카테고리 없음

아마존 웹 서비스를 이용한 글로벌 서비스 인프라 설계 Chap3

addmean 2024. 10. 25. 19:31

네트워크 세부설정 단계 용어 정리

  • Nuber of Instances : 하나 이상의 인스턴스를 만들 수 있다.

  • Network : 앞서 만든 도쿄 리전의 VPC를 선택한다.

  • Subnet : 앞서 만든 퍼블릭 서브넷을 선택한다.

  • Auto-assign Public IP : Enable로 설정하면 AWS가 Public IP를 할당한다. 관리자는 이 Public IP로 접근해서 작업할 수 있다.

  • IAM role : AWS는 하나의 계정에서 다양한 권한이 있는 하나 이상의 유저를 관리하는 것을 허용한다. 이 인스턴스에서 사용할 수 있는 IAM의 권한을 부여한다. IAM에 대한 상세한 내용은 3장에서 다룬다.

  • Shutdown behavior : 인스턴스를 셧다운(shutdown)할 때 인스턴스의 상태를 결정한다. 보통은 Stop으로 설정해서 나중에 다시 사용할 수 있게 한다. 만약 다시 켤 일이 없다면 terminate를 선택하자. terminate로 설정하면 인스턴스를 셧다운했을 때 인스턴스의 이미지가 완전히 삭제된다.

  • Monitoring : AWS의 자원은 Cloudwatch를 이용한 모니터링을 기본으로 사용할 수 있다. 이 옵션을 켜면 기본에 더해서 상세한 모니터링을 적용할 수 있다. 예를 들어 모니터링 단위를 5분에서 1분으로 변경할 수 있다. 물론 추가 비용이 들어간다. 프로토타이핑에 상세한 모니터링은 필요 없으므로 체크하지 않았다.

  • Tenancy : Shared tenancy와 Dedicated tenancy 중에서 선택할 수 있다. Shared tenancy는 하드웨어 자원을 다른 유저와 함께 공유해서 사용하는 방식이고, Dedicated tenancy는 다른 AWS 유저와 공유하지 않는 전용 하드웨어를 할당한다.
    자원의 성능 관리가 중요한 서비스가 아니라면 대부분 Shared tenancy를 선택한다.

  • Network interfaces : 인스턴슨ㄴ 하나 이상의 네트워크 인터페이스를 가질 수 있다. 내부 통신을 위한 네트워크를 따로 구축하고 싶다면 인터페이스를 추가할 수 있다. 시스템이 복잡해지면 용도별로 ssh 접속, 로그 수집, (HA를 위한) heartbeat 네트워크 등을 구성할 때 사용할 수 있다.

시큐리티 그룹 설정과 용어

시큐리티 그룹을 이용하면 인스턴스에 대한 네트워크의 접근 보안을 설정할 수 있다.
시큐리티 그룹은 일종의 네트워크 방화벽으로, 허락한 패킷만 흐르도록 제어한다.

인바운드(Inbound)와 아웃바운드(outbound)로 나누어서 설정할 수 있다.

인바운드 트래픽에 대한 기본 설정은 ALL Deny로 허용한 포트를 제외한 모든 트래픽을 막는다. Add Rule로 접근을 허용할 포트를 추가해야 한다.

접근을 허용할 목적지의 프로토콜과 서비스 포트, 출발지 IP(Source IP) 세개의 요소를 조합해서 규칙을 만든다.

  • Type : SSH, HTTP, POP3, ICMP와 같이 자주 사용하는 프로토콜과 서비스 포트의 목록을 가지고 있다. 주요 서비스 프로토콜은 Protocol과 Port Range를 설정할 필요 없이 선택해서 사용할 수 있다. 그 외의 서비스는 Custom Rule로 설정해서 Protocol과 Port Range를 직접 설정한다.

  • Protocol : TCP, UDP, ICMP 중 하나를 선택한다.

  • Port Range : 외부에 연결을 허용할 서비스 포트 번호다. 대시를 이용해서 범위로 설정할 수도 있다(예 : 1000-1100)

  • Source : 접근을 허용할 출발지의 IPek. 일반 사용자가 사용하는 인터넷 서비스는 0.0.0.0/0(Anywhere)으로 설정한다. 일반 사용자를 대상으로 하는 서비스가 아니라면 CIDR로 접근 대상을 한정할 수 있다. 예를 들어 VPC 내부에서의 접근만 허용하고 싶다면 10.10.0.0/16과 같이 설정하고, 고정된 IP가 있는 회사에서만 접근할 수 있게 하고 싶다면 xxx.xxx.xxx.xxx/32와 같이 설정하면 된다.

인스턴스 상세 정보 용어

  • Instance ID : 인스턴스를 식별할 수 있는 고유 ID다.

  • Instance state : 인스턴스의 상태를 확인할 수 있다. running, stopped, terminated의 상태가 있다.

  • Private IPs : 인스턴스에 할당된 사설 IP다. AWS VPC에서 자동으로 할당한다.

  • Private DNS/Public DNS : 인스턴스의 DNS 이름으로 IP 대신 사용할 수 있다. 다만 이 이름을 사용하면 IP외에 다른 정보(웹 서버인지 WAS인지 등)가 이름에 표현되지 않으므로 관리 목적으로 쓰기에는 적당하지 않다.

  • Availability zone : 인스턴스가 사용하고 있는 가용성 존이다.

  • Rlastic IP : 인스턴스에 할당된 EIP로 아직은 EIP가 할당되지 않았다.