그릿율호

아마존 웹 서비스 AWS Discovery Book의 책의 내용을 기반으로 정리한 내용으로 정확한 내용은 책을 참고하시기 바랍니다. 

4장. 독립적인 나만의 가상 네트워크 공간 만들기

1. Network

• Net + Work의 합성어로 연결해서 서로가 가지고 있는 정보를 결합하여 생산적인 가치 만드는 일
• 네트워킹을 한다 = 서로 통신을 한다.
• 통신을 위해서 지켜야 하는 약속들을 포토콜이라고 한다. 

2. VPN(Virtual Private Network)

• 인터넷을 활용하여 원격지 간에 네트워크를 서로 연결하고 암호화 기술을 적용하여 보다 안정적이며 보안성 높은 통신을 제공하는 서비스
• 인터넷을 통해 디바이스 간 사설 네트워크 연결을 생성. 데이터를 안전하게 익명으로 전송하는데 사용
• 사용자 IP 주소를 마스킹하고 데이터를 암호화하여 수신 권한이 없는 사람이 읽을 수 없도록 하는 기능
• 기존 IDC에서 서비스하던 모든 시스템을 클라우드로 인전하는 것으 어려움. IDC와 클라우드 네트워크 연결이 필요
• Amazon에서는 VPC와 VPC Gateway를 통해 On-premise의 VPN 장비와 Amazon의 VPN을 연결할 수 있으며 이를 통해 보안성 높은 하이브리르 클라우드 환경을 구현하여 원할한 클라우드 컴퓨팅 서비스를 지원

https://aws.amazon.com/ko/what-is/vpn/

3. VPC(Virtual Private Cloud)

• AWS 클라우드에서 논리적으로 격리된 네트워크 공간을 할당하여 가상 네트워크에서 AWS 리소스를 이용할 수 있는 서비스 제공
• AWS VPC 자체 IP주소 범위, 서브넷 생성, 라우팅 데이블 및 네트워크 게이트웨이 구성 선택 등 가상 네트워킹 환경을 완벽하게 제어

4. VPC의 구성요소

4-1 프라이빗 IP 주소(Private IP), 퍼블릭 IP 주소(Public IP), 탄성 IP 주소(Elastic IP)

• 프라이빗 IP 
  • 인터넷을 통해 연결할 수 없는 VPC 내부에서 사용하는 주소
  • VPC에서 시작된 인스턴스 서브넷의 범위에서 자동할당
• 퍼블릭 IP
  • 인터넷을 통해 연결할 수 있는 IP 주소
  • EC2 생성시 옵션으로 퍼블릭 IP주소 사용 여부를 선택할 수 있음. 인스턴스에서 퍼블릭 IP 주소를 수동으로 연결, 해제할 수 없음
  • 인스턴스가 재부팅되면 새로운 퍼블릭 IP 주소 할당
• 탄성 IP
  • 동적 컴퓨팅을 위해 고안된 고정 퍼블릭 IP 주소
  • VPC의 모든 인스턴스와 네트워크 인터페이스에 탄성 IP를 할당
  • 탄력적 IP주소의 효율적인 활용을 위해 인스턴스와 연결되어 있지않거나, 중지된 인스턴스 또는 분리된 네트워크 인터페이스와 연결되어 있는 경우 요금 부과
  • 사용 가능한 탄력적 IP 주소는 5개로 제한되며 이를 절약하기 위해 NAT 디바이스를 사용할 수 있음.

4-2 VPC와 서브넷

• VPC는 AWS 클라우드에서 다른 가상 네트워크와 논리적으로 분리
• Amazon EC2인스턴스와 같은 AWS 리소스를 VPC에서 실행
• VPC 내부의 네트워크에서도 서비스 목적에 따라 IP Block으로 나누어 구분. IP Block의 모음을 서브넷이라고 표현(네트워크상 서비넷과 동일한 개념)
• VPC는 모든 가용 영역에 적용되며, 각 가용 영역에 하나 이상의 서브넷을 추가할 수 있음
• 서브넷은 단일 가용 영역에서 생성. 여러 가용영역으로 확장할 수 없음.

4-3 VPC(Virtual Private Cloud)와 서브넷의 사이즈

• VPC에서 사용하게 될 IP 주소의 범위 (ex. 1.1.1.1/26)를 CIDR(Classless Inter-Domain Routing) 블록 형태로 지정해야 함
• CIDR 블록 계산법은 네이버나 구글을 통해 검색 및 확인 가능

4-4 퍼블릭 서브넷과 프라이빗 서브넷

• 퍼블링 서브넷 : 서브넷 네트워크 트래픽이 인터넷 게이트웨이로 라우팅 되는 서브넷
• 프라이빗 서브넷 : 인터넷 게이트웨이로 라우팅 되지 않는 서브넷
• EC2 인스턴스가 IP를 통해 인터넷과 통신을 할 수 있게 하려면, 퍼블릭 IP 또는 탄성 IP주소 필요

4-5 라우팅 테이블

• 서브넷은 외부로 나가는 아웃바운드 트래픽에 대해 허용된 경로를 지정하는 라우팅테이블과 연결되어 있어야 함
• 생성된 서브넷은 자동으로 VPC의 라우팅 테이블과 연결되며 테이블 내용을 변경할 수 있음.

