AWS 기초

 

📥 1. 클라우드 인프라의 심장: 컴퓨팅(EC2) 및 스토리지(S3)

클라우드 환경 구축의 가장 기초가 되는 서버와 저장소 서비스에 대한 핵심 내용입니다.

EC2 (Elastic Compute Cloud) - 가상 서버

개념: AWS 클라우드에서 확장 가능한 컴퓨팅 파워를 제공하는 가상 머신(VM)입니다.

• 사용자 ID: OS 종류에 따라 기본 로그인 계정이 구분됩니다. (예: Amazon Linux는 ec2-user, Ubuntu는 ubuntu, Windows는 administrator)
• AMI (Amazon Machine Image): OS와 기본 설정이 미리 구성된 템플릿입니다. 서버의 반복적인 생성 및 백업/복구에 핵심적인 역할을 합니다.

S3 (Simple Storage Service) - 객체 스토리지

특징: 뛰어난 보안성, 안정성, 확장성을 갖춘 객체(Object) 기반 스토리지 서비스입니다.

• 구성: 데이터는 **버킷(Bucket)**이라는 최상위 폴더 단위로 관리됩니다. 파일, 블록, 객체 스토리지 중 '객체' 스토리지로 분류되며, 주로 한 번 쓰고 여러 번 읽는 데이터(Write Once Read Many)에 적합합니다.
• 접근 권한: 버킷 정책(Bucket Policy) 및 **ACL(Access Control List)**을 통해 퍼블릭 액세스를 제어하거나 특정 사용자/계정에 대한 세밀한 권한을 부여합니다.

  

 

---

🌐 2. 나만의 사설망 구축: 가상 네트워크 (VPC)

클라우드 내부에 논리적으로 격리된 나만의 사설 네트워크 환경을 정의하고 구성하는 방법입니다.

VPC (Virtual Private Cloud) 및 서브넷

VPC: 사용자 계정 전용으로 논리적으로 격리된 가상 네트워크 환경입니다.

• Public Subnet (공개 서브넷): **인터넷 게이트웨이(IGW)**를 통해 외부 인터넷과 직접 통신(In/Outbound)이 가능합니다. 주로 웹 서버 등 외부 노출이 필요한 인스턴스에 사용됩니다.
• Private Subnet (비공개 서브넷): NAT Gateway를 통해 아웃바운드(Outbound, 내부에서 외부로) 인터넷 접속만 가능합니다. DB 서버 등 외부로부터의 직접적인 접근을 차단하여 보안을 강화하는 데 사용됩니다.

VPC 피어링 (Peering)

역할: 서로 다른 AWS 계정이나 리전(Region)의 VPC 간에 프라이빗하게 트래픽을 라우팅하여 연결하는 기술입니다.

• 구성: 연결 요청 및 수락 과정을 거친 후, 각 VPC의 라우팅 테이블에 상대방 VPC의 CIDR 주소를 목적지로 하여 피어링 연결 ID를 경로로 추가해야 실제 통신이 가능합니다.

  

 

---

📈 3. 중단 없는 서비스: 고가용성 및 확장성 아키텍처

서비스의 안정성을 높이고 트래픽 변화에 유연하게 대응하기 위한 핵심 기술입니다.

ELB (Elastic Load Balancing) - 부하 분산

목적: 들어오는 네트워크 트래픽을 여러 대의 서버(EC2 인스턴스)에 자동으로 분산하여, 특정 서버의 과부하를 방지하고 서비스의 **고가용성(HA)**을 확보합니다.

• 유형: Application Load Balancer(ALB), Network Load Balancer(NLB) 등이 있으며, 트래픽 분산 방식(라운드 로빈, IP 해시, 최소 연결 등)을 정책에 맞게 설정할 수 있습니다.

Autoscaling - 자동 확장/축소

개념: 서비스 사용량(예: CPU, 네트워크 트래픽)을 모니터링하여 EC2 인스턴스의 개수를 자동으로 늘리거나(Scale Out) 줄이는(Scale In) 기능입니다.

• 구성 요소:
  • 시작 템플릿: 오토 스케일링 그룹이 새 인스턴스를 생성할 때 사용할 AMI, 인스턴스 유형, 키 페어, 보안 그룹 등의 정보를 정의합니다.
  • 오토 스케일링 그룹: 인스턴스의 최소/최대 개수 및 확장/축소 기준(예: CPU 평균 30% 초과 시 확장)을 설정하여 실제 자동 조정을 수행합니다.

CDN (Content Delivery Network)

역할: 전 세계에 분산된 **엣지 서버(Edge Server)**에 이미지나 영상 같은 콘텐츠를 미리 캐싱(저장)합니다. 사용자가 접속하면 가장 가까운 위치의 엣지 서버에서 데이터를 전송함으로써 로딩 속도를 획기적으로 개선하고 원본 서버(Origin Server)의 부하를 분산합니다.

---

🛡️ 4. 안전한 원격 접속: VPN 솔루션

공용 인터넷을 통해 원격지의 사설 네트워크(VPC 등)에 접속할 때, 보안을 확보하는 기술 및 실습 구성 정보입니다.

VPN (Virtual Private Network)

개념: 공용 네트워크(인터넷) 상에 암호화된 가상의 사설 터널을 만들어 데이터를 안전하게 전송하는 기술입니다.

• VPN 유형:
  • IPSec VPN: 기밀성, 보안성 및 터널링에 강점을 가지나, 호환성 및 세밀한 접근 제어에 일부 취약점이 있을 수 있습니다.
  • SSL VPN: Web-based 방식(클라이언트 S/W 설치 불필요)이 가능하며, 브라우저 지원이 용이하고 사용자별 접근 제어 기능이 강화됩니다. (Cisco AnyConnect 등의 연결 흐름을 통해 SSL 핸드셰이크 과정을 파악할 수 있습니다.)

AWS Client VPN 구성 실습

• 인증서 생성: OpenVPN 기반의 EasyRSA 도구를 사용하여 서버 인증서(ca.crt)와 클라이언트 인증서(client1.crt, client1.key)를 생성합니다.
• AWS 등록: 생성된 인증서들을 ACM (AWS Certificate Manager) 서비스에 등록합니다.
• Endpoint 및 연결: AWS Client VPN Endpoint를 생성하고, 연결하고자 하는 VPC의 서브넷을 연결합니다. 이후 권한(접속 허용 주소 대역)을 부여합니다.
• 클라이언트 접속: 클라이언트는 AWS에서 다운로드한 구성 파일(.opvn)에 개인 인증서 내용을 추가하여 접속을 시도합니다.

---

💾 5. 데이터 관리의 자동화: 관리형 데이터베이스 (RDS)

RDS (Relational Database Service)

개념: 클라우드에서 관계형 데이터베이스(RDB)를 쉽게 설정, 운영 및 확장할 수 있도록 지원하는 관리형 서비스입니다.

• 특징: OS 설치, DBMS 설치 및 버전 패치, 백업 등의 복잡한 관리 작업을 AWS가 대행합니다. 사용자는 서브넷 그룹(DB가 위치할 네트워크), 보안 그룹(접근 제어), 파라미터 그룹(DB 설정) 등을 정의하여 데이터베이스를 손쉽게 구성합니다.
• 접속: DB에 접속할 클라이언트 인스턴스(예: EC2 웹 서버)의 보안 그룹에서 RDS의 3306 포트(MariaDB/MySQL 기준) 접근을 허용해야 하며, RDS가 제공하는 고유의 엔드포인트 주소를 이용하여 접속합니다.