📚 네트워킹 모듈 핵심 내용 요약
이번 모듈을 통해 AWS 클라우드 환경에서 워크로드를 격리하고 연결하며 최적화하는 데 필요한 핵심 네트워킹 개념과 서비스를 학습하셨습니다.
1. 기본 네트워킹 환경 구축
- Amazon VPC (Virtual Private Cloud): 사용자가 정의한 가상 네트워크 내에서 AWS 리소스를 시작할 수 있는 논리적으로 격리된 구역이며, AWS 클라우드 네트워킹의 기초입니다.
- 서브넷 (Subnet): VPC를 논리적으로 분할하여 리소스를 정리하는 섹션입니다. 퍼블릭(Public) 또는 **프라이빗(Private)**으로 설정하여 인터넷 접근 여부를 결정합니다.
- 게이트웨이:
- 인터넷 게이트웨이 (Internet Gateway, IGW): VPC와 인터넷 간의 연결을 제공하여 퍼블릭 트래픽을 허용합니다.
- 가상 프라이빗 게이트웨이 (Virtual Private Gateway, VGW): 승인된 프라이빗 네트워크에서 오는 보호된 트래픽이 VPC로 들어오도록 허용합니다.
- NAT 게이트웨이 (NAT Gateway): 프라이빗 서브넷의 인스턴스가 VPC 외부 서비스에 접속할 수 있도록 허용하되, 외부에서 인스턴스로의 접속은 차단합니다.
2. 보안 및 격리
- 네트워크 ACL (Network Access Control List): 서브넷 수준에서 인바운드 및 아웃바운드 트래픽을 제어하는 무상태(Stateless) 패킷 필터링 방화벽입니다.
- 보안 그룹 (Security Groups): 인스턴스 수준에서 인바운드 및 아웃바운드 트래픽을 제어하는 상태 저장(Stateful) 패킷 필터링 방화벽입니다.
3. 하이브리드 및 원격 접속
| 서비스 | 연결 대상 | 연결 방식 | 특징 |
| AWS Site-to-Site VPN | 데이터 센터 또는 지사 네트워크 ↔ AWS | 공용 인터넷을 통한 암호화 터널 | 네트워크 대 네트워크의 보안 연결 |
| AWS Client VPN | 원격 근무자 ↔ AWS | 완전 관리형, 탄력적 VPN 서비스 | 개별 원격 사용자 접속 및 고급 인증 |
| AWS Direct Connect | 데이터 센터 ↔ AWS | 전용 물리적 사설 연결 | 일관된 성능 및 초고속 대역폭 |
| AWS PrivateLink | VPC ↔ AWS 서비스/파트너 서비스 | 인터넷을 거치지 않는 비공개 연결 | VPC 내부에 서비스처럼 연결 |
| Amazon Transit Gateway | 여러 VPC와 온프레미스 네트워크 | 중앙 집중식 트랜짓 허브 | 수많은 네트워크 간의 연결을 단순화 |
4. 글로벌 배포 및 성능 개선
- Amazon Route 53 (DNS): 가용성이 높고 확장 가능한 DNS 서비스로, 도메인 이름을 IP 주소로 변환하고 **고급 트래픽 라우팅 정책(예: 상태 확인, 지연 시간)**을 제공합니다.
- Amazon CloudFront (CDN): 엣지 로케이션을 통해 웹 콘텐츠를 캐싱하고 배포하여, 사용자에게 낮은 지연 시간과 높은 전송 속도를 제공합니다.
- AWS Global Accelerator: AWS 글로벌 네트워크 백본을 통해 트래픽을 라우팅하여 글로벌 사용자를 위한 애플리케이션의 가용성과 성능을 개선합니다.
An enterprise customer just merged with another company and needs a way to quickly scale and provide a way for the new worldwide sales force to access their AWS resources. They want a fully managed service with advanced authentication for their new remote workers.
Which solution would BEST meet their needs?
- AWS Direct Connect > 회사 본사 네트워크와 AWS를 연결하는 솔루션
- AWS PrivateLink
- AWS Client VPN
- AWS Site-to-Site VPN
AWS Client VPN이 최적인 이유
고객의 요구사항은 **전 세계에 분산된 새로운 원격 근무자(worldwide sales force)**에게 AWS 리소스에 접근할 수 있는 방법을 신속하게 확장하여 제공하는 것이며, 이를 위해 완전 관리형 서비스와 고급 인증이 필요합니다.
AWS Client VPN은 이러한 요구사항을 완벽하게 충족하는 서비스입니다.
1. 원격 접속 및 확장성 (Remote Access & Scale)
- 원격 접속 솔루션: AWS Client VPN은 사용자가 인터넷을 통해 어디에서든 **AWS VPC(Virtual Private Cloud)**의 리소스에 안전하게 접속할 수 있도록 해주는 서비스입니다. 이는 전 세계에 퍼져 있는 영업팀이 AWS 리소스에 접속할 수 있도록 해줍니다.
