13주차_클라우드_Day2

가상화

 

가상화 기술

하나의 물리적 서버에서 여러 운영체제와 애플리케이션을 실행할 수 있도록 하는 소프트웨어 기술

 

하이퍼바이저(Hypervisor)

물리적 머신에서 다수의 운영체제를 동시에 실행하기 위한 논리적 플랫폼

가상머신을 생성하고 구동하는 소프트웨어

 

가상화 기술 방식

가장 일반적인 방식은 호스트형 방식(Host OS를 설치해야 함 - )

 

인프라 확장(Scaling)방식

- Scale Up (Vertical scaling)

데이터 정합성 이슈 발생 가능성이 적지만 업그레이드 다운타임, 성능 향상에 한계가 있음

- Scale Out (horizontal scaling)

지속적 확장 용이 및 장애 대비 유용 but 정합성 이슈 발생 가능성 커지고 관리가 불편

 

오토 스케일링 (Auto Scaling)

CPU, 메모리, 디스크 등 지표를 모니터링해 서버 개수를 자동으로 조절하는 기능

출처 : https://www.techtarget.com/searchcloudcomputing/definition/autoscaling

로드 밸런싱 (Load Balancing)

트래픽 급증시 트래픽을 적절히 분산해 병목 현상을 예방하는 기술

보통 오토 스케일링과 함께 구현

출처 : https://docs.aws.amazon.com/ko_kr/autoscaling/ec2/userguide/tutorial-ec2-auto-scaling-load-balancer.html

 

서버리스 컴퓨팅

서버를 직접 프로비저닝하고 관리할 필요 없이

어플리케이션을 빌드하여 실행할 수 있는 클라우드 네이티브 개발 모델

 

PaaS는 서비스 제공을 위해 기본적으로 VM을 유지해야함

서버리스 컴퓨팅은 VM을 항상 유지하는 개념이 아님,

요청이 오면 VM을 띄워서 대응하고 요청이 없어지면 VM을 중지

출처 : stackify.com

 

데브옵스 (DevPos = Development + Operations)

개발팀과 운영팀 간의 소통과 통합을 강조하는 문화, 업무방식, 개발 환경을 뜻함

1. CI/CD 환경 구축

출처 : https://www.opsmx.com/blog/what-is-a-ci-cd-pipeline/

2. 인프라 자동화 툴 사용

출처 : https://www.hashroot.com/it-automation

출처 : https://www.hashroot.com/it-automation

 

출처 : https://www.bespinglobal.com/news-201001/

출처 : https://www.edureka.co/blog/what-is-devops/

출처 : https://engineering-skcc.github.io/devops/DevOps1-%EC%95%A0%EC%9E%90%EC%9D%BC%EA%B3%BC%EB%8D%B0%EB%B8%8C%EC%98%B5%EC%8A%A4/

 

개발-배포 모든 프로세스를 단일 워크플로우를 통합하고 자동화

 

---

Networking Service - Amazon VPC

 

가용 영역과 리전

• 가용 영역 : 데이터 센터를 모아놓은 영역
  AZ(가용 영역)는 AWS 리전의 중복 전력, 네트워킹 및 연결이 제공되는
  하나 이상의 개별 데이터 센터로 구성(AWS 홈페이지)
• 리전 : 가용 영역의 집합
• 엣지 로케이션 : Amazon의 CDN 서비스인 CloudFront를 위한 캐시 서버(Cache Server)들의 모음
• CDN 서비스 : Content Delivery Network의 약자로
  콘텐츠(HTML, 이미지, 동영상, 기타 파일)를 서버와 물리적으로 사용자들이 빠르게 받을 수 있도록 전세계 곳곳에 위치한 캐시 서버에 복제해주는 서비스

 

정리
https://velog.io/@combi_areum/AWS-%EB%A6%AC%EC%A0%84%EA%B0%80%EC%9A%A9%EC%98%81%EC%97%AD-%EC%97%A3%EC%A7%80%EB%A1%9C%EC%BC%80%EC%9D%B4%EC%85%98

[AWS] 리전,가용영역, 엣지로케이션..