5. VPC의 주요 서비스

5-1 보안 그룹과 네트워크 액세스 제어 목록(Network ACL)

• VPC는 IP와 Port를 기준으로 통신을 허용하거나 차단 기능 제공. 이와 같은 서비스를 보안 그룹과 네트워크 ACL이라 함
• VPC의 보안그룹과 네트워크 ACL을 통해 AWS 상에서 방화벽과 동일한 기능 사용
• 보안 그룹
  • 서비스 범위 : 인스턴스 레벨
  • 적용 정책 : 허용 규칙만 적용
  • 구동방식 : 규칙에 상관없이 반환 트래픽 허용
  • 룰 검토/적용 : 해당 객체 내 모든 룰 검토
  • 적용 방법 : 인스턴스에 보안 그룹 추가 필요
• 네트워크 ACL
  • 서비스 범위 : tjqmspt fpqpf
  • 적용 정책 : 허용 및 거부 규칙 적용
  • 구동방식 : 반환 트래픽이 별도로 허용해야 함
  • 룰 검토/적용 : 해당 객체 내 룰을 번호 순으로 처리
  • 적용 방법 : 연결된 서브넷에 모든 인스턴스 자동 적용

5.2 VPC 피어링 연결 (VPC Peering Connection)

• 서로 다른 VPC 간의 네트워크 연결을 제공
• 2017년 11월 다른 리전 간 VPC Peering 지원 발표. 2018년 7월부터 대다수 리전간 Peering 지원

5.-3 NAT(Network Address Translation) 게이트웨이

• 외부 네트워크에 알려진 것 과 다른 IP주소를 사용하는 내부 내크워크에서 내부 IP 주소를 외부 IP 주소로 변환하는 작업을 수행하는 서비스
• NAT 게이트웨어는 프라이빗 서브넷 내에 있는 인스턴스를 인터넷 또는 다른 AWS 서비스에 연결하고, 외부망 또는 인테넷에서 해당 인스턴스에 연결하지 못하도록 구성할 때 사용
• NAT 게이트웨이 구성 조건
  • 퍼블릭 서브넷을 지정
  • NAT 게이트웨이와 연결할 탄력적 IP 주소 필요
  • NAT 게이트웨이를 만든 후 인터넷 트래픽이 NAT 게이트웨이로 통신이 가능하도록 프라이빗 서브넷과 연결된 라우팅 테이블 업데이트

5-4 VPC Endpoint

• Amazon S3는 인터넷망에 연결된 서비스로 인터넷 기반의 IP주소와 연결 정보를 가지고 있음
• 프라이빗 서브넷에 위치한 인스턴스는 인터넷과 연결되어 있는 S3와 공용 리소스를 연결할 수 없음. 이와 같은 경우 NAT 게이트웨이나 NAT 인스턴스 필요.
• VPC Endpoint를 이용하면 빠르고 손쉽게 S3 연결할 수 있음

5-5 VPN(Virtual Private Network) 연결

https://docs.aws.amazon.com/ko_kr/vpc/latest/userguide/what-is-amazon-vpc.html

6. 실습 : VPC 생성

aws 로그인 이후 콘솔 화면에서 VPC 메뉴로 들어가게 되면 아래와 같이 메뉴들이 보이게 된다. 

1. 퍼블릭 서브넷

2. 프라이빗 서브넷

3. NAT 게이트웨이

https://docs.aws.amazon.com/ko_kr/vpc/latest/userguide/VPC_Scenario2.html

https://docs.aws.amazon.com/ko_kr/vpc/latest/userguide/vpc-nat-gateway.html

아마존 웹 서비스 AWS Discovery Book의 책의 내용을 기반으로 정리한 내용으로 정확한 내용은 책을 참고하시기 바랍니다. 

3장. 무한대로 저장 가능한 스토리지 만들기

1. 스토리지

• 스토리지란?
  • 데이터를 저장하는 저장소의 역할을 수행하는 부품 (컴퓨터의 하드디스크와 동일한 역할을 수행하는 부품으로 이해)
• 스토리지 연결 방식에 따른 구분
  • DAS(Direct Attached Storage) : 서버에 직접 연결하는 방식
  • NAS(Network attached Storage) : 네트워크로 연결하는 방식으로 LAN(Local Area Network)을 연결하여 사용하기 때문에 비용 저렴
  • SAN(Storage Area Network) : 네트워크로 연결하는 방식으로 확장이 용이하고, 대규모 엔터프라이즈 환경 구성 적합한 고속의 네트워크를 구성
  • NAS와 SAN의 큰 차이점은 SAN은 블록 수준의 데이터로 저장하고, NAS는 파일 단위로 데이터를 저장
  • 아마존은 S3(simple storage service)와 대용량의 데이터를 백업 및 보관이 가능한 Amazon Glacier 등 용도에 따른 다양한 종류의 스토리를 이용
  • 2004년도 자료이지만 그래도 설명이 잘 되어 있는 듯하여 링크 첨부 : https://www.koit.co.kr/news/articleView.html?idxno=17090

2. 데이터 백업

• 평상시에 중요성은 떨어지나, H/W 장애로 인한 데이터 복구 또는 서버 이전을 위해 데이터 백업의 필요성
• Amazone Web Service는 EBS Snapshot 및 AMI 백업 등의 기능을 활용하여 데이터 백업 서비스를 제공

3. 스냅샷

• 스냅샷이란?
  • 특정 시간에 데이터 저장 장치의 상태를 별도의 파일이나 이미지로 저장하는 기술
  • 스냅샷 기능을 이용하여 데이터를 저장하면 유실된 데이터 복원과 일정 시점의 상태로 데이터를 복원할 수 있다. 
  • AWS는 EBS(Elastic Block Storage)에 대한 스냅샷을 제공. 서버 데이터 백업/복원 및 다른 EC2 또는 다른 리전으로 EBS 복사 기능을 통해 인스턴스의 Migration을 지원. 이를 활용하여 다양한 재해복구 시나리오 제공
  • https://docs.aws.amazon.com/ko_kr/AWSEC2/latest/UserGuide/EBSSnapshots.html

