[클라우드] 3. Network

1. Route53

1) Route53

  - 아마존 웹 서비스(AWS)에서 제공하는 관리형 DNS(Domain Name System) 서비스로 가용성과 확장성이 뛰어나다

  - Route53을 사용하여 도메인 등록, DNS 라우팅, 상태 확인을 조합하여 실행할 수 있다

 

 

2) Route53 특징

  - Public Hosted Zone과 Private Hosted Zone이라는 두 가지 유형의 호스팅 영역을 제공

    ① Public Hosted Zone (공개 호스팅 영역)

      - 인터넷에 공개적으로 접근 가능한 도메인에 대한 DNS 레코드를 관리

        * DNS레코드: 도메인 이름과 IP 주소 간의 매핑 정보를 저장하는 데이터 항목

      - 이 유형의 호스팅 영역은 인터넷 사용자가 도메인 이름을 사용하여 웹 사이트에 액세스하거나, 이메일을 보낼 때 사용

 

    ② Private Hosted Zone

      - 사설 네트워크에서 사용되는 도메인에 대한 DNS 레코드를 관리

      - 이 유형의 호스팅 영역은 Virtual Private Cloud (VPC)와 같은 사설 네트워크에서 애플리케이션, 서비스, 리소스

        등을 호스팅할 때 사용

      - 사설 IP 주소 범위 내에서 도메인 이름을 사용하여 내부 리소스에 접근할 수 있도록 함

 

  - Route53 = DNS(네임서버) + 모니터링 + L4 + GSLB

    ① DNS (네임서버)

      - Route 53은 DNS 서비스를 제공하여 도메인 이름을 IP 주소로 매핑하는 역할을 함

      - 사용자가 도메인 이름을 입력하면 Route 53은 해당 도메인에 대한 IP 주소 레코드를 반환하여

        사용자를 올바른 서버로 연결시킴

 

    ② 모니터링

      - Route 53은 서비스의 가용성과 성능을 모니터링할 수 있는 기능을 제공

      - 여러 지역에서 주기적으로 서비스 상태를 확인하고, 장애가 발생할 경우 알림을 보내거나

        자동으로 대체 서버로 트래픽을 전환

 

    ③ L4 로드 밸런싱

      - 로드 밸런싱은 여러 대의 서버에 동일한 트래픽을 분산시켜 성능과 가용성을 향상시키는 역할을 함

      - Route 53을 사용하여 로드 밸런서를 설정하면 트래픽을 분산하여 서버의 부하를 분담할 수 있다

 

    ④ GSLB (Geographically Distributed Server Load Balancing)

      - 여러 지역에 분산된 서버의 부하 분산과 지리적으로 가까운 서버로 사용자를 리디렉션하는 기능

      - 사용자의 위치에 따라 가장 가까운 서버로의 연결을 제공하여 사용자의 경험을 최적화할 수 있다

 

 

2. AWS Certification Manager

1) Certification Manager

  - AWS에서 제공하는 관리형 인증서 관리 서비스

  - 웹 사이트나 애플리케이션에 필요한 SSL/TLS 인증서를 쉽게 발급, 관리 및 배포할 수 있도록 도와줌

  - AWS 서비스 및 연결된 내부 리소스에 사용할 공인 및 사설 SSL/TLS 인증서를 프로비저닝, 관리 및 배포할 수 있다

  - SSL/TLS 인증서를 구매, 업로드 및 갱신하는 데 드는 시간 소모적인 수동 프로세스를 대신 처리

 

2) SSL 인증서

  - 웹 사이트나 애플리케이션과 사용자 간의 통신을 암호화하고 보안을 강화하기 위해 사용되는 디지털 인증서

  - SSL 인증서는 공개 키와 개인 키라는 키 쌍을 갖고 있다

  - 키들이 함께 작용하여 암호화된 연결을 수립

  - 인증서는 또한 "주체(subject)"라는 것을 포함하고 이는 인증서/웹사이트 소유자의 ID이다

  - 인증서를 얻으려면 서버에서 인증서 서명 요청(CSR)을 생성해야 한다

  - 이 과정에서 서버에 개인 키와 공개 키 생성

  - SSL 인증서 발급자(인증 기관 또는 CA라 함)에게 보내는 CSR 데이터 파일에는 공개 키가 포함됨

 

3) Certification Manager 특징

  ① ACM 통합 서비스를 위한 무료 퍼블릭 인증서

    - AWS의 다양한 서비스와 쉽게 통합될 수 있는 인증서를 무료로 제공

    - ACM을 사용하면 발급한 인증서를 Elastic Load Balancer(ELB), CloudFront, API Gateway 등과

     쉽게 연결하여 웹 애플리케이션 또는 서비스의 암호화 통신을 지원할 수 있습니다.

