View
1.228
Download
12
Category
Preview:
Citation preview
© 2015, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
김용우 | 솔루션즈 아키텍트
2016년 5월 17일
하이브리드 클라우드 환경 구축을 위한
AWS 서비스 알아보기
이번 시간에 함께할 여정
클라우드로
스토리지 확장
하이브리드구성 및운영
도착
하이브리드디자인 패턴
시작AWS 서비스포트폴리오
클라우드로 인해 기업 데이터센터가 더이상
필요 없어질까요?
그렇지 않습니다. 상호 보완적으로
사용될수 있습니다.
IT서비스에 대한 요구사항 변화
고 가용성(HA)
확장성장애 대응(FT)
높은 보안성
비용 효율성
유연성
투자보호
규제준수
온 프레미스 AWS 클라우드
민첩성
Devops
숙달된 인력
Amazon Web Services 서비스 포트폴리오
코어 서비스 컴퓨팅 스토리지 데이터베이스 네트워킹
인프라 리전가용영역 엣지 로케이션
플랫폼서비스
분석엔터프라이즈
App모바일서비스
IoT
접근제어 감사(Audit) 모니터링 암호화보안
DevOps 운영/관리도구 신원관리(IAM) App 서비스개발/운영관련
API
&
SDK
AWS 클라우드는 기존 IT와 많은 접점을 가집니다.
코어 서비스 컴퓨팅 스토리지데이터베이스
네트워킹
인프라 리전가용영역엣지
로케이션
플랫폼서비스 분석
엔터프라이즈 App
모바일서비스
IoT
접근제어 감사(Audit) 모니터링 암호화보안
DevOps운영/관리
도구신원관리
(IAM)App
서비스개발/운영관련
API
&
SDK
기업데이터 센터
관리툴, 서비스
네트워크
데이터베이스
운영체제
서버/하이퍼 바이저
보안
데이터센터
AWS 마켓플레이스로 더욱 풍성한 서비스 구축
2500+ 다양한 솔루션 등록Marketplace
하이브리드 구성 및 운영시작하기
• 클라우드와 온프레미스간 고도의
보안성 및 유연성제공
• 기업 내부사용자들의 신원정보를
안전하고 손쉽게 AWS와 연동 및 관리
• 하이브리드 환경 관리를 위한 도구들
• 통합 모니터링 서비스
HYBRID OPS - REQUIREMENTS하이브리드 구성 및 운영
• 클라우드와 온프레미스간 고도의
보안성 및 유연성제공
• 기업 내부사용자들의 신원정보를
안전하고 손쉽게 AWS와 연동 및 관리
• 하이브리드 환경 관리를 위한 도구들
• 통합 모니터링 서비스
HYBRID OPS - REQUIREMENTS하이브리드 구성 및 운영
가상 데이터센터 네트워크 환경 – VPC
AWS Virtual Private Cloud
• 서브넷팅, 라우팅, Network ACL, NAT 및 VPN 등의
네트워크 서비스/기능을 포함하는 사용자 정의 네트워크
• AWS Direct Connect, VPN 및 VPC Peering 서비스를
통해 손쉽게 데이터센터 및 VPC간 상호 연결
• 서비스 특성에 따라 논리적으로 네트워크 분리
가용영역 A
RDS
Master
Internet
Gateway
RDS
StandbySnapshots
데이터센터
Virtual
Private
Gateway
Customer
Gateway
VPN 연결
Direct Connect
관리자 및사내 사용자
가상 데이터센터 네트워크 환경 – VPC
Subnet - WEBSubnet - WEB
Subnet - WAS Subnet - WAS
Subnet - DB
Subnet - DB
가용 영역 – A 가용 영역 – B리전
가용영역 B
데이터 동기화복제
물리적으로 분리
안전하고 유연한 네트워크 연동방안
AWS Direct Connect / IPsec VPN
• 고객 데이터센터와 AWS Cloud간 전용회선을 통한
네트워크 연동
• 전용선(DX)통한 높은 보안성과 일관된 성능
• 상대적으로 저렴한 데이터 전송비용 (VPN대비)
• 1Mbps 에서 수십10Gbps 까지 확장
• 적은 워크로드 혹은 전용선의 백업으로 VPN 구성
Virtual private cloud 1
Virtual private cloud 2
Virtual private cloud N
…
리전(Region)
Router /Firewall
고객 데이터센터 고객 AWS 계정
AWS 연결옵션 1 – IPSEC VPN
인터넷IPSEC Tunnel
Virtual private cloud 1
Virtual private cloud 2
Virtual private cloud N
