[AWS] 클라우드 컴퓨팅 / AWS란?

클라우드 컴퓨팅

인터넷을 통해 (물리적 서버, 네트워크와 같은) IT 리소스와 (데이터 분석과 같은) 애플리케이션을 원할 때 언제든지(On-demand) 사용한 만큼만 요금을 내는 서비스이다.

클라우드 컴퓨팅이란 | 클라우드 컴퓨팅 소개 | Amazon Web Services

 

클라우드 컴퓨팅을 사용하면 인프라를 하드웨어가 아닌 소프트웨어로 간주하고 사용할 수 있다. 프로그래밍 가능한 리소스가 있다면 이를 프로그램이 될 수 있고 동적으로 기능하며 종량 과금제로 사용할 수 있다.

 

클라우드 컴퓨팅의 이점

1. 초기 선투자 비용 없음
   • 고정 비용을 가변비용으로 대체
   • 미리 서버를 구매할 필요 없음
   • On-premise의 경우 많은 초기 투자 비용이 발생하지만 cloud의 경우 사용한 만큼만 지불
2. 운영 비용 절감
   • 사용한 만큼만 지불하며 규모의 경제로 인한 지속적인 비용 절감
   • on and off, fast growth, variable peaks, predictable peaks 시스템의 경우 불필요한 낭비를 줄임 
3. 탄력적인 운영 및 확장
   • 필요 용량에 대한 예측 불필요
   • 수요에 맞춘 유연한 확장
   • AWS에서는 프로그램 코드로 필요한 자원을 자동 증설 및 감소할 수 있어 비용 효율적, 최적의 성능 및 안전성 제공
4. 속도 및 민첩성
   • 수 분만에 인프라 구축 가능
   • 빠르게 변화 대응
5. 비즈니스에만 집중 가능
   • 혁신을 위한 다양한 실험 가능
   • 불필요한 인프라 관리 업무 제거 - 데이터 센터, 네트워킹, 전력 공금, 서버 랙 관리, 서버 관리, 냉각/공조, 케이블 연결, 스토리지, 보안 관리, 시설 운영 등
6. 글로벌 확장
   • 빠른 시간 내 글로벌 서비스 구현 가능

 

AWS (Amazon Web Service)

AWS는 네트워크로 연결된 하드웨어를 소유하고 유지 관리하며 고객은 필요한 항목을 프로비저닝하고 사용한다.

AWS 핵심 인프라 및 서비스

AWS 글로벌 인프라 (물리적 인프라)

• 하나의 리전에는 2개 이상의 가용영역이 존재하며, 최소 2개 이상의 데이터 센터를 보유한다.
• 데이터 센터가 무너지더라도 서비스 중단이 없게끔 구성할 수 있게 함

 

컴퓨팅

EC2 (Amazon Elastic Compute Cloud)

크기 조정 가능한 컴퓨팅 용량(가상머신, vm)으로 컴퓨팅 리소스에 대한 완전 제어가 가능하다. 새로운 서버 인스턴스 확보 및 부팅 시간을 단축할 수 있다.

• Amazon Machine Image(AMI) 사용
• 필요에 따라 인스턴스를 추가 또는 종료
• 인스턴스 일시중지 및 다시 시작
• 템플릿 제공 - 스토리지 볼륨, 시작 권한, 블로 디바이스 매핑

AMI(Amazon Machine Image)를 사용하면 WAS에 부하가 커질 때 WAS의 설정을 그대로 스냅샷하여 빠르게 WAS 서버를 늘릴 수 있다.

 

이점

• 탄력성 - 예측가능한 서비스에 대해서는 용량을 설정할 수 있음
• 제어 
• 유연성 - 사양 선택 가능
• 통합 - 로드밸런서를 통해 분산컴퓨팅 가능
• 안정성 - 가용성을 가짐
• 보안 
• 저렴한 비용
• 용이성

 

인스턴스 패밀리 및 이름

 

ECS (Amazon Elastic Container Service)

컨테이너의 실행을 조정하는 서비스로 컨테이너를 실행하는 노드 플릿을 유지하고 확장하며 인프라 구축의 복잡성을 제거한다.

 

Lambda

서버리스 컴퓨팅을 위해 사용하는 것이다. 

서버리스 컴퓨팅
- 서버를 관리하지 않고 애플리케이션과 서비스를 구축하고 실행
- 스크립트가 있을 때 서버가 필요한대 용량이 매우 작지만 없으면 안되는 스크립트라면 람다를 사용
- 프로비저닝하거나 관리할 서버가 없고, 사용량에 따라 조정하며 유휴상태에 대한 지불이 없고, 가용성 및 내결함성 내장 

 

 

스토리지

 

S3 (Amazon Simple Store Service)

객체 수준 스토리지로 내구성을 제공하도록 설계되며, 이벤트 트리거를 지정할 수 있다.

 

사용사례

• 콘텐츠 저장 및 배포
• 백업 및 아카이빙
• 빅 데이터 분석
• 재해 복구
• 정적 웹 사이트 호스팅

데이터를 저장 및 검색하도록 구축하였으며 속도, 내구성, 가용성이 뛰어난 객체 액세스이다. 버킷에 저장할 수 있는 객체 수에 제한이 없고 웹 어디서나 언제든 데이터 저장 및 검색이 가능하다.

 

S3 Glacier (Amazon Simple Store Service Glacier)

장기 데이터 스토리지로 아카이브 및 백업을 위해 사용하며 비용이 매우 저렴한 스토리지이다.