4. S3와 Glacier

• Amazon S3(Simple Storage Services)
  • 확장성 용이, 무한대 저장 가능, 사용한 만큼 지불하는 인터넷 기반 스토리지 서비스
  • 버킷(Bucket)이라는 리전내에서 유일한 영열을 생성하고 데이터를 키-값 형식의 객체로 저장
  • 비용이 매우 저렴
  • 파일 단위의 접근만 지원하므로 EBS(Elastic Block Storage) 서비스를 대체할 수 없음.
  • S3는 사용하고 있는 저장 공간만큼 매월 비용 지불하고, 데이터 크기, 액세스 요청 횟수, 데이터 다운로드(Network out) 용량 등으로 전체적인 비용 산정
• Amazon S3 주요 특징
  1. S3 표준(S3 Standard) 
     • 자주 액세스하는 데이터를 위한 스토리지 클래스, 내구성, 가용성 및 성능이 뛰어난 객체 스토리지 서비스.
     • 비용은 EBS 대비 20% 저렴하고, 전송 데이터를 위한 SSL 및 저장 데이터 암호화 지원
  2. S3 표준-IA(S3 Standard Infrequent Access) 
     • 액세스 빈도가 낮지만 필요할 때 빠르게 액세스 해야 하는 데이터를 위한 스토리지 클래스
     • S3 대비 58% 저렴하며 최근 백업 서비스에 많이 사용되는 스토리지 클래스
  3. S3 One Zone-IA(S3 One Zone Infrequent Access)
     • 액세스 빈도가 낮지만 빠른 액세스가 필요한 데이터를 저장하는 스토리지 클래스
     • 최소 3개의 가용 영역(AZ)에 데이터를 저장하는 다른 S3 스토리지 클래스와 달리, 단일 AZ에 데이터를 저장함으로서 S3 표준-IA보다 20% 저렴한 비용으로 제공
  4. Amazon GLacier
     • 데이터 보관을 위한 안전하고 안정적, 비용이 매우 저렴한 스토리지 서비스
     • S3와 같은 내구성과 성능 및 가용성을 보유
     • S3 표준 대비 최고 77% 저렴
     • 데이터 아카이빙 및 장기간 데이터 보관 및 오래된 로그 데이터에 대한 저장 용도로 적당한 서비스
     • S3 수명주기 기능을 통한 객체 자동 마이그레이션을 제공
• Amazon Glacier
  • 데이터 아카이빙 및 장기 백업을 위한 안전하고 안정적이며 비용이 매우 점렴한 클라우드 스토리지 서비스
  • 데이터 보관에 대한 규제 요구사항 충족(SEC Rule I7a-4, PCI-DSS, HIPAA/HITECH, FedRAMP, EU GDPR 및 FISMA)
  • S3에 저장되는 데이터는 라이프사이클 옵션을 활용하여 일정 기간 이상 지난 데이터에 대해 보다 저렵한 Glacier로 이동하는 저장하는 옵션을 사용
• Amazon Glacier의 주요특징
  • Amazone Glacier의 데이터 접근 방법
    1. API/SDK를 이용한 Direct 연결
    2. 라이프 사이클과의 통합. S3의 라이프 사이클과 통합을 통해 오래된 데이터에 대해 Glacier로 자동 이관
    3. 3rd Party Tool과 AWS storage Gateway 연동
  • Glacier의 데이터 검색 요금
    • 보관된 데이터 액세를 위한 검색 속도에 따라 검색 요금 정책 제공
      1. 긴급 : Emergency access
         1. 1-5 minutes, $0.03/GB
      2. 표준 : Current model
         1. 3-5 hours, 재해복구용, $0.01/GB
      3. 대량 : Batch/Bulk access
         1. 5-12 hours, $0.0025/GB

https://aws.amazon.com/ko/s3/features/

https://aws.amazon.com/ko/s3/pricing/?nc=sn&loc=4 

https://aws.amazon.com/ko/s3/storage-classes/glacier/?refid=024bf255-8753-410e-9b2f-8015932510e8 

5. AMI와 Market Place

• AMI(Amazon Machine Image)
  • AWS AMI는 EC2 인스턴스 생성에 필요한 모든 소프트웨어 정보를 담고 있는 템플릿 이미지
  • Auto Scaling 등 자동화할 때, EC2 인스턴스를 다른 리전으로 이전해야 할 때, 상용 솔루션이 설치되어 있는 소프트웨어를 사용하는 경우 등 이용
• Amazone Marketplace
  • AWS에서 실행되는 소프트웨어를 판매 또는 구매할 수 있는 온라인 스토어

6. Amazon S3 사용

• Amazon S3를 사용하여 사용 실습을 해본다. 
• Amazon S3 메뉴에 접근하면 아래와 같은 화면이 나온다.

• 버킷이란?
  • 객체는 파일과 해당 파일을 설명하는 모든 메타데이터이다. 
  • 버킷은 객체 대한 컨테이너라고 정의되어 있다. 
  • https://docs.aws.amazon.com/ko_kr/AmazonS3/latest/userguide/creating-buckets-s3.html

• 버킷 만들기
  • 일반 구성
    • 버킷 이름
    • AWS 리전
    • 기본 버킷에서 설정 복사 - 선택 사항
  • 객체소유건
    • 객체의 소유권 
    • 액세스 제어 목의 사용 제어
  • 퍼블릭 액세스 차단 설정 : 아래의 사항 기본 차단으로 모두 되어 있다. 
    • 새 ACL을 통해 부여된 버킷 및 객체에 대한 퍼플릭 액세스 차단
    • 임의 ACL을 통해 부여된 버킷 및 객체에 대한 퍼블릭 액세스 차단
    • 새 퍼블릭 버킷 또는 액세스 지점 정책을 통해 부여된 버킷 및 객체에 대한 퍼블릭 액세스 차단
    • 임의의 퍼블릭 버킷 또는 액세스 지점 정책을 통해 부여된 버킷 및 객체에 대한 퍼블릭 및 교차 액세스 차단
  • 버킷 버전 관리
    • 객체의 여러 버전을 동일한 버킷에서 관리하기 위한 수단
  • 태그 
  • 기본 암호화
  • 고급설정 - 객체 잠금
• 버킷 생성 : 테스트 디렉토리 생성 및 파일 업로드 진행

• 파일 업로드 후 객체 URL을 통해 접근시 Access Denied 발생

• Access 권한을 일단 전체로 해제하여 접속 확인

아직은 AWS에 대한 접근이 익숙하지는 않은데, 다양한 기능들이 많이 있어서 필요한 구성을 할 수 있을 것으로 생각된다. 아직은 AWS 초보자로서 따라하고 document 보는 수준 정도에 머물러 있는 듯 한데, 지속적으로 기능 보고, 사용해보면 익숙해지면서 숙달되지 않을까 생각이 든다. 자연스럽게 다룰수 있는 그날까지 자주 사용해 봐야겠다. 

