[reinvent 2025] 상태 저장(스테이트풀) Amazon EKS 워크로드의 백업을 간소화하세요
Summary
이 세션에서는 AWS Backup이 Amazon EKS 클러스터와 Kubernetes 오브젝트, 그리고 그에 연동된 Persistent Volume(EBS, EFS, S3 기반)을 어떻게 네이티브 방식으로 보호할 수 있는지 소개했습니다. AWS Backup은 단순한 백업 서비스가 아니라, 재해 복구(DR), 랜섬웨어 복원력, 불변(Immutable) 백업, 멀티 계정·멀티 리전 아키텍처까지 지원하는 강력한 데이터 보호 플랫폼입니다. 이번 발표는 EKS 클러스터 운영자, DevOps 엔지니어, 플랫폼 팀이 안정적인 클러스터 환경을 유지하기 위해 반드시 알아야 하는 핵심 기능을 다루고 있습니다.
Overview
들어가며
EKS 환경에서 데이터 보호는 단순히 “ETCD 스냅샷을 보관하는 것”을 넘어섭니다.
Kubernetes 오브젝트(Deployments, ConfigMap, Secret 등), Persistent Volume 그리고 클러스터 자체 구성요소 등 다양한 리소스가 복잡하게 상호작용하고 있어 장애 복구 시 전체 스택을 일관성 있게 되돌리는 것이 쉽지 않기 때문입니다.
이번 re:Invent 2025 세션에서는 AWS Backup이 EKS 클러스터 전체를 단 두 단계로 보호하고, 필요 시 몇 번의 클릭만으로 기존 클러스터로 복구하거나 신규 스켈레톤 클러스터를 생성한 뒤 전체 복구하는 방식을 자세히 소개했습니다.
1. AWS Backup: 클라우드 네이티브 백업의 중심
AWS Backup은 완전관리형(fully managed) 서비스로, 다음을 제공합니다:
- AWS 서비스 및 하이브리드 환경 전반의 중앙집중식 백업 관리
- 정책 기반 자동화 (백업 주기, Lifecycle, 암호화 등)
- AWS Backup Audit Manager를 통한 규정 준수(compliance) 및 모니터링
- 복구 시 최소한의 인적 개입으로 수행 가능한 자동화된 DR
- GuardDuty 기반의 백업 파일 악성코드 스캔 (Malware Protection)
- Logic isolation 및 Backup Vault Lock을 통한 변경 불가능한 백업 제공
2. Amazon EKS에 대한 네이티브 백업 지원
AWS Backup은 Amazon EKS에 대한 네이티브 백업 지원을 정식 제공하기 시작했습니다. AWS Backup은 아래의 리소스들을 백업할 수 있습니다.
2-1) Kubernetes Control Plane 리소스
- Cluster-scoped objects
- Namespace-scoped objects
(Deployments / ConfigMaps / Secrets / ClusterRole / StorageClass 등)
2-2) Stateful Workloads & Persistent Volumes
- Amazon EBS
- Amazon EFS
2-3) 전체 백업·부분 백업 선택
- 전체 클러스터 복구(Full cluster restore)
- 특정 Namespace만 복구
- 신규 Skeleton EKS 클러스터로 복원
- 기존 클러스터로 복원
핵심 기능)
- AWS Native Backup Solution : 별도의 플러그인이나 서드파티 없이, AWS Backup만으로 EKS 전체 환경을 보호할 수 있습니다.
- Protect against Disasters & Data Loss : 클러스터 업그레이드 전후, 실수나 장애, 데이터 손실 시점에 대비해 신속한 보호·복구가 가능합니다.
- Ensure Compliance : 계정/리전을 아우르는 주기적 백업과 복제 정책을 통합적으로 적용해 규제 준수(Compliance)를 간편하게 보장할 수 있습니다.
- Granular Restore Experience : 전체 클러스터 또는 특정 네임스페이스, PV 단위로 유연한 복구가 지원되어 RTO를 단축합니다.
3. AWS Backup의 백업 계획(Backup Plan) 구성
세션에서는 EKS 백업 절차가 2단계만 필요함을 강조했습니다.
STEP 1) Backup Plan 생성 (3가지 방식 중 하나 선택)
- AWS 제공 템플릿(Recommended templates)
- Custom Plan 직접 작성(Build a new plan)
- JSON 파일 Import
Build a new Plan(새 백업 플랜)을 생성하면백업 스케줄, 보존 정책, 백업 볼트, 그리고 다른 볼트·계정·리전에 대한 추가 복제본까지 자유롭게 설정할 수 있습니다.
STEP 2) 백업 리소스 할당(Assign resources)
- 특정 리소스를 직접 선택하거나
- TAG 기반 자동 포함 방식 사용
이 중, TAG 기반 방식은 대규모 환경에서 필수적입니다. 백업 플랜 내에서는 백업 규칙(Backup Rules) 을 구성하여 특정 리소스나 태그에 대한 정책을 구체화할 수 있습니다.
백업 규칙에서 설정할 수 있는 옵션은 다음과 같습니다.
- 백업 볼트(Backup vault) 지정, 백업 주기(frequency) 설정, 백업 윈도우(backup window) 설정, 지속 백업(Continuous backups) 활성화 (특정 서비스에 한함)
4. 다계정·다중 리전 기반 AWS Backup 참조 아키텍처(Reference Architecture)
AWS Backup이 권장하는 고급 아키텍처가 소개되었습니다. 아래는 각 계정 별 수행하는 역할을 정리하였습니다.
4-1) 백업 Delegated Administrator Account : 중앙에서 백업 정책 생성 & 멀티 계정에 배포
4-2) Encryption Key 전용 관리 계정(KMS 관리 계정) : CMK lifecycle 관리 효율화
4-3) Workload Account : 실제 EKS 클러스터와 볼륨이 운영되는 계정
4-4) Data Bunker Account (Region A) : Air-gapped / Immutable / Malware Scan 적용
4-5) Data Bunker Account (Region B) : 리전 DR(Regional Resilience) 대응
4-6) Forensics Account : 의심 상황 발생 시 백업을 격리 복원하여 분석하는 계정
결론
Amazon EKS에 대한 AWS Backup의 네이티브 지원은 EKS 운용 안정성을 근본적으로 강화하는 전환점이라 할 수 있습니다. 이 기능은 Kubernetes 리소스 상태(Cluster state)와 Persistent Volumes(EBS, EFS)를 통합적으로 보호함으로써, EKS 기반 애플리케이션의 데이터 안전성과 복구 가능성을 대폭 향상시킵니다.
특히 발표 자료에서 강조된 네 가지 핵심 기능은 AWS Backup이 단순한 스냅샷 관리 도구를 넘어 기업 운영의 필수 보안/무결성 계층으로 확장되었음을 잘 보여줍니다.
- AWS Native Backup Solution
- Protect against Disasters & Data Loss
- Ensure Compliance
- Granular Restore Experience
AWS Backup은 이제 단순한 백업 도구가 아니라, EKS 전체 환경을 안전하게 운영하기 위한 핵심 보호 계층(Core Protection Layer)으로 자리 잡았습니다. EKS 워크로드가 기업 애플리케이션의 중심으로 이동하는 오늘날, AWS Backup의 네이티브 통합은 안정성·보안·규제 대응·운영 효율 측면에서 매우 중요한 진화라 할 수 있습니다.
