230803 Route 53, VPC, S3

📌 Route 53

1. DNS란?

• Domain Name System의 약어로, 인터넷에서 사용되는 컴퓨터나 기기들의 주소를 인터넷 사용자가 쉽게 이해하고 기억할 수 있는 도메인 이름으로 변환해주는 시스템이다.
• 인터넷에 연결된 모든 기기들은 IP 주소를 가지고 있지만 이 주소는 일반 사용자들이 기억하기 어렵고 입력하기 번거롭기 때문에 이를 쉽게 이해하고 기억할 수 있는 도메인 이름으로 변환해주는 것이 DNS의 역할이다.
• DNS는 인터넷에서 매우 중요한 역할을 하며, 인터넷 사용자가 웹 사이트를 방문하거나 이메일을 보내는 등의 모든 인터넷 활동에서 사용된다.

2. DNS 계층 구조

예를 들어 https://www.naver.com 과 같은 주소라면 다음과 같다.

• com : Top level Domain
• naver : Second Level Domain
• www : Subdomain
• https : Protocol

인터넷에서 도메인 이름을 이용하여 웹 사이트나 이메일을 찾을 때는 DNS(Domain Name System) 서비스를 사용한다. DNS 서비스는 계층적으로 구성된 분산 시스템으로 이루어져 있으며, 이 계층 구조에서는 Root DNS Server, TLD DNS Server, SLD DNS Server가 각각의 역할을 수행한다.

1. 브라우저에 도메인을 입력하면 Local DNS에 도메인의 IP를 알기 위해 쿼리가 전달된다.

• Local DNS란? ISP(Internet Service Provider) 즉 인터넷을 제공해주는 업체를 말하는데 예를 들면 KT, SK Broadband, LG U+ 와 같은 회사들이 Local DNS 서버를 가지고 있다.

2. Root DNS Server로 가서 TLD DNS 서버를 알아낸다.

• Root DNS Server란? DNS 계층 구조에서 가장 상위에 위치한 DNS 서버로 모든 DNS 쿼리는 먼저 Root DNS Server에 도착하여 해당 도메인의 TLD(Top-Level Domain) DNS Server의 주소를 알아내야 한다. Root DNS Server는 인터넷 상에서 전 세계에 총 13개가 운영되고 있으며, 이들은 전 세계의 인터넷 서비스 제공 업체들에 의해 운영된다.

3. TLD DNS Server로 가서 SLD DNS 서버를 알아낸다.

• TLD DNS Server란? 도메인 이름의 최상위 레벨에 해당하는 .com, .net, .org, .kr 등의 TLD를 관리하는 DNS 서버로 모든 도메인 이름은 하나 이상의 TLD에 속하며, TLD DNS Server는 해당 도메인 이름이 속한 SLD(Secod-Level Domain) DNS Server의 주소를 알려준다.

4. SLD DNS Server로 가서 웹서버의 IP주소를 알아낸다.

• SLD DNS Server란? 도메인 이름의 중간 레벨에 해당하는 DNS 서버로 도메인 이름의 중간 레벨에 해당하는 부분은 일반적으로 사용자가 만든 이름이며, SLD DNS Server는 해당 도메인 이름에 대한 IP 주소를 반환한다.

5. Local DNS는 최종적으로 알아낸 웹서버의 IP주소를 다시 브라우저에 보내주고 브라우저는 그 IP주소를 이용하여 원하는 웹서버에 접속한다.

3. Route 53

• 53은 통신에 사용되는 프로토콜 중 하나인 DNS(Domain Name System)에서 사용하는 기본 포트 번호이다.
• DNS는 인터넷에서 사용되는 컴퓨터나 기기들의 주소를 인터넷 사용자가 쉽게 이해하고 기억할 수 있는 도메인 이름으로 변환해주는 시스템으로, 이를 위해 기본적으로 TCP와 UDP를 사용하며, TCP 53번 포트와 UDP 53번 포트를 사용한다.

4. IPv4v6, 레코드타입, TTL

1) IPv4와 IPv6

• IPv4와 IPv6는 인터넷 프로토콜 주소 체계이다.
• IPv4는 32비트로 구성된 주소 체계로, 최대 약 43억개의 IP 주소를 사용할 수 있습니다. (예: 192.168.0.1.)
• 하지만, 인터넷 사용자의 증가로 인해 IPv4 주소가 부족해지는 문제가 발생하면서 IPv6가 등장하게 된다.
• IPv6는 128비트로 구성된 주소 체계로, 약 340경개의 IP 주소를 사용할 수 있다. (예: 2001:0db8:85a3:0000:0000:8a2e:0370:7334)
• IPv6는 IPv4의 주소 고갈 문제를 해결할 뿐만 아니라, 보안성과 기능 면에서도 개선되었다.