아마존 웹 서비스 AWS Discovery Book의 책의 내용을 기반으로 정리한 내용으로 정확한 내용은 책을 참고하시기 바랍니다. 

2장. 확장성과 안정성 높은 서버 만들기

서버와 스토리지

• 서버 : 특화된 어떤 업무를 수행하기 위해 설계된 컴퓨터
  • 일반 노트북 또는 데스크톱 컴퓨터도 서버가 될 수 있다. 서버는 특화된 임무를 수행하기 위해 일반 컴퓨터보다 고성능의 CPU, 메모리, 디스크를 일반적으로 요구하여 대용량 서비스를 빠르게 처리
  • AWS에서는 EC2(Elastic Compute Cloud)라는 서비스를 이용해 가상 서버 구성
•  스토리지 : 정보와 데이터를 저장하기 위한 저장소 역할을 수행하는 장치
  • Desktop PC에서 많이 사용되는 HDD와 SSD 일반적으로 알고 있는 스토리지
  • 고성능으로 대량의 데이터를 빠르고 안전하게 처리하기 위해 디스크 어레이 컨트롤로 및 RAID와 같은 기술 활용
  • AWS에서는 EBS(Elastic Block Storage) 서비스를 이용하여 EC2에 디스크를 추가

보안과 방화벽

• 보안 : 각종 위험으로부터 정보 및 데이터를 안전한 상태로 유지하는 것
  • AWS IAM 서비스 : 리소스에 대한 사용자 액세스 및 암호화 키 관리 서비스
  • Amazon GuardDuty : 관리형 위험탐지 서비스
  • AWS Shild : DDoS 보호
  • AWS WAF : 악성 웹 트래픽 필터링을 위한 서비스
• 방화벽 : 외부 네트워크에 연결되어 있는 내부 네트워크의 중요한 정보 자산 불법적인 칩입 보호 하기 위한 시스템
  • AWS 자체 방화벽 서비스
    • Security Group
    • NACL
    • AWS WAF

클라우드 용어

• 리전(Reigion) : 전 세계에서 데이터 센터를 클러스터링하는 물리적 위치
  • 전세계 주요 국가에 리전을 구축하여 해당 위치에서 가장 가까운 곳에 클라우드 서비스를 제공
• 가용영역(Availability Zone) : 데이터 센터로 AZ로 약어
  • 하나의 리전에 다수의 AZ을 보유. 물리적 이중화를 위해 사용
• 엣지 로케이션(Edge Location) : CDN 서비스인 CloudFront를 위한 캐시 서버들 모음
  • CDN 서비스 : Content Delivery network의 약어로 콘텐츠(HTML, 이미지, 동영상 등)를 서버화 물리적으로 사용자들이 빠르게 받을 수 있도록 캐시 서버에 복제해주는 서비스

참고 : https://aws.amazon.com/ko/about-aws/global-infrastructure/regions_az/

Amazon EC2(Elastic Compute Cloud)

• EC2 : Elastic Compute Cloud의 약자로 크기를 조정 가능한 컴퓨팅 파워를 제공하는 서비스
  • 가상화로 제공되는 서버를 인스턴스라 부름
• EC2 인스턴스 유형
  • 범용(M 시리즈), 컴퓨팅 최적화(C 시리즈), 메모리 최적화(R 및 X 시리즈), 가속화된 컴퓨팅(P 및 G 시리즈), 스토리지 최적화(I 및 D 시리즈), HPC 최적화(H 시리즈)
  • 인스턴스 유형 및 사이즈
    •  ex) C4. Large 
      • C -> Instance family
      • 4 -> Intance generation
      • Large -> instance size
  • 인스턴스 구매 옵션
    • 온디맨드 인스턴스 : 필요할 때 바로 생성, 초 단위 비용 과금
    • 예약 인스턴스 : 1년 또는 3년 기간 약정, 온디맨드보다 최대 75% 저렴
    • 스팟 인스턴스 : 경매 방식의 인스턴스로 스펙을 정애 비용 입찰
    • 전용 인스턴스 : 고객 전용의 하드웨어 인스턴스 서비스 제공
  • AWS 참고 : https://aws.amazon.com/ko/ec2/instance-types/

Amazon EBS(Elastic Block Storage)

• EBS 볼륨  : 내구성이 있는 블록 수준 스토리지 디바이스로 인스턴스 연결 사용.
  • https://docs.aws.amazon.com/ko_kr/AWSEC2/latest/UserGuide/ebs-volumes.html

• EBS 볼륨 유형
  • 범용 SSD : 가격과 성능이 유지된 스토리지
  • 프로비저닝 IOPS SSD : 짧은 지연 시간이 필요한 최고 성능의 스토리지 볼륨
  • 처리량 최적화 HDD : 자주 액세스하는 저비용 스토리지
  • 콜드 HDD : 자주 액세스 하지 않는 워크로드에 적합한 가장 저렴한 스토리지
  • 마그네틱 : 작은 볼륨 크기에 맞는 저비용 스토리지, 이전세대 볼륨 유형으로 새로운 애플리케이션에서는 새로운 볼륨 유형에서 선택하여 사용하는 것이 좋음. 책에서는 저비용 사용시에는 고려해볼 볼륨 유형으로 표현함.
  • https://docs.aws.amazon.com/ko_kr/AWSEC2/latest/UserGuide/ebs-volume-types.html

