AWS 클라우드 네트워크 서비스 알아보기::서지혜::AWS Summit Seoul 2018

© 2018, Amazon Web Services, Inc. or Its Affiliates. All rights reserved.
서지혜
Solutions Architect/Amazon Web Services
AWS 클라우드 네트워크
서비스 알아보기

Agenda
1. 글로벌 네트워크 인프라
2. VPC 와 네트워크 보안
3. 다양한 워크로드를 위한 로드 밸런서
4. 온-프리미스 네트워크와 완벽한 통합

1. 글로벌 네트워크 인프라

us-east-1
(N. Virginia)
us-west-1
(N. California)
ap-aoutheast-1
(Singapore)
eu-west-1
(Ireland)
AWS Region 확장
초기 5년: 4개
Global AWS Region

sa-east-1
(Sao Paulo)
ap-southeast-1
(Sydney)
ap-northeast-1
(Tokyo)
eu-central-1
(Frankfurt)
China
(Beijing)
GovCloud
(us-west)
us-west-2
(Oregon)
AWS Region 확장
초기 5년: 4개
다음 5년: 7개
Global AWS Region

ap-northeast-2
(Seoul)us-east-2
(Ohio)
China
(Ningxia)
ca-central-1
(Canada)
ap-south-1
(Mumbai)
eu-west2
(London)
eu-west3
(Paris)
AWS Region 확장
초기 5년: 4개
다음 5년: 7개
2016년 ~ 2017년 : 7개
Global AWS Region
18 Region, 54 Availability Zone (2018년 4월 현재)

Hong Kong SARBahrain
GovCloud
(east)
Sweden
2018 ~ 2019년 초: 4개 (예정)
AWS Region 확장
초기 5년: 4개
다음 5년: 7개
2016년 ~ 2017년 : 7개
Global AWS Region

• 이중화된 100GbE 네트워크
• 모든 AWS 리전간 트래픽은
Amazon Global Backbone을
사용하도록 설계
Amazon Global Network
• 고객사 On-Premise와 AWS
VPC를 연결하기 위한
전용회선 접속 지점
• 전세계 80개의 지점
• APN 파트너를 통한 연결
Direct Connect Location
• 전세계 24개국 56개의 도시 분포
• 114개의 PoP (103개의 엣지
로케이션, 11개의 리전 엣지 캐시)
• CloudFront, Route53,
Shield, WAF 서비스 됨
Edge Locations
Global AWS Backbone (2018년 4월 현재)

2. VPC 와 네트워크 보안

Virtual Private Cloud
Security Groups & ACLs Flow LogsNAT Gateway
논리적으로 분리된
네트워크
IP 할당,서브넷구성,라우팅도 자유롭게!
Internet Gateway Router
VPC 보안 툴로 더 안전하게
Elastic ENI
Virtual Private Cloud(VPC)

기존 VPC에
IP대역(CIDRs) 추가
VPC 사이즈 확장
각 보안 그룹 (Security
Group) 규칙에
간단한 설명 지원
보안 규칙 주석
API를 통해 새로운
"기본“ VPC 생성
Default VPC
잘못 릴리스 된
Elastic IP 주소를 복구
EIP 복구
더욱 편리해진 VPC 기능

Amazon Time Sync 서비스
EC2
Public Subnet
EC2
Private Subnet
Satelite
Atomic
Clock
169.254.169.123
https://docs.aws.amazon.com/ko_kr/AWSEC2/latest/Us
erGuide/set-time.html
https://docs.aws.amazon.com/AWSEC2/latest/Window
sGuide/windows-set-time.html
인터넷 연결이 불필요한 위성 및
원자시계 기반의 정밀한 NTP 서비스
Security Group 또는 NACL에
NTP관련 규칙 불필요 (UDP/123)
Private Subnet의 인스턴스들도 NAT
GW없이 NTP 동기화가 가능
Amazon Linux에서는 기본 적용
모든 퍼블릭 리전에서 무료로 사용 가능

10.1.0.0/24 192.168.0.0/16
리전 내 VPC간 통신은?
Seoul Region(ap-northeast-2)
Account ID: 334455667788Account ID:112233445566
VPC Peering

US Region Seoul Region
1000101110100011001111010010
Site-to-Site IPSec VPN
IPSec VPN
Pros :
AWS Global Backbone을 활용
Site-to-Site IPSec VPN을 통한
안전한 통신
Cons :
연결 리전 증가에 따른 관리 부담
및 복잡성 증가
VPN Instance 비용 및 이중화
구성 필요
글로벌 리전간 VPC 통신은? (IPSec VPN)
VPN VPN
EIP EIP