…
Public endpoints
리전(Region)
Direct Connect 로케이션
Private VIF 1
AWS DirectConnect Router
Router
고객 데이터센터 고객 AWS 계정
전용선(물리회선)
AWS 연결옵션 2 - Direct Connect
Virtual private cloud 1
Virtual private cloud 2
Virtual private cloud N
…
Public endpoints
리전(Region)
Direct Connect 로케이션
Private VIF 1
AWS DirectConnect Router
Router
고객 데이터센터 고객 AWS 계정
전용선(물리회선)
AWS 연결옵션 3 - Direct Connect w/ VPN 백업
• 클라우드와 온프레미스간 고도의보안성 및 유연성제공
• 기업 내부사용자들의 신원정보를안전하고 손쉽게 AWS와 연동 및 관리
• 하이브리드 환경 관리를 위한 도구들
• 통합 모니터링 서비스
HYBRID OPS - REQUIREMENTS
AWS Virtual PrivateCloud (VPC)
AWS Direct ConnectIPSEC VPN
하이브리드 구성 및 운영
• 클라우드와 온프레미스간 고도의보안성 및 유연성제공
• 기업 내부사용자들의 신원정보를안전하고 손쉽게 AWS와 연동 및 관리
• 하이브리드 환경 관리를 위한 도구들
• 통합 모니터링 서비스
HYBRID OPS - REQUIREMENTS
AWS Virtual PrivateCloud (VPC)
AWS Direct ConnectIPSEC VPN
하이브리드 구성 및 운영
1. AWS Directory 서비스 옵션
옵션 1 – Simple AD
• Samba 4 기반(AD호환) 관리형 Directory 서비스
• 5000 명 이하의 사용자 및 기본 디렉토리 기능 필요시 사용
• 온 프레미스 Active Directory 와 AD Trust 설정 불가
옵션 2 – MS AD 기반 관리형 Directory 서비스(엔터프라이즈)
• AWS에 구축된 MS Active Directory 서비스
• 5000 명 이상의 사용자 및 MS AD의 다양한 기능 필요시 사용
• 온 프레미스 Active Directory 와 Trust 관계 설정 가능
1. AWS Directory 서비스 옵션
옵션 3 – AD Connector
• 기존 온프레미스 AD를 AWS로 확장
• Directory 관련 정보가 AWS상에 복제되거나 캐싱되지 않음
AD서버
AD Connector AD ConnectorMicrosoft Active
Directory
InternetADConnector
Direct ConnectVPN
2. Identity federation고객 데이터센터 AWS Cloud
AWS 자원
브라우저/어플리케이션
Active Directory
Identity 브로커
3
임시보안토큰 발급2
Amazon S3 Bucket
with Objects
Amazon DynamoDB
Amazon EC2
세션요청
1
APP
4
4AWS 콘솔 사용
*STS: Security Token Service
AWS콘솔
AWS Identity Federation 파트너들
3. AWS 계정/사용자 관리 모델
기업 재무팀(비용 컨트롤)
SOC/AuditorsAWS 관리자
통합빌링계정
소프트웨어개발자들
개발팀 계정#1
서비스 계정 #1
사용자 관리계정 보안/ 감사 계정
개발팀 계정 #2
App운영팀DevOps 팀
보안/감사운영개발/테스트재무/구매
빌링통합, 빌링경보 설정
모든 계정에 대한읽기권한
AWS Virtual PrivateCloud (VPC)
AWS DirectConnect
AWS Identity & Access Management (IAM)
AWS Directory Service
• 클라우드와 온프레미스간 고도의보안성 및 유연성제공
• 기업 내부사용자들의 신원정보를안전하고 손쉽게 AWS와 연동 및 관리
• 하이브리드 환경 관리를 위한 도구들
• 통합 모니터링 서비스
HYBRID OPS - REQUIREMENTS하이브리드 구성 및 운영
AWS Identity & Access Management (IAM)
AWS Directory Service
• 클라우드와 온프레미스간 고도의보안성 및 유연성제공
• 기업 내부사용자들의 신원정보를안전하고 손쉽게 AWS와 연동 및 관리