    - 이를 통해 웹 애플리케이션의 보안을 강화하고 신뢰할 수 있는 통신을 제공

 

  ② 관리형 인증서 갱신

    - 발급한 인증서의 갱신 작업을 자동으로 처리하여 유효기간이 만료되지 않도록 함

    - ACM을 사용하면 이러한 갱신 작업을 자동화하여 사용자가 수동으로 인증서를 갱신할 필요가 없으므로

     보안을 유지하면서 번거로움을 줄일 수 있음

 

  ③손쉽게 인증서 받기

    - 사용자는 간편한 절차를 통해 인증서를 발급 받을 수 있음

    - AWS 내에서 인증서를 생성하고 관리하기 때문에 사용자는 별도의 인증서 관리 작업을 수행할 필요가 없다

    - 필요한 정보를 제공하고 ACM을 통해 인증서를 요청하면 간편하게 인증서를 받을 수 있음

 

 

 

3. AWS CloudFront

1) CloudFront

  - 웹 애플리케이션과 컨텐츠를 전 세계적으로 안전하고 빠르게 전달하기 위한 Content Delivery Network (CDN) 서비스

 

2) Content Delivery Network (CDN)

  - 전 세계에 분산된 엣지 서버를 갖추고 있으며, 사용자와 가까운 엣지 서버에서 콘텐츠를 제공함으로써

    지연 시간을 최소화함

  - 정적 콘텐츠를 엣지 서버에 캐싱하여 전 세계적으로 빠르게 제공하며, 동적 콘텐츠는 보통 웹 서버에서 동적으로 생성

  - 캐싱, 동적 가속 및 엣지 로직 계산과 같은 기능을 제공

 

3) CloudFront 특징

  ① 대기 시간 감소:

    - loudFront는 전 세계에 분산된 엣지 서버 네트워크를 통해 컨텐츠를 전송함

    - 사용자가 가장 가까운 엣지 서버에서 컨텐츠를 받으므로 지연 시간이 감소하고, 더 빠른 웹 페이지 로딩 속도를 제공

 

  ② 보안 향상

    - CloudFront는 다양한 보안 기능을 제공하여 웹 애플리케이션을 보호함

    - SSL/TLS 암호화를 지원하여 데이터의 안전한 전송을 보장하고, AWS Web Application Firewall (WAF)와의 통합을

      통해 웹 애플리케이션의 보안을 강화할 수 있음

 

  ③ 비용 절감

    - CloudFront는 다양한 가격 모델을 제공하여 비용을 최적화할 수 있음

    - 요청 수에 따라 과금되는데, 사용자는 필요한 만큼의 요청만 지불하므로 비용을 절감할 수 있음

    - 또한, AWS 서비스와의 통합으로 데이터 전송 비용을 절감할 수 있음

 

  ④ 사용자 정의 전송

    - CloudFront는 사용자 정의 도메인, 경로 및 캐싱 정책 등 다양한 설정을 제공

    - 사용자는 원하는 대로 도메인 이름을 설정하고, 특정 경로에 대한 캐싱 정책을 구성할 수 있음

    - 또한, 동적 콘텐츠를 처리하기 위해 사용자 정의 오리진 및 엣지 로직을 구성할 수 있음

 

 

4. Elastic Load Balancing (ELB)

1) Elastic Load Balancing

  - AWS에서 제공하는 관리형 로드 밸런서 서비스

  - 들어오는 트래픽을 여러 대상 인스턴스 또는 리소스 그룹에 분산시켜서 부하를 공정하게 분담하고,

    가용성과 성능을 향상시키는 역할을 함

 