출처 : https://blog.naver.com/PostView.nhn?blogId=techtrip&logNo=221732911078&categoryNo=0&parentCategoryNo=0&viewDate=&currentPage=1&postListTopCurrentPage=1&from=postView

 

 

아키텍처(Architecture)

비즈니스 요구사항을 만족하는 시스템을 구축하기 위해 필요한

전체 시스템에 대한 구조를 최적화하여 정의한 설계 문서

 

- 우수한 아키텍처 : 비용최적화, 성능효율성, 안전성, 보안, 운영 우수성을 고려해야함

 

출처 : https://www.edrawsoft.com/kr/program-review/architecture-drawing-program.html

 

Amazon VPC (Virtual Private Cloud)

Amazon Virtual Private Cloud(Amazon VPC)를 이용하면 사용자가 정의한 가상 네트워크로 AWS 리소스를 시작할 수 있음

이 가상 네트워크는 AWS의 확장 가능한 인프라를 사용한다는 이점과 함께 고객의 자체 데이터 센터에서 운영하는 기존 네트워크와 매우 유사

 

Amazon VPC란 무엇인가?
https://docs.aws.amazon.com/ko_kr/vpc/latest/userguide/what-is-amazon-vpc.html

Amazon VPC란 무엇인가? - Amazon Virtual Private Cloud

 

VPC IP 주소 범위 지정

/24 : 256개

/32 : 특정 IP

0/ : 모든 IP

 

CIDR 계산기
https://www.ipaddressguide.com/cidr

Free IP address tools for IPv4 and IPv6 | IPAddressGuide

 

CIDR
https://ko.wikipedia.org/wiki/%EC%82%AC%EC%9D%B4%EB%8D%94_(%EB%84%A4%ED%8A%B8%EC%9B%8C%ED%82%B9)

사이더 (네트워킹) - 위키백과, 우리 모두의 백과사전

 

서브넷 생성

인터넷 접근성을 제어하기 위해 서브넷을 생성

VPC 주소범위 내에서 가용영역을 선택해서 생성

 

• 퍼블릭 서브넷 : 인터넷과 통신을 하고자하는 서브넷
• 프라이빗 서브넷 : 인터넷으로 접근을 차단하는 서브넷

 

NAT 게이트 웨이

네트워크 주소 변환(Network Address Translation, NAT)  서비스

Private IP를 Public IP로 변환하는 서비스

우리가 배우는 것은 Out bound 개념, In bound 개념이 아니다

NAT 를 사용하는 이유는 여러 가지가 있는데 중요한 이유 중 한 가지는, 기업체 등에서 사설 네트워크에 속한 여러 개의 호스트가 하나의 공인 IP 주소를 사용하여, 여러 명이 동시에 인터넷에 접속하기 위함이다. NAT를 사용할 때 단점은 여러 명이 동시에 인터넷을 접속하게 되므로, 실제로 접속하는 호스트 숫자에 따라서 접속 속도가 느려질 수 있다. 다만 성능이 좋을수록 대역폭만 줄어들고 체감되는 속도 저하는 꽤 적은 편
출처 : https://namu.wiki/w/NAT

 

 

서브넷 구성 시 고려사항 (아키텍쳐 설계시 중요)

• 3 tier architecture
  티어를 분리하는 이유 : 티어간의 영향력을 최소화 / 각각의 다른 기술 적용 가능
•  

IBM 클라우드
https://www.ibm.com/kr-ko/cloud/learn

3 계층 아키텍처
https://www.ibm.com/kr-ko/cloud/learn/three-tier-architecture

 

Tier를 몇개 만들 것인지 따라 가용 영역내 서브넷 갯수가 다름
NAT는 가용영역 마다 만드는 것이 맞다

웹 서버는 원래 Public IP를 쓰는 것이 맞다.

하지만

웹 서버 안에 로드 밸런서(Public IP 있음 / Private, Public 둘 다 있음)가 있다면 Web Server로 전달 되는데

로드 밸런서에서 Web Server로 전달 될 때는 Private IP로 전송 가능

-> 로드 벨런서가 있다면 Web Server에서 Public IP를 가질 필요가 없어짐

 

출처 : https://towardsaws.com/together-we-build-an-aws-3-tier-architecture-62db9bba4f3a

 

 

탄력적 IP (Elastic IP, EIP) 주소

탄력적 네트워크 인터페이스(Elastic Network Interface, EIP)

인스턴스 = VM 가상머신

 

방화벽

요청으로 들어오는 것이 Inbound(Ingress) 반대는 out bound(egress)

