AWS 네트워크 / 애플리케이션 통합 / 분석
이 문서에서는 AWS Solutions Architect Associate 시험에서 자주 등장하는 네트워크, 애플리케이션 통합, 데이터 분석 관련 서비스들을 정리합니다. 다음 용어와 개념들에 대해 간략히 알아보겠습니다.
- API Gateway
- SQS / SNS / EventBridge
- AWS Backup
- VPC (서브넷, IGW, NAT GW)
- VPC 연결 (Peering, Endpoint, PrivateLink)
- 하이브리드 네트워크 (VPN, Direct Connect, Transit Gateway)
- Route 53
- 데이터 분석 (EMR, RedShift, Athena, Glue, Kinesis 등)
- 모니터링 (CloudWatch, X-Ray)
- 보안 그룹 & NACL
라우팅 테이블 (Routing Table)
서브넷 또는 게이트웨이의 네트워크 트래픽이 어디로 전송될지 결정하는 규칙(경로)들의 집합
VPC 내의 모든 서브넷은 반드시 하나의 라우팅 테이블과 연결되어야 합니다. 라우팅 테이블에 정의된 규칙에 따라 패킷의 이동 경로가 결정됩니다.
기본 개념
- Destination (대상): 트래픽이 가려는 목적지 IP 대역 (CIDR 블록)
- Target (타겟): 해당 목적지로 가기 위해 거쳐야 하는 게이트웨이, 네트워크 인터페이스 등의 리소스
- Local Route: VPC 내부 리소스 간 통신을 위한 기본 규칙으로, 자동으로 생성되며 삭제할 수 없습니다.
각 서비스별 라우팅 테이블 설정
네트워크 구성 요소들이 올바르게 작동하려면 라우팅 테이블에 적절한 Target을 지정해야 합니다.
| 구성 요소 | 설명 | 라우팅 테이블 설정 (예시) | 적용 서브넷 |
|---|---|---|---|
| 인터넷 게이트웨이 (IGW) | 외부 인터넷과의 통신 | 0.0.0.0/0 -> igw-xxxx | 퍼블릭 서브넷 |
| NAT 게이트웨이 | 프라이빗 리소스의 아웃바운드 인터넷 통신 | 0.0.0.0/0 -> nat-xxxx | 프라이빗 서브넷 |
| VPC 피어링 | 다른 VPC와의 사설 통신 | 상대방 VPC CIDR -> pcx-xxxx | 통신하는 모든 서브넷 (양쪽 VPC 모두 설정 필수) |
| 게이트웨이 엔드포인트 | S3, DynamoDB 전용 사설 연결 | pl-xxxx (AWS 서비스 프리픽스) -> vpce-xxxx | S3/DynamoDB에 접근할 서브넷 |
| Transit Gateway | 중앙 허브를 통한 다중 네트워크 연결 | 목적지 대역 -> tgw-xxxx | 연결된 서브넷 |
| Egress-Only IGW | IPv6 전용 아웃바운드 인터넷 통신 | ::/0 -> eigw-xxxx | IPv6를 사용하는 프라이빗 서브넷 |
SAA 포인트
- 퍼블릭 vs 프라이빗 서브넷의 기준: 라우팅 테이블에 **IGW(
igw-id)**를 타겟으로 하는0.0.0.0/0경로가 있으면 퍼블릭 서브넷입니다. 없으면 프라이빗 서브넷입니다. - VPC 피어링 설정: 피어링 연결을 생성하는 것만으로는 통신이 되지 않습니다. 반드시 양쪽 VPC의 라우팅 테이블에 상대방 VPC의 CIDR를 목적지로 하는 경로를 업데이트해야 합니다.
- 가장 구체적인 경로 우선 (Longest Prefix Match): 라우팅 경로가 겹칠 경우, 서브넷 마스크의 비트 수가 더 많은(더 구체적인) 경로가 우선적으로 적용됩니다.
- 예:
10.0.1.0/24경로가10.0.0.0/16경로보다 우선합니다.
