[레포트] AWS 네트워킹 서비스의 모든 것

2022.05.13

2022년 5월 10일~11일 AWS Summit Online Korea 가 개최되었습니다.
다양한 분야에서 AWS 서비스가 어떻게 이용되고 있는지 그리고 AWS에서 어떤 새로운 기능을 제공하고 있는지 알 수 있었습니다.
그 중 제가 보았던 세션에 대해 메모 겸 리뷰를 작성했습니다.
(본 레포트에 사용된 이미지는 별도의 설명이 없다면 해당 세션의 이미지임을 알립니다.)

개요

AWS 네트워킹 서비스의 모든 것을 준비했습니다. 다양한 워크로드를 효과적으로 연결하고 구성하기 위한 AWS의 다양한 네트워킹 서비스를 만나보세요. 새롭게 발표된 IPAM, CloudWAN, DX Sitelink 등을 소개하는 흥미진진한 시간도 마련되어 있습니다. AWS의 새로운 네트워킹 서비스들을 연계해서 최적의 워크로드 아키텍쳐를 디자인하는 AWS만의 팁도 함께 소개합니다.

  • 강연자
    • 최우형 솔루션즈 아키텍트, AWS
    • 정보람 솔루션즈 아키텍트, AWS
  • 난이도
    • 중급 난이도

본 세션에서는 AWS에서 네트워크 트래픽을 전달하는 다양한 방법과 신규 서비스들을 이용한 심도 깊은 디자인 방법에 대해 설명합니다.

클라우드 네트워크의 핵심 과제와 방향성

클라우드 환경을 구축하여 활용하기 시작했던 이전과 달리 2022년 현재는 여러 개의 계정과 많은 VPC 및 관리형 서비스를 활용하고 있습니다.
당연히 많은 VPC와 완전 관리형 서비스들을 연결하고 외부에 효과적으로 제공하는 것이 네트워크 아키텍쳐의 중요한 과제가 되었습니다.

오늘날의 클라우드 환경에는 3가지 핵심 과제가 있습니다.

  • 네트워크 구성 관리
    • 실체가 없는 클라우드 네트워크의 효과적인 구성
  • 네트워크 인사이트
    • 지속적인 모니터링과 지표에 따른 대응
  • 개인정보 보안 위협
    • 클라우드 안의 다양한 비즈니스 워크로드와 중요한 개인정보들의 보안

AWS에서는 이러한 핵심 과제를 해결하기 위한 3가지 메커니즘을 전제로 워크로드를 설계하실 수 있습니다.

  • 네크워크 복잡성 제거
    • 온프레미스에서의 네트워크와 다르게 높은 확장성과 탄력적인 자원 활용이 가능한 설계 지원과 접근 지원
  • 보안성 강화
    • AWS 클라우드 네트워크 안에서는 암호화와 패킷 캡슐화를 통해서 데이터를 보호
  • 네트워크 모니터링 및 관리 강화
    • AWS 네트워크의 수많은 지표를 수집, 저장, 분석을 지원하는 다양한 도구들을 제공

이러한 메커니즘을 구현한 대표적인 예로 Amazon VPC, AWS Transit Gateway, AWS Privatelink 등이 있습니다.

확장되는 네트워크에 대한 요구

클라우드 네트워크에서의 워크로드가 증가함에 따라서 더 많은 관리도구와 보안에 대한 요구사항의 복잡성과 중요성이 증가하고 당연히 비용에 대한 고민을 하게 됩니다.
그 중 AWS의 엣지 네트워킹을 이용하면 글로벌한 클라우드 네트워크에 대응할 수 있습니다.
여러 서비스들 중 Amazon CloudFront, AWS Global Accelerator, Amazon Route 53 등의 서비스를 이용하면 워크로드들이 글로벌 유저를 대상으로 좀 더 가까운 곳에서 서비스를 제공하고 빠른 응답시간을 제공할 수 있습니다.

주요 구성요소의 동작방식과 개념

EC2 와 VPC

VPC는 AWS에서 제공하는 자원을 담아내는 가상의 사설 공간입니다. VPC의 특징으로는 다음과 같습니다.

  • 65,000개 이상의 CIDR 주소를 할당 가능
  • IPv4 뿐만 아니라 대규모 IP 주소 할당을 위한 IPv6 지원
  • 여러 개의 가용 영역 할달 가능
    • 각 가용영역은 여러 개의 데이터 센터로 구성되어 있기 때문에 자원의 분산을 통한 가용성 확보 가능
    • 각 가용 영역을 외부 인터넷과 연결된 퍼블릭 서브넷과 연결되지 않은 프라이빗 서브넷으로 분리하여 운용 가능 이러한 VPC 위에 EC2 인스턴스를 생성하면 서브넷 단위당 할당된 IP 주소 대역으로 할당합니다.

AWS에서 제공하는 완전 관리형 서비스들(S3, DynamoDB, Lambda 등)은 고객의 VPC에 위치해 있지 않고 AWS과 관리하는 리전에 배치되어 있습니다.

실제 트래픽의 흐름

트래픽이 전송되기 위해 참조되는 요소가 정리된 이미지는 다음과 같습니다.

