클라우드 기본 서비스(네트워크, 서버)

[KT] AIVLE SCHOOL 32일차

 

EC2 서비스

• Virtual Machine
• 재구성이 가능한 컴퓨팅 리소스
• 쉽게 확장/축소되는 컴퓨팅 용량
• '고객 업무' 영역에 따른 다양한 인스턴스 타입 제공
• 사용한 만큼만 과금 (pay-as-you-go) - 초
• 폭 넓은 컴퓨팅 인스턴스 타입 제공
• EC2 구매 옵션
  • On-Demand 인스턴스
    • 컴퓨팅을 사용한 만큼 비용 지불
      • 장점 : 저비용 / 유연성 제공
    • 사용한 만큼만 비용을 지불하며 사전 계약금 지불 안함, 장기 계약 불필요
    • 사용 사례
      • 단기간 사용할 어플리케이션 혹은 예상 밖의 갑작스런 워크로드
      • 어플리케이션 개발 및 테스팅
  • Reserved 인스턴스
    • 1년 또는 3년 단위 계약금 지불 / 한번에 전체 구매 (One Time Pay)
    • 일정 계약금 사전 지불 후 저렴한 사용요금 부과
      • 장점 : 비용 절감 / 필요 인스턴스 예약
    • 필요할 때 해당 인스턴스 타입의 가용성을 보장
    • • 사용 사례
      • 꾸준한 사용량을 가지는 어플리케이션
      • 재해복구와 같은 예약된 용량을 확보해 두어야 하는 경우
      • 비용 절감의 목적
  • Spot 인스턴스
    • 사용되지 않는 EC2 용량 경매
    • 가격은 수요와 공급의 법칙에 따라 결정
      • 장점 : 비용 절감 / 대규모, 동적 워크로드
    • 해당 인스턴스에 대해 더 높은 비용이 제시될 시 사용중인 인스턴스 중단
    • 사용 사례
      • 유연한 시작/종료 시간을 가진 어플리케이션
      • 저렴한 컴퓨팅을 사용해야만 하는 어플리케이션
      • 급하게 많은 양의 컴퓨팅 용량을 필요로 하는 워크로드

AWS 보안그룹

• 보안그룹 규칙
  • Name
  • Description
  • Protocol
  • Port range
  • IP address, IP range, Security Group name
• 특징
  • In/Out bound 지정 가능
  • 모든 인터넷 프로토콜 지원
  • 인스턴스 동작 중에도 규칙 변경 가능
• 계층적인 보안그룹
  • IP Range 대신 어느 SG로부터의 트래픽을 허용할지 지정 가능
  • 계측적인 네트워크 구조 생성 가능
• 보안 그룹 예
  • 외부는 웹서버만 접근 허용하고 백엔드는 웹서버에서 오는 트래픽만 허용

VPC 서비스

• Virtual Private Cloud
• 사용자가 정의한 가상의 네트워크 환경
• 통신을 위한 기본 네트워크
• 보안 강화 목적
• 부족한 IP 자원의 효율적인 관리 목적
• 생성 과정
  1. Region. IP 대역 결정
  2. 가용영역(AZ)에 Subnet 생성
  3. Routing 설정
  4. Traffic 통제(In/Out)
• IP address group
  • VPC를 구성하는 가장 중요한 요소
  • 집을 고를 때 가장 중요한 요소 = 평 수
  • VPC 구성 시 가장 먼저 고려하는 것 = IP 범위
• CIDR
  • Classless Inter-Domain Routing
  • 클래스 없는 도메인 간 IP 할당 기법
  • Class

    

    • 장점 : IP의 네트워크 범위 관리를 단순하게 지정 가능
    • 단점 : 네트워크 할당에 대한 자유도가 낮음
• Subnet Mask
  • IP Class 방식의 네트워크를 좀 더 잘게 쪼개서 사용
• CIDR 조절
  • CIDR 숫자가 높을 수록 네트워크 내 할당 가능한 Host 개수가 줄어듦
  • 타이트하게 IP를 관리하고 싶다면 CIDR 숫자를 높여 네트워크를 촘촘하게 관리
  • CIDR 숫자를 너무 타이트하게 관리하는 경우 추후 동일 네트워크 대역에 IP 부족 현상 발생할 수 있음
  • VPC CIDR 설정
    • VPC 내 위치한 서버들이 사용할 Private IP의 범위를 지정하는 것
      • CIDR은 VPC 생성 이후는 변경 불가
      • VPC CIDR은 16 ~ 28 bit 사이로 설정 가능
      • RPC 1918 가이드에 따라 사설 네트워크 대역으로 설정할 것을 권장
• VPC IP 설정 고려사항
  • 구축할 서비스의 규모는 얼마나 되는가?
  • IP 소모가 많은 시스템인가?
  • 추후 서비스 확장 가능성이 높은가?
  • 타 시스템과 연계 가능성이 있는가?
• 일대다 IP 설정
  • 경우에 따라서 하나의 인스턴스에 많은 IP 가 소모될 수 있음
  • EC2 인스턴스 하나에 Private IP 30개 사용 중인 경우도 있음
• VPC Subnet
  • VPC의 IP 대역을 적절한 단위로 분할 사용
  • 각 Subnet도 VPC와 마찬가지로 CIDR을 이용해 IP 범위를 지정
  • 각 Subnet의 대역은 VPC의 대역에 존재해야함
  • 각 Subnet의 대역은 중복 불가
  • Subnet의 목적
    • 본래 Subnetting의 주요 목적 중 하나는 Broadcasting 영역 분리
    • But, AWS VPC는 Broadcast / Multicast 지원하지 않음
    • 여기서 Subnet의 주 목적은 Subnet 별로 경로를 제어
      • 원하는 트래픽만 Subnet 별로 받을 수 있도록 네트워크 레벨에서 격리시키는 것이 목적
  • Routing 설정
    • Subnet의 트래픽 경로 설정
    • Route 설정을 통해 Subnet의 통신 방향을 결정할 수 있음
  • Subnet 고려사항
    • Subnet의 CIDR은 생성 후 변경 불가
      • IP 대역을 너무 작게 설정하면 서비스 확장 시 문제가 생길 수 있음
      • 서비스 확장성 여부를 판단하여 넉넉하게 설정하는 것을 권고
    • Subnet의 IP 대역 중 예약된 IP 존재
      • Subnet CIDR 영역 내 모든 IP를 사용 가능한 것이 아님
    • Subnet CIDR 블록의 첫 4개 IP와 마지막 IP는 사용 불가
      • 10.0.0.0/24 지정을 가정
      • 10.0.0.0 : 네트워크 주소
      • 10.0.0.1 : VPC 라우터 용으로 예약된 주소
      • 10.0.0.2 : DNS 용으로 예약된 주소
      • 10.0.0.3 : AWS 가 향후 사용하기 위해 예약된 주소
      • 10.0.0.255 : 브로드캐스트 주소.
      • VPC 는 브로드캐스트 지원하지 않으므로, 향 후 사용하기 위해 미리 예약
  • Routing Table의 특징
    • VPC 생성 시 자동으로 Main Routing Table 생성
      • Main Routing Table에는 기본적으로 VPC 내 모든 통신이 허락된 경로가 설정되어 있음
      • VPC 내 Subnet 생성 시 자동으로 Main Routing Table이 설정되어 VPC 내부 통신이 가능
    • Subnet은 하나의 Routing Table과 연결될 수 있음
      • 초기 생성 시 Main Routing Table과 연결되므로 직접 생성한 Custom Routing Table 연결 시 Subnet과 Routing Table 연동을 설정해주어야 함
    • Main Routing Table은 삭제 불가