0328 AWS SAA 자격증 대비 (1/N): 핵심 아키텍처 - VPC와 EC2
✅ 1. 시험의 핵심: 잘 설계된 아키텍처의 5가지 원칙 (Well-Architected Framework)
- AWS Solutions Architect 시험은 단순히 개별 서비스의 기능을 묻는 것을 넘어, 아래의 5가지 원칙에 기반하여 "어떻게 아키텍처를 잘 설계할 것인가"를 묻습니다. 모든 문제의 기저에는 이 철학이 깔려있습니다.
- 운영 우수성 (Operational Excellence): 자동화를 통한 운영 및 모니터링.
- 보안 (Security): 모든 계층에서의 보안 강화.
- 안정성 (Reliability): 장애로부터의 빠른 복구 능력 (고가용성, 재해 복구).
- 성능 효율성 (Performance Efficiency): 리소스를 효율적으로 사용하여 최적의 성능 유지.
- 비용 최적화 (Cost Optimization): 불필요한 비용을 제거하고 효율적으로 지출.
✅ 2. VPC (Virtual Private Cloud): 아키텍처의 네트워크 기반
- VPC는 AWS 클라우드 내에 구축하는 논리적으로 격리된 나만의 가상 네트워크입니다. 모든 AWS 인프라의 가장 기본적인 네트워크 경계를 설정하며, 보안과 네트워크 제어의 핵심입니다.
➕ 시험에 자주 나오는 VPC 핵심 구성 요소
| 컴포넌트 | 역할 및 핵심 포인트 |
|---|---|
| 서브넷 (Subnet) | • VPC의 IP 대역을 나눈 작은 네트워크 단위. 특정 가용 영역(AZ)에 종속됨. • 퍼블릭 서브넷: 인터넷 게이트웨이(IGW)와 연결되어 외부 인터넷과 직접 통신. • 프라이빗 서브넷: 외부에서 직접 접근할 수 없는 격리된 공간. |
| 인터넷 게이트웨이 (IGW) | • VPC와 인터넷을 연결하는 양방향 관문. |
| NAT 게이트웨이 | • 프라이빗 서브넷의 리소스가 외부로 나갈 수만 있게(Outbound) 하는 단방향 출구. • 시험 포인트: 프라이빗 서브넷의 EC2가 OS 업데이트나 외부 API 호출이 필요할 때 어떤 서비스를 사용해야 하는가? → NAT 게이트웨이 |
| 보안 그룹 (Security Group) | • 인스턴스 수준의 Stateful 방화벽. • Stateful: 허용된 인바운드 요청에 대한 응답 트래픽은 아웃바운드 규칙 없이 자동으로 허용됨. • 기본적으로 모든 인바운드는 거부, 모든 아웃바운드는 허용. |
| NACL (Network ACL) | • 서브넷 수준의 Stateless 방화벽. • Stateless: 요청과 응답 트래픽에 대해 각각의 규칙을 명시적으로 허용해야 함. • 보안 그룹보다 앞서 동작하는 추가적인 방어 계층. |
- 시나리오 문제: "웹 서버는 외부 사용자가 접근 가능해야 하고, 데이터베이스 서버는 외부에서 접근할 수 없어야 한다. 어떻게 구성해야 하는가?"
- 정답: 웹 서버는 퍼블릭 서브넷에, 데이터베이스 서버는 프라이빗 서브넷에 배치한다. 웹 서버의 보안 그룹은 HTTP/HTTPS를 허용하고, DB 서버의 보안 그룹은 웹 서버의 보안 그룹 ID로부터의 접근만 허용한다.
✅ 3. EC2 (Elastic Compute Cloud): 핵심 컴퓨팅 리소스
- EC2는 AWS에서 제공하는 크기 조정이 가능한 가상 서버입니다.
➕ 시험에 자주 나오는 EC2 관련 개념
| 개념 | 역할 및 핵심 포인트 |
|---|---|
| AMI (Amazon Machine Image) | • OS와 애플리케이션이 설치된 서버 템플릿. • 동일한 구성의 인스턴스를 신속하게 복제하는 데 사용. |
| 인스턴스 유형 | • CPU, 메모리 등 가상 서버의 하드웨어 사양. • 컴퓨팅 최적화(C타입), 메모리 최적화(R타입), 범용(M, T타입) 등 워크로드에 맞는 유형을 선택하는 것이 중요. |
| IAM 역할 (Role) | • EC2 인스턴스에 임시 AWS 자격 증명을 부여하는 가장 안전한 방법. • 시험 포인트: EC2에서 S3에 접근해야 할 때 가장 안전한 방법은? → IAM 역할을 사용한다. (액세스 키 하드코딩 X) |
| 탄력적 IP (Elastic IP) | • 인스턴스에 할당할 수 있는 고정 퍼블릭 IP 주소. • 인스턴스를 중지/시작해도 IP가 변경되지 않음. |
| 구매 옵션 | • 온디맨드: 약정 없음, 가장 비쌈. • 예약 인스턴스(RI)/Savings Plans: 1~3년 약정으로 큰 할인. (안정적인 워크로드) • 스팟 인스턴스: AWS의 남는 용량을 최대 90% 할인. 언제든지 중단될 수 있음. (중단되어도 괜찮은 작업) |
📌 오늘의 핵심 요약 (Solutions Architect 관점)
- VPC 설계는 보안의 시작이다: 리소스의 역할에 따라 퍼블릭/프라이빗 서브넷에 적절히 배치하고, 보안 그룹과 NACL을 통해 최소 권한의 원칙에 따라 접근을 제어해야 한다.
- EC2는 워크로드에 맞게 선택한다: 애플리케이션의 특성에 맞는 인스턴스 유형을 선택하고, 비용 효율성을 위해 구매 옵션(온디맨드, 예약, 스팟)을 적절히 조합해야 한다.
- 보안은 타협의 대상이 아니다: EC2 인스턴스가 다른 AWS 서비스와 통신할 때는 반드시 IAM 역할을 사용하여 자격 증명을 안전하게 관리해야 한다.