• EBS 스냅샷 활용
  • EBS 볼륨의 데이터를 스탭샷으로 만들어 Amazon S3에 백업 및 보관할 수 있는 기능
  • 백업받은 스냅샷으로 다시 EBS 볼륨 생성 또는 다른 EC2 연결하여 데이터 복원 가능
  • 스냅샷 특징
    • 스냅샷 진행 과정에도 서비스 중단 없음
    • EBS 볼륨의 크기 조정 사용 : 기존 DIsk 스냅샷 백업 후 신규 장착할 EBS 크기를 늘려 볼륨 사이즈 증가
    • 스탭샷의 공유 기능 활용하여 권한 있는 다른 사용자에게 공유
    • 다른 리전 복사 가능
  • https://docs.aws.amazon.com/ko_kr/AWSEC2/latest/UserGuide/EBSSnapshots.html

• EBS 성능과 보안성
  • 프로비저닝 IOPS(Provisioned IOPS) :  EBS의 성능을 높히기 위해 Disk의 IOPS의 성능 지정
  • EBS 최적화된 인스턴스(EBS-Optimized Instance) : 전용 네트워크 대역폭을 사용하도록 구성 Disk 성능 최적화
    • EC2의 C, M, R 시리즈에서 추가 비용 없이 사용 가능
    • 프로비저닝 IOPS를 함께 사용하여 최대 성능 가능
  • EBS 암호화 기능 : AES0256으로 암호화하여 내부의 데이터 보호
    • 암호화 키는 AWS의 KMS에서 직접 생성 또는 기본키 사용
    • 암호화 된 EBS 스냅샷은 공유 및 타 AWS 계정에 공유되어도 사용할 수 없음
  • https://docs.aws.amazon.com/ko_kr/AWSEC2/latest/UserGuide/EBSPerformance.html

Amazon 보안 그룹

• Amazon 보안 그룹 
  • 인스턴스 시작시 각 인스턴스 당 최대 4개의 보안 그룹 할당
  • 기존 온프라미스(On-Premise)에서 사용되고 있는 방화벽의 정책과 유사한 기능
  • 보안 그룹은 네트워크 트래픽에 대한 허용(Allow)만 가능, 차단은 설정할 수 없음.
  • 차단 기능 적용을 원할 때는 VPC 기능 중 하나인 네크워크 ACL을 통해 제어
• Amazon 보안 그룹 특징
  • 보안 그룹의 숫자와 규칙에 제한
    • VPC 당 보안 그룹의 개수는 기본 500개
    •  보안 그룹당 추가할 수 있는 규책의 개수는 50개 제안
    • 네트워크 인터페이스당 5개의 보안 그룹 적용 (필요한 경우 AWS Support를 통해 한도 증가 쵸어
  • 네트워크 트개픽을 위한 허용 정책은 있으나 차단 정책 없음(위 내용 중복)
  • 인바운드 트래픽과 아웃바운 트래픽을 별도 제어 가능
  • 초기 보안 그룹 설정에는 인바운드 보안 규칙이 없음. EC2를 생성하고 다른 EC2와 통신하기를 원한다면 인바운드 규칙 추가가 필요하다. 
  • https://docs.aws.amazon.com/ko_kr/vpc/latest/userguide/VPC_SecurityGroups.html

실습

• 목표 : Amazone EC2를 사용하여 Windows 인스턴스와 Linux 인스턴스 생성하고 접속

접속해보니, 버지니아 북부로 되어 있어 아시아 태평양(서울)로 변경하였습니다. 

보안 그룹을 별도로 먼저 생성해 두었다. 기본적으로 인스턴스를 생성할 때 사용할 수도 있지만 추후에 지속적으로 보안 그룹을 일괄 사용해보기 위해서 고정된 보안 그룹을 생성하는 사용하는 방법으로 진행하였다. 

인스턴스를 시작하고 이름 입력해주고, AMI는 기본적인 실습 환경을 위해서 Ubuntu 22.04 LTS로 선택하였다. 인스턴스 유형은 t2.micro로 선택하여 기본적으로 사용할 수 있는 정도로의 유형으로 진행하였다. 네트워크 설정 부분은에서는 위에서 생성해둔 보안 그룹을 선택하여 입력 절차를 단순화 하였다. 스토리지는 범용 30GB SSD로 생성하였다. 이와 같이 설정하여 시작 버튼을 누르면 인스턴스가 생성된다. 

인스턴스 항목에 들어가게 되면 생성한 정보를 기준으로 인스턴스 ID 부터, 상태, 유형, 가용영역, 보안 그룹 이름, 키 이름, 시작 시간 등 위에서 공부했던 내용들이 모두 나오게 된다. 

인스턴스 ID를 클릭하게 되면 인스턴스와 관련된 다양한 정보를 자세하게 볼수 있으며 아래 그림과 같이 연결 버튼을 클릭하면 해당 인스턴스에 대해 접속할 수 있는 방법들을 확인할 수 있다.

연결 부분은 EC2 인스턴스 연결, Session Manager, SSH 클라이언ㅌ, EC2 직력 콘솔 4가지로 구성되어 있다. 

