Cloud

[Cloud] 클라우드 네트워크

cumo 2025. 2. 25. 14:28

AWS 리전 네트워킹 디자인

클라우드 네트워크 설계는 애플리케이션의 가용성, 확장성, 보안성을 결정하는 핵심 요소이다. AWS는 전 세계적으로 다양한 리전(Region)과 엣지 POP(Point of Presence) 인프라를 제공하며, 이를 기반으로 기업들은 효율적인 네트워크 설계를 구축할 수 있다.

 

1. AWS 리전 네트워킹 디자인

AWS는 글로벌 인프라를 리전(Region)과 가용 영역(Availability Zone, AZ)으로 구성한다. 각 리전은 최소 2개 이상의 AZ로 구성되며, AZ는 독립적인 데이터 센터이다. AWS 네트워크 설계 시 주요 고려 사항은 다음과 같다.

  • 고가용성(High Availability): 다중 AZ에 걸쳐 배포하여 장애 복원력을 확보
  • 지연 시간 최소화(Latency Optimization): 애플리케이션을 지리적으로 가까운 리전에 배포하여 응답 시간 단축
  • 보안(Security): 네트워크 ACL 및 보안 그룹을 활용한 세분화된 접근 제어
  • 비용 최적화(Cost Optimization): 데이터 전송 비용 및 리소스 활용을 고려한 설계

AWS에서는 이를 위해 VPC, Transit Gateway 등을 활용할 수 있다.

2. 엣지 POP(Point of Presence)

AWS는 전 세계적으로 수백 개의 엣지 POP을 운영하여 글로벌 사용자를 위한 빠르고 안정적인 콘텐츠 전송을 지원한다. 주요 서비스는 다음과 같다.

  • Amazon CloudFront: CDN(Content Delivery Network)으로 글로벌 사용자에게 빠르고 안정적으로 콘텐츠 제공
  • AWS Global Accelerator: 글로벌 트래픽을 최적의 경로로 라우팅하여 애플리케이션 응답 속도 개선
  • AWS Direct Connect Locations: 데이터센터와 AWS 간 전용 연결을 지원하는 엣지 로케이션

이러한 엣지 POP을 활용하면 네트워크 성능을 최적화하고 최종 사용자 경험을 개선할 수 있다.

3. AWS 네트워킹 구성 요소

3.1 네트워크 기반 서비스

AWS의 기본 네트워크 서비스는 VPC 및 Transit Gateway를 중심으로 한다.

  • Amazon VPC (Virtual Private Cloud)
    • 사용자 지정 네트워크 환경을 제공하는 가상 네트워크
    • 서브넷을 이용한 네트워크 세분화
    • 보안 그룹과 네트워크 ACL을 통한 접근 제어
  • AWS Transit Gateway
    • 여러 VPC 및 온프레미스 네트워크 간의 중앙 라우팅 허브 역할
    • 네트워크 복잡성을 줄이고 관리 용이성 증가

3.2 엣지 네트워킹 서비스

엣지 네트워킹은 글로벌 사용자 및 리전 간의 연결 최적화를 지원한다.

  • Amazon Route 53
    • 글로벌 DNS 서비스로 트래픽을 최적의 엔드포인트로 라우팅
    • 헬스 체크 기능을 통한 자동 장애 조치(Failover) 지원
  • AWS Global Accelerator
    • TCP 및 UDP 트래픽을 AWS 글로벌 네트워크를 통해 최적화된 경로로 전송
    • 다중 리전 애플리케이션의 성능 및 가용성 향상

3.3 하이브리드 연결 서비스

AWS와 온프레미스 네트워크 간 안정적인 연결을 위해 다양한 옵션이 제공된다.

