실무 인프라 환경 용어 따라잡기(feat. AWS)

들어가며

입사한 지 1달 조금 넘었는데 그동안 회사의 인프라 환경이 굉장히 방대해 맥락을 따라잡기 위해 따로 학습하던 내용을 정제해서 기록을 하려고 합니다. 회사가 b2b 회사라서 고객사와 작업할 때도 보안으로 인해 인프라 규모가 많이 컸다는 것을 미리 알려드리며 내용을 정리하겠습니다.

전체 아키텍처

전체 아키텍처

현재 제가 작업하는 전체 환경의 아키텍처를 단단히 요약한 모습입니다. 이제 아래에서 각각에 대해 자세히 설명하겠습니다.

Control Tower

Control Tower

Control Tower는 여러 개의 AWS 계정을 운영할 때 발생할 수 있는 보안, 규정 준수 등의 문제를 한 곳에서 제어할 수 있게 도와주는 도구 입니다. 여러 계정을 그룹화(OU, Organizational Units)하여 관리하는 도구 입니다.

회사가 성장하게 되면 개발용, 프로덕트용, 테스트용 등 다양한 AWS 계정을 만들어 사용하게 됩니다. 이는 개발용이나 테스트에서 이뤄지는 일이 프로덕트에는 아예 영향을 미치지 않도록 관리하기 위함입니다. 하지만 계정이 여러개가 되면 매번 계정이 추가될 때마다 따로 환경을 설정해주고, 비용이나 로그도 각각 접속해서 확인하는 등 여러 불편함이 뒤따릅니다. 이를 해결하기 위해 도입한 것이 Control Tower입니다. 여러 개의 계정을 통합적으로 관리해주고, 여러 계정에 적용되는 보안과 같은 설정도 통합적으로 관리하는 등 계정을 관리하기 위한 도구입니다.

로그인 화면

이렇게 Control Tower를 사용하게 되면 신입이 들어오면 Control Tower의 Account Factory 기능을 사용하여 보안 설정이나 기본 VPC 설정이 완료된 계정을 바로 생성해 전달해 줄 수 있습니다.

또한 Guardrails를 사용하여 만약 해당 계정에서 보안에 위반이 되는 행동을 할 경우 알림을 받거나 아니면 원천적으로 해당 행동을 금지하는 등 여러 보안 정책도 설정할 수 있습니다.

aws 참고자료

VDI

VDI는 Virtual Desktop Infrastructure의 줄임말로 가상 머신을 이용하여 가상 데스크탑을 제공하고 관리하는 것 입니다. 즉, 본체는 별도의 서버실에 존재하고 노트북이나 기기에서 화면만 띄워진 상태로 작업을 하는 도구입니다.

이를 사용하는 이유는 보안입니다. 본체는 회사의 내부망에서 동작하기 때문에 파일을 함부러 유출할 수 없고 접속할 수 있는 인터넷 환경도 제한할 수 있기 때문에 보안에 유리합니다. 제가 고객사와 작업할 때도 고객사의 VDI를 사용하여 작업하기 때문에 굳이 고객사에 찾아가 작업할 필요없이 외부에서 고객사의 보안 제약을 받으며 작업할 수 있습니다. 다만, 가상 머신을 사용하는 것이기 때문에 많이 느리다는 단점은 있습니다.

VPN/DX

VPN/DX는 온프레미스 환경과 클라우드 환경을 연결하는 도구 입니다. 예를 들어 이미 회사에서 온프레미스 환경을 구축해서 사용하고 있는데 추가로 일부 서비스에선 AWS와 같은 클라우드 환경을 사용할 수 있습니다. 이때 온프레미스 환경과 클라우드 환경간의 안전한 통신을 위해 사용하는 도구가 VPN/DX입니다.

VPN은 인터넷 망을 이용해 연결하는 것입니다. 다만 데이터를 암호화하여 통신하기 때문에 일반적인 네트워크 통신보단 더 안전하게 통신이 가능합니다.

DX는 온프레미스 환경과 클라우드 환경의 서버간에 실제로 물리적인 선을 연결하여 해당 전용선을 통해 통신하는 방법입니다. VPN보다 훨씬 보안에 좋지만 가격이 더 비쌉니다.

Hub & Spoke

Hub & Spoke

Hub & Spoke는 물류 환경에서 유래된 용어입니다. 여러 개의 Spoke가 있고 이를 중앙 Hub를 통해 서로 통신하고 제어하는 아키텍처입니다.

회사 네트워크 환경에서 여러 개의 VPC를 사용할 때 Hub VPC에만 IGW를 달아 외부 네트워크와 연결이 가능하게 하고 Spoke에는 IGW를 달지 않고 외부 네트워크와 통신이 불가능하게 합니다. 그래서 Spoke에서는 오로지 Hub VPC와의 통신을 통해서만 외부 네트워크와 통신할 수 있습니다. 그래서 외부 네트워크와 통신할 때 Hub VPC에서 패킷 검사나 모니터링, 로깅 등의 공통 로직을 수행하고 적절한 Spoke에 전달한 뒤 Spoke에서 외부 네트워크에 보낼 때도 Hub VPC를 경유하도록 합니다.

전체 아키텍처 모습에서 허브 VPC가 Hub, 사용자 VPC가 Spoke가 됩니다.

TGW

TGW(Transit Gateway)는 AWS에서 제공하는 VPC 간의 통신을 가능하게 해주는 도구입니다. TGW 말고 VPC Peering을 활용할 수도 있습니다. 다만 VPC Peering은 전이성이 없습니다. 즉 A와 B가 연결되어 있고 B와 C가 연결되어 있어도 A와 C가 통신할 수는 없습니다. 

TGW는 이런 불편함을 해소하기 위해 만들어졌습니다. TGW에서 각 VPC간의 통신을 라우팅 해주기 때문에 새로 VPC가 추가된다 하더라도 TGW에만 연결해주면 다른 VPC와 통신이 가능합니다.

좌: VPC Peering, 우: TGW

VPC Endpoint

위의 Spoke VPC에서는 IGW를 달지 않아 외부와 통신이 불가능하다고 적었습니다. 그런데 S3나 DynamoDB, ECR과 같은 AWS의 서비스들은 인터넷을 통해 접속하게 됩니다. 이렇게 되면 Spoke VPC에서 위 서비스들을 사용하지 못하게 됩니다. 그래서 VPC Endpoint를 사용해서 인터넷을 사용하지 않고 해당 서비스에 접속할 수 있도록 합니다.

VPC Endpoint는 2종류로 나뉩니다. 게이트웨이 엔드포인트(Gateway Endpoint)와 인터페이스 엔드포인트(Interface Endpoint)입니다.

게이트웨이 엔드포인트는 S3와 DynamoDB에 접속하는 VPC Endpoint이고 그 외 나머지 서비스에 접속하기 위해 사용하는 엔드포인트가 인터페이스 엔드포인트 입니다. 각각은 이름 뿐만이 아니라 동작 방식에서도 차이가 있습니다. 게이트웨이 엔드포인트는 라우팅 테이블에 경로를 추가하는 방식으로 동작하지만 인터페이스 엔드포인트는 PrivateLink라는 기술을 사용해 동작합니다.