이 중 라우팅 테이블에는 서브넷 내부의 인스턴스에서 외부로 트래픽을 전송하기 위한 경로를 작성할 수 있습니다. IGW, NAT Gateway, 엔드포인트, VGW 등 다양한 연결을 올바르게 활성화하기 위해서는 라우팅 테이블에 해당 경로를 등록해야합니다.

퍼블릭 서브넷의 EC2가 외부로 접근하기 위해서는 모든 IP 주소가 인터넷 게이트웨이로 향하도록 설정할 필요가 있으며, 프라이빗 서브넷의 EC2가 외부로 접근하기 위해서는 퍼블릭 서브넷의 NAT(인스턴스 혹은 게이트웨이)을 경유하도록 설정할 필요가 있습니다.

VPC 내부의 EC2 자원에서 AWS의 완전관리형 서비스에 접근하기 위해서는 Endpoint를 이용할 수 있습니다.

온프레미스 환경과 통신하기 위해서는 VGW를 VPC에 만들어주고 온프레미스 전용선이나 VPN을 연결할 수 있습니다.

여러 VPC 간에 통신이 필요한 경우에는 VPC Peering 이나 Transit Gateway 등으로 구현할 수 있습니다. Transit Gateway는 이러한 VPC 뿐만 아니라 온프레미스 연결을 위한 VPN이나 전용선 연결도 지원하므로 중앙 집중식으로 관리할 수 있게됩니다.

VPC 에서 일어나는 이벤트들을 확인하기 위해서는 VPC Flow를 활성화하여 Amazon S3나 CloudWatch에서 확인할 수 있습니다.

PrivateLink를 이용하면 다른 VPC의 워크로드를 안전하고 더 손쉽게 이용할 수 있습니다.

글로벌 서비스를 확장하고 각 글로벌 지역의 고객들이 특정 리전에 빠르게 접근하기 위한 방법으로 Global Accelerator를 이용할 수 있습니다.

실시간 트래픽 감시를 위해서 VPC Traffic Mirroring을 활용할 수 있습니다.

VPC Ingress Routing을 이용하면 외부에서 유입되는 트래픽을 특정 경로로 보내서 검사를 하고 내부 자원으로 접근하도록 구성할 수 있습니다.

GWLB(Gateway Load Balancer)를 이용하면 확장성이나 가용성에 제약이 많았던 상용 보안 제품들을 쉽게 확장하고 높은 가용성을 기반으로 보안을 적용할 수 있습니다.

Client VPN을 이용하면 인터넷 환경이나 온프레미스 환경에서 VPC 자원의 관리나 접근이 가능해집니다.

온프레미스에서도 클라우드 플랫폼을 구현하고 싶다면 AWS Outposts를 온프레미스에 배치하고 리전의 VPC 가용영역을 확장해서 서브넷을 할당할 수 있습니다.

완전 관리형 형태의 방화벽 기술을 VPC에 적용하고 싶다면 AWS Network Firewall으로 구현할 수 있습니다.

AWS 고급 네트워킹 디자인(Intra VPC)

새롭게 출시된 네트워크 기술들을 이용하여 좀 더 확장된 디자인을 VPC 내부 및 외부에 적용하는 방법을 알아봅니다.

VPC MSR을 이용한 서브넷 간의 통신

각 서브넷의 라우팅 테이블은 VPC CIDR 주소로 할당된 로컬 테이블이 항상 우선시됩니다. 따라서 VPC 내부에서도 경로를 상세하게 설정하는 것이 불가능했습니다.
이러한 문제점을 이제는 MSR(More Specific Route)라는 기능으로 해결할 수 있습니다.
이미지와 같이 App Subnet과 DB Subnet 사이에서의 통신이 바로 대상으로 가는 것이 아니라 보안존 Subnet을 통과하도록 설정할 수 있습니다.

MSR과 ANFW(AWS Network Firewall)을 활용하여 VPC 내부의 모든 트래픽이 항상 ANFW를 경유하도록 설정할 수도 있습니다. 이렇게 VPC 내부에서 강화된 보안을 편리하게 구현할 수 있고 온프레미스나 VPC 연동에도 편리하게 이용할 수 있는 디자인입니다.

S3를 위한 PrivateLink 디자인

VPC 내부의 인스턴스가 S3와 통신하기 위해 IGW나 VPC Endpoint Gateway를 이용해왔지만 이렇게 하면 라우팅 테이블을 변경해야하는 작업이 필요하였습니다.
뿐만 아니라 외부에서 S3에 접근하기 위해서는 외부를 통한 접근이나, 동적인 Elastic IP로 접근해야 하기 때문에 보안적으로는 번거로운 일이었습니다.
이제는 VPC Endpoint 인터페이스 타입을 지원함에 따라서 VPC 내부에서는 라우팅테이블의 추가없이 PrivateLink 설정 한번으로 바로 S3에 접근할 수 있게 되었습니다. 온프레미스에서도 VPC CIDR 주소의 사설 IP로 접근할 수 있기 때문에 DirectConnect 연결회선을 효과적으로 사용할 수 있습니다.