  • AWS Direct Connect
    • AWS와 온프레미스 데이터센터 간 전용 네트워크 연결 제공
    • 높은 대역폭과 낮은 지연 시간으로 네트워크 성능 향상
  • AWS Site-to-Site VPN
    • 인터넷을 통해 AWS와 온프레미스 네트워크를 안전하게 연결하는 VPN 솔루션
    • IPsec을 활용한 암호화 지원
    •  

4. 아마존 서비스

4.1 리전과 VPC

VPC는 리전마다 독립적으로 구성되며, 다른 리전에 생성될 경우 해당 리전에 존재하지 않는다.

필요에 따라 동일 리전이나 다른 리전에 위치한 VPC를 연결하여 확장이 가능하다.

4.2 서브넷과 가용 영역

  • 하나의 VPC 내에는 여러 개의 프라이빗 및 퍼블릭 서브넷을 가질 수 있다.
  • IP CIDR이라는 범위 내에서 서브넷 안의 분할된 IP 주소를 할당받을 수 있다.
  • 네트워크 주소(.0), VPC 라우터(.1), DNS 서버(.2), AWS 예약 주소(.3), 브로드캐스트(.255)를 제외한 나머지 IP를 사용할 수 있다.

4.3 보안 그룹과 네트워크 ACL

VPC는 보안 그룹과 네트워크 ACL을 활용한 가상의 방화벽 기능을 제공하여 자원에 대한 보안을 강화할 수 있다.

  • 보안 그룹과 ACL의 차이점
    • 트래픽 접근 제어 대상: 보안 그룹은 인스턴스 자원에 대한 접근을 제어하며, ACL은 서브넷 수준에서 접근을 제어한다.
    • 스테이트풀 vs 스테이트리스: 보안 그룹은 상태를 기억하는 스테이트풀(Stateful) 방식이며, ACL은 상태를 기억하지 않는 스테이트리스(Stateless) 방식이다.

4.4 VPC 피어링

VPC 피어링은 서로 다른 VPC를 연결하는 기능으로, 동일 리전뿐만 아니라 다른 리전에도 연결이 가능하다.

  • IP CIDR 블록이 중복되면 연결이 불가능하므로 IP 주소 대역 점검이 필수
  • 다른 계정에 위치한 VPC도 연결 가능

실습

Amazon VPC로 퍼블릭 프라이빗 서브넷 구성

 

실습 목차

  • 사용자 VPC 생성
  • 퍼블릭 서브넷 생성
  • 퍼블릭 서브넷 환경에서 통신 확인
  • 프라이빗 서브넷 생성
  • 프라이빗 서브넷 환경 통신 확인

1. VPC 생성

VPC 생성

2. ACL 확인

ACL / Routing Table

- 기본 생성시 라우팅 테이블과 ACL 리스트가 자동생성을 확인할 수 있음

 

3.서브넷 생성

10.3.0.0 /16 네트워크를 토대로 서브넷 생성

 

10.3.1.0/24 서브넷 생성

4. 가상 라우팅 테이블 생성

외부와 연결할 수 있는 라우팅 테이블 생성

5. 보안그룹 생성

  • 보안그룹 입력
  • VPC 생성
  • 규칙추가
  • HTTP 유형 , 내 퍼블릭 IP tjsxor
  • SSH , 내 퍼블릭 IP 입력

SSH, HTTP 인바운드 보안그룹 생성

6. 웹 서버 EC2 생성 및 구동

EC2 인스턴스 생성
EC2 접근 및 웹 서버 구동

7. 프라이빗 Subnet 구성

7.1 Subnet 설정

Private 서브넷

 

7.2 Nat 게이트웨이 설정

 

  • 프라이빗 NaT 게이트웨이 : 
    NAT 게이트 웨이를 통해 주소를 변환하여 다른 VPC 나 온프레미스 네트워크와 연결한다
  • 퍼블릭 NAT 게이트웨이 :
    IP주소를 변환하여 인터넷 구간과 통신하는 연결 유형이다

Nat 게이트웨이
Private SubNet에 외부 통신할 수 있는 NAT 게이트웨이 라우팅