- 예:
API Gateway
외부로부터 받은 요청을 백엔드 서비스(Lambda, EC2, ECS 등)로 안전하게 전달하고 관리하는 서비스
- 기능: 트래픽 관리, 권한 부여 및 액세스 제어, 모니터링, API 버전 관리.
- 엣지 최적화(Edge-optimized): CloudFront를 사용하여 전 세계 사용자에게 빠른 API 응답 속도를 제공합니다.
API Gateway 유형
| 유형 | 설명 | 비용 |
|---|---|---|
| REST API | 기능이 풍부하며, 엔터프라이즈급 API 관리에 적합 (API Key, 사용량 제한 등) | 상대적으로 비쌈 |
| HTTP API | REST API보다 기능은 적지만, 더 저렴하고 지연 시간(Latency)이 낮음. JWT 인증을 기본 지원 | 저렴함 |
| WebSocket API | 실시간 양방향 통신(채팅 등)을 지원하는 API | - |
SQS (Simple Queue Service)
메시지(요청)를 큐(Queue)에 저장하여 비동기적으로 처리하는 완전 관리형 메시징 서비스
- 느슨한 결합(Decoupling): 생산자(Producer)와 소비자(Consumer) 시스템 간의 의존성을 줄여 독립적으로 확장 가능하게 합니다.
- 트래픽 버퍼링: 갑작스러운 트래픽 폭주 시에도 메시지를 큐에 담아두어 데이터 손실을 방지합니다.
큐 유형 비교
| 유형 | 설명 | 특징 |
|---|---|---|
| 표준 대기열 (Standard) | 무제한 처리량 제공, 메시지 순서가 바뀔 수 있음 | 최소 1회 전달(중복 전달 가능성 있음) |
| FIFO 대기열 | 메시지 순서를 정확히 보장 | 정확히 1회 처리(Exactly-once), 초당 처리량 제한 존재 |
SNS (Simple Notification Service)
메시지를 여러 구독자(Subscriber)에게 동시에 발송(Push)하는 서비스
- Pub/Sub 모델: 하나의 주제(Topic)에 메시지를 발행하면, 해당 주제를 구독한 **여러 대상(Email, Lambda, SQS, HTTP 등)**에게 동시에 메시지가 전달됩니다.
- 활용 예시: 주문 완료 시 -> 고객에게 이메일 발송 + 재고 시스템(Lambda) 알림 + 배송 시스템(SQS)에 메시지 쌓기.
CloudWatch
AWS 리소스와 애플리케이션의 모니터링 및 관리를 위한 서비스
- 기능: 리소스의 메트릭(CPU, 메모리 등) 수집 및 시각화, 로그 수집 및 분석, 경보(Alarm) 설정, 이벤트(Event) 기반 자동화.
- 활용 예시: EC2 CPU 사용률 80% 초과 시 -> 경보 발생 + Auto Scaling으로 인스턴스 추가.
CloudWatch Logs
AWS 리소스와 애플리케이션의 로그를 수집, 모니터링, 저장하는 서비스
- 기능: 리소스의 로그를 수집하여 실시간으로 모니터링하고, 필요 시 경보를 발생시키거나 다른 서비스로 전달합니다.
- 활용 예시: EC2의 로그를 수집하여 CloudWatch Logs로 전송하고, 특정 오류 로그 발생 시 Lambda 함수를 트리거하여 자동으로 복구 작업을 수행합니다.
CloudWatch vs CloudTrail
| 구분 | CloudWatch | CloudTrail |
|---|---|---|
| 목적 | 모니터링 (What is happening now?) | 감사 (Who did what, when, from where?) |
| 수집 대상 | 메트릭(Metrics), 로그(Logs), 이벤트(Events) | API 호출(API Calls) |
| 주요 용도 | 성능 모니터링, 자동 확장, 경보 | 보안 감사, 규정 준수, 문제 해결 |
| 데이터 보존 | 기본 14일 (로그), 15개월 (메트릭) | 기본 90일 (콘솔), S3에 장기 보관 가능 |
EventBridge
AWS 서비스, 사용자 지정 애플리케이션, SaaS 앱 간의 이벤트를 연결하는 서버리스 이벤트 버스
- 기능: 다양한 소스에서 발생한 이벤트를 감지하여 특정 타겟(Lambda, SNS 등)으로 라우팅합니다.