• 하이브리드 환경 관리를 위한 도구들
• 통합 모니터링 서비스
HYBRID OPS - REQUIREMENTS
AWS Virtual PrivateCloud (VPC)
AWS DirectConnect
하이브리드 구성 및 운영
가상환경 및 AWS환경 관리통합
VMware vCenter 용AWS관리포털 제공 AWS VM Import / Export
vCenter에서 EC2
인스턴스 통합관리
VMWare, Hyper-V 및 Citrix
Xen 이미지 마이그레이션
VM 이미지 가져오기/내보내기
기업 가상화 인프라 통합 - VMWARE
AWS MGMT Portal for vCenter AWS 플러그인
기업 가상화 인프라 통합 - Microsoft
SCVMM
SCOM
서비스 카탈로그 – 표준화된 IT자원 스택 구성
클라우드 인프라 전반에 대한
지식 없이도 개인화된 포털을
통해 필요 자원 프로비져닝
IT인프라 기획/운영 팀 IT/서비스 개발팀
테스트를 통해 검증된 최적의
자원을 표준화 하여 제공
클라우드 IT 인프라에 대한 거버넌스
포트폴리오 생성
사용제한/허용
1
4
5
IT 기획/운영팀포트폴리오
서비스 개발팀
제품검색
6제품실행CF템플릿
상품제작3템플릿 작성2제품 X 제품 Y 제품 Z
7
스택 구축 실행통지제품 사용에 대한 통지
88
서비스 Catalog를 통한 표준화된 제품 구성
서비스 Catalog 사용자 View
해당 사용자 에게 허가된 IT 상품(스택) 선택한 상품에 대한 상세 정보
사용자가 현재 구동중인 상품
AWS Virtual PrivateCloud (VPC)
AWS DirectConnect
AWS Identity & Access Management (IAM)
AWS Directory Service
• 클라우드와 온프레미스간 고도의보안성 및 유연성 제공
• 기업 내부사용자들의 신원정보를안전하고 손쉽게 AWS와 연동 및 관리
• 하이브리드 환경 관리를 위한 도구들
• 통합 모니터링 서비스
HYBRID OPS - REQUIREMENTS
VM Import vCenter MGMT Portal
AWS System center Mgr Service Catalog
하이브리드 구성 및 운영
AWS Virtual PrivateCloud (VPC)
AWS DirectConnect
AWS Identity & Access Management (IAM)
AWS Directory Service
• 클라우드와 온프레미스간 고도의보안성 및 유연성 제공
• 기업 내부사용자들의 신원정보를안전하고 손쉽게 AWS와 연동 및 관리
• 하이브리드 환경 관리를 위한 도구들
• 통합 모니터링 서비스
HYBRID OPS - REQUIREMENTS
VM Import vCenter MGMT Portal
AWS System center Mgr Service Catalog
하이브리드 구성 및 운영
Amazon Cloudwatch
어플리케이션 성능
운영분석
AWS 플랫폼 & 서비스 메트릭 값
Splunk App for AWS
API 통합
AppDynamics
Elastic Search KIBANA
ELK for VPC flow log
AWS 빌링 페이지 및DBR 또는 3RD Party
빌링서비스
자체 AWS 빌링 APN 리셀러 빌링 통합
파트너(리셀러) 제공 빌링 포털
AWS Virtual PrivateCloud (VPC)
AWS DirectConnect
AWS Identity & Access Management (IAM)
AWS Directory Service
• 클라우드와 온프레미스간 고도의보안성 및 유연성제공
• 기업 내부사용자들의 신원정보를안전하고 손쉽게 AWS와 연동 및 관리
• 하이브리드 환경 관리를 위한 도구들
• 통합 모니터링 서비스
HYBRID OPS - REQUIREMENTS
VM Import vCenter MGMT Portal
AWS System center Mgr Service Catalog
하이브리드 구성 및 운영
하이브리드 디자인 패턴시작하기
I – AWS를 서비스의 Front End로 구성
AWS 리전
Web계층
데이터 센터
인터넷
App계층
Database계층
Auto Scaling
Direct Connect / VPN
AWS 리전
App계층
데이터 센터
인터넷
Web계층
II – AWS를 서비스의 Backend로 구성
DB계층