- 완전 관리형 서비스: AWS가 서비스의 확장, 패치, 관리 등을 모두 처리하므로, 고객은 기반 인프라 관리에 신경 쓸 필요 없이 신속하게 서비스 규모를 확장하고 원격 접속을 제공할 수 있습니다.
2. 고급 인증 (Advanced Authentication)
- 다양한 인증 옵션: Client VPN은 Active Directory 인증, 상호 인증(Mutual Authentication), SAML 기반 인증 등을 지원합니다. 이 중 SAML 기반 인증을 통해 새로운 직원을 위해 필요한 고급 인증 및 싱글 사인온(SSO) 기능을 쉽게 통합할 수 있습니다.
❌ 오답 분석
| AWS 서비스 | 주요 기능 | 부적합한 이유 |
| AWS Direct Connect | 온프레미스 데이터 센터와 AWS 간에 전용 사설 연결을 제공합니다. | 이는 회사 본사 네트워크와 AWS를 연결하는 솔루션이지, 개별 원격 근무자가 개인의 노트북이나 장치로 AWS에 접속하도록 설계된 서비스가 아닙니다. |
| AWS PrivateLink | AWS VPC 내에서 또는 VPC와 다른 AWS 서비스 간에 비공개 연결을 설정하여 트래픽이 인터넷을 거치지 않도록 합니다. | 이는 개별 사용자 접속이 아닌, 서비스 대 서비스 또는 VPC 대 서비스 연결을 위한 솔루션입니다. 원격 근무자의 AWS 리소스 접속을 위한 서비스가 아닙니다. |
| AWS Site-to-Site VPN | 고객의 **온프레미스 네트워크(회사 전체)**와 AWS 클라우드를 IPsec VPN 터널을 통해 연결하는 서비스입니다. | 이는 사무실 환경이나 데이터 센터를 AWS VPC에 연결하도록 설계되었습니다. 개별 원격 근무자가 각자의 장치에서 AWS 리소스에 접속할 수 있도록 하는 확장 가능하고 관리형 서비스(Client VPN)가 아니므로, 전 세계 영업팀에 적합하지 않습니다. |
AWS 네트워킹 서비스 비교 (접속 대상별 차이)
AWS 접속 서비스들은 크게 누가/무엇이 접속하느냐에 따라 용도가 나뉩니다.
| 서비스 명 | 접속 주체 (누가/무엇이) | 접속 대상 (어디로) | 역할 (비유) |
| AWS Client VPN | 개별 사용자 (원격 근무자) | AWS VPC의 리소스 | 개인의 출입 카드 및 전용 통로 |
| AWS Site-to-Site VPN | 회사 사무실 네트워크 (지사, 데이터 센터) | AWS VPC 전체 | 두 건물 사이의 비밀 터널 |
| AWS Direct Connect | 회사 데이터 센터 (대규모 본사) | AWS 클라우드 전체 | 대규모 전용 고속도로 |
| AWS PrivateLink | AWS 서비스 또는 VPC | 특정 서비스 (SaaS, API) | 내부 직원 전용 엘리베이터 |
1. AWS Client VPN (개인 사용자 접속)
정의
개별 원격 근무자가 자신의 장치(노트북, 휴대폰)를 통해 인터넷을 경유하여 AWS VPC 내의 리소스에 안전하게 접근하도록 해주는 완전 관리형 서비스입니다.
핵심 특징
- 개인용: 한 명의 사용자를 위한 원격 접속 솔루션입니다.
- 고급 인증: Active Directory, SAML(SSO) 등 다양한 고급 인증 방식을 지원하여 보안을 강화합니다.
- 확장성: AWS가 접속 서버를 관리하므로, 영업팀과 같이 사용자 수가 빠르게 늘어나도 관리가 쉽습니다.
❓ 이전 문제에 적합한 이유
문제가 요구하는 **"전 세계 원격 근무자"**가 **"고급 인증"**을 사용하여 접속하는 상황에 가장 정확하게 부합합니다.
2. AWS Site-to-Site VPN (네트워크 간 접속)
정의
회사 네트워크 전체 (사무실, 지사, 데이터 센터)와 AWS VPC 간에 인터넷을 이용하여 **암호화된 터널(VPN)**을 구축하는 서비스입니다.
핵심 특징
- 네트워크 대 네트워크: 개별 사용자가 아닌, 네트워크 전체를 연결합니다.
- 설치 필요: 고객 측 사무실에 VPN 장비(Customer Gateway) 설정이 필요합니다.
- 처리량 제한: 인터넷을 사용하므로 대규모 데이터 마이그레이션에는 적합하지 않고, 주로 중소 규모의 네트워크 확장이나 백업 연결에 사용됩니다.
❌ 이전 문제에 부적합한 이유
개인의 원격 접속이 아니라 회사 사무실 건물 자체를 클라우드에 연결하는 것이 목적이므로, 개별 원격 근무자에게는 적합하지 않습니다.
3. AWS Direct Connect (전용 고속 접속)
정의
고객의 물리적 데이터 센터와 AWS 간에 전용의 물리적 회선을 구축하여 사설 연결을 제공하는 서비스입니다.
