Cloud Network Architecture

zzin·2025년 2월 16일

Cloud & DevOps SK SKALA SKALA1기

SKALA

목록 보기

5/12

클라우드 인프라 개념 정리

클라우드는 전 세계 데이터 센터에 있는 서버로 구성된다.

1. 클라우드의 주요 특성

온디맨드(On-Demand): 필요할 때 즉시 리소스를 사용 가능
인터넷을 통한 자원 접근: 인터넷을 통해 어디서든 접근 가능
사용자별 과금 모델: 사용한 만큼 비용 지불 (Pay-as-you-go)
장애를 기능으로 전환: 장애 발생 시 자동 복구 및 대응

2. 클라우드 아키텍처 속성

확장성(Scalability): 필요에 따라 자원을 확장 및 축소 가능
탄력성(Elasticity): 트래픽 변화에 유연하게 대응
내결함성(Fault Tolerance): 장애 발생 시 자동 복구
민첩성(Agility): 빠른 개발 및 배포 가능

3. 클라우드 인프라 개념

	인프라 영역은 용어 및 목적을 명확히 이해

3-1) 클라우드 인프라와 클라우드 인프라 아키텍처

클라우드 인프라: 클라우드 컴퓨팅 서비스를 제공하는 하드웨어 및 소프트웨어 구성 요소
클라우드 인프라 아키텍처: 컴퓨팅, 네트워크, 스토리지, 보안, 운영 및 관리 요소를 포함한 IT 인프라의 구성 방식

3-2) 클라우드 인프라 아키텍처 (Cloud Infrastructure Architecture)

클라우드 인프라 아키텍처는 애플리케이션과 서비스를 클라우드 환경에서 안정적이고 확장 가능하게 운영하기 위해 설계되는 IT 인프라 구성 요소들의 구조를 의미한다. 즉, 클라우드에서 애플리케이션을 효과적으로 실행하기 위한 하드웨어 및 소프트웨어 리소스의 구성을 나타낸다.

3-3) 클라우드 인프라의 핵심 요소

컴퓨팅 (Compute)
네트워크 (Networking)
스토리지 (Storage)
보안 (Security)
운영 및 관리 (Operations & Management)
(스토리지 & 보안은 해당 게시글 확인)

4. 클라우드 네트워크 아키텍처

클라우드 인프라 영역 중 네트워크 아키텍처는 클라우드 서비스를 위한 네트워크 구성 및 연결 방식을 정의한다.

4-1) 클라우드 네트워크 아키텍처의 필요성

안정성 및 가용성 향상: 복잡한 네트워크 환경을 효과적으로 관리하여 안정성 유지
보안 강화: 다양한 보안 기능을 활용하여 데이터 및 서비스 보호
비용 절감: 필요에 따라 자원을 확장 및 축소하여 비용 절감
효율적인 관리: 네트워크 구성, 모니터링 및 관리를 자동화하여 운영 효율성 향상

4-2) 내부망 & 외부망 분리

클라우드 네트워크 아키텍처 구성 시 기본 보안 정책은 내부망과 외부망으로 망을 분리하는 것이다.

항목	내부망 (Private)	외부망 (Public)
보안 수준	높은 보안 수준 유지	상대적으로 낮은 보안 수준
접근 제한	특정 사용자 또는 장치에 대한 접근 제한	공개적으로 접근 가능
통신 방식	내부 시스템 간의 통신	외부 시스템과의 통신
범위	조직 내부 네트워크	인터넷과 같은 공용 네트워크