글로벌 리전간 VPC 통신은?(Inter-region Peering)
US Region
10.1.0.0/16
Tokyo Region
10.3.0.0/16
Inter-region Peering
Pros :
AWS관리형 서비스
모든 리전간 트랙픽은 AWS
백본을 사용
단일지점장애(SPOF)가 없는
고가용성 제공
모든 트래픽은 암호화 되어 전송
Cons :
IP대역이 중복 되면 않됨
Transitive Routing은 미지원Sydney Region
10.5.0.0/16
10001110100010101001010101011010

VPC 와 AWS Public 서비스(S3/DynamoDB)와 연동은?
Amazon
S3
Public Subnet-1 (AZ-1)
NAT
GW
Public Subnet-2 (AZ-2)
NAT
GW
Amazon
DynamoDB
Private Subnet-1 (AZ-1) Private Subnet-2 (AZ-2)
EC2EC2
EC2 EC2
VPC End Point
Public Subnet의 인스턴스는
Internet Gateway를 통해 연결
Private Subnet의 인스턴스는 NAT
Gateway를 통해 연결
기존 방식
사용자 VPC와 AWS Public
Services (S3 및 DynamoDB)간의
안전한 전용의 네트워크 경로
(인터넷 게이트웨이 및 NAT GW를
경유하지 않음)
NAT GW대비 저렴한 비용, 동적인
성능확장 및 장애 대비 구조 제공
End Point를 생성하고, VPC Route
Table에 해당 경로를 추가
VPC End Point
VPC Subnet Route Table

VPC를 좀 더 안전하게 연결 할 순 없을까?
AWS 서비스
Services VPC
SaaS 서비스 제공자 VPC
Service ProviderConsumerOn-Premise
EC2
EC2
EC2
EC2
Subnet-1 (AZ-1)
Subnet-2 (AZ-2)
서비스 제공자 VPC
VPC Peering
NLB ENI
사용자/고객 VPC
10.0.0.0/16
Direct
Connect
온 프리미스
데이터센터

PrivateLink 소개
서비스 사용자 VPC내에 다른 서비스 제공자 VPC로 접근할 수 있는
Endpoint 네트워크 인터페이스(ENI) 를 생성하여 제공자 승인 후 연동
NLB
vpce-svc-042cd559bcd7e871a
10.2.0.0/24
서비스 사용자 VPC
EndPoint
ENI
vpce-02cefa2110e3791ef
10.0.0.1710.0.0.10
10.0.0.0/24
연동 시 VPC endpoint DNS로 요청
i.e.) vpce-02cefa2110e3791ef-8okam3fh.vpce-svc-042cd559bcd7e871a.us-west-
2.vpce.amazonaws.com
Direct
Connect

PrivateLink 구성
Instances
PrivateLink 지원 서비스
Services VPC
SaaS 서비스 제공자 VPC
Service ProviderConsumerOn-Premise
EC2
EC2
EC2
EC2
Subnet-1 (AZ-1)
Subnet-2 (AZ-2)
Network
Load Balancer NLB ENI
사용자/고객 VPC
10.0.0.0/16
Direct
Connect
“고객의 On-Premise Data
Center에서도 PrivateLink를
통하여 Provider의 서비스
사용이 가능”
EndPoint
ENI
NATW

AWS 서비스를 위한 PrivateLink
Amazon
EC2 API
Elastic Load
Balancing
API
Amazon
Kinesis
Data Stream
VPC 또는 On-Premise 데이터센터에서 다양한
AWS 서비스들에 독립적이고 안전하게 접근
AWS KMSAWS
System
Manager
AWS Service
Catalog
AWS
Cloudwatch
Logs
Amazon
SNS

고객 및
파트너
Network Load
Balancer 기능 활용
고객 VPC 내에 안전한
Endpoint 제공
AWS Marketplace
와 통합
SaaS 솔루션을 위한 PrivateLink

SQL injection, XSS 등
일반적인 웹 공격으로부터
어플리케이션 보호
DDoS 공격으로부터
웹 어플리케이션을 보호
SSL / TLS 인증서를
쉽게 배포 및 관리
네트워크 보안 서비스
Website Application
Firewall
AWS Shield Certificate Manager

Available in
Marketplace 네트워크 보안 파트너

3. 다양한 워크로드를 위한
로드 밸런서

Elastic Load Balancer 의 종류
• HTTP/HTTS Layer 7 트래픽
• 고급 라이팅 기능 (마이크로
서비스, 컨테이너)
• TCP트래픽
• 초당 수백만 요청
• 낮은 지연, 갑작스러운
트래픽 증가에 대응
• Zone 당 한 개의 고정 IP
• TCP/HTTP/HTTPS
트래픽
• EC2-Classic
네트워크 인스턴스
Application Load Balancer Network Load Balancer Classical Load Balancer