- 특징: 콘텐츠 기반 필터링, 스키마 레지스트리 제공. (기존 CloudWatch Events의 진화형)
AWS Backup
AWS 서비스(EBS, RDS, DynamoDB, EFS 등)의 백업을 중앙에서 관리하고 자동화하는 서비스
VPC 및 네트워크 구성 요소
VPC (Virtual Private Cloud): AWS 클라우드 내 논리적으로 격리된 가상 네트워크 공간
- 서브넷 (Subnet): VPC의 IP 주소 범위를 나눈 작은 네트워크 단위.
- 퍼블릭 서브넷: 인터넷 게이트웨이(IGW)와 연결되어 외부 인터넷과 통신 가능한 서브넷.
- 프라이빗 서브넷: 외부 인터넷과 직접 통신이 불가능한 서브넷. (보안상 DB, 백엔드 서버 배치)
인터넷 게이트웨이 (IGW)
VPC와 외부 인터넷 간의 통신을 가능하게 하는 관문
- 퍼블릭 서브넷의 라우팅 테이블에 IGW를 타겟으로 하는 경로(0.0.0.0/0)가 설정되어야 합니다.
NAT 게이트웨이 (NAT Gateway)
프라이빗 서브넷의 리소스가 외부 인터넷으로 나갈 수 있게 해주는 서비스 (단반향)
- 특징: 프라이빗 서브넷 -> 인터넷(O), 인터넷 -> 프라이빗 서브넷(X)
- 배치: 반드시 퍼블릭 서브넷에 생성해야 작동합니다.
VPC 엔드포인트 (VPC Endpoint)
인터넷 게이트웨이를 거치지 않고 AWS 서비스와 비공개로 연결하는 기능
- 게이트웨이 엔드포인트: S3, DynamoDB 전용. 라우팅 테이블(Route Table)을 수정하여 사용. (무료)
- 인터페이스 엔드포인트 (PrivateLink): 그 외 대부분의 AWS 서비스(EC2, SNS 등) 연결. ENI(Elastic Network Interface)를 생성하여 사용. (유료)
PrivateLink
인터넷을 통하지 않고 VPC 간 또는 온프레미스에서 AWS 서비스/SaaS 애플리케이션에 안전하게 연결하는 기술
VPC 피어링 (VPC Peering)
두 VPC를 비공개 네트워크로 직접 연결하는 기능
- 특징: 다른 계정, 다른 리전의 VPC와도 연결 가능. 전이적 연결(Transitive Peering) 불가능 (A-B 연결, B-C 연결이어도 A-C는 통신 불가, A-C 피어링을 따로 맺어야 함).
네트워크 연결 방식 비교
| 구분 | NAT Gateway | VPC Endpoint | PrivateLink | VPC Peering |
|---|---|---|---|---|
| 연결 대상 | 외부 인터넷 (아웃바운드 전용) | AWS 서비스 (S3, DynamoDB 등) | 다른 VPC의 앱 / AWS 서비스 | 다른 VPC 전체 |
| 인터넷 경유 | X (AWS 내부망 -> 외부망) | X (AWS 내부망) | X (AWS 내부망) | X (AWS 내부망) |
| 주요 목적 | 프라이빗 서브넷의 인터넷 접속 (업데이트 등) | 보안상 인터넷 없이 AWS 서비스 사용 | 서비스/앱 단위의 안전한 공유 | 네트워크 단위의 통합 |
Site-to-Site VPN
온프레미스 데이터센터와 AWS VPC를 공용 인터넷망의 암호화된 터널(IPSec)로 연결하는 서비스
- 비용/속도: 저렴하고 설정이 빠르지만, 공용 인터넷을 사용하므로 속도가 일정하지 않을 수 있습니다.
Direct Connect (DX)
온프레미스와 AWS를 **전용선(물리적 케이블)**으로 직접 연결하는 서비스
- 비용/속도: 비용이 비싸고 설치 시간이 길지만, 보안성이 높고 안정적이고 빠른 속도를 보장합니다.
