[reinvent 2024] AWS에서 잘 설계된 네트워크 설계
Summary
AWS에서 잘 설계된 네트워크를 설계하는 방법을 배워 AWS 네트워킹 전문성을 높입니다. 이 세션은 다중 AZ 및 다중 지역 아키텍처의 절충안과 Amazon 가상 프라이빗 클라우드(VPC)를 구축하는 방법으로 시작합니다. 다음으로 여러 VPC와 온프레미스 데이터 센터를 연결할 때의 설계 과제를 살펴보고, AWS에서 확장 가능한 DNS 인프라를 구축하는 방법에 대해 논의합니다. 마지막으로 애플리케이션 입력 및 출력과 같은 AWS의 몇 가지 일반적인 네트워크 아키텍처 패턴을 고려할 것입니다. AWS에서 복원력 있고 안전하며 확장 가능한 네트워크 인프라를 만드는 데 필요한 인사이트를 얻을 수 있습니다.
리인벤트 2024 테크 블로그의 더 많은 글이 보고 싶다면?
Overview
들어가며
AWS 네트워킹의 기본 개념
AWS 네트워크의 기본 구성 요소인 VPC는 리전 내에서 작동하며, 서브넷은 AZ 단위로 만들어지는데 서브넷은 IPv4와 IPv6를 모두 지원하며, 듀얼 스택 접근 방식이 권장된다고 합니다. 네트워크 ACL과 보안 그룹은 서브넷 및 인스턴스 레벨에서 각각 트래픽을 제어하며, 이 두 가지를 적절히 조합하여 네트워크의 보안성과 효율성을 극대화할 수 있다는 기본 개념을 이야기 하였습니다. 이러한 기본 개념은 네트워크 설계의 기초이며, AWS 환경에서의 안정적인 워크로드 실행을 보장한다고 하네요.
인터넷 접속 및 DNS 구성
공용 서브넷은 인터넷 게이트웨이를 통해 외부와 통신하며, 프라이빗 서브넷은 NAT 게이트웨이 또는 egress-only 게이트웨이를 보통 사용합니다. NAT 게이트웨이는 확장성과 고가용성을 지원하며, DNS64는 IPv6 환경에서 IPv4와의 호환성을 제공하는데 egress-only 게이트웨이는 보안성을 강화하며, 외부로의 트래픽을 제한하면서도 필요한 연결은 허용하도록 구성합니다. Route 53 DNS 리졸버를 통해 하이브리드 DNS 구성을 손쉽게 설정할 수 있으며, DNS64와 결합해 다양한 네트워크 환경에서도 높은 호환성과 안정성을 제공한다고 말했습니다.
Amazon Application Recovery Controller(Amazon ARC)
Amazon ARC는 특정 AZ에서 발생한 문제를 감지하고 자동으로 트래픽을 다른 AZ로 리디렉션 한다고 합니다. 이 기능은 시스템의 가용성을 높이는 데 유용하겠지만 정기적인 테스트와 용량 계획이 필요하다고 하는데요 사용자는 ARC를 통해 장애 상황에서의 복구를 자동화하고, 전체 애플리케이션의 복원력을 높일 수 있다고 합니다. Health Check를 활용하여 실시간 상태를 모니터링하고, 문제가 발생한 인스턴스나 AZ를 신속히 중지할 수 있다고 합니다. 이를 통해 애플리케이션의 가동 시간을 극대화하고, 서비스의 안정성을 보장한다고 하는데 장애상황에서 복구와 복원의 자동화에 대해서 사람이 개입하지 않고 자동화 된다는 것에 의문이 들었습니다. 그점에 대해서는 충분히 설명되지 않은거 같습니다.
VPC 연결 옵션
VPC 간 연결은 피어링, 트랜짓 게이트웨이, 프라이빗 링크 등을 통해 구현 가능합니다. 피어링은 두 VPC 간 직접 연결을 제공하며, 트랜짓 게이트웨이는 다수의 VPC와 온프레미스 네트워크 간 중앙 허브 역할을 합니다. 프라이빗 링크는 특정 서비스나 엔드포인트에 보안 연결을 제공하며, 특히 민감한 데이터 전송 시 많이 사용되는 방식입니다. 각 방식은 비용, 보안, 성능 요구 사항에 따라 선택할 수 있으며, 여러 방식을 조합하여 최적의 연결 아키텍처를 구축할 수 있을것으로 생각됩니다.
멀티 리전 아키텍처
Route 53을 통해 지리적 근접성 또는 지연 시간 기반으로 트래픽을 분배할 수 있습니다. 멀티 리전 설정은 장애 복구 계획의 핵심이며, 한 리전에서 문제가 발생하면 다른 리전으로 트래픽을 즉시 리디렉션할 수 있습니다. 이때, 데이터 동기화와 일관성을 유지하기 위해 Amazon DynamoDB 글로벌 테이블이나 S3 CRR(Cross-Region Replication)을 함께 활용하는 것이 권장됩니다. 중국 리전은 AWS 글로벌 네트워크와 분리되어 있으므로 별도 설계가 필요합니다.
하이브리드 클라우드 연결 설계
Direct Connect와 Site-to-Site VPN은 온프레미스와 AWS 클라우드 간 네트워크를 연결하는 기능으로 아주 많이 사용되는 기능입니다. Direct Connect는 고속 전용 연결을 제공하며, Site-to-Site VPN은 보다 유연하고 빠르게 설정 가능합니다. 고가용성을 위해 다중 터널 구성을 권장하며, 이중화를 통해 연결 중단 가능성을 최소한다고 합니다.
하이브리드 DNS 아키텍처
Resolver Endpoint를 사용하여 하이브리드 DNS를 구현하고, Route 53 프로파일로 모든 DNS 설정을 표준화할 수 있습니다. DNS 쿼리 로깅 및 방화벽도 추가 보안을 위해 활용되고 이를 통해 멀티 리전, 하이브리드 환경에서도 일관성 있는 네트워크 설정이 가능하다고 합니다.
결론
AWS에서 제공하는 다양한 네트워크 도구와 모범 사례를 통해 고가용성, 저지연, 보안성을 갖춘 아키텍처를 설계하는 방법을 배웠습니다. VPC 설계부터 DNS, 멀티 리전 아키텍처까지 모든 요소가 어떻게 유기적으로 작동하는지 이해할 수 있었습니다.
실제 사례와 도구를 활용한 설명이 유익했습니다. 특히, ARC 및 Zonal Shift의 자동화 기능이 인상적이었고 Route 53과 ARC를 활용한 트래픽 관리 및 장애 대응 방안도 활용할만하다 생각되었습니다.