• EC2 인스턴스 연결 클릭
  • "Failed to connect to your instance". Access denied by EC2 Instance Connect... 
  • 방화벽 허용해줘도 연결이 안된다. 
    • EC2 Instance Connect 패키지가 인스턴스에 설치되어 있지 않는 문제인듯 하여 확인해보니 설치 되어 있음. 
    • 좀 더 해봐야 할듯 하다.
• Session Manager 
  • 별도의 설정이 필요한 듯 하다. 
• SSH 클라이언트
  • openssh를 활용해서 key를 이용한 접속으로 예제를 제공하고 있다. 
  • ssh -i "key name" username@접속ip
• EC2 직렬 콘솔
  • 지원되는 콘솔이 있는듯 하다. 내가 생성한 인스턴스 유형은 EC2 직렬 콘솔이 지원되지 않는 것으로 나온다. 
  • AWS Nitro System을 사용한 EC2 인스턴스를 사용해야 한다고 함.
    •  C1, C3, I2, M1, M2, M3, R3, T1 으로 지원된다고 나와 있는데, 웹 상에서는 안된다고 나온다. 이 부분은 추후 확인이 필요할 듯 하다. 

https://aws.amazon.com/ko/premiumsupport/knowledge-center/ec2-instance-connect-troubleshooting/

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-connect-set-up.html

https://aws.amazon.com/ko/ec2/nitro/

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-connect-methods.html

아마존 웹 서비스 AWS Discovery Book의 책의 내용을 기반으로 정리한 내용으로 정확한 내용은 책을 참고하시기 바랍니다. 

1장. 클라우드와 아마존 웹 서비스

 클라우드 컴퓨팅 : 인터넷이라는 통신 서비스를 활용한 컴퓨팅 서비스 종류의 하나로 원격 컴퓨터를 활용하는 기술을 의미한다고 책에서는 정의한다. 언제(Any Time), 어디서나(Any Where) 컴퓨터나 저장장치 등의 컴퓨터 자원을 빌려서 사용할 수 있도록 처리해주는 IT 기술을 클라우드 컴퓨팅으로 정의한다. 사용량 기반 과금 (Pay-Per-Use Pricing)으로 적용되어 사용한 만큼만 비용을 지불한다는 특징이 있다. 

 추가적으로 클라우드 컴퓨팅의 정의에 대해서 찾아 보니 위키디피아의 정의에서 데이터 스토리지와 컴퓨팅 파워와 같은 컴퓨터 시스템 리소스를 필요시 바로 제공(On-demand availabilty)하는 것이라도 되어 있는데 클라우드 컴퓨팅 용어를 정의하는데 크게 어려움은 없는 듯 하다. 

 즉, 필요시 언제, 어디서나 컴퓨터, 서버 등에 제공하는 것들을 바로 제공하는 시스템 서비스를 클라우드 컴퓨팅 서비스라고 정의할 수 있을 것으로 이해된다. 

위키디피아 정의 :  https://ko.wikipedia.org/wiki/%ED%81%B4%EB%9D%BC%EC%9A%B0%EB%93%9C_%EC%BB%B4%ED%93%A8%ED%8C%85

 클라우드 컴퓨팅을 공부해야 하는 이유에 대해서는 아래와 같은 내용으로 정리 되어 있다. 

1. 많은 기업이 클라우드를 도입하였거나 도입을 검토
2. H/W를 데이터센터에 넣고 운영/관리하는 일이 점점 줄어든다.

 1번의 내용에서 가트너 2018년도 내용이 되어 있어 현재 기준으로 2023년도 내용으로 업데이트 할 필요가 있어 가트너 예측 자료를 현재 기반으로 찾아 보았다. 

 2023년 가트너 세계 퍼블릭 클라우드 지출 : https://zdnet.co.kr/view/?no=20221101134135 

 2023년 클라우드 시장 전망(베스틴글로벌) : https://www.bespinglobal.com/cloud-market-forecast_2023/

구글에 "클라우드 시장 전망" 으로 검색을 해보면 아래와 같은 정보가 나온다. 

가트너에 따르면, 2023년 퍼블릭 클라우드 시장규모가 올해 4,903억 달러에서 20.7% 증가한 5,918억 달러 수준으로 형성될 것으로 전망된다. 이는 올해 예상치였던 18.8%보다 높은 수치로 작년메 비해 1.2배 증가한 수치이다. 국내에서는 IaaS 수요 증가할 것 예상한다.2022. 12. 9. 

국내 클라우드 관련 내용도 참고삼아 볼 필요도 있을 듯 하다. AWS와는 현 시점에 크게 관계는 없고, 클라우드 시장이 지속 성장하고 있는 산업이며 공부할만한 가치가 있다는 부분에서 관련된 링크도 추가 해 두었다.  https://biz.chosun.com/it-science/ict/2022/05/13/BPWVNS2YINF5ZANWBGTLS5DACU/

 다시 책으로 돌아와서 두번째 내용인 H/W를 데이터센터에 넣고 운영/관리하는 일이 점점 줄어든다. 이 부분에 대해 확인해 볼 필요가 있다. 책에서는 이와 관련된 사항에 대해서 AI, BIG Data의 구현과 서비스에 슈퍼컴퓨터 급의 고사양 하드웨어와 장비가 필요하며 이러한 장비의 도입과 구매는 기업 입장에서 많은 초기 투자 및 운영 비용과 인력이 필요하다라고 되어 있다. 책에 작성된 이 내용은 맞는 말이지만 H/W를 데이터센터에 넣고 운영/관리하는 일이 점점 줄어든다의 설득력과 관련된 내용으로 접근하여 기술되는 부분에는 조금은 의구심이 들었다. 개인적인 생각으로 기존 레거시 방식의 서버, 네트워크, 보안 H/W 제품들을 가지고 운영 관리하는 것은 초기 투자 비용이 많이 들고, 서비스 가용성을 구성하기에 용이하지 않으며, 확장에 불편한 요소들이 많다라는 부분들이 추가적으로 기술되었다면 해당 내용을 뒷바침 하는데 더욱 도움이 되지 않았을까라는 생각을 하게 된다. AI, BIG Data를 사용하는 것이 최근 트랜드이기는 하나, 굳이 이런 기술을 사용하지 않는다 하더라도 오토스케일링과 같은 기능을 사용하게 되면 탄력적인 서비스 구성이 가능하므로 H/W를 데이터센터에 넣고 관리하는 일보다는 클라우드 컴퓨팅을 활용하여 사용하는데 더욱 설득력이 있지 않았을까라는 생각이 든다. 