2) 레코드 타입

• DNS 레코드 타입은 다음과 같다.
  • A 레코드: 호스트네임과 IPv4 주소를 연결한다.
  • AAAA 레코드: 호스트네임과 IPv6 주소를 연결한다.
  • CNAME 레코드: 호스트네임을 다른 호스트네임과 연결한다.다른 호스트네임은 반드시 A 혹은 AAAA 레코드가 있어야 한다.
  • NS 레코드: 호스트존의 네임서버를 지정한다.
• 호스트존은 주소록으로 public 호스트존은 도메인 네임의 IP 주소를 가리키며, private 호스트존은 사설망 내부에서 사용된다.
• 또한, SOA 레코드는 메타 데이터를, NS 레코드는 네임서버 정보를 담고 있다.

3) CNAME와 Alias

• CNAME과 Alias는 DNS 레코드의 유형이다.
• 두 레코드는 모두 호스트 이름을 다른 호스트 이름에 매핑하는 데 사용되지만, 다른 용도를 가진다.
• CNAME 레코드는 호스트 이름을 다른 호스트 이름으로 매핑한다. 이전에 정의된 호스트 이름의 모든 레코드를 복사하여 새 호스트 이름에 할당한다. 이는 호스트 이름이 변경되었거나 호스트 이름이 서로 다른 IP 주소를 가리키도록 하려는 경우에 유용하다.
• CNAME은 루트 도메인이 아닌경우에만 적용이 가능하다.(예: app.mydomain.com O, mydomain.com X)
• Alias 레코드는 호스트 이름을 Amazon S3 버킷, Elastic Load Balancer 또는 Amazon CloudFront 분산 된 웹 사이트와 같은 AWS 리소스에 매핑한다. 이를 통해 AWS 리소스에 대한 DNS 레코드를 만들 수 있다. Alias 레코드는 Amazon Route 53에서만 지원된다.
• Alias가 가능한 서비스들
  • Elastic Load Balancer
  • Cloudfront
  • API Gateway
  • Elastic Beanstalk
  • S3
  • VPC Interface Endpoints
• Alias가 불가능한 서비스
  • EC2

4) TTL

• TTL은 Time to Live의 약어로, DNS 레코드가 캐싱될 수 있는 최대 시간을 나타내는 값이다.
• TTL이 높을수록 DNS 레코드가 캐싱될 수 있는 시간이 더 길어지므로, 캐시 효율성은 높아진다.
• 일반적으로, TTL은 몇 분에서 몇 시간까지로 설정된다.

📌 Virtual Private Cloud

• Region 안에 VPC가 있고, VPC 안에 여러개의 AZ가 있을 수 있다.
• AZ 안에 여러개의 서브넷이 존재한다.
• 서브넷은 여러 AZ에 걸쳐서 있을 수 없다.
• 하나의 Region 안에 하나의 로드밸런서를 거쳐서 로드밸런서가 여러 AZ에 나누어서 트래픽을 보내줄 수 있다.

1. VPC란?

• VPC란 Virtual Private Cloud의 약자로, AWS에서 제공하는 클라우드 컴퓨팅 리소스를 사용할 수 있는 가상의 사설 네트워크이다.
• 사용자는 VPC 내에서 IP 주소 범위, 라우팅 테이블, 서브넷 및 보안 그룹을 설정할 수 있다.
• 또한, VPC를 사용하면 사용자는 가상 서버, 스토리지 및 데이터베이스와 같은 다양한 AWS 리소스를 시작하고 관리할 수 있다.

2. 서브넷

• 서브넷은 VPC 내에서 IP 주소 범위를 지정하는 가상의 네트워크로 라우팅 테이블에 연결되며, 각 서브넷은 하나의 라우팅 테이블에만 연결될 수 있다.
• 서브넷을 사용하면 VPC 내에서 다른 서브넷과 격리된 가상 네트워크를 생성할 수 있다. 이를 통해 다양한 서비스를 실행하는 데 필요한 보안 요구 사항을 충족시킬 수 있다.
• 퍼블릭 서브넷은 인터넷 게이트웨이와 연결된 서브넷으로, 인터넷에 직접 연결되어 있는 서브넷이다.
• 퍼블릭 서브넷을 사용하면 인터넷에서 직접 액세스할 수 있는 인스턴스를 실행할 수 있다.
• 이러한 인스턴스는 공인 IP 주소를 사용하며, 인터넷 게이트웨이를 통해 인터넷으로 트래픽을 보낼 수 있다.
• 프라이빗 서브넷은 인터넷과 직접 연결되지 않는 가상의 네트워크로 이러한 서브넷에서 실행되는 인스턴스는 인터넷에 직접 액세스할 수 없다.
• 대신, NAT 게이트웨이를 사용하여 인터넷을 통해 인스턴스에 연결하거나, VPC 피어링 등을 사용하여 다른 VPC와 연결할 수 있다.

3. IGW

• IGW (Internet Gateway)은 VPC와 인터넷 간의 통신을 가능하게 하는 게이트웨이이다.
• 인터넷을 통해 인터넷 게이트웨이를 통해 VPC 내부로 들어오는 트래픽을 받아 해당 VPC에 연결된 서브넷으로 라우팅한다.

