[AWS] 서비스 개념 정리 (4)

✅ AWS VPN

• AWS Virtual Private Network 솔루션은 온프레미스 네트워크, 원격 사무실, 클라이언트 디바이스 및 AWS 글로벌 네트워크 사이에서 보안 연결을 설정한다.
• AWS VPN은 AWS Site-to-Site VPN 및 AWS Client VPN이라는 두 가지 서비스로 구성된다. 이 서비스를 함께 결합하여 네트워크 트래픽을 보호하는 탄력적인 고가용성 관리형 클라우드 VPN 솔루션을 제공한다.

✅ VPN 종류

• Client VPN
  AWS 리소스와 온프레미스 네트워크에 안전하게 액세스할 수 있게 해주는 관리형 클라이언트 기반 VPN 서비스입니다. AWS Client VPN을 사용하여 사용자가 연결할 수 있는 엔드포인트를 구성하여 보안 TLS VPN 세션을 설정할 수 있습니다. 이렇게 하면 클라이언트가 OpenVPN 기반 VPN 클라이언트를 사용하여 어느 위치에서든 온프레미스 또는 AWS의 리소스에 액세스할 수 있습니다. 
  하드웨어나 소프트웨어 기반 솔루션을 설치 및 관리하거나 한 번에 지원할 원격 사용자 수를 예측하지 않아도 된다.
  
  
• Site-to-Site VPN
  데이터 센터 또는 지점과 AWS 클라우드 리소스 사이에서 보안 연결을 생성한다. 글로벌로 분산된 애플리케이션에 대해 AWS Global Accelerator와 함께 Accelerated Site-to-Site VPN 옵션을 사용하여 성능을 향상시킬 수 있다.
  AWS 측 Site-to-Site VPN 연결에서 가상 프라이빗 게이트웨이 또는 Transit Gateway는 자동 장애 조치를 위한 2개의 VPN 엔드포인트(터널)를 제공한다.
  
  
• VPN CloudHub
  원격 네트워크가 두 개 이상인 경우(예: 여러 지사 사무실), 가상 프라이빗 게이트웨이를 통해 AWS Site-to-Site VPN 연결을 여러 개 만들고 이들 네트워크 사이의 통신을 활성화할 수 있다.
  
  
• 타사 소프트웨어 VPN 어플라이언스
  서드 파티 소프트웨어 VPN 어플라이언스를 실행 중인 VPC에서 Amazon EC2 인스턴스를 사용하여 원격 네트워크에 대한 VPN 연결을 생성할 수 있습니다. AWS는 서드 파티 소프트웨어 VPN 어플라이언스를 제공하거나 유지 관리하지 않지만, 파트너와 오픈 소스 커뮤니티에서 제공하는 다양한 제품 중에서 선택할 수 있습니다.

 

✅ Site-to-Site VPN vs Client VPN 
Site-to-Site VPN

• 하드웨어 VPN
• 실제 VPN 장비 - AWS VPN 장비 (하드웨어-하드웨어)

Client VPN

• 소프트웨어 VPN
• 사용자 Client App - AWS VPN 장비 (하드웨어-소프트웨어)
• 내 PC가 해당 내부망 안에 존재하는 것처럼 작동 (인터넷도 안됨)
• SSL 인증서 필요

 

✅ 사용 사례

Site-to-Site VPN

Client VPN

 

✅ 온프레미스 네트워크 엑세스 활용

---

✅ ENA (Elastic Network Adapter)

• Elastic Network Adapter의 약자로 최신의 프로세스에 최적화 해 대역폭 및 성능을 향상(호스트의 프로세스의 부하 감소)시킨 네트워크 아답터 모듈이다.