2) Load Balancer

  - Load Balancer는 서버에 가해지는 부하(=로드)를 분산(=밸런싱)해주는 장치 또는 기술을 통칭한다

	L4 로드밸런서	L7 로드밸런서
네트워크계층	Layer 4 전송계층(Transport layer)	Layer 7 응용계층(Application layer)
특징	TCP/UDP 포트 정보를 바탕으로 함	TCP/UDP 정보는 물론 HTTP의 URL, FTP의 파일명, 쿠키 정보등을 바탕으로 함
장점	데이터 안을 들여다보지 않고 패킷 레벨에서만 로드를 분산하기 때문에 속도가 빠르고 효율이 높음 데이터의 내용을 복호화할 필요가 없기에 안전함 L7 로드밸런서보다 가격이 저렴함	상위 계층에서 로드를 분산하기 때문에 훨씬 더 섬세한 라우팅이 가능함 캐싱 기능을 제공함 비정상적인 트래픽을 사전에 필터링할 수 있어 서비스 안전성이 높음
단점	패킷의 내용을 살펴볼 수 없기 때문에 섬세한 라우팅이 불가능함 사용자의  IP가 수시로 바뀌는 경우라면 연속적인 서비스를 제공하기 어려움	패킷의 내용을 복호화해야 하기에 더 높은 비용을 지불해야 함 클라이언트가 로드 밸런서와 인증서를 공유해야하기 때문에 공격자가 로드밸런서를 통해서 클라이언트에 데이터에 접근할 보안 상의 위험성이 존재함

 

3) ELB 대상 그룹 (ELB Target Group)

  - lastic Load Balancer (ELB)에서 사용되는 로드 밸런싱 대상인 인스턴스, 컨테이너, IP 주소 등을 그룹화한 것

  - 로드 밸런서는 대상 그룹에 대해 지정한 프로토콜과 포트 번호를 사용하여 등록된 대상으로 요청을 전송한다

  - 대상 그룹에 각 대상을 등록할 때 이 포트를 재정의할 수 있다.

 

 

5. Amazon VPC (Virtual Private Cloud)

  - AWS에서 제공하는 가상 사설 네트워킹 환경

  - 용자는 가상 네트워크를 생성하고 구성하여 AWS 리소스를 안전하고 격리된 환경에서 실행할 수 있다

 

1) VPC 기능

  ① Virtual Private Cloud(VPC)

    - 자체 데이터 센터에서 운영하는 기존 네트워크와 아주 유사한 가상 네트워크

    - VPC를 생성한 후 서브넷을 추가할 수 있다.

 

  ② 서브넷

    - VPC의 IP 주소 범위

    - 서브넷은 단일 가용 영역에 상주해야 한다

    - 서브넷을 추가한 후에는 VPC에 AWS 리소스 배포할 수 있다

  

  ③ IP 주소 지정

    - VPC와 서브넷에 IPv4 주소와 IPv6 주소를 할당할 수 있다.

    - 또한, 퍼블릭 IPv4 및 IPv6 GUA 주소를 AWS로 가져오고 VPC의 리소스(EC2 인스턴스, NAT 게이트웨이,

     Network Load Balancer)에 할당할 수 있다

 

  ④ 라우팅

    - 라우팅 테이블을 사용하여 서브넷 또는 게이트웨이의 네트워크 트래픽이 전달되는 위치를 결정

 

  ⑤ 게이트웨이 및 엔드포인트

    - 게이트웨이는 VPC를 다른 네트워크에 연결한다.

    - VPC 엔드포인트를 사용하여 인터넷 게이트웨이 또는 NAT 장치를 사용하지 않고 AWS 서비스에 비공개로 연결

 

  ⑥ 피어링 연결

    - VPC 피어링 연결을 사용하여 두 VPC의 리소스 간 트래픽을 라우팅한다

 

  ⑦ 트래픽 미러링

    - 네트워크 인터페이스에서 네트워크 트래픽을 복사하고 심층 패킷 검사를 위해 보안 및 모니터링 어플라이언스로

      전송한다

 

  ⑧Transit Gateway

    - 중앙 허브 역할을 하는 전송 게이트웨이를 사용하여 VPC, VPN 연결 및 AWS Direct Connect 연결 간에 트래픽을

      라우팅한다.

 

  ⑨ VPC 흐름 로그

    - 흐름 로그는 VPC의 네트워크 인터페이스로 들어오고 나가는 IP 트래픽에 대한 정보를 캡처한다.

 

  ⑩ VPN 연결

    - AWS Virtual Private Network(AWS VPN)을 사용하여 온프레미스 네트워크에 VPC를 연결한다