[AWS-SAA] 4-2. Content Delivery

VPN(가상 사설망)

- VPN이란 Virtual Private Network의 약자로, 온프레미스 네트워크, 원격 사무실, 클라이언트 디바이스 및 AWS 글로벌 네트워크 사이에서 보안 연결을 설정함.

- 데이터를 암호화하고, IP 주소를 마스킹하여 사용자를 보호할 수 있음

 

- AWS VPN의 2가지 연결 옵션

1. AWS Client VPN

- 사용자 요구 사항에 맞춰 자동으로 확장 및 축소할 수 있는 VPN 솔루션

- 특히 AWS 리소스와 온프레미스 네트워크에 안전하게 액세스할 수 있도록 도와주는 관리형 VPN 솔루션이기 때문에, 클라이언트가 VPN 기반 VPN 클라이언트를 사용해 어느 위치에서든 온프레미스 또는 AWS 리소스에 액세스할 수 있음

 

2. AWS Site-to-Site VPN

- VPC, Transit Gateway 사이에 암호화된 터널(IPsec VPN)을 생성하여 원격 네트워크에 대해 액세스

- 데이터 센터 또는 지점과 AWS 클라우드 리소스 사이에서 보안 연결 생성

- Global Accelerator와 함께 Accelerated Site-to-Site VPN 옵션을 사용하여 글로벌 액세스 성능 향상할 수 있음

 

문서

https://aws.amazon.com/ko/vpn/

AWS VPN - 클라우드 VPN - Amazon Web Services

 

https://docs.aws.amazon.com/ko_kr/vpc/latest/userguide/vpn-connections.html

AWS Virtual Private Network를 사용하여 VPC를 원격 네트워크에 연결 - Amazon Virtual Private Cloud

 

AWS Direct Connect

- 광섬유 케이블(물리적)을 통해 내부 네트워크를 연결함

- Direct Connect 사용 시, 외부 인터넷 연결이 막혀 안전한 통신이 가능해짐

- 엄청엄청엄청 비싸요. 그리고 설치하는 데 한달 정도 걸린다고 하네요.

문서

https://docs.aws.amazon.com/ko_kr/directconnect/latest/UserGuide/Welcome.html

AWS Direct Connect란 무엇인가요? - AWS Direct Connect

 

Amazon Elastic Load Balancing (ELB)

- 둘 이상의 가용 영역에서 Ec2 인스턴스 등 여러 대상에 걸쳐 수신되는 트래픽을 자동으로 분산하는 시스템

- 수신되는 트래픽 변화에 따라 로드밸런서 용량을 자동으로 조정

- 흔하게 쓰이는 ELB 종류 두 가지

1.  Application Load Balancing

2. Network Load Balancing

 

Application Load Balancing

- L7에서 동작하는 로드밸런서로 HTTP, HTTPS 통신을 한다.

- Cross Zone Load Balancing 기법을 사용한다. 각 서브넷의 인스턴스의 개수가 달라도 1/N 비율로 부하분산한다. 성능이 좋아짐

- 요청의 IP, Port + 사용자 데이터를 인식하게 되며, 자세한 내용까지 파악할 수 있다.

ex. 미국인일 경우 영문 웹사이트로 라우팅

- Internal ALB, External ALB로 나뉜다.

1-1. Internal ALB: 프라이빗 네트워크에서만 접근 가능하며, VPC 내에서만 트래픽을 분산한다.

사용처: 내부 애플리케이션, 데이터베이스 서버, 마이크로 서비스 간 통신

Internal ALB는 인터넷에서 직접 접근할 수 없기 때문에 보안 위협이 줄어들며, 외부에서 접근할 수 있는 DNS 이름이 제공되지 않는다.

1-2. External ALB(= Internet-facing ALB): 인터넷 통해 접근하여 외부 네트워크에서 VPC 안으로 들어와 트래픽을 분산한다.

사용처: 웹사이트, 모바일 맵, 외부 API 엔드포인트 등 사용자가 접근해야 하는 애플리케이션에 사용

인터넷을통해 접근이 가능하기 때문에 더 강력한 보안 조치가 필요하다 (WAF, SSL/TLS 인증서 등)

퍼블릭 DNS 이름이 제공되기 때문에 인터넷 사용자가 로드 밸런서에 접근할 수 있다.

 

Network Load Balnacing(NLB)

- L4에서 동작하는 로드밸런서로 TCP, UDP 통신을 한다.

- 요청의 IP와 Port를 인식하여 부하분산 작업을 하게 된다. => 단순 부하분산 역할

- 고정 IP 사용할 수 있다.

- 높은 처리량, 낮은 지연시간이 특징인 실시간 애플리케이션 및 데이터베이스 연결에 적합하다.

- 서브넷 개수대로 트래픽을 분산한다.

예를 들어 A 서브넷에 2개의 인스턴스, B 서브넷에 4개의 인스턴스가 있을 경우

A: 50%, B: 50% 비율로 부하분산하게 된다.

그러면 A 서브넷은 B 서브넷과 비교할 때 2배의 트래픽이 몰렸다고 볼 수 있다.

NLB는 A서브넷에 25%, B 서브넷에 75% 비율로 쪼개서 보낼 수 없다.