 

✅ ENA 기능

• 체크섬 생성 – ENA는 하드웨어의 IPv4 헤더 체크섬 생성 및 TCP / UDP 일부 체크섬 생성을 처리합니다.
• 멀티 큐 장치 인터페이스 – ENA는 여러 전달을 사용하여 큐를 수신하고 내부의 오버 헤드를 줄일 수 있습니다.
• 수신 측에 의한 실행 – ENA는 적절한 vCPU가 처리하도록 들어오는 패킷을 유도합니다. 따라서 오류를 방지하고 캐시의 효율성을 높일 수 있습니다.
• Enhanced Networking 지원
  향상된 네트워킹을 통해 대역폭과 PPS(Packet Per Second) 성능이 높아지고, 인스턴스 간 지연 시간이 지속적으로 낮아진다. 
  • Intel 82599VF - 최대 10Gbps의 네트워크 속도를 지원한다.
  • SR-IOV : 기존 가상 네트워크 인터페이스에 비해 높은 I/O 및 낮은 CPU 사용률을 제공하는 디바이스 가상화 방법이다. 시스템에서 여러 파티션이 동시에 실행되어 PCIe 장치를 공유할 수 있도록 PCI3 확장 스펙을 정의하는 PCIe(Peripheral Component Interconnect express) 표준 아키텍처이다.

 

---

✅ CodeDeploy 

• Amazon EC2 인스턴스, 온프레미스 인스턴스, 서버리스 Lambda 함수 또는 Amazon ECS 서비스 등 다양한 컴퓨팅 서비스에 대한 배포를 자동화하는 완전 관리형 배포 서비스이다.
  
• 배포 방식도 다양하게 구성할 수 있는데 배포중인 애플리케이션이 완전히 다운되는 것을 막기 위해 최소한의 구동되고 있어야 할 인스턴스 퍼센트를 정의한다거나 Blue/Green Deployment를 수행하는 등의 과정으로 가동 중지 시간을 최소화할 수 있다.
  
• CodeDeploy 애플리케이션에 대한 배포 그룹을 하나 이상을 지정할 수 있다. 각 애플리케이션 배포는 배포 그룹 중 하나를 사용한다. 컴퓨팅 플랫폼의 배포 그룹에 대해 롤백, 트리거 및 경보 등의 일부 설정을 구성할 수 있다.
• CodeDeploy를 사용하기 전에 기존 코드를 변경할 필요가 없다.
  
• 배포 가능한 애플리케이션 콘텐츠
  • Code
  • 서버리스 AWS Lambda 함수
  • 웹 및 구성 파일
  • Executables
  • 패키지
  • 스크립트
  • 멀티미디어 파일

 

✅ CodeDeploy 기능

• 새 기능을 신속하게 출시.
• AWS Lambda 함수 버전 업데이트.
• 애플리케이션 배포 시 가동 중지 방지
• 오류가 발생하는 수동 배포와 관련된 다양한 위험 없이 애플리케이션 업데이트에 따른 복잡성 처리.

 

✅ CodeDeploy 자동화 부분

실제 운영 환경에 전송 -> 운영 환경에서 기존 실행 중이던 프로그램 종료 -> 새 버전의 프로그램 실행

 

 

✅ 에이전트
EC2에 설치하는 프로그램으로, CodeDeploy에서 해당 EC2를 사용할 수 있도록 하는 프로그램이다. EC2 이외의 배포 환경에는 필요하지 않다.
에이전트는 어플리케이션 계정, 배포 기록, 배포 스크립트 등을 EC2의 루트 디렉토리에 저장한다.

Amazon Linux, Ubuntu server, RHEL 인 경우, /opt/codedeploy-agent/deployment-root 에 위치한다.

---

✅ AWS CodeCommit

• 클라우드에서 자산 (예: 문서, 소스 코드, 바이너리 파일) 을 비공개로 저장하여 관리하는 데 사용할 수 있도록 Amazon Web Services Services에서 호스팅되는 버전 관리 서비스이다. 
  

