AWS VPC 3-tier Based Architecture에 기반한 VPC와 Application 연결

Connecting a VPC to a 3-tier application layer VPC

Dec 15, 2023

AWS VPC 3-tier Based Architecture에 기반한 VPC와 Application 연결

Contents

3-tier Architecture란?VPC 생성 VPC와 Application (EC2 와 연결)

3-tier Architecture란?VPC 생성 VPC 생성 Private / Public Subnet 생성 Public Routing Table 및 Private Routing Table 생성 및 연동 VPC와 Application (EC2 와 연결) Private EC2 생성 Bastion Host 생성

💡

~~2023년 5월에 작성된 게시글입니다. 현재와 다른 부분이 존재할 수 있습니다! ⇒~~ 2023년 12월에 수정되어 12월 까지는 위 실습을 토대로 간단한 VPC 실습을 진행할 수 있었습니다.

회사에서 인프라 관련 온보딩 문서를 작성하다가, AWS에서 인프라를 구성하는 막연한 개념에 대해서 어떻게 이해시키면 좋을지 고민하게 됐다. 그러던 중 VPC 실습을 통해 인프라 리소스를 직접 만들어보며 개념을 익히는 것이 좋다고 생각하여 간단한 실습 문서를 작성하게 됐다.

3-tier Architecture란?

VPC 3-tier Architecture란 계층을 3개(Presentation Tier, Application Tier, Database Tier)로 나누어

인프라를 설계하는 것을 말합니다.

How to build the best 3-tier architecture on Amazon Web Services (AWS) | by Syedusmanahmad | Medium

이번 실습에선 Database 계층을 제외한 나머지 핵심 요소들을 생성하고 서로간 연결하는 방법에 대해서 알아보겠습니다. 일반적으로 데이터베이스를 제외한 3-tier Architecture를 구성한다고 치면, 흔히 생각할 수 있는 구조는 다음과 같습니다.

위 구조를 살펴보면, VPC가 리소스들을 둘러싸고 있고 사설 network인 VPC안의 Application 들이 외부 인터넷과 통신할 수 있도록 IGW와 NAT이 이를 중간에서 중계하는 것 입니다. 고가용성과 대용량 트래픽 처리를 위해 AZ는 2개로 설정됐고 ALB와 Scaling Group이 이를 지원하는 구조입니다.

Routing Table에서 트래픽 혹은 패킷이 어떻게 이동해야 할지 지시해주며, 데이터는 이 흐름을 따라 Bastion host를 경유하여 Application이 위치한 layer에 도달하고 이에 대한 응답이 이루어집니다.

이번 실습에서 수행할 메인 작업은 VPC와 Application 계층을 이어주는 작업입니다. 표현 계층인 Presentation Tier에서 사용할 Load Balancer나 Scale out을 도와주는 Auto Scale Group 등은 이번 실습에서 제외되는데, 그 이유는 VPC 생성과 EC2를 연결하는 과정에서 Load Balancer의 연결이 필수는 아니라서입니다. 고가용성과 부하 분산의 개념에 대해서 설명하는데, 도움이 되겠지만 인프라 구성을 위한 목적에는 부합하지 않다고 느꼈습니다.

이번 게시물의 주요 목적은, 간단한 실습을 통해 AWS 인프라 구성에 대한 이해를 키우는 것 입니다.

💡

IGW, NAT Gateway? 위 Architecture에서 IGW와 NAT Gateway에 대해서 잘 모르시는 분들이 있을 수 있습니다.

간단하게 설명하면,

NAT Gateway

NAT은 기본적으로 네트워크 주소 변환 기술입니다. 일반적인 네트워크 구조에서 NAT은

출발지 IP 10.10.10.10, 목적지 IP 20.20.20.20 포트 80으로 패킷 전송
NAT 장비에서 패킷 수신 후 정책에 따라 외부 네트워크와 통신 가능한 공인 IP 11.11.11.11로 IP 주소 변경, NAT 변경 전후의 IP 주소는 NAT 테이블에 저장
NAT 장비에서 출발지 주소를 11.11.11.11로 변경해 패킷 전송
수신한 Application에서 Response 발신, 출발지 IP가 20.20.20.20으로 목적지는 공인 IP 11.11.11.11
Application으로부터 응답을 수신한 NAT 장비가 자신의 NAT 테이블의 목적지 IP에 대한 원래 패킷을 발생시킨 출발지 IP주소 와 매핑 후 재변환 후 패킷 수신 의 흐름으로 동작합니다.