고객별 (보안, 규정) 적용 계층 (DMZ)
S3
Direct Connect / VPN
III – 필요에 따라 계층 확장
Database계층
AWS 리전
Batch성워크로드
데이터 센터
인터넷
Web계층
Direct Connect / VPN
App계층
스토리지 게이트웨이 서비스
클라우드로 스토리지 확장
Storage Gateway 서비스
Amazon EBS snapshots
Amazon S3
Amazon Glacier
AWSStorage Gateway가상 어플라이언스
애플리케이션서버
AWSStorage Gateway 서비스 백엔드
AWSDirect
Connect
인터넷
고객 데이터 센터
백업 및 아카이빙 DR 데이터 이전 스토리지 확장
I. Gateway-stored volumes
고객 데이터센터
AWS Storage Gateway VM
Amazon EBS snapshots
애플리케이션서버
INIT
IATO
R
TARG
ET
UploadBuffer
VolumeStorage
AWSStorage Gateway
service
• 데이터의 원본은 로컬 스토리지에 저장
• AWS 스토리지로 비동기 백업 수행
• Point-in-time 백업들은 EBS 스냅샷으로 저장됨
• Gateway당 최대 512TB 지원 (16TB용량의 볼륨 32개까지 지원)
II. Gateway-cached volumes
고객 데이터센터
AWS Storage Gateway VM
Amazon EBS snapshots
애플리케이션서버
INIT
IATO
R
TARG
ET
UploadBuffer
CacheStorage
AWSStorage Gateway
service
Volume StorageBacked by Amazon S3
• AWS에 데이터 원본 저장
• 자주 사용되는 데이터는 온 프레미스에 캐싱됨
• Point-in-time 백업들은 EBS 스냅샷으로 저장됨
• 최대 32TB 크기의 32개 볼륨까지 까지 지원하며, 최대 1PB까지 지원
III. Gateway-virtual tape library (VTL)
고객 데이터센터
AWS Storage Gateway VM
VTS StorageBacked by
Amazon Glacier
애플리케이션서버
INIT
IATO
R Media
Changer
UploadBuffer
CacheStorage
AWSStorage Gateway
service
Gatewa-VTLStorage backedBy Amazon S3
Tape
Drive
• Virtual Tape 이 AWS에 스토리지에 저장
• 자주 사용되는 데이터는 로컬 스토리지에 캐싱(Caching)
• Vritul Tape Shelf(VTS)에 Tape 개수 무제한
• Gateway당 최대 1PB 지원 (최대2.5TB용량의 가상 Tape 1,500개 까지 지원)
백업 & 아카이빙
데이터센터
Amazon Simple Storage Service (S3)
Amazon Glacier
Applicationserver
Virtualserver
Fileserver
Databaseserver
Backupsystem
AWS Storage Gateway
iSCSI
전용선 / VPN
데이터 센터
Amazon Simple Storage Service
Applicationserver
Virtualserver
Fileserver
Databaseserver
Storageappliance
AWS Storage Gateway
iSCSI
스토리지 확장
전용선 / VPN
오늘의 세션 정리
하이브리드 형태의 클라우드 사용은 더욱 더 폭넓게 확산될것입니다.
보안에 대한 책임은 공유되지만 AWS는 어려운부분을 쉽게 하실수 있도록 도와드립니다.
현재 IT 인프라 팀의 역할은 변함 없지만, 더 잘수행하기 위해서는 새로운 기술 습득이 필요합니다.
• 이제 IT의 핵심은 ‘민첩성’ 입니다. – IT인프라는 쉽게 잘 변할수있고, 또 그래야하므로, 물리적인 ‘장비’에 더이상 ‘情’을 주지마세요.
여러분의 피드백을 기다립니다!
https://www.awssummit.co.kr
모바일 페이지에 접속하셔서, 지금 세션 평가에참여하시면, 행사후 기념품을 드립니다.
#AWSSummit 해시태그로 소셜 미디어에 여러분의행사 소감을 올려주세요.
발표 자료 및 녹화 동영상은 AWS Korea 공식 소셜채널로 곧 공유될 예정입니다.
감사합니다.
Recommended