Private NAT 디자인

온프레미스 네트워크와 AWS간에 전용선이 연결되어 있다면 보안에 대한 효과적인 구성을 위해서 VPC CIDR 범위의 사설 IP가 NAT가 되어 활용할 수 있으며 온프레미스 네트워크에서는 해당 IP에 대한 보안 구성을 고정적으로 처리할 수 있기 때문에 효과적인 보안 처리가 가능해집니다.

NLB를 위한 ALB Target Group 디자인

워크로드에서 무조건적인 고정 IP를 요구할 때 대응할 수 있는 디자인으로 NLB의 고정 IP를 활용합니다.
NLB 타겟 그룹 옵션에서 VPC 내부의 ALB를 타겟 그룹으로 지정하는 것으로 끝입니다.

TGW/ANFW/GWLB를 기반으로 하는 VPC 보안

중앙 VPC에만 GWLB를 이용한 보안 서브넷을 구현하고 다른 VPC에서는 TransitGateway 를 이용하여 중앙 VPC와 통신하도록 구성하면 인터넷과 VPC 내부의 자원이 연결될 때 중앙 집중식으로 보안을 관리할 수 있습니다.

AWS 고급 네트워킹 디자인(Inter VPC)

VPC외부에 리전간의 효과적인 네트워킹 디자인을 알아보겠습니다.

향상된 Transit Gateway 디자인

리전내에서 1개만 사용이 가능했고 리전간 연결을 할때에는 Inter Peering 기술을 통해서 트래픽을 처리했습니다. 하지만 동일 리전내에서 계정이 다르거나 이미 Transit Gateway를 사용하는 VPC들을 연결할 때는 RAM(Resource Access Manager)를 추가로 구성해야하는 작업이 필요했습니다.

이제는 리전내에서 Transit Gateway Peering을 구현할 수 있게 되었습니다.
이미지와 같이 리전 내부에서 여러 개의 Transit Gateway를 계층적으로 설계해서 보안 VPC를 구현할 수 있습니다.

Direct Connect MACSec 기반 전용선 암호화

AWS 환경에서의 워크로드가 증가하면서 기존보다 훨씬 많이 AWS와 온프레미스간 전용선 연결을 확대해 나가고 있습니다.
이전보다 더 강화된 보안으로 온프레미스의 스위치 및 라우터에서의 전용선을 통한 AWS DX 로케이션 장비 간의 MACSec 암호화를 지원할 수 있게 되었습니다. 이를 통해 더욱더 안전한 트래픽 전송을 구현할 수 있습니다.

DX SiteLink 기반의 AWS 글로벌 백본 디자인

현재 사용 중인 Direct Connect 전용선 서비스가 DX Pop 가장 가까운 곳에 연결하게 되면 다른 DX Pop에 연결된 온프레미스 네트워크까지 AWS 글로벌 백본 네트워크를 통하여 트래픽 전송이 가능해졌습니다.
이를 통해 글로벌 비즈니스 환경에서 발생하던 전용선 요금과 MPLS 요금의 절약이 가능해집니다.

CloudWAN 기반의 완전관리형 AWS 서비스

글로벌 비즈니스 환경에서 다양한 워크로드들을 많은 리전과 VPC, 전용선 연결이나 VPN 연결까지 구성하기 위해서는 편리한 연결, 중앙집중화된 관리, 보안 등을 추가하거나 강화할 필요가 있습니다.
AWS 의 글로벌 백본을 고객의 백본처럼 이용할 수 있도록 제공하는 CloudWAN 이라는 서비스를 제공합니다.
공유된 백본이지만 VPC 처럼 프라이빗하게 사용할 수 있도록 세그먼트 기술을 활용하여 논리적인 분리와 연결을 구성할 수 있습니다.
연결 후에는 동적 라우팅을 지원하기 때문에 편리하게 이용할 수 있습니다.

개선된 모니터링과 관리 강화

복잡성 제거, 보안성 강화, 모니터링 관리 강화를 위해 AWS에서 제공하고 있는 기능들이 있습니다.

  • Network Manager
    • 다양한 네트워크 서비스를 통합 관리
  • VPC IP Address Manager
    • 수많은 VPC와 계정들의 VPC IP 주소 관리
  • VPC Network Access Analyzer
    • 자원에 대한 네트워크 액세스 파악

마무리

이때까지 다양한 설계에서 AWS의 네트워크 및 보안, 감시 리소스들을 사용해왔지만 애매하게 지식으로만 알고 있는 것들이 많았습니다. 이번 세션을 통하여 그러한 부분이 좀 더 명확해졌습니다.
또한 Private NAT을 이용한 디자인은 생각하지 못했던 부분인데 앞으로 활용할 기회가 있다면 활용해보고 싶습니다.

긴 글 읽어주셔서 감사합니다.
오탈자 및 내용 피드백은 언제나 환영합니다. must01940 지메일로 연락 주시면 감사합니다!


본 블로그 게시글을 보시고 문의 사항이 있으신 분들은
클래스메소드코리아 (info@classmethod.kr)로 연락 주시면 빠른 시일 내 담당자가 회신 드릴 수 있도록 하겠습니다 !