 

EBS (Amazon Elastic Block Store)

인스턴스용 연구 블록 스토리지로 복제를 통해 보호한다. 몇 분만에 확장 또는 축소가 가능하고 프로비저닝한 만큼만 요금을 지불한다. 스냅샷 기능을 통해 백업 및 복구가 가능하며 암호화를 사용할 수 있다. EC2에 붙어서 사용하는 스토리지로 볼륨을 분리하며 윈도우의 C, D 드라이브로 생각하면 된다.

 

 

데이터베이스

 

DIY(설치형)와 AWS 데이터베이스 서비스 비교

• On-Premise
  • 설치, 용량 증대, 튜닝 최적화 등등 모두 고객의 역할
• EC2 데이터베이스
  • DBMS 설치 형태
• RDS
  • OS 레벨의 설정이 따로 필요 없이 서비스로 제공됨 -> 사용자가 개입할 수 없고 제공되는 기능만 사용 가능

 

네트워크

• 리젼, 가용영역(AZ), VPC
• 리젼과 가용영역이 물리적 관점에서 네트워크 구분
• VPC는 논리적인 네트워크 망으로서의 기준 

Amazon Virtual Private Cloud (Amazon VPC)

클라우드의 프라이빗 네트워크 공간

운영 워크로드, 개발 워크로드 네트워크 환경이 분리라는 워크로드의 논리적 격리 제공 - VPC를 기준으로 분리

VPC가 달라졌다면 환경이 달라진 것

 

VPC 분리

서브넷을 사용하여 VPC를 분리할 수 있다.

• 서브넷은 리소스 그룹을 격리할 수 있는 VPC IP 주소 범위의 세그먼트 또는 파티션
• 서브넷은 인터넷 접근성을 정의

프라이빗 서브넷

• 인터넷 게이트웨이에 대한 라우팅 테이블 항목 없음
• 퍼블릭 인터넷에서 직접 액세스 불가
• 사설 영역에서만 접근 가능한 서브넷

퍼블릭 서브넷

• 인터넷과 통신이 되는 서브넷

 

• VPC는 가용영역 2개 또는 3개를 결합해서 사용
• 가용영역을 걸쳐서 VPC가 생성
• 서브넷은 tier를 나눌 때 DMZ, WEB, WAS 등 각 tier마다 서브넷 생성

 

VPC의 계층화된 네트워크 방어

• 라우팅 테이블에서 ip단위로 접근 제어
• 서브넷 단위에서 들어오고 나가는 ip 포트 제어
• EC2 보안 그룹을 통해서 허용하거나 거절
• VPC 하나를 하나의 라우팅테이블로 구성할 수 있지만 tier별로 라우팅테이블을 따로 구성하여 별도의 라우팅 정책 가짐

 

인프라 구조화

• 단계별로 허용을 해주어야함
• 네트워크 ACL, 보안그룹 모두 제어하는 목록은 ip, 프로토콜, 포트이지만 적용하는 대상이 서브넷이냐 EC2냐에 따라 다름

Elastic Load Balancing (ELB)

수신되는 애플리케이션 트래픽은 여러 Amazon EC2 인스턴스, 컨테이너, IP 주소에 분산하는 관리형 로드 밸런싱 서비스

네트워크 장비 역할을 하게 되고 문제없이 정상적으로 운영되는 시간을 보장하여 고가용성 가진다. 보통은 라운드로빈 방식이다.

• ALB
  • 도메인까지 볼수있는 URL 계층의 로드밸런서
  • 웹서버가 인터넷 페이싱하지 않고 로드밸런서가 공인 IP, 서비스 도메인을 ELB에 적용하고 ELB가 인터넷 페이싱함
• NLB
  • IP 포트 프로토콜에 대해서 로드밸런싱
  • 성능면에서 좋지만 ALB 많이 사용

Amazon Route 53

Route53은 가용성과 확장성이 뛰어난 클라우드 Domain Name System (DNS) 서비스

DNS는 도메인 이름을 IP 주소로 변환 

도메인 이름을 구입하여 관리하고 DNS 설정을 자동으로 구성할 수 있음

 

 

보안

공동 책임 모델

AWS Identity and Access Management (IAM)

AWS 리소스에 대한 액세스를 안전하게 제어

• 사용자, 그룹 또는 역할에 세분화된 권한 할당
• AWS 계정에 대한 임시 액세스 공유
• 회사 네트워크의 사용자 연동 또는 인터넷 자격 증명 공급자와 연동

IAM 사용자는 별도의 AWS 계정이 아닌 계정 내 사용자로 각 사용자는 자체 자격 증명을 보유한다. IAM 사용자는 자체 권한을 기준으로 특정 AWS 작업을 수행할 권한을 보유한다. 

 

Amazon S3 액세스 제어

일부 서비스는 S3 버킷 정책과 같은 리소스 기반 정책을 지원

 

AWS CloudTrail

 

AWS 계정의 사용자 활동 및 API 사용 추적

• 지속적으로 사용자 활동을 모니터링하고 API 호출을 기록
• 규정 준수, 감사, 보안 분석, 문제 해결에 유용
• 로그 파일은 Amazon S3 버킷으로 전송됨

 

AWS Trusted Advisor

비용 절감, 성능 개선, 보안 강화에 도움이 되는 지침을 제공하는 서비스