핵심 특징
- 물리적 연결: 전용 광 케이블을 통한 사설 네트워크입니다.
- 초고속/저지연: 인터넷을 거치지 않아 일관된 낮은 지연 시간과 **매우 높은 대역폭(최대 100Gbps)**을 제공합니다.
- 하이브리드/대규모 마이그레이션: 대규모 데이터 전송이나 실시간 연동이 필요한 하이브리드 환경에 필수적입니다.
❌ 이전 문제에 부적합한 이유
**'원격 근무자'**가 아닌, **'데이터 센터'**와 'AWS' 간의 대규모, 영구적 연결을 위한 서비스입니다.
4. AWS PrivateLink (서비스 간 접속)
정의
AWS 클라우드 내의 특정 서비스 (자사 또는 파트너의 서비스)를 VPC의 사설 IP 주소를 통해 안전하고 비공개적으로 접속할 수 있도록 해주는 서비스입니다.
핵심 특징
- 인터넷 우회: 트래픽이 VPC 내부에 머무르며 인터넷을 거치지 않습니다.
- 서비스 단위 연결: VPC 전체가 아닌, VPC에서 특정 서비스에 연결하는 데 사용됩니다.
- 보안: AWS 마켓플레이스 등 외부 서비스와 안전한 사설 통신이 필요할 때 사용합니다.
❌ 이전 문제에 부적합한 이유
개별 원격 근무자가 클라우드에 접속하는 것이 아니라, 두 클라우드 서비스/네트워크 리소스 간의 안전한 비공개 통신을 위한 서비스입니다.
Question
06/14
A customer is exploring edge networking services to improve application availability, performance, and security. They need a solution for traffic routing when something goes wrong in one of their application's locations. Specifically, it takes into account the endpoint health, user location, and policies.
Which AWS solution would BEST meet their needs?
- Amazon CloudFront
- AWS Direct Connect
- Amazon Route 53
- AWS Global Accelerator
정답: AWS Global Accelerator
이 시나리오에서 요구하는 조건(애플리케이션 가용성, 성능, 보안을 향상시키면서 엔드포인트 상태, 사용자 위치, 정책을 고려한 라우팅)에 가장 잘 맞는 서비스는 AWS Global Accelerator입니다.
1. Global Accelerator의 핵심 역할
Global Accelerator는 AWS의 글로벌 네트워크 엣지를 사용하여 트래픽을 지능적으로 라우팅합니다.
- 성능 향상: 사용자의 트래픽을 공용 인터넷이 아닌 AWS의 전용 글로벌 백본 네트워크를 통해 가장 가까운 AWS 엣지 로케이션으로 연결합니다. 이를 통해 네트워크 혼잡을 피하고 지연 시간을 크게 줄입니다.
- 지능적 라우팅 (Traffic Steering): 서비스의 상태(Health), 지리적 위치, 가중치 정책 등을 종합적으로 평가하여 트래픽을 가장 가까우면서도 가장 건강한(healthy) 애플리케이션 위치(리전)로 라우팅합니다.
- 가용성 및 장애 조치 (Failover): 한 리전의 엔드포인트에 문제가 생기면, Global Accelerator는 자동으로 트래픽을 다른 리전의 정상적인 엔드포인트로 즉시 전환합니다.
2. Amazon Route 53가 적절하지 않은 이유
Amazon Route 53은 훌륭한 DNS 서비스이며 기본적인 상태 확인(Health Check) 및 장애 조치 기능을 제공합니다.
- 문제점: Route 53은 DNS 수준에서 작동합니다. DNS 캐시 만료 시간(TTL) 때문에 장애 조치에 시간이 걸릴 수 있고, 트래픽은 여전히 공용 인터넷을 통해 이동해야 하므로 지연 시간 최적화에 한계가 있습니다.
3. 나머지 서비스가 적절하지 않은 이유
- Amazon CloudFront: 콘텐츠 캐싱을 통해 성능을 높이는 CDN(Contents Delivery Network) 서비스이지, 복잡한 트래픽 라우팅 및 장애 조치를 수행하는 서비스는 아닙니다.
- AWS Direct Connect: 온프레미스 데이터 센터와 AWS 간의 전용 사설 연결을 위한 서비스입니다. 글로벌 사용자 라우팅이나 가용성 향상과는 관련이 없습니다.
따라서 글로벌 규모의 지능적인 트래픽 관리 및 장애 조치를 위해서는 AWS Global Accelerator가 최선의 선택입니다.
AWS Global Accelerator
'Cloud > AWS' 카테고리의 다른 글
| AWS 스토리지 서비스 핵심정리 (0) | 2025.10.13 |
|---|---|
| AWS 스토리지: Block Storage, Object Storage, File Storage (0) | 2025.10.12 |
| Amazon Route 53 (0) | 2025.10.12 |
| VPN - AWS Direct Connect (0) | 2025.10.10 |
| AWS Builder Training, Cloud Practitioner Essentials, Module3 Exploring Compute Services (0) | 2025.10.10 |