AWS의 NAT Gateway도 이런 흐름과 비슷하게 동작합니다.

NAT Gateway는 NAT Gateway(네트워크 주소 변환 게이트웨이)는 프라이빗 서브넷 내의 인스턴스가 인터넷과 통신할 수 있도록 하는 서비스입니다. 아웃바운드 트래픽을 위한 것으로 사용되며, 인바운드 트래픽은 지원하지 않습니다.

Private Subnet에서 MySQL이나 Node.js 등의 설치를 위해 외부와 통신하기 위해서는 NAT Gateway가 필요합니다. 내부로 들어오고 나가는 트래픽 뿐만 아니라, 서버는 외부 인터넷과 연결되어 특정 리소스 등을 설치할 필요가 있는데, 이 때 NAT Gateway가 없다면 외부 인터넷과 접근할 수 없게 됩니다.

IGW(Internet Gateway)

인터넷 게이트웨이는 수평 확장되고 가용성이 높은 중복 VPC 구성 요소로, VPC와 인터넷 간에 통신할 수 있게 해줍니다. IPv4 트래픽 및 IPv6 트래픽을 지원합니다. 네트워크 트래픽에 가용성 위험이나 대역폭 제약이 발생하지 않습니다.

리소스에 퍼블릭 IPv4 주소 또는 IPv6 주소가 있는 경우 인터넷 게이트웨이를 사용하면 퍼블릭 서브넷(예: EC2 인스턴스)의 리소스가 인터넷에 연결할 수 있습니다.

IGW를 통해 Public Subnet과 연결된 Bastion Host에 접근할 수 있고, Private Subnet안의 Application에게서 응답을 받을 수 있게 됩니다.

VPC 생성

아래의 값들을 기반으로 리소스들을 생성할 것 입니다.

VPC 생성

VPC를 생성할 때, 사용할 IPv4 CIDR 영역에 대한 설계가 존재하겠지만, 이번 실습에서는 어떻게

사설 network의 인프라망을 구성해야 하는가가 목적이 아닌 실제 AWS에서 Resource를 생성하는 것에 목적이 있기 때문에 제외하겠습니다.

Private / Public Subnet 생성

Lay-subnet-sample-public1-ap-northeast-2a

Lay-subnet-sample-public2-ap-northeast-2c

Lay-subnet-sample-private1-ap-northeast-2a

Lay-subnet-sample-private2-ap-northeast-2c

그 다음 서브넷을 생성합니다. 하나의 VPC에 사용할 subnet 4개를 동시에 만들어야 합니다.

Internet Gateway 생성 및 연동

인터넷 게이트웨이(IGW)를 생성했다면, vpc와 연결해야 합니다.

위에서 설명했던 것 처럼, IGW를 VPC와 연결해주지 않는다면 사설 네트워크로 진입할 길목이 사라져 접근할 수 없습니다. IGW를 통해 인터넷에 연결되는 것은 주로 퍼블릭 서브넷의 인스턴스들이며, 프라이빗 서브넷의 인스턴스들은 NAT Gateway나 Bastion Host를 통해 간접적으로 외부와 통신합니다.

NAT gateway 연결

Private Subnet안에 갇혀 있는 Application이 외부 인터넷과 연결하기 위해 NAT Gateway가 사용되기 때문에 당연히 Private Subnet과 연결될 것 같지만 , NAT Gateway를 생성할 때 Public Subnet과 연결해야 합니다.

그 이유는, 결국 Public Subnet안에 있는 리소스만이 실제 Public IP를 사용할 수 있기 때문에, NAT Gateway가 Public Subnet안에 없다면 변환한 NAT 장치가 보낼 트래픽이 당도할 길이 존재하지 않게 됩니다.

이러한 이유로 NAT Gateway의 서브넷은 Public이 됩니다.