Application Load Balancer: 풍부한 Layer 7 기능
고급 컨텐츠
기반 라우팅
HTTP/HTTPS (Layer 7)
Load Balancing
최신의 웹
프로토콜 지원
컨테이너
지원
로드밸런서당 다수의 인증서 지원, 간단해진 배포
Multiple certificates
(SNI)
Blue/Green 배포
Application Load Balancer

ELB통합으로 구성을 간소화
Proxy Proxy Proxy
www.example.com
CLB CLB CLB
Amazing brand Stella Brand Awesome Brand
NGINX
HA Proxy
프록시 레이어를 통한 서비스 분리
/amazingbrand /stellabrand /awesomebrand
www.example.com
경로(Path) 기반으로 간소화
ALB
CLB

로드 밸런서 통합이 가능 합니다.
ELB 통합으로 인한 비용 절감

특징
Source IP 유지
고정 IP지원
오래 지속되는 TCP연결
Pre-warming이 필요 없음
보다 낮은 지연초당 요청 수
퍼블릭 리전데이터 전송 비용 감소
레이어 4
TCP 1M+ 50µs
25% All
Network Load Balancer

4. 온프리미스 네트워크와
완벽한 통합

온-프리미스 네트워크와 연동 방법
Elastic Load
Balancing
온-프리미스 네트워크
안의 자원으로 로드밸런싱
VPN
VPC에 VPN을 통하여
안전하게 접근
Direct Connect
온-프리미스와 AWS를
전용선을 통하여 연결

관리형 VPN 서비스
CORP
고객사 네트워크
고객사
Gateway
EC2
72.21.209.193
72.21.209.225
Virtual Private Gateway

네트워크 비용 절감
AWS in/out 네트워크
비용을 절감
안전한 네트워크 제공
온-프리미스 네트워크에서
VPC로 전용선 연결
일관적인 성능
일관적인 네트워크
성능을 제공
Direct Connect 소개

Direct Connect 로케이션
2017년 말 추가된 DX 로케이션
Bangalore
Ningxia(2)
Tokyo
London
Minneapolis
Miami
Cape Town
Johannesburg
Rio de janeiro
KINX, 서울 가산
LG U+, 경기 평촌
Direct Connect 파트너

Region
CORP
고객사 네트워크
AWS Direct
Connect
Endpoint
고객사
또는 파트너
라우터
고객사
라우터/방화벽
EC2
Direct Connect 구성
DX Location (KINX, LG U+)

Direct Connect Gateway
Direct Connect Location(접속지점)에서 전세계 AWS
리전으로 AWS Global Backbone을 이용하여 손쉽게 연결
On-Premise에서 가장 가까운 접속지점을 선택하세요!
Direct Connect
Gateway

CORP
US Region
10.1.0.0/16
EU Region
10.6.0.0/16
Direct Connect
Location (Seoul)
Direct Connect
Gateway
AWS Global Backbone
“중국 리전을 제외한 모든 AWS Public Region에서 사용 가능”
•••••

AWS Global Infrastructure 및 Global Backbone은 빠르고 지속적으로
확장하고 있음
PrivateLink를 통하여 보다 안전하고 효과적으로 AWS Services 및
파트너 솔루션에 접근 가능
Application Load Balancer의 고급 라우팅 기능으로 구성 간소화
Network Load Balancer는 수백만 요청을 처리하고 낮은 레이턴시 제공
AWS Global Infrastructure를 활용하여 글로벌 비지니스를 효과적으로
확장 (Direct Connect Gateway, Inter-Region VPC Peering)
체크 포인트

AWS Summit 모바일 앱과 QR코드를
통해 강연 평가 및 설문 조사에 참여해
주시기 바랍니다.
내년 Summit을 만들 여러분의 소중한
의견 부탁 드립니다.
#AWSSummit 해시태그로 소셜 미디어에 여러분의 행사
소감을 올려주세요.
발표 자료 및 녹화 동영상은 AWS Korea 공식 소셜 채널로
공유될 예정입니다.
여러분의 피드백을 기다립니다!

AWS 클라우드 네트워크 서비스 알아보기::서지혜::AWS Summit Seoul 2018

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Similar to AWS 클라우드 네트워크 서비스 알아보기::서지혜::AWS Summit Seoul 2018

Similar to AWS 클라우드 네트워크 서비스 알아보기::서지혜::AWS Summit Seoul 2018 (20)

More from Amazon Web Services Korea

More from Amazon Web Services Korea (20)

AWS 클라우드 네트워크 서비스 알아보기::서지혜::AWS Summit Seoul 2018