하이브리드 구성을 위한 AWS서비스 알아보기 ::김용우 :: AWS Summit Seoul 2016

© 2015, Amazon Web Services, Inc. or its Affiliates. All rights reserved.

김용우 | 솔루션즈 아키텍트

2016년 5월 17일

하이브리드 클라우드 환경 구축을 위한

AWS 서비스 알아보기

이번 시간에 함께할 여정

클라우드로

스토리지 확장

하이브리드구성 및운영

도착

하이브리드디자인 패턴

시작AWS 서비스포트폴리오

클라우드로 인해 기업 데이터센터가 더이상

필요 없어질까요?

그렇지 않습니다. 상호 보완적으로

사용될수 있습니다.

IT서비스에 대한 요구사항 변화

고 가용성(HA)

확장성장애 대응(FT)

높은 보안성

비용 효율성

유연성

투자보호

규제준수

온 프레미스 AWS 클라우드

민첩성

Devops

숙달된 인력

Amazon Web Services 서비스 포트폴리오

코어 서비스 컴퓨팅 스토리지 데이터베이스 네트워킹

인프라 리전가용영역 엣지 로케이션

플랫폼서비스

분석엔터프라이즈

App모바일서비스

IoT

접근제어 감사(Audit) 모니터링 암호화보안

DevOps 운영/관리도구 신원관리(IAM) App 서비스개발/운영관련

API

&

SDK

AWS 클라우드는 기존 IT와 많은 접점을 가집니다.

코어 서비스 컴퓨팅 스토리지데이터베이스

네트워킹

인프라 리전가용영역엣지

로케이션

플랫폼서비스 분석

엔터프라이즈 App

모바일서비스

IoT

접근제어 감사(Audit) 모니터링 암호화보안

DevOps운영/관리

도구신원관리

(IAM)App

서비스개발/운영관련

API

&

SDK

기업데이터 센터

관리툴, 서비스

네트워크

데이터베이스

운영체제

서버/하이퍼 바이저

보안

데이터센터

AWS 마켓플레이스로 더욱 풍성한 서비스 구축

2500+ 다양한 솔루션 등록Marketplace

하이브리드 구성 및 운영시작하기

• 클라우드와 온프레미스간 고도의

보안성 및 유연성제공

• 기업 내부사용자들의 신원정보를

안전하고 손쉽게 AWS와 연동 및 관리

• 하이브리드 환경 관리를 위한 도구들

• 통합 모니터링 서비스

HYBRID OPS - REQUIREMENTS하이브리드 구성 및 운영

• 클라우드와 온프레미스간 고도의

보안성 및 유연성제공

• 기업 내부사용자들의 신원정보를

안전하고 손쉽게 AWS와 연동 및 관리




가상 데이터센터 네트워크 환경 – VPC

AWS Virtual Private Cloud

• 서브넷팅, 라우팅, Network ACL, NAT 및 VPN 등의

네트워크 서비스/기능을 포함하는 사용자 정의 네트워크

• AWS Direct Connect, VPN 및 VPC Peering 서비스를

통해 손쉽게 데이터센터 및 VPC간 상호 연결

• 서비스 특성에 따라 논리적으로 네트워크 분리

가용영역 A

RDS

Master

Internet

Gateway

RDS

StandbySnapshots

데이터센터

Virtual

Private

Gateway

Customer

Gateway

VPN 연결

Direct Connect

관리자 및사내 사용자

가상 데이터센터 네트워크 환경 – VPC

Subnet - WEBSubnet - WEB

Subnet - WAS Subnet - WAS

Subnet - DB

Subnet - DB

가용 영역 – A 가용 영역 – B리전

가용영역 B

데이터 동기화복제

물리적으로 분리

안전하고 유연한 네트워크 연동방안

AWS Direct Connect / IPsec VPN

• 고객 데이터센터와 AWS Cloud간 전용회선을 통한

네트워크 연동

• 전용선(DX)통한 높은 보안성과 일관된 성능

• 상대적으로 저렴한 데이터 전송비용 (VPN대비)

• 1Mbps 에서 수십10Gbps 까지 확장

• 적은 워크로드 혹은 전용선의 백업으로 VPN 구성

Virtual private cloud 1


Virtual private cloud N

…

리전(Region)

Router /Firewall

고객 데이터센터 고객 AWS 계정

AWS 연결옵션 1 – IPSEC VPN

인터넷IPSEC Tunnel




…

Public endpoints

리전(Region)

Direct Connect 로케이션

Private VIF 1

AWS DirectConnect Router

Router


전용선(물리회선)

AWS 연결옵션 2 - Direct Connect




…

Public endpoints

리전(Region)

Direct Connect 로케이션

Private VIF 1

AWS DirectConnect Router

Router


전용선(물리회선)

AWS 연결옵션 3 - Direct Connect w/ VPN 백업

• 클라우드와 온프레미스간 고도의보안성 및 유연성제공

• 기업 내부사용자들의 신원정보를안전하고 손쉽게 AWS와 연동 및 관리



HYBRID OPS - REQUIREMENTS

AWS Virtual PrivateCloud (VPC)

AWS Direct ConnectIPSEC VPN

하이브리드 구성 및 운영







AWS Direct ConnectIPSEC VPN


1. AWS Directory 서비스 옵션

옵션 1 – Simple AD

• Samba 4 기반(AD호환) 관리형 Directory 서비스

• 5000 명 이하의 사용자 및 기본 디렉토리 기능 필요시 사용

• 온 프레미스 Active Directory 와 AD Trust 설정 불가

옵션 2 – MS AD 기반 관리형 Directory 서비스(엔터프라이즈)

• AWS에 구축된 MS Active Directory 서비스

• 5000 명 이상의 사용자 및 MS AD의 다양한 기능 필요시 사용

• 온 프레미스 Active Directory 와 Trust 관계 설정 가능

1. AWS Directory 서비스 옵션

옵션 3 – AD Connector

• 기존 온프레미스 AD를 AWS로 확장

• Directory 관련 정보가 AWS상에 복제되거나 캐싱되지 않음

AD서버

AD Connector AD ConnectorMicrosoft Active

Directory

InternetADConnector

Direct ConnectVPN

2. Identity federation고객 데이터센터 AWS Cloud

AWS 자원

브라우저/어플리케이션

Active Directory

Identity 브로커

3

임시보안토큰 발급2

Amazon S3 Bucket

with Objects

Amazon DynamoDB

Amazon EC2

세션요청

1

APP

4

4AWS 콘솔 사용

*STS: Security Token Service

AWS콘솔

AWS Identity Federation 파트너들

3. AWS 계정/사용자 관리 모델

기업 재무팀(비용 컨트롤)

SOC/AuditorsAWS 관리자

통합빌링계정

소프트웨어개발자들

개발팀 계정#1

서비스 계정 #1

사용자 관리계정 보안/ 감사 계정

개발팀 계정 #2

App운영팀DevOps 팀

보안/감사운영개발/테스트재무/구매

빌링통합, 빌링경보 설정

모든 계정에 대한읽기권한


AWS DirectConnect

AWS Identity & Access Management (IAM)

AWS Directory Service














AWS DirectConnect


가상환경 및 AWS환경 관리통합

VMware vCenter 용AWS관리포털 제공 AWS VM Import / Export

vCenter에서 EC2

인스턴스 통합관리

VMWare, Hyper-V 및 Citrix

Xen