선택! AWS 서비스, 아리송한 AWS 서비스 대신 결정해드립니다. - 안준환 차장, NDS :: AWS Summit Seoul 2019

S U M M I T
S E O U L
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.

선택! AWS 서비스
아리송한 AWS 서비스, 대신 결정해드립니다.
안준환
차장
㈜엔디에스

급변하는 IT 생태계

행복한 고민??
memcached vs redis
angular vs react
c# vs java
nosql vs rdb
mariadb vs mysql
python vs ruby

급변하는 AWS 서비스
24 48 61 82
159
280
516
722
1,017
1,430
2008 2009 2010 2011 2012 2013 2014 2015 2016 2017
“시간이 갈수록 더욱 빨라지는
AWS 클라우드의 신규 서비스/기능 추가”

급변하는 AWS 서비스

Perl vs. Python
“There's more than one way to do it”
“There should be one obvious way to do it.”
vs.

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Amazon RDS
DB on
Amazon EC2

Amazon RDS vs. DB on Amazon EC2
고객
관리
AWS
관리
고객
관리
AWS
관리
Amazon
RDS
DB on
Amazon EC2

결정해드립니다!
EC2 instance에 DB를 설치
하세요. 하지만 제약사항을
없애고, RDS 이용을 검토 하시길
권장 합니다.
위 제약사항이 없다면 RDS
이용을 권장 드립니다.

관리형 서비스에 대한 추가비용?
자동 백업 및 복구
모니터링
OS 및 DB 자동 패치
자동 장애 복구
손쉬운 스케일링
각종 컴플라이언스 만족
Amazon RDS

Dump
Datafile &
Transaction log
자동 백업 방법?
Snapshot
구성1 구성2 구성3
“24시간 수준의 RPO
및 DB의 복구
불가능성”
“24시간 수준의 RPO
및 충분치 않은
내구성”
“충분치 않은 내구성”
EBS Snapshot
복구
Transaction log 기반
Point in Time 복구
복구백업
EBS Snapshot
1회/1일
Transaction log
1회/5분
“내구성 99.999999999%”
backup
mode
control

Multi-AZ
VPC
Availability
Zone
Availability
Zone
Single-AZ
VPC
Availability Zone

Multi-AZ vs. Single-AZ
VPC
Availability Zone Availability Zone
Private subnet Private subnet
Region
Multi-AZ Single-AZ
VPC
Availability Zone
Private subnet Private subnet
Region

Multi-AZ 구성을 강력하게
권장 합니다.
필요에 따라 Single-AZ
구성도 가능합니다.
VPC
Availability
Zone
Availability
Zone
VPC
Availability Zone

Active-Active DR?
데이터 센터#1 데이터 센터#2
전용선

Multi-AZ 구성에 따른 추가비용
Single-AZ 구성 Multi-AZ 구성
100
100 App. Server
100
100 DB Server
트래픽 처리 비용: 100
컴퓨팅 처리 비용: 200
트래픽 처리 비용: 110
컴퓨팅 처리 비용: 300
50 App. Server
100 DB Server
50
100
10
100
100
 +10%
 +50%

Multi-AZ 지원 주요 관리형 서비스
관리형 서비스 서비스 개요 Multi-AZ 제공 방법
Amazon EC2 가상 서버 수동
Amazon EBS 블록 스토리지 수동
Amazon RDS DB 서비스 옵션
NAT Gateway NAT 서비스 옵션
Amazon Simple Storage Service(S3) 객체 스토리지 기본
Amazon DynamoDB NoSQL 데이터베이스 기본
Amazon SQS 메시지 대기열 기본
Elastic Load Balancing(ELB) 부하 분산 서비스 기본
“관리형 서비스를 통해 간편하게 Multi-AZ 구성 지원 가능”

100% 100% 100%0% 50%0% 50% 50%100%
서버 이중화와 Multi-AZ
트래픽 처리능력: 트래픽 처리능력: 트래픽 처리능력:
Availability Zone 1 Availability
Zone 2
Region Region
Availability
Zone 1
Availability
Zone 2
Availability
Zone 1
Availability
Zone 2
Region
1. App. 이중화 + Single-AZ 2. App. 이중화 + Multi-AZ 3. App. 및 DB 이중화 + Multi-AZ

