AWS 기초 _Part_3

Elastic Load Balancer

: 다수의 인스턴스들을 로드밸런서에서 한대로 묶어 트래픽을 하나의 경로로 받아서 분산해주는 서비스

로드밸런싱

: Load(부하)를 Balance(분배)해주는 서비스

 

기존 문제점

• 인스턴스 사용을 위해, 모든 IP 주소를 알아야함.
• 인스터스 교체 마다 변경되는 IP 주소에 대한 조치 필요.
• 관리비용

➞ 오토스케일링 사용을 위해서는, 부하를 분산 서비스 필요

➞ ELB에서 제공하는 로드밸런싱 서비스

 

특징

 

종류

 

대상 그룹 (Target Group)

: ALB(Application Load Balance)

 

구성

• 종류
  • Instance (EC2)
  • IP (private)
  • Lambda
  • 또 다른 ALB
• 프로토콜 (http, https, grpc..)

유저가 ALB를 통해 통신 - 주소를 읽어 그룹을 인식

아키텍쳐

인스턴스들의 고가용성, 장애 내구성 확보 가능

---

사설 IP (Private IP)

: IP주소를 분할하여 한정된 IP주소를 최대 활용하고자 만든 개념

 

사설망

• 외부 인터넷 망으로 통신 불가
• 외부 통신시, 통신 가능한 공인 IP로 나누어 사용
• 보통 하나의 망 - 사설 IP를 부여받은 기기 + NAT 기능을 갗춘 Gateway로 구성

NAT (Network Address Translation)

: 사설 IP가 공용 IP로 통신 할 수 있도록 주소를 변환해주는 방법

 

종류

• Dynamic Nat
• Static Nat
• PAT

Dynamic NAT

: 사설망 Private IP - NAT Pool에 존재하는 가용 가능한 공인 IP 하나가 매칭

Static NAT

: 미리 매칭된 외부 IP로 통신

 

이미 하나씩 매칭이 되어있음, 따라서 public과 private IP 숫자가 거의 같다.

PAT(Port Address Translation)

: 포트기반으로 사설망의 어떤 Private IP와 통신하는지를 확인

중간에 있는 NAT기능을 갖춘 Gateway가 트래픽을 받아 처리

사설망을 대표하는 공인IP로(public IP) Gateway가 지정한 port(50001)로 보낸다.

내부적으로 port가 다르기에 다양한 사설IP주소들이 하나의 IP를 공유하여 사용

 

사설IPs

: 클래스가 부여되어 클래스 기반 라우팅

 

Classless Inter Domain Routing(CIDR)
(클래스가 없는)

: 주소 영역을 여러 네트워크 영역으로 나누기 위해 IP를 묶는 방식

 

CIDR Block

:IP 주소의 집합

 

 

CIDR Notation

: CIDR Block 표시 방법

 

IPv4 기준 -> 하나의 자리가 8비트 (총 32bit)

 

192.168.2.0/24
네트워크 주소 (24bit). 호스트 주소 (8bit)
네트워크 주소는 고정 / 호스트 주소는 변동

 

서브넷

: 네트워크 안의 네트워크

 

• 큰 네트워크를 잘게 쪼개 단위
• 일정 IP주소의 범위 보유 : 큰 네트워크의 범위를 조금씩 잘라 서브넷에 할당

---

AWS의 서비스 구조

우리는 Public Internet의 다양한 노드를 통하여 여러 AWS 서비스들을 이용한다.

거의 대부분의 AWS Cloud 서비스들은 일반적으로 Public Internet을 통하는데, 예외가 있다.

 

VPC는 원칙적으로 Public Internet에서 접근하지 못하는 것이 특징.

 

VPC의 목적

: 외부와 격리된 네트워크를 만드는 것

 

Internet gateway라는 요소를 통해 외부로 접근하는 길이 뚫려져 있는 것.

VPC (Virtual Private Cloud)

: 가상으로 존재하는 데이터 센터 (외부와 격리되어 있는 가상의 네트워크 단위)

 

• 외부에 격리된 네트워크 컨테이너 (네트워크를 담을 수 있는 일종의 하나의 용기) 구성
  • 원하는대로 사설망을 구축 - 부여된 IP 대역을 분할하여 사용 가능
• 리전 단위

사례

• EC2, RDS, Lambda 등의 AWS 컴퓨팅 서비스 실행
• 다양한 서브넷 구성
• 보안설정(IP Block, 인터넷에 노출되지 않는 EC2 구성)

 

구조

 

VPC의 구성요소

• 서브넷
• 인터넷 게이트웨이
• NACL/보안그룹
• 라우트 테이블
• NAT Instance/ NAT Gateway
• Bastion Host
• VPC Endpoint

서브넷(subnet)

: VPC 하위단위 

하나의 서브넷은 하나의 가용영역(AZ) 안에 위치

 

라우트 테이블 (Route Table)

: 트래픽이 어디로 가야 할지 알려주는 이정표

 

 

라우트 테이블 ➞ 서브넷과 서브넷끼리 통신이 가능

 

서브넷의 종류

인터넷 게이트웨이

* 프라이빗 서브넷은 Internet gateway로 가는 경로가 아예 없다.

 

동작

 

10.0.0.0/24 서브넷A ➞ 외부 8888

라우트 테이블 내에 8888 없음.

➞ 로컬이 아닌 것을 확인하고 Internet gateway

➞  Internet gateway는 이 트래픽을 외부에 있는 퍼블릭 인터넷으로 보내준다

---

VPC 방화벽

: VPC의 트래픽을 통제하고 제어하는 서비스

• 보안 그룹 
• NACL (Network ACL)

 

 

Security Group (보안 그룹)

: 서브넷 안에 위치, 각 인스턴스마다 트래픽 제어

EC2, RDS등 VPC 내에서 ENI(Elastic Network Interface)를 갖는 모드 서비스에 탑재 가능

* 허용규칙만 생성 가능

 

트래픽의 상태를 저장하여 인바운드를 통과한 트래픽은 아웃바운드의 규칙 적용을 받지 않으며 그 반대도 같다.

 

 

 

Network ACL (네트워크 액세스 제어)

: 서브넷의 접근제어 목록 책임

 

서브넷에 속해있는 모든 인스턴스들은 해당 서브넷의 NACL의 규칙을 적용받는다.

규칙에 숫자가 매겨져서 작은 숫자값 순서대로 우선적으로 적용되는 특징이 있고 허용 규칙뿐 아니라 거부 규칙도 설정할 수 있다.

보안그룹과는 반대로 Stateless 하기 때문에 인바운드가 허용되어진 트래픽이 아웃바운드에서 막힐 수 있다.

 

---

S3

: 클라우드 객체 스토리지 서비스

 

• 객체 스토리지 서비스 ( 어플리케이션 설치 불가)
• 글로벌 서비스 ( 데이터는 리전에 저장)
• 무제한 용량 ( 객체는 0byte - 5TB)

버킷 

: 저장공간 구분 단위

* 전세계 고유값 _중복 불가

 

구성

• Owner : 소유자
• Key : 파일 이름
• Value : 파일 데이터
• Version ID : 파일 버전 아이디
• Metadata : 파일 정보 데이터
• ACL : 파일 권한 정보 데이터
• Torrents : 토레트 공유를 위한 데이터

 

내구성 

• 최소 3개의 가용영역에 데이터 분산저장
• 99.999999999% 내구성
• 99.9% SLA 가용성

 

보안설정

• 기본 Private
• 보안 설정은 객체 단위와 버킷 단위로 구성
  • Bucket Policy : 버킷 단위
  • ACL : 객체 단위