 선택한다. 로드 밸런서 이름을 설정한 후 리스너 탭에서 HTTPS를 아래와 같이 추가한다.

이때 아직 대상 그룹이 없는 상태이기 때문에 대상 그룹 생성을 선택하고 새로운 대상 그룹을 아래와 같이 생성한다.

대상 그룹을 생성한 후 인스턴스를 추가해준다. 이때 health-check는 controller를 따로 만들어 설정하는 것을 추천한다. 대상 그룹 설정을 완료한 후 리스너 설정에 새로 만든 대상 그룹을 추가해준다.

인증서 소스는 앞서 생성한 ACM 인증서를 선택한다.

ELB의 가용 영역은 최소 2개의 AZ(Available Zone)를 설정해야 하는데, EC2가 사용하는 VPC와 서브넷이 들어가도록 설정해준다. 보안 그룹 또한 EC2 인스턴스와 동일하게 설정해준다.

정상적으로 ALB가 성성된 것을 확인할 수 있다.

ELB 리스너 설정

리스너 규칙 편집에서 HTTP(80)로 접속할 시 HTTPS(443)로 리디렉션 되도록 아래와 같이 설정한다.

4. ELB 연결

ELB의 DNS(A레코드)를 호스팅 사이트에서 레코드로 추가한다. CNAME으로 설정하고 CNAME 값으로 A레코드를 입력한다. 아래 하이라이팅 되어 있는 부분이 아까 만들었던 로드 밸런서의 DNS 이름이 A레코드이다. CNAME 입력 시 앞서 DNS 인증을 진행한 도메인을 CNAME 이름으로 입력해야 한다. CNAME 값으로는 ELB의 DNS를 넣어주면 된다.

5. EC2에 NginX 설치 및 설정

NginX 설치

간단하게 설치하고 사용하기 위해서 이 글에서는 커멘드 라인으로 설치했다.

sudo apt-get update
sudo apt-get install nginx

NginX 설정

root path에서 /etc/nginx로 이동한다. 해당 디렉토리 내부에 있는 nginx.conf 파일을 수정하기 위해 vi를 사용한다.

sudo vi nginx.conf

http { } 안에 아래의 코드를 작성한다.(환경에 맞게 수정해 사용해야 한다.)

server {     
  listen       80;
  server_name  ~.;
  # redirect https setting
  if ($http_x_forwarded_proto != 'https') {
    return 301 https://$host$request_uri;
  }      
  location / {         
    proxy_set_header X-Real-IP $remote_addr;             
    proxy_set_header HOST $http_host;
    proxy_set_header X-NginX-Proxy true;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    # port setting , 서버의 port와 동일한 port로 pass 시켜야 합니다.
    proxy_pass http://127.0.0.1:8080;
    proxy_redirect off;
  }
}

NginX 재시작

NginX를 재시작해 설정을 적용한다.

// restart
sudo service nginx restart

// reload
nginx -s reload

설정한 도메인으로 요청을 보내니 http 요청이 https로 리디렉션 되어 잘 처리되는 것을 확인할 수 있다.

그래서 이게 언제 필요하다고?

ELB는 부하 분산을 목적으로 사용하지만, SSL 암호화 인증도 지원해 유용하게 사용할 수 있다. 대안으로 NginX를 사용할 수 있지만 SSL 인증서 발급과 갱신에서 번거롭다는 단점이 있다. 이 프로젝트의 경우에는 AWS를 사용해 배포를 하고 있었기 때문에 ELB를 사용했지만, 차후 프로젝트에서 사용해야 하는 workstation에서의 배포에서는 해당 방식을 사용하지 못할 것이다. 그 경우에는 NginX에서 자체적으로 지원하는 reverse proxy를 활용하는 방식을 활용하면 될 것으로 보인다. 이는 나중에 개발 후 기록 예정이다.
결론적으로 https가 필요할 때, 개인정보를 다루는 웹을 개발할 때, 부하 분산이 필요할 정도로 트래픽이 몰리는 서비스를 개발할 때 사용하자 👾

---

Reference : NginX reverse proxy 개념 및 사용법, AWS EC2 도메인 설정