NAT Gateway
NAT Instance

NAT(Network Address Translation)?
VPC
Private subnetPublic subnet
EC2 InstanceNAT Gateway
Internet
Gateway
Internet

NAT Gateway vs. NAT Instance
VPC
Private subnet Public subnet
Instances
NAT Gateway
Internet
VPC
Private subnetPublic subnet
Instances
NAT Instance
iptables …
disable src./dest. check
⋮
NAT Gateway NAT Instance

NAT instance 이용을 권장
드립니다. 덤으로 NAT
instance에는 추가적인 S/W
도구도 설치 가능합니다.
고성능/고가용성의 NAT
Gateway 이용이 필수입니다.
특히 1번 항목이 적용된 경우
NAT Gateway의 Multi-AZ
구성도 반드시 고려하십시오.

NAT Multi-AZ 구성
VPC
Private subnet
Public subnet
Instances
NAT Gateway
Availability Zone 1
Private subnet
Public subnet
Instances
NAT Gateway
Availability Zone 2
Internet
VPC
Private subnet
Public subnet
Instances
NAT Instance
Availability Zone 1
Private subnet
Public subnet
Instances
NAT Instance
Availability Zone 2
Internet
헬스체크 및
장애 발생에
대한 복구 기능
구현 필요
Health
Check
NAT Gateway NAT Instance
각 AZ별 중복
구성 기본 지원

사양
네트워크 성능 예상비용($)
기본 버스트 Single-AZ Multi-AZ
NAT Gateway 5Gbps ~ 45Gbps 탄력적 확장
0.059*24*30+0.059*100+0.126*100=
60.98
0.059*24*30*2+0.059*100+0.126*100=
103.46
t3.nano* 32Mbps 4.97Gbps
0.0065*24*30+0.114*8+0.126*100=
18.20
0.0065*24*30*2+0.114*8*2+0.126*100=
23.79
t3.micro* 64Mbps 4.96Gbps
0.013*24*30+0.114*8+0.126*100=
22.88
0.013*24*30*2+0.114*8*2+0.126*100=
33.15
t3.small* 127Mbps 4.94Gbps
0.026*24*30+0.114*8+0.126*100=
32.24
0.026*24*30*2+0.114*8*2+0.126*100=
51.87
t3.medium* 254Mbps 4.97Gbps
0.052*24*30+0.114*8+0.126*100=
50.96
0.052*24*30*2+0.114*8*2+0.126*100=
89.31
t3.large* 509Mbps 4.91Gbps
0.104*24*30+0.114*8+0.126*100=
88.40
0.104*24*30*2+0.114*8*2+0.126*100=
164.19
c5.large* 744Mbps 9.60Gbps
0.096*24*30+0.114*8+0.126*100=
82.64
0.096*24*30*2+0.114*8*2+0.126*100=
152.67
c5.xlarge* 1.24Gbps 9.60Gbps
0.192*24*30+0.114*8+0.126*100=
151.76
0.192*24*30*2+0.114*8*2+0.126*100=
290.91
m5.large* 1.24Gbps 9.60Gbps
0.118*24*30+0.114*8+0.126*100=
98.48
0.118*24*30*2+0.114*8*2+0.126*100=
184.35
m5.xlarge* 1.24Gbps 9.60Gbps
0.236*24*30+0.114*8+0.126*100=
183.44
0.236*24*30*2+0.114*8*2+0.126*100=
354.27
NAT Gateway, NAT Instance 가격 비교
* 각 인스턴스비용에 8GB EBS 및 100GB 아웃바운드 트래픽을 30일간 이용한 것을 가정하여 2019년 4월 서울 리전을
기준으로 비용 산정을 하였으며, 네트워크 성능은 테스트에 의한 경험적 수치로 AWS에서 보장하는 성능은 아닙니다.