4. NAT

• NAT (Network Address Translation) Gateway은 프라이빗 서브넷에서 아웃바운드 인터넷 트래픽을 가능하게 하는 서비스이다.
• NAT 게이트웨이는 프라이빗 서브넷 내 인스턴스가 인터넷으로 나가는 트래픽을 대신하여 공인 IP 주소를 사용하고, 인터넷 게이트웨이로부터 들어오는 트래픽을 프라이빗 서브넷으로 라우팅한다.

📌 Simple Storage Service

1-1. S3란?

• Amazon Simple Storage Service(Amazon S3)란 인터넷 스토리지 서비스로 개발자나 IT 운영자가 웹 규모 컴퓨팅 작업을 수행하는 데 필요한 데이터 저장 공간을 제공한다.
• Amazon S3는 정적 웹 사이트 호스팅, 온라인 백업, 데이터 아카이브, 기업 애플리케이션, Big Data 분석 등 다양한 용도로 사용된다.

1-2. S3 서비스의 사용 예

• 정적 웹 사이트 호스팅
• 멀티미디어 파일 저장 및 스트리밍
• 애플리케이션 데이터 저장
• 백업 및 복원
• 아카이브

1-3. S3 서비스의 장점

• 높은 내구성, 가용성 및 안정성
• 손쉬운 사용 및 관리
• 보안성
• 높은 확장성

2-1. Bucket이란?

• 버킷이란 데이터를 저장하는 가장 상위 레벨의 폴더 형태의 컨테이너이다.

prefix/delimiter/object-name

s3://my-bucket/my_folder/my_file.txt

• my-bucket : Bucket 이름
• my_folder : 폴더 이름
• my_file : 파일 이름
• txt : 확장자

• S3에 저장되는 파일들을 ‘객체’ 라고 부르고 모든 객체는 ‘키’(디렉토리)로 식별된다.
• Amazon S3에서 버킷은 다음과 같은 목적으로 사용된다.
  • 데이터를 저장하는 컨테이너 역할
  • 객체에 대한 공용 또는 개인적인 접근 권한을 설정하기 위한 위치
  • 객체에 대한 특별한 이벤트 알림을 설정하기 위한 위치
  • AWS 계정에서 버킷 및 객체 사용에 대한 비용 추적 및 모니터링을 위한 위치

2-2. 버킷 네이밍 컨벤션

• 대문자 금지, 언더스코어 금지
• 버킷 이름은 3자(최소)에서 63자(최대) 사이여야 한다.
• 버킷 이름은 소문자, 숫자, 점(.) 및 하이픈(-)으로만 구성될 수 있다.
• 버킷 이름은 문자 또는 숫자로 시작하고 끝나야 한다.
• 버킷 이름에 두 마침표를 나란히 붙여 사용하면 안 된다.
• 버킷 이름은 IP 주소 형식(예: 192.168.5.4)을 사용하지 않는다.

3-1. Bucket Policy이란

• IAM과 유사하며 JSON 형식의 문서이다.
• 버킷의 모든 객체에 대한 액세스를 제어할 수 있다.
• 특정 객체 또는 객체 그룹에 대한 액세스를 제어할 수 있다.
• 액세스를 허용하는 IP 주소 또는 범위를 지정할 수 있다.
• 액세스 할 수 있는 리소스의 범위를 제한할 수 있다.
• 암호화 된 연결을 사용하도록 강제할 수 있다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowUserToGetBucket",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::ACCOUNT-ID:user/USERNAME"
            },
            "Action": "s3:GetBucketLocation",
            "Resource": "arn:aws:s3:::BUCKET-NAME"
        }
    ]
}

• Resource : 버킷 혹은 오브젝트
• Effect: Allow 혹은 Deny
• Principal : 대상 유저
• 이 정책은 IAM 사용자 "USERNAME"이 GetBucketLocation 작업을 수행할 수 있도록 지정된 버킷 "BUCKET-NAME"에 대한 액세스를 허용합니다.

3-2. ARN

• AWS에서 사용하는 고유한 식별자로 AWS의 모든 리소스에 대한 고유한 식별자 역할을 한다.

arn:partition:service:region:account-id:resource-id
arn:partition:service:region:account-id:resource-type/resource-id
arn:partition:service:region:account-id:resource-type:resource-id

//예시
arn:aws:iam::123456789012:user/johndoe
arn:aws:s3:::my_corporate_bucket/
arn:aws:ec2:us-east-1:123456789012:vpc/vpc-0e9801d129EXAMPLE

• ARN은 다음과 같은 형식으로 구성된다.
  • arn: AWS 리소스 이름을 가리키는 고정 문자열
  • aws: 리소스가 AWS에서 호스팅되는 것을 나타내는 고정 문자열
  • service: AWS 서비스 이름을 나타내는 문자열 (예: s3, lambda, ec2 등)
  • region: AWS 리전 이름을 나타내는 문자열 (예: us-east-1, ap-northeast-2 등)
  • account-id: AWS 계정 ID를 나타내는 숫자
  • resource-id: 해당 리소스의 고유 식별자 (예: S3 버킷 이름, Lambda 함수 이름 등)

💡 S3로 배포한 정적 웹사이트에 도메인 달아줄 때에는 반드시 버킷 이름과 도메인 이름이 같아야 한다.