참고사항 : AWS 오토스케일에 대한 설명링크 - https://aws.amazon.com/ko/autoscaling/

 클라우드 컴퓨팅는 서비스 이용방식에 따라 IaaS, PaaS, SaaS로 크게 세가지로 분류할 수 있다. 

• IaaS : Infrastructure as a service
  • 물리적 서버 (CPU, MEMORY) 및 네크워크, 스토리지를 가상화여 다수의 고객을 대상으로 유연하게 제공하는 인프라 서비스
• PaaS : Platform as a Services
  • Web 기반의 서비스 또는 애플리케이션 등의 개발 및 실행을 위한 표준 플랫폼 환경을 서비스 형태로 제공하는 서비스
• SaaS : Software as a Services
  • 구글의 Gmail이나 MS Office 365와 같이 응용프로그램을 인터넷 및 웹 브라우저를 통해 제공하는 서비스

 참고 : https://www.redhat.com/ko/topics/cloud-computing/iaas-vs-paas-vs-saas

 클라우드 컴퓨팅의 장점 및 혜택

• 초기 투자 비용이 발생하지 않으며, 사용한 만큼 지불
• 규모의 경제를 통해 지속적인 가격 인하를 실현
• 미래에 필요한 인프라의 용량을 추정할 필요가 없음
• 속도 및 민첩성이 향상
• 데이터 센터 운영 및 유지 관리에 비용 투자가 필요 없음
• 몇 분만에 전세계에 서비스를 런칭하거나 배포할 수 있음.

 AWS 주요 서비스

•  컴퓨팅 서비스 
  • Amazon EC2(Elastic Compute Cloud) 가상화 서버
    • https://aws.amazon.com/ko/ec2/
  • Amazon Auto Scaling : 서버의 특정 조건에 따라 서버를 추가/삭제 해주는 서비스
    • https://aws.amazon.com/ko/autoscaling/
  • Amazon Lightsail : 간단한 가상화 프라이빗 서버(Virtual Private Server, VPS)가 필요한 개발자에게 손쉽고 저렴한 비용으로 애플리케이션 배포 관리하는 기능
    • https://aws.amazon.com/ko/lightsail/ 
  • Amazon WorkSpaces : 데스크톱 가상화 서비스
    • https://aws.amazon.com/ko/workspaces/
•  네트워팅 서비스
  • Amazon Route 53 : 클라우드 기반의 Domain Name System(DNS) 웹 서비스
    • https://aws.amazon.com/ko/route53/
  • Amazon VPC(Virtual Private Cloud) : 가상 사설 네트워크 인프라르 클라우드 내에 구성, 접근 제어, DHCP 및 VPN 연결, 인터넷 게이트웨이 등의 서비스 제공, 타 VPC와 VPC Peering 구성을 통해 보안성 및 안정성 높은 네트워킹 서비스 제공
    • https://docs.aws.amazon.com/ko_kr/vpc/latest/userguide/what-is-amazon-vpc.html
  • AWS Direct Connect : 기존 On-Premise의 인프라와 AWS를 연결하는 전용선 구성
    • https://aws.amazon.com/ko/directconnect/
  • Amazon ELB(Elastic Load Balancer) : CLB,NLB,ALB 의 유형으로 구성
    • https://aws.amazon.com/ko/elasticloadbalancing/
  • Amazon CLB(Classic Load Balancer) : ELB 이전 세대 LoadBalancer (추가 기술)
    • https://docs.aws.amazon.com/ko_kr/elasticbeanstalk/latest/dg/environments-cfg-clb.html
  • Amazon NLB(Network Load Balancer) : L4  기반 LoadBalance  서비스 (추가 기술)
    • https://docs.aws.amazon.com/ko_kr/elasticloadbalancing/latest/network/introduction.html
  • Amazon ALB(Application Load Balancer) : L7기반 LoadBalance서비스 (추가 기술)
    • https://docs.aws.amazon.com/ko_kr/elasticloadbalancing/latest/application/introduction.html
  • Amazon Gateway Load Balancer : VPN간 연결시 사용하는 것으로 Geneve protocol 사용하여 지원 (추가 기술) 
    • https://docs.aws.amazon.com/ko_kr/elasticloadbalancing/latest/gateway/introduction.html
• 스토리지 서비스
  • Amazon S3(Simple Storage Services) : 범용적 스토리지 서비스
    • https://docs.aws.amazon.com/ko_kr/AmazonS3/latest/userguide/Welcome.html
  • Amazon Glacier : 사용 빈도가 높지 않은 데이터를 저렴한 비용으로 장기 보관 서비스, 가격 저렴, 무제한 데이터 보관
    • https://docs.aws.amazon.com/ko_kr/amazonglacier/latest/dev/introduction.html
  • Amazon EBS(Elastic Block Storage) : 고성능의 서비스를 필요로 하는 스토리지 서비스
    • https://docs.aws.amazon.com/ko_kr/AWSEC2/latest/UserGuide/AmazonEBS.html
  • AWS Storage Gateway : ON-premise에 있는 데이터를 클라우드로 저장 보관하기 위한 연결 Gateway 서비스
    • https://docs.aws.amazon.com/ko_kr/storagegateway/index.html
  • AWS Snowball : Import/Export 서비스를 통해 대량의 데이터를 AWS 이전시 네트워크로 전송하지 않고, 디스크나 스토리지에 저장하여 물리적으로 전달하여 업로드하여 주는 서비스
    • https://docs.aws.amazon.com/ko_kr/snowball/latest/ug/whatissnowball.html
•  데이터베이스 서비스
  • Amazon RDS(Relational Database Services) : 관계형 데이터베이스 서비스
    • https://docs.aws.amazon.com/ko_kr/AmazonRDS/latest/UserGuide/Welcome.html
  • Amazon DynamoDB : NoSQL용 서비스
    • https://docs.aws.amazon.com/ko_kr/amazondynamodb/latest/developerguide/Introduction.html
  • Amazon ElastiCache : In-Memory 기반의 CAche 서비스로 빠른 속도를 필요로 하는 서비스와 연계
    • https://docs.aws.amazon.com/ko_kr/AmazonElastiCache/latest/red-ug/WhatIs.html
•  분석 플랫폼
  • Amazon Kinesis : 대량의 데이터를 저장 분류할 수 있는 서비스
    • https://docs.aws.amazon.com/ko_kr/streams/latest/dev/key-concepts.html
  • Amazon Redshift : 데이터 웨어하우스와 데이터 레이크 전체에 걸쳐 데이터를 분석할 수 있는 빠르고 확장 가능한 데이터 웨어하우스 (??)
    • https://docs.aws.amazon.com/ko_kr/redshift/latest/mgmt/welcome.html
  • Amazon EMR : 저장된 대량의 데이터를 분류, 분석하여 필요한 정보를 뽑아낼 수 있도록 다양한 서비스 제공
    • https://docs.aws.amazon.com/ko_kr/emr/latest/ManagementGuide/emr-what-is-emr.html
•  애플리케이션 서비스
  • Amazon CloudSearch : 검색 서비스
    • https://docs.aws.amazon.com/ko_kr/cloudsearch/?id=docs_gateway
  • Amazon SES(Simple Email Services) : 외부로 대량의 메일을 발송하는 서비스
    • https://docs.aws.amazon.com/ko_kr/ses/latest/dg/Welcome.html
  • Amazon Elastic Transcoder : 동영상 인코딩 서비스
    