Classic
Load Balancer
Application &
Network
Load Balancer

Application Load Balancer Network Load Balancer Classic Load Balancer
프로토콜 HTTP, HTTPS, HTTP/2 TCP, TLS HTTP, HTTPS, TCP
EC2-Classic 지원 X X O
쿠키기반 스티키 세션 지원 O X O
타깃그룹 지원 O O X
WebSocket 지원 O X X
타깃으로 IP주소 지원 O O X
Content 기반 routing 지원 O X X
고정IP 지원 X O X
Elastic Load Balancing

CLB를 이용하십시오.
CLB를 통해서만 하나의
호스트네임에서 HTTP트래픽과
TCP트래픽을 동시에 처리하는
것이 가능합니다.
필요에 따라 ALB와 NLB를
섞어서 이용하십시오.

ALB 마이그레이션 후 예상 비용
비용 구성:
1) Application Load Balancer-시간
(또는 부분 시간)당 0.0225 USD
2) LCU*-시간(또는 부분 시간)당 0.008 USD
워크로드
Classic Load Balancer 실 비용(1개월) Application Load Balancer 예상 비용
차이
ELB/hour 처리 용량(GB) 총 비용($) ALB/hour 예상LCUs 총 예상 비용($)
홈페이지1
31*24*18=
13,392 5,247.593
0.025*13,392+0.008*5247.593=
376.79 13,392 6,622.169
0.0225*13,392+0.008*6,622.169=
354.30 -6.0%
모바일 앱1
31*24*20=
14,880 483.068
0.025*14,880+0.008*483.068=
375.87 14,880 1,742.193
0.0225*14,880+0.008*1,742.193=
348.74 -7.2%
업무용 앱
31*24*4=
2,976 137.254
0.025*2,976+0.008*137.254=
75.5 2,976 280.284
0.0225*2,976+0.008*280.284=
69.21 -8.3%
홈페이지2
31*24*15=
11,160 943.570
0.025*11,160+0.008*943.570=
286.55 11,160 1,801.774
0.0225*11,160+0.008*1,801.774=
265.52 -7.3%
모바일 앱2
31*24*9.19=
6,838 5,417.669
0.025*6,838+0.008*5417.669=
214.3 6,838 981.739
0.0225*6,838+0.008*981.739=
161.72 -24.5%
*1 LCU(Load Balancer Capacity Units)
/ 시간당 평균값 측정 후 가장 높은 비용으로 청구:
- 초당 25개의 새로운 연결
- 분당 3,000개의 활성 연결
- EC2 인스턴스, 컨테이너 및 IP 주소를 대상으로 하는 경우
시간당 1GB, Lambda 함수를 대상으로 하는 경우 0.4GB
- 초당 1,000 규칙 평가(규칙이 10개 이하인 경우 규칙 평가 차원 무시)

Load Balancer health check
http/80
http/8080
Target
Group
#1
Target
Group
#2
http/80
http/8080
http/80
http/8080
Application Load Balancer
Classic Load Balancer
http/80
tcp/8080
http/80
tcp/8080
http/80
tcp/8080
Health
Check
Health
Check
Health
Check
Health
check
probe
Health
check
probe
ALB
CLB

CLB없이 HTTP+TCP이용(feat. 고정IP for ALB)
NLB
ALB
Target
Group
#1
(NLB)
Target
Group
(ALB)
http/80
tcp/8080
http/80
tcp/8080
Target
Group
#2
(NLB)
https/443
tcp/8080
https/443 http/80
tcp/8080
“IP주소 변화에 따라 주기적으로 Target
Group 업데이트 필요“
(AWS Lambda + CloudWatch Rules
이용)
ALB IP주소 업데이트
CloudWatch
Events
Lambda
Function

HTTPs
https://
HTTP
http://

http://
https://
이유가 필요할까요?
덮어놓고 무조건 HTTPS로 또는
HTTPS로만 대외 서비스를
제공하십시오.
대외 서비스 제공이 없다면,
방화벽 등의 보안 조치 하에서
필수는 아닙니다.
그렇다 하더라도 가능하면
HTTPS 이용을 권장 드립니다.