포트번호는 운영프로그램에 할당되는 숫자

보통은 Well-known port로 사용하지만 그 외는 임의로 지정도 가능

 

보안 그룹은 인바운드 허용 -> 아웃바운드 자동 생성(상태저장 특성)

NACL은 인바운드, 아웃바운드 따로 설정 가능 -> 기본적으로 모두 허용 (상태 비저장 특성)

 

 

보안 그룹(Security Group) - 1차 보안 계층

서브넷 내에있는 VM 가상머신을 기준으로 들어오고 나가는 트레픽을 조절

 

상태 저장(Stateful)이라는 특징을 가짐

: 인바운드를 허용하면 나가는 outbound를 따로 설정하지 않아도 허용된 트레픽이 자동으로 허용

 

 

Network ACL - 2차 보안 계층

서브넷 밖에서 해당 서브넷에 접속 할 수 있는지 통제

기본적으로 모든 인바운드 및 아웃바운드 트레픽을 허용

인바운드 아웃바운드 모두 번호가 작은 규칙부터 파악함

인바운드 규칙과 아웃바운드 규칙 설정이 모두 필요함(보안 그룹과 반대)

 

출처 : https://m.blog.naver.com/PostView.naver?isHttpsRedirect=true&blogId=techtrip&logNo=221979530198

[AWS] VPC 보안 - 보안 그룹과 네트워크 ACL 비교
https://m.blog.naver.com/PostView.naver?isHttpsRedirect=true&blogId=techtrip&logNo=221979530198

[AWS] VPC 보안 - 보안 그룹과 네트워크 ACL 비교

 

네트워트간 연결

VPC Peering

VPC 간 IP 도메인이 중복되면 안됨

피어링 연결을 누르면 자동적으로 라우팅 테이블을 만듦

출처 : https://towardsaws.com/together-we-build-an-aws-3-tier-architecture-62db9bba4f3a

VPC 피어링이란?
https://docs.aws.amazon.com/ko_kr/vpc/latest/peering/what-is-vpc-peering.html

VPC 피어링이란? - Amazon Virtual Private Cloud

 

VPN

Private IP만 가지고는 이동할 수 없지만

Public IP를 덧씌워 전달하고

이 Public IP를 벗겨서 Private IP를 전달해서 서버로 정보를 전달하는 형식

VPN 서비스는 데이터가 목적지에 도착할 때까지 안전하게 유지될 수 있도록 암호화와 인터넷 프로토콜 보안(IPSec)을 사용해 데이터를 '포장'하는데, 이 과정은 L2TP(레이어 투 터널링 프로토콜)로 불립니다. 인터넷을 검색할 때는 ISP에서 할당한 IP 주소가 아닌 VPN 서버가 할당한 IP 주소가 표시됩니다.
출처 : https://experience.dropbox.com/ko-kr/resources/what-is-vpn

VPN의 정의와 그 원리

Site-to-Site VPN 단일 및 다중 연결 예
https://docs.aws.amazon.com/ko_kr/vpn/latest/s2svpn/Examples.html

Site-to-Site VPN 단일 및 다중 연결 예 - AWS Site-to-Site VPN

 

Direct Connect

VPN의 보완 방식 / 빠르고 해킹 위험도가 낮음

보통 기업에서는 Direct Connect를 사용하고 VPN은 백업 용도로 사용

AWS Direct Connect란 무엇입니까?
https://docs.aws.amazon.com/ko_kr/directconnect/latest/UserGuide/Welcome.html

AWS Direct Connect란 무엇입니까? - AWS Direct Connect

---

Access Control

IAM(Identity & Access Management)

서비스 및 리소스에 액세스할 수 있는 사용자와 액세스할 수 있는 권한을 관리

리소스가 다른 리소스에 접근하는 것을 허용하고 제한함

 

1. 사용자별로 리소스에 대한 인증(로그인 관리-Authentication : 인증)
2. 세부적인 접근 권한을 부여(Authorization : 인가 / 권한)

 

• Root User : 모든 권한을 가진 사람 / 모든 엑세스 권한을 가짐
• IAM User : Root User가 생성한 사람 / 특정 권한만 가짐
  권한 부여시 '정책 Policy'을 생성하고 사용자에게 권한을 설정

 

• 자격증명 기반 정책 : 사람에다가 정책 배정
• 리소스 기반 정책 : 리소스에다 정책 배정 후 사람을 설정