    • https://docs.aws.amazon.com/ko_kr/elastictranscoder/latest/developerguide/introduction.html

책에서 다양한 내용들을 다루고 있고, 관련된 내용에 대해 검색해 나가며 이해를 하고자 했지만 여전히 클라우드 속은 어려움이 가득한 곳인듯 하다. 그래도 하나씩 용어를 정리하고 해당 용어를 이해해 나가면서 물론 모두가 이해가 되는 건 아니지만 한발, 한발 나아가며 실습해보면 AWS의 서비스들을 조금씩 이해해 나갈 수 있으리라 생각된다. 

위에 정의한 내용 이외에서 다양한 분의 클라우드 서비스가 있으며, Amazon은 지속적으로 새로운 서비스를 개발하고 있다. 

 AWS 환경에 대한 공부를 위해 "아마존 웹 서비스 AWS Discovery Book" 라는 책을 구매해 놓고 틈틈히 보다 좀 더 본격적인 이해를 할 필요성이 있어서 다시 책을 꺼내 들고 용어부터 전체적인 개념, 논리적 구조를 재정립을 할 필요성이 있다라는 생각이 되어 관련된 공부를 진행하며 정리가 필요한 사항들을 위한 내용으로 다룬다. 

 1편에서 해당 책의 정보에 대한 내용을 다루고 AWS 사용과 관련된 본격적인 내용은 2편에서 부터 다루기로 한다. 

 책의 본문은 아래와 같이 되어 있다. 저자는 권영환님이고, 출판사는 정보문화사이다. 책을 구매한지 시간이 흐르기는 했지만 이 책을 구매했던 이유는 국내 실무자가 AWS 구축하며 겪은 내용들이 라서 국내 환경에서 AWS 클라우드를 사용하는 부분에 대해서도 볼 수 있겠다라는 생각이 가장 커서 이 책을 구매하기로 마음 먹었던 듯 하다. 

저자 권영환님은 현대그룹의 통합 그룹웨어 서비스를 개발, 구축, 운영 업무를 주로 했다고 하고, 현재는 클라우드 컨설팅 및 솔루션 아키텍트를 담당하고 있다고 한다. 학습중 궁금한 내용들에 대해서는 blog.naver.com/saga111 에서 피드백 해준다고 하니, 공부를 진행하며 문의사항이 생기면 해당 블로그를 통해 질문을 해서 피드백을 받도록 하는 과정도 좋을 것으로 생각된다. 

책이 1장 ~ 13장부터 구성되어 있으니, 해당 책에서 제공하는 부분을 살펴보면서 추가 자료들을 검색해보고 정리해보는 방식으로 공부를 진행하면 도움이 되지 않을 까 생각된다. 

• 1장 : 클라우드와 아마존 웹 서비스
• 2장 확장성과 안정성 높은 서버 만드릭
• 3장 : 무한대로 저장 가능한 스토리지 만들기
• 4장 : 독립적인 나만의 가상 네트워크 공간 만들기
• 5장 : 확장 가능한 데이터베이스 서버 만들기
• 6장 : DNS를 손쉽게 연결하고 관리하기
• 7장 : 네트워크 트래픽을 분산시켜 주는 로드 밸런싱
• 8장 : 가용성 높고 빠르게 확장 가능한 인프라 구성하기 
• 9장 : CDN 서비스로 웹 사이트의 속도를 더욱 빠르게 하기
• 10장 : 클라우드 자원과 리소스 관리하기
• 11장 : 알뜰하고 저렴하게 나만의 서버 만들기
• 12장 : AWS 자격증 취득에 도전해보기
• 13장 : AWS Training 계정 생성 및 시험 신청 방법

위와 같이 목차로 이루어져 있고, 각 챕터별로 공부 및 실습해나가며 정리를 해 볼 생각이다. 

이번에는 파편화 되어 있는 지식들을 종합해보는 시간이 되면 좋을 듯 하다. 

AWS 공식홈에서 제공하고 있는 용어 정의에 대해서는 지속적으로 접근하며 확인할 필요가 있어 접근 정보를 기록해 둔다. 

AWS 용어 : https://docs.aws.amazon.com/ko_kr/general/latest/gr/glos-chap.html