AWS에서 HTTPs 이용 비용
• ACM 인증서 무상 발급/갱신
• 인증서 자동 갱신
• ACM을 통한 인증서 이용 관리
• Private key 노출 방지
• Private key 없이 인증서 적용
• ALB, CLB, CloudFront 등에
인증서 적용시 암/복호화에 따른
추가 컴퓨팅 리소스 불필요
인증서 발급/갱신 인증서 관리 암/복호화 성능

AWS Certificate
Manager
SSL/TLS certificate from
3rd-party
issuer
3rd party
SSL/TLS certificate from

인증서 발급 절차
개인키 및 CSR
(Certificate Signing
Request) 생성
3rd party 발급기관
접수(인터넷 및 전화)
및 결제
DCV(Domain
Control
Validation) 메일
인증
인증서 발급
인증서 서버 별 적용
설정
인증서 만료 AWS 콘솔 로그인
발급정보 입력
(도메인 정보)
Route53 기반 자동
DCV인증
ALB, CLB 등 관련
서비스에서 인증서
선택
AWS서비스 이용
검증 및 인증서 자동
갱신
3rd party 기관
인증서 라이프 사이클
Amazon Certificate Manager
인증서 라이프 사이클

3rd party
3rd-party를 통한 인증서
발급이 필요합니다.
ACM에서 발급받은 인증서는
AWS서비스에만 적용 가능하고,
DV인증서만이 발급 가능합니다.
ACM을 통한 인증서 발급이
답입니다.
편의성, 보안, 성능, 비용 등 어떤
측면에서도 우수한 ACM 발급
인증서를 이용 하십시오.

ACM을 통한 인증서 관리 보안
3rd party
발급
인증서
및 비밀 키
3rd party
“인증서 발급,
갱신 및 보안관리”
“인증서 발급
및 배포 요청”
발급요청
배포요청
발급,
갱신,
배포,
보안관리
“인증서 및 비밀키는
AWS 관리 하 에만 존재”
3rd party 기관
인증서 관리
Amazon Certificate Manager
인증서 관리
3rd party
3rd party
you you
Amazon
API Gateway
Elastic Load
Balancing
Amazon
CloudFront

DV인증서는 보안에 취약하다?
인증서 종류
DV
(Domain Validation)
OV
(Organization Validation)
EV
(Extended Validated)
발급 대상 검증 방법
Domain 소유 확인을 통해 인
증서 인증서 발급
Domain 소유 확인 외
사업자 등록증 및 신청자 확인
을 통해 인증서 발급
Domain 소유 확인 외
사업자 등록증 및 신청자 교차
확인 등 추가적인 확인을 통해
인증서 발급
인증서 및 암호화 방법
동일한 인증서 형태 및 암호화 방법 제공
(예: 2048bit 인증서 + 256bit 암호화)
“필요에 따라 웹브라우저에서 조직 정보 식별이 가능한 EV 인증서 선택”

AWS Well Architected
https://aws.amazon.com/well-architected

“전세계 34개 AWS 파트너가 서비스 개시”
AWS Well Architected

Well-Architected Review

그 밖의 아리송한 것들?

감사합니다!
안준환
ynoser@nongshim.co.kr

End of Document

선택! AWS 서비스, 아리송한 AWS 서비스 대신 결정해드립니다. - 안준환 차장, NDS :: AWS Summit Seoul 2019

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Similar to 선택! AWS 서비스, 아리송한 AWS 서비스 대신 결정해드립니다. - 안준환 차장, NDS :: AWS Summit Seoul 2019

Similar to 선택! AWS 서비스, 아리송한 AWS 서비스 대신 결정해드립니다. - 안준환 차장, NDS :: AWS Summit Seoul 2019 (20)

More from Amazon Web Services Korea

More from Amazon Web Services Korea (20)

선택! AWS 서비스, 아리송한 AWS 서비스 대신 결정해드립니다. - 안준환 차장, NDS :: AWS Summit Seoul 2019