 

*  GWLB(Gateway Load Balancer)도 있음. L3단의 로드밸런서라고 적혀있긴 한데, 얘는 트래픽을 분산하는 역할보다는 트래픽을 검사하고 보안 기능을 제공해주는 것에 가까움

 

문서

https://docs.aws.amazon.com/ko_kr/elasticloadbalancing/latest/userguide/what-is-load-balancing.html

Elastic Load Balancing이란 무엇인가요? - Elastic Load Balancing

 

 

AWS Transit Gateway

 

- 가상 사설 클라우드(VPCs)와 온프레미스 네트워크를 상호 연결하는 데 사용되는 네트워크 전송 허브

- 요금은 연결에 대해 시간당 청구되며, 처리된 트래픽 양에 대한 요금이 청구됨

문서

https://docs.aws.amazon.com/ko_kr/vpc/latest/tgw/what-is-transit-gateway.html

아마존 VPC 트랜짓 게이트웨이란 무엇입니까? - 아마존 VPC

 

 

AWS PrivateLink

- 데이터를 인터넷에 노출하지 않고 VPC와 AWS 서비스 간 연결 설정하는 서비스로, VPC에 존재하지 않지만, 마치 VPC에 있는 것처럼 서비스에 비공개로 연결할 때 사용함.

- 말이 좀 어렵긴 한데, VPC 엔드포인트 설정하기<이라고 생각하면 조금 이해가 쉬워짐

- 데이터를 인터넷에 노출하지 않고 = Public 인터넷망을 사용하지 않으므로 보안에 좋음

- 하이브리드 클라우드로 마이그레이션할 때 유용하게 쓰임

 

문서

https://docs.aws.amazon.com/ko_kr/vpc/latest/privatelink/what-is-privatelink.html

무엇입니까 AWS PrivateLink? - Amazon Virtual Private Cloud

 

Interface VPC Endpoint

- AWS PrivateLink로 구동되는 서비스를 연결할 수 있음

 

Gateway Endpoint

- 인터넷 게이트웨이 혹은 NAT 디바이스 없이 S3, DynamoDB에 대한 안정적인 연결 제공

- PrivateLink 사용 X

 

문서

https://docs.aws.amazon.com/ko_kr/vpc/latest/privatelink/gateway-endpoints.html

게이트웨이 엔드포인트 - Amazon Virtual Private Cloud

 

 

Amazon CloudFront

- AWS에서 제공하는 콘텐츠 전송 서비스(CDN)로, 이미지 파일, 동적인 웹 콘텐츠 등을 사용자에게 빠르게 지원하는 웹 서비스

- 엣지 로케이션이라고 하는 데이터 센터에 전달되어 전 세계 네트워크를 통해 콘텐츠를 제공함

- CloudFront를 사용한다면, 사용자가 콘텐츠를 요청했을 때 가장 지연 시간이 낮은 엣지 로케이션으로 요청이 가게 됨. 엄청나게 빠른 속도로 콘텐츠를 제공받을 수 있음 < 거의 즉시 제공함

 

문서

https://docs.aws.amazon.com/ko_kr/AmazonCloudFront/latest/DeveloperGuide/Introduction.html

Amazon CloudFront란 무엇입니까? - Amazon CloudFront

 

 

Amazon Route 53

- AWS에서 제공하는 도메인 이름 시스템(DNS) 웹 서비스

- 지역 간 트래픽을 분산하는 데 사용됨

 

[Route 53 정책]
1. 대기 시간(= 지연 시간) 정책(Latency Based Routing): 여러 AWS 리전에 리소스가 있을 경우 사용됨
2. 지리적 위치 정책(Geo Routing): 사용자의 지리적 위치에 기반하여 라우팅
3. DNS 장애 조치 정책(DNS Failover): 액티브-패시브 장애 조치 구성 시 사용
4. 지리 근접 정책: 리소스 위치에 따라 트래픽 라우팅 및 트래픽 전환
5. 다중 응답 정책: 무작위로 선택된 최대 8개의 정상 리소스로 라우팅
6. 가중치 기반 정책(Weighted Round Robin): 지정된 비율에 따라 여러 리소스로 라우팅
7. IP 기반 정책: 사용자 IP 주소 기반으로 라우팅
8. 단순 라우팅 정책: 하나의 리소스만 있는 경우의 라우팅

[Route 53 레코드 종류 2가지]
1. A 레코드: 도메인 주소와 서버 IP 주소 직접 연결
2. CNAME(Canonical NAME): 도메인 주소를 또 다른 도메인 주소로 연결

 

문서

https://docs.aws.amazon.com/ko_kr/Route53/latest/DeveloperGuide/Welcome.html

Amazon Route 53은 무엇인가요? - Amazon Route 53

 

AWS Global Accelerator

- 글로벌 네트워크를 통해 트래픽을 최적의 경로로 라우팅하고 빠르게 전송할 수 있는 서비스

- 고정된 글로벌 IP 주소를 제공하기 때문에, DNS 변경 없이도 쉽게 관리할 수 있음

- 전 세계 분산된 사용자에게 일관된 성능을 제공할 때 사용함

- 그래서 문제에 전 세계, 글로벌과 같은 트래픽을 관리하고 싶다고 하면 Global Accelerator가 정답일 확률이 아주 높음...

 

문서

https://docs.aws.amazon.com/ko_kr/global-accelerator/latest/dg/what-is-global-accelerator.html

AWS Global Accelerator 무엇입니까? - AWS Global Accelerator