aws의 글로벌 인프라
세 가지로 나눌 수 있음: aws 리전 + 가용영역 + 엣지 로케이션
리전
-
2개 이상의 가용 영역을 호스팅하는 지리적 영역
-
aws 서비스에 대한 구성 수준
-
배포 상황 2가지가 있을 수 있다.
- 만약 개발자 리소스를 한 리전에 배포해야 하지만 기본 고객 기반이 다른 리전에 있는 경우 개발 자산을 한 리전에 배포하고, 고객용 솔루션은 다른 리전에 배포할 수 있음
- 또는 동일한 리소스를 여러 리전에 배포하여 고객의 위치와 상관없이 전 세계적으로 일관된 경험을 제공할 수 있음
-
리전은 독립적
→ 한 리전의 리소스는 다른 리전으로 자동 복제되지 않으며, 모든 서비스가 모든 리전에서 사용 가능한 것은 아님(S3, EC2는 예외)
가용영역
-
특정 리전에 존재하는 데이터 센터들의 모음
-
서로 격리되어 있지만 빠르고 지연 시간이 짧은 네트워크로 서로 연결됨
-
각 가용 영역은 물리적으로 구분된 독립적인 인프라임
-
자체적으로 개별 무정전 전원 공급 장치, 현장 예비 발전기, 냉각 장비 및 네트워크 연결 장치를 보유하고 있음
-
가용 영역 분리를 통해 다른 영역의 장애로부터 보호하고 특정 리전에서 고가용성 및 데이터 중복성이 보장됨
→ 이 때문에 aws는 여러 가용영역에 데이터를 프로비저닝 하는 것을 추천함
(프로비저닝: 프로비저닝은 사용자의 요구에 맞게 시스템 자원을 할당, 배치, 배포해 두었다가 필요시 시스템을 즉시 사용할 수 있는 상태로 미리 준비해 두는 것을 말한다.)
엣지 로케이션
-
엣지 로케이션은 amazon cloudfront라고 하는 콘텐츠 전송 네트워크(CDN)를 호스팅함
→ cloudfront는 고객에게 콘텐츠를 전송하는 데 사용됨
→ 콘텐츠에 대한 요청이 자동으로 가장 가까운 엣지 로케이션으로 라우팅 되므로 콘텐츠가 더욱 빨리 최종 사용자에게 전송됨
-
엣지 로케이션을 통해 최종 사용자가 더욱 빠르게 콘텐츠에 엑세스 할 수 있음
→ 인구 밀도가 높은 지역에 위치함
VPC
vpc는 amazon virtual private cloud의 줄임말로, aws의 네트워킹 서비스이다.
특징
-
aws 클라우드의 private 가상 네트워크이다.
- 온프레미스 네트워킹과 동일한 개념을 사용한다.
-
네트워크 구성을 사용자가 완벽하게 제어할 수 있다.
-
vpc 내부의 리소스를 외부로부터 격리할 수 있고 반대로 노출할 수도 있다.
-
vpc를 네트워크의 보안 제어 계층에 배포할 수 있다.
→ 서브넷 격리, 엑세스 제어 목록 정의, 라우팅 규칙 사용자 지정이 포함된다.
→ 또한, 수신 트래픽과 발신 트래픽의 허용 및 거부를 완전히 제어할 수 있다.
-
-
aws를 vpc에 배포한 후 고객의 클라우드 네트워크에 구축된 보안 이점을 누릴 수 있는 다양한 aws 서비스가 있다.
→ vpc는 aws의 기초 서비스이며 다양한 aws 서비스와 통합된다.
기능
-
vpc는 리전 및 가용 영역(AZ)의 aws 글로벌 인프라에 구축되어 aws 클라우드에서 제공하는 고가용성을 손쉽게 활용할 수 있다.
- vpc는 리전 내에 상주한다.
- 여러 가용 영역에 걸쳐 존재할 수 있다.
- 각 aws 계정은 환경을 구별하는 데 사용할 수 있는 여러 vpc를 생성할 수 있다.
-
vpc는 ip 주소 공간을 정의한 다음 이를 서브넷으로 나눈다.
- 서브넷은 가용 영역 내에 배포 되어 vpc가 여러 가용 영역으로 확장된다.
- 한 vpc에 많은 서브넷을 생성할 수 있다.
→ 네트워크 토폴로지의 복잡성을 제한하기 위해 적은 수의 서브넷을 권장한다.
-
서브넷과 인터넷 간의 트래픽을 제어하도록 서브넷용 라우팅 테이블을 구성할 수 있다.
-
기본적으로 vpc 내의 모든 서브넷은 서로 통신할 수 있다.
-
서브넷은 일반적으로 퍼블릭 또는 프라이빗으로 분류된다.
→ 퍼블릭: 인터넷에 직접 액세스 할 수 있다.
→ 프라이빗: 반대로 인터넷에 직접 액세스 할 수 없다.
-
-
인터넷 게이트웨이(IGW)
-
프라이빗 서브넷을 퍼블릭으로 설정하려면 인터넷 게이트웨이(Internet Gateway(IGW))를 vpc에 연결하고 퍼블릭 서브넷의 라우팅 테이블을 업데이트 하여 로컬이 아닌 트래픽을 인터넷 게이트웨이로 보내야 한다.
→ EC2 인스턴스도 인터넷 게이트웨이로 라우팅 하기 위한 퍼블릭 IP 주소가 필요하다.
-
VPC 생성하기
- aws에서 vpc를 생성하려면 일단 가용영역 A를 선택해야 한다.
- 나의 경우 ap-northeast-2가 된다.
- 그 다음 vpc의 ip주소 공간을 정의 해야 한다.
- 10.0.0.0/16이 될 경우, 이는 CIDR(Classless Inner Domain Routing format)이며 IP 주소가 65000개 이상임을 의미한다.
- 이제 서브넷을 생성한다(프라이빗 Subnet A1: 10.0.0.0/24).
- 여기에 256개의 IP 주소가 포함된 IP 주소 공간을 할당한다.
- 해당 서브넷이 가용영역 A에 상주할 것임을 지정한다.
- 또 다른 서브넷을 생성한다(프라이빗 Subnet B1: 10.0.2.0/23).
- 이 경우 서브넷은 512개의 IP 주소를 포함하게 된다.
- 그 다음, IGW(인터넷 게이트웨이)를 추가하여 서브넷 A1과 연결 한다.
-
그러면 서브넷 A1은 퍼블릭 서브넷이 된다.
→ 여기서 로컬이 아닌 트래픽이 인터넷 게이트웨이를 통해 라우팅 된다.
-
이 때 서브넷 B1은 인터넷으로부터 격리된 프라이빗 서브넷이 된다.
-
AWS 보안 그룹
aws의 보안
- 이는 내장된 방화벽과 같은 역할을 한다.
- 보안 그룹은 얼마나 쉽게 인스턴스에 엑세스할 수 있는 지를 완벽히 제어한다.
- 가장 기본적인 수준의 경우, 인스턴스로 트래픽을 필터링하는 또 다른 방법이다.
- 이를 통해 어떤 트래픽을 허용하고 거부할 지 제어할 수 있다.
보안그룹 생성
-
모범 사례는 인스턴스에 필요한 트래픽을 파악하고 해당 트래픽만 허용하는 것이다.
→ 인터넷에 배포하기 위해서는 Inbound security group에서 http(80), https(443)에 대해 source를 0.0.0.0/0으로 선택해야 한다(ipv6 또한 포함할 것).