4-3) 네트워크 구성 요소

VPC (Virtual Private Cloud)
- 사용자가 직접 관리하는 가상 네트워크 공간
- VPC는 Public cloud에서 망을 구성하며, VPC안에서 네트워크를 분리할 수 있다. (물리적으로는 같은 서버에 있지만 논리적으로 네트워크 분리, 격리 가능)
- 이때, 네트워크를 분리하기 위해 사용하는 것이 Subnet
Subnet
- VPC를 더 작은 네트워크 공간으로 분할
- Subnet은 독립적으로 구성되고, public과 private으로 구분
- Subnet으로 나눈 뒤 기능마다 필요한 트래픽 분산하는 장점
- 하나의 네트워크를 여러 개의 작은 네트워크로 나누어 사용하는 개념
- VPC내에서 IP 주소를 서브넷 마스크(subnet mask)로 구분하여 서브넷을 정의하고 관리
- 서브넷을 사용하면 보안, 네트워크 관리, 트래픽 라우팅을 효율적으로 제어할 수 있다.
  예를 들어, 웹 서버와 데이터베이스 서버를 각각 다른 서브넷에 배치하면 성능을 최적화하고 보안을 강화할 수 있다.
  => 즉, 서브넷은 특정 목적을 가진 인스턴스들을 그룹화하여 네트워크 구조를 체계적으로 관리하는 역할을 한다.
CIDR (Classless Inter-Domain Routing)
- 네트워크 주소를 효율적으로 할당하고 라우팅하기 위한 방법
- subnet을 masking하기 위해 network portion을 추출하기 위한 표기법 (IP 나누거나 합치는 기법)
- VPC주소에서 Subnet으로 IP주소가 나뉘어야 하고, 이 나누는 CIDR 규칙에 따라 Subnet 방의 크기를 정할 수 있다.
- 공인IP는 한계가 있어 IPv6가 등장했지만, IPv4가 가능해진 이유도 CIDR로 Subnet을 나누면서 가능해진 것
IGW (Internet Gateway))
- 퍼블릭 서브넷 내 리소스가 인터넷과 통신할 수 있도록 지원
- 인터넷으로 라우팅되는 트래픽을 위해 VPC 라우팅 테이블에 target 역할을 수행
- 공인 IP주소가 할당된 VPC 내 인스턴스에 대해 NAT를 수행
NAT (Network Address Translation)
- NAT Gateway: 프라이빗 서브넷 내 리소스가 인터넷에 접근할 수 있도록 지원하되 보안을 유지
- NAT에서 내부 구성원이 외부와 통신할 때 패킷에 기록된 IP와 포트 번호를 변환하여 외부에서 해당 단체를 식별할 수 있는 Public IP로 변환
라우터 (Router) & 라우팅 테이블
- 라우터: 네트워크 트래픽을 목적지로 전달하는 장치(like. 네비)
- 서브넷으로 갈라지기 전에 분기에 라우터가 있다. 내부는 자동으로 되지만, 외부는 모든 사람이 사용하므로 라우터 설명이 외부에 있다.
- 라우팅 테이블: 최적의 경로를 결정하는 데이터베이스
- 라우팅 테이블은 최적의 경로를 알려주고 지나간 기록을 기록했다가 돌아갈때 다시 알려준다.
로드 밸런서 (Load Balancer)
- 클라이언트 요청을 여러 서버에 분배하여 부하를 분산
- 로드밸런스라 하지만 게이트 웨이 역할까지 하기도 한다.
VPC Peering
- 두 개의 VPC를 연결하여 사설 네트워크처럼 통신 가능
- 두 VPC 간의 네트워킹 연결로 프라이빗 IP주소를 사용하여 트래픽을 라우팅하는 방식
- 트래픽이 많이 요청될 경우 원활한 처리를 위해 같은 기능의 VPC 만들고 동일한 네트워크 공유하도록 피어링
DNS (Domain Name Server)
- 도메인 이름을 IP 주소로 변환하는 시스템
- DNS는 계층적 구성을 이루고 있다.
  1. ISP DNS Server : 사용자의 DNS 요청(도메인 주소)을 받아서 여러 네임서버 조회하며 최종IP(or CNAME)을 받아주는 역할을 수행한다.
  2. DNS Root name server : 모든 도메인의 최상위 계층 (.com, .kr, .net, .org …)의 TLD네임서버 위치를 알려준다.
  3. TLD(Top Level Domain) name server : 특정 최상위 도메인(.com …)을 관리하며 해당 도메인의 네임서버를 알려준다.
  4. 도메인 네임서버 : 개별 도메인을 담당(ex : naver.com)하며 실제 IP정보를 제공한다 (Route53은 ip가 아닌 CNAME을 제공)
    CNAME 쓰는 이유 : 효율적으로 자원을 쓰기 위해 IP를 뗐다 붙였다 한다. 서버가 죽으면 IP를 못쓰는데 AWS는 그런 IP를 떼다가 다른데에 붙인다. 그러면 어제의 내가 오늘은 아닌 그런것이므로 중간에 고정되어있는 정보를 붙이고 뒤로 연결할 수 있도록 해야한다. 이 역할을 고정된 IP or CNAME을 하고 이것들 뒤로 동적인 ip를 연결한다.