Transit Gateway
여러 VPC와 온프레미스 네트워크를 중앙 허브(Hub)처럼 연결하는 서비스
- 복잡한 VPC 피어링(Mesh 구조)을 단순화(Star 구조)하여 네트워크 관리를 용이하게 합니다.
Route 53
가용성과 확장성이 뛰어난 클라우드 DNS(Domain Name System) 웹 서비스
- 도메인 등록, DNS 라우팅, 헬스 체크 기능을 제공합니다.
주요 라우팅 정책
- 단순(Simple): 단일 리소스로 트래픽 전달.
- 가중치 기반(Weighted): 트래픽을 지정된 비율(예: 80% vs 20%)로 분산.
- 지연 시간(Latency): 사용자와 가장 지연 시간(Latency)이 짧은 리전으로 연결.
- 장애 조치(Failover): 주(Primary) 리소스 장애 시 보조(Secondary) 리소스로 전환 (DR 구성).
- 지리적 위치(Geolocation): 사용자 위치(국가 등)에 따라 특정 리소스로 연결.
- 지리 근접(Geoproximity): 리소스의 위치와 편향(Bias) 값을 기준으로 라우팅 (Traffic Flow 필요).
Route 53 Resolver
온프레미스와 AWS VPC 간의 도메인 이름(DNS) 해석을 가능하게 해주는 하이브리드 DNS 서비스입니다.
- 인바운드 엔드포인트: 온프레미스 -> AWS로 쿼리 전송
- 아웃바운드 엔드포인트: AWS -> 온프레미스로 쿼리 전송
데이터 분석 및 모니터링
| 서비스 | 설명 | 핵심 키워드 |
|---|---|---|
| EMR | 빅데이터 처리(Hadoop, Spark 등)를 위한 클러스터 플랫폼 | Hadoop, Spark, 빅데이터 |
| Redshift | 페타바이트급 데이터 웨어하우스(DW) 서비스 | DW, SQL 분석, 컬럼 기반 저장 |
| Athena | S3에 있는 데이터를 서버리스로 바로 SQL 쿼리 분석 | S3, SQL, 서버리스, 즉사 분석 |
| Glue | 완전 관리형 ETL(추출, 변환, 로드) 서비스. 데이터 카탈로그 생성 | ETL, 스키마 발견, 데이터 준비 |
| Kinesis Data Streams | 실시간 데이터 스트림을 수집 및 저장 (사용자 지정 앱 처리) | 실시간 수집, 샤드(Shard) |
| Kinesis Data Firehose | 실시간 스트림 데이터를 **저장소(S3, Redshift, ES)**로 로드/전송 | S3 적재, 포맷 변환, 전송 |
| CloudWatch | AWS 리소스 및 앱 모니터링 서비스. (로그, 지표, 알람) | 모니터링, 알람, 로그 |
| X-Ray | 분산 애플리케이션(마이크로서비스)의 요청 추적 및 디버깅 | 추적(Trace), 서비스 맵, 병목 현상 파악 |
보안 그룹(Security Group) vs NACL
이 두 가지는 모두 트래픽을 제어하는 방화벽 역할을 하지만, 적용 범위와 특징이 다릅니다.
| 구분 | 보안 그룹 (Security Group) | 네트워크 ACL (NACL) |
|---|---|---|
| 적용 단위 | 인스턴스 (ENI) 단위 | 서브넷 단위 |
| Stateful/Stateless | Stateful (상태 저장) (들어온 요청은 나갈 때 자동 허용됨) | Stateless (상태 비저장) (들어온 요청과 나가는 응답 규칙을 각각 설정해야 함) |
| 규칙 | 허용(Allow) 규칙만 가능 | 허용(Allow) 및 거부(Deny) 규칙 모두 가능 |
| 순서 | 모든 규칙이 평가됨 | 규칙 번호 순서대로 평가됨 |
| 기본 설정 | 모든 인바운드 차단, 모든 아웃바운드 허용 | 모든 트래픽 허용 (기본 NACL의 경우) |