 

✅ CodeCommit 특징

• git 명령어, branch 기능 사용이 가능하고 commit도 관리할 수 있다. AWS에서 commit에 대한 모든 기록과 버전을 관리해주므로 롤백도 간단하게 수행할 수 있다.
• IAM로 AWS 사용자의 권한을 설정함으로써 master branch에 직접적인 영향을 끼칠수 없게 설정할 수 있다.
• 다른 AWS 서비스들과 pipeline을 이루어 CI/CD 환경 구축의 첫 저장소 역할을 위해 사용된다. notification이나 trigger를 설정하여 CloudWatch에 Log를 남기거나 Lambda 함수를 활용하여 다른 target을 설정할 수 있는데, 레포지토리에 변경 사항이 생기면 자동으로 ColdBuild를 트리거할 수 있도록 해 자동 빌드 환경을 구축할 수도 있다.
• CodeCommit은 CodePipeline 및 CodeDeploy와 통합되어 개발 및 릴리스 프로세스를 간소화한다.

 

✅ CodeCommit 기능

• AWS에서 호스팅하는 완전 관리형 서비스의 이점 : CodeCommit은 높은 서비스 가용성과 내구성을 제공하며 하드웨어와 소프트웨어를 자체적으로 관리하는 부담을 덜어 줍니다. 하드웨어를 프로비저닝 및 확장하고 서버 소프트웨어를 설치, 구성, 업데이트할 필요가 없습니다.
  
  
• 코드를 안전하게 저장 : CodeCommit 리포지토리는 유휴 상태 및 전송 중에도 암호화됩니다.
  
  
• 코드에서 공동으로 작업합니다 : CodeCommit 리포지토리는 브랜치에 병합하기 전에 사용자들이 서로 코드 변경 내용을 검토하고 그에 대한 설명을 추가할 수 있는 풀 요청 기능과 풀 요청 및 설명에 대한 이메일을 사용자에게 자동으로 전송하는 알림 기능 등을 지원합니다.
  
  
• 버전 관리 프로젝트를 쉽게 확장 : 개발 요구에 맞춰 CodeCommit 리포지토리는 확장이 가능합니다. 서비스를 통해 대량 파일 또는 브랜치, 대용량 파일 크기 및 긴 개정 기록을 포함하는 리포지토리를 처리할 수 있습니다.
  
  
• 언제든지 모든 것을 보관하십시오 : CodeCommit에는 리포지토리 크기 또는 저장할 수 있는 파일 형식에 대한 제한이 없습니다.
  
  
• 다른 사용자와 통합AWS및 타사 서비스 : CodeCommit은 리포지토리를 다른 프로덕션 리소스에 가깝게 유지합니다.AWS개발 수명 주기의 속도와 빈도를 높이는 데 도움이 되는 클라우드 IAM과 통합되고 다른 기능과 함께 사용할 수 있습니다.AWS서비스 및 다른 리포지토리와 함께 제공됩니다. 
  
  
• 다른 원격 리포지토리에서 파일을 쉽게 마이그레이션할 수 있습니다 : Git 기반 리포지토리에서 CodeCommit으로 마이그레이션할 수 있습니다.
  
  
• 이미 알고 있는 Git 도구 사용 : CodeCommit은 Git 명령뿐 아니라 자체 명령을 지원합니다.AWS CLI명령 및 API.

---

✅ OpsWorks 

• Puppet 또는 Chef를 사용하여 인스턴스나 온프레미스 환경에서 서버가 구성, 배포되는 방법을 자동화하는 구성 관리 서비스
• OpsWorks를 사용하면 애플리케이션 아키텍처와 리소스 구성을 유연하게 정의하고, 사용할 AWS 리소스의 프로비저닝 및 관리도 쉽게 처리할 수 있다.
• OpsWorks에는 시간이나 로드를 기반으로 애플리케이션을 조정하는 자동화 기능, 리소스 상태를 기반으로 문제를 해결하고 자동화된 작업을 수행할 수 있게 해주는 모니터링 기능, 다중 사용자 환경을 좀 더 쉽게 관리하기 위한 권한 및 정책 관리 기능이 포함되어 있다.

 

✅ OpsWorks 서비스들

[AWS] OpsWorks 의 개념

 

 

 

출처

https://honglab.tistory.com/135

https://blog.secuof.net/17

https://jbhs7014.tistory.com/151

https://galid1.tistory.com/745

https://sarc.io/index.php/aws/659-aws-aws-opsworks