AWS 네트워킹의 등장과 다양한 기능들 (1/2)

※ 본 내용은 AWS Summit 2023 내용을 정리한 글입니다.

 

1. AWS 등장 배경

 

전통적인 데이터센터 네트워크는 아래와 같다.

 

• 데이터 센터 연결
  • 라우터/방화벽으로 외부망 연결 
  • 전용선, VPN을 이용한 연결
• 네트워크 보안
  • 방화벽, IP 기반 접근 통제(ACL)
  • 웹방화벽, DDOS 방어 등
• 확장성/가용성
  • L4/L7 부하 분산(LB)
  • 개별 장비 업그레이드 
  • 재해복구 센터(DR) 추가 연결

 

위의 인프라를 구축하기 위해서 네트워크 운영자는 고민이 많다.

 

1) 보안, 2) 클라우드 환경과의 연결성, 3) 새 네트워크 환경에서의 민첩성

 

이 많은 걸 고려하면서 처음부터 개발한다? 개발, 유지 보수 비용이 장난이 아닐 것이다.

 

 

2. VPC

Amazon Virtual Private Cloud(Amazon VPC)는 위의 고민들을 해결해 줄 수 있다. 

 

VPC는 사용자가 정의한 대로 AWS 리소스들을 배포할 수 있는, 클라우드 상에서 논리적으로 격리된 가상의 네트워크를 뜻한다.

 

• IP 대역
• 서브넷
• 네트워크 토폴로지 
• 라우팅 규칙
• 보안 규칙

VPC는 위의 기능들을 사용할 수 있다. 

 

VPC를 사용하면 아래의 기능들을 AWS에서 손쉽게 제공해준다. 

 

• 데이터 센터 연결
  • VPC의 라우터, 방화벽 이용
  • 전용선, VPN 포함 연결옵션 제공
• 네트워크 보안
  • 방화벽 정책 - 보안 그룹
  • IP 기반 접근 통제(ACL)- NACL
  • 매니지드 WAF, DDOS 방어 제공
• 확장성/가용성
  • 자동 확장 기반 부하 분산 서비스
  • 고가용성을 위한 가용영역 

 

 

AWS의 간단한 설정으로 VPC 환경을 안전하게 만들 수 있다.

ACL과 보안 그룹 설정으로 위의 보안들을 설정할 수 있다. 

 

 

 

3.  리전

출처: AWS

 

리전은 AWS가 전 세계에 데이터센터를 클러스터링하는 물리적 위치를 뜻한다. 

 

가용영역은 독립된 전원, 냉각, 물리적 보안을 갖추고 저지연 네트워크로 중복 연결된 데이터센터 클러스터를 뜻한다. 각 리전은 최소 3개의 가용영역을 보유하고 있다. 

 

VPC는 리전 안에서 논리적으로 격리된 네트워크 공간을 뜻한다.

 

 

VPC의 가용 영역에는  퍼블릿과 프라이빗 두 가지 유형의 서브넷이 있다. 

 

 

NAT 게이트웨이는 Private 서브넷에서 인터넷을 통해 외부와 통신하기 위한 필수 구성 요소이다. 보통 프라이빗 서브넷의 라우팅 테이블에 연결되어 있다. 따라서 Private 서브넷의 인스턴스가 NAT 게이트웨이를 통해 외부와 통신할 수 있다. 이를 통해 VPC 내부에서 안전하게 인터넷에 접근할 수 있으며, 보안성을 유지할 수 있다.

 

 

4.  VPC 엔드포인트

다른 서비스와의 안전한 연결을 위해 엔드포인트를 연결하면 된다.

 

출처: AWS 공식문서

게이트웨이 엔드포인트는 라우팅 방식으로 Amazon S3, DynamoDB에 적용한다.

 

출처: AWS 공식문서

인터페이스 엔드포인트는 ENI와 AWS PrivateLink를 이용. 자체 서비스, SaaS 솔루션, AWS DirectConnect 등에 연결한다. 

 

5. 기타 기능들

5.1. VPC 피어링

VPC간 안전한 연결을 위해 무엇이 필요할까?

 

인터넷 구간을 통과하면 안전한 연결을 제공하지 않는다. 

 

출처:AWS 공식문서

반면 VPC 피어링을 사용하면 인터넷 구간을 통과하지 않아서 안전한 연결을 제공하고, 대역폭 제한 없이 무료로 제공할 수 있다. Full Mesh 형태로 구성되고, 리전 간 연결을 지원한다.

 

5.2. AWS Transit Gateway

Transit Gateway를 사용하면 네트워크 연결을 간소화할 수 있다.

 

허브 앤 스포크 토폴로지 형태이고, 네트워크 연결의 복잡성을 제거한다. 또한 네이티브 고가용성이고, 다양한 연결 옵션을 제공한다.

 

피어링을 통해 다른 리전과의 연결로 글로벌 네트워크를 구축한다.

 

5.3. AWS Direct Connect 

전용 연결을 생성.

안전하고 일관된 성능의 전용 연결을 제공할 수 있다. 

 

5.4. AWS Site to Site VPN

보안 연결을 위해 

출처: AWS 공식문서

데이터 센터 - AWS 클라우드 간에 IPSec 기반 보안 연결을 한다. 2개의 터널이 기본 제공되어 Active-Standby 고가용성을 지원, Global Accelerator와 함께 애플리케이션을 가속화할 수 있다. 

 

5.5. AWS Client VPN

어디서나 안전한 연결을 제공한다. 

출처: AWS 공식문서

어떤 위치에서든 AWS 리소스와 온프레미스 네트워크 리소스에 안전하게 엑세스할 수 있다. 또한 솔루션 설치가 없는 원격 엑세스이고, 원격 사용자 수를 예측할 필요 없는 탄력적인 VPN을 제공한다. 

 

 

6. 정리

위의 AWS 기능들을 종합하여 구현하면 아래의 그림처럼 여러 기능들을 구현할 수 있다.

 

이렇게 AWS 클라우드 서비스를 사용하면 무엇을 만들지 본질에만 집중할 수 있고, 오로지 회사의 개발 부분에만 신경쓸 수 있어서 시간과 구축 비용을 확연히 줄일 수 있다. 

 

 

출처: 2023, Amazon Web Services