0404 AWS SAA 자격증 대비 (8/N): 고급 네트워킹과 하이브리드 연결
✅ 1. 콘텐츠 전송 및 DNS: CloudFront와 Route 53
➕ Amazon CloudFront
- 개념: 전 세계에 분산된 엣지 로케이션(Edge Location)이라는 캐시 서버에 콘텐츠(이미지, 동영상, 정적 파일 등)를 미리 복사해두고, 사용자와 가장 가까운 위치에서 콘텐츠를 전송하는 CDN(Content Delivery Network) 서비스입니다.
- 핵심 역할:
- 지연 시간 감소: 사용자와 물리적으로 가까운 곳에서 데이터를 제공하여 웹사이트 로딩 속도를 획기적으로 개선합니다.
- 원본 서버 부하 감소: 캐시된 콘텐츠에 대한 요청은 엣지 로케이션이 처리하므로, S3나 EC2와 같은 원본 서버의 부하가 줄어듭니다.
- 원본(Origin): CloudFront가 캐싱할 콘텐츠를 가져오는 원본 위치. (e.g., S3 버킷, EC2 인스턴스, ELB)
- OAI (Origin Access Identity) / OAC (Origin Access Control): S3 버킷의 콘텐츠를 CloudFront를 통해서만 접근할 수 있도록 제한하는 보안 기능. 사용자가 S3의 원본 URL로 직접 접근하는 것을 막습니다.
- 시험 포인트: "전 세계 사용자에게 정적/동적 콘텐츠를 빠르고 안전하게 제공하기 위한 방법은?" → CloudFront
➕ Amazon Route 53 (복습)
- 라우팅 정책은 시험의 핵심입니다.
- 장애 조치 (Failover): 주(Primary) 리소스 장애 시 예비(Secondary) 리소스로 자동 전환. (재해 복구)
- 지연 시간 (Latency): 사용자에게 가장 낮은 지연 시간을 제공하는 리전으로 라우팅. (글로벌 서비스 성능 최적화)
- 지리 위치 (Geolocation): 사용자의 지리적 위치에 따라 다른 리소스로 라우팅. (콘텐츠 현지화, 규정 준수)
- 가중치 (Weighted): 지정된 비율에 따라 여러 리소스로 트래픽 분산. (A/B 테스트, 블루-그린 배포)
✅ 2. VPC 연결 심화
➕ VPC 피어링 (Peering)
- 개념: 두 개의 VPC를 1:1로 비공개적으로 직접 연결하여, 마치 하나의 네트워크처럼 통신할 수 있게 하는 기능입니다.
- 특징:
- 트래픽은 AWS의 내부 네트워크를 사용하므로 안전하고 빠릅니다.
- 전이 라우팅(Transitive Routing) 미지원: VPC A와 B가 피어링되고, B와 C가 피어링되어도, A와 C는 직접 통신할 수 없습니다. (A-C 간 별도 피어링 필요)
- 시험 포인트: "두 개의 다른 VPC에 있는 애플리케이션들이 서로 비공개적으로 통신해야 한다" → VPC 피어링
➕ VPC 엔드포인트 (Endpoint)
- 개념: VPC에서 인터넷을 거치지 않고 S3, DynamoDB와 같은 다른 AWS 서비스에 비공개적으로 안전하게 연결할 수 있는 기능입니다.
- 종류:
- 게이트웨이 엔드포인트: S3, DynamoDB 지원. 라우팅 테이블에 경로를 추가하는 방식으로 동작. (비용 없음)
- 인터페이스 엔드포인트 (PrivateLink): 대부분의 다른 AWS 서비스를 지원. 서브넷 내에 ENI(탄력적 네트워크 인터페이스)를 생성하여, 프라이빗 IP 주소를 통해 서비스에 접근. (비용 발생)
- 시험 포인트: "프라이빗 서브넷의 EC2 인스턴스가 인터넷 접근 없이 S3 버킷에 파일을 업로드해야 한다. 어떻게 구성해야 하는가?" → S3용 게이트웨이 VPC 엔드포인트를 생성한다.
✅ 3. 하이브리드 클라우드 연결
- 기업의 자체 데이터 센터(온프레미스)와 AWS 클라우드를 안전하고 안정적으로 연결하는 방법입니다.
| 연결 방식 | AWS Direct Connect | AWS Site-to-Site VPN |
|---|---|---|
| 개념 | 온프레미스와 AWS 간에 전용 사설 네트워크 연결을 구축. | 인터넷을 통해 온프레미스와 AWS VPC 간에 암호화된 터널(VPN)을 생성. |
| 연결 경로 | 전용 회선 (인터넷을 거치지 않음) | 공용 인터넷 |
| 성능/안정성 | 매우 높고 일관됨 (대역폭 보장) | 인터넷 상태에 따라 변동적 |
| 비용 | 높음 (전용 회선 설치 및 포트 비용) | 낮음 (사용한 만큼의 데이터 전송 비용) |
| 주요 용도 | • 대규모 데이터 전송이 빈번한 경우 • 매우 안정적이고 일관된 성능이 요구되는 경우 | • 빠르고 저렴하게 하이브리드 연결을 구축할 때 • 백업용 연결 |
- 시험 포인트:
- "대역폭을 보장하고, 안정적이며, 일관된 성능의 하이브리드 연결이 필요하다" → Direct Connect
- "비용 효율적으로, 빠르게 온프레미스와 VPC를 연결하고 싶다" → Site-to-Site VPN
➕ AWS Transit Gateway
- 개념: 여러 VPC와 온프레미스 네트워크를 중앙 허브(Hub)에 연결하여 네트워크 구성을 단순화하는 클라우드 라우터입니다.
- 문제점 (VPC 피어링): VPC의 수가 늘어나면, 모든 VPC를 서로 연결하기 위해 관리해야 할 피어링 연결의 수가 기하급수적으로 증가합니다. (Full-Mesh 구조의 복잡성)
- 해결책: 모든 VPC와 VPN/Direct Connect 연결을 Transit Gateway라는 중앙 허브에 연결하기만 하면, 모든 네트워크가 서로 통신할 수 있게 됩니다. (Hub-and-Spoke 구조)
- 시험 포인트: "수십 개의 VPC와 여러 온프레미스 사이트를 중앙에서 효율적으로 연결하고 관리하고 싶다" → Transit Gateway
📌 오늘의 핵심 요약 (Solutions Architect 관점)
- CloudFront는 성능 최적화와 원본 서버 보호를 위한 CDN 솔루션이며, OAI/OAC를 통해 S3 콘텐츠를 안전하게 제공해야 한다.
- VPC 피어링은 1:1 VPC 연결, VPC 엔드포인트는 VPC와 AWS 서비스 간의 비공개 연결을 위한 솔루션이다.
- 하이브리드 연결 시, 성능과 안정성이 최우선이면 Direct Connect, 비용과 속도가 중요하면 VPN을 선택한다.
- 다수의 네트워크(VPC, 온프레미스)를 연결해야 하는 복잡한 시나리오에서는, Transit Gateway를 사용하여 네트워크 구성을 단순화하고 중앙에서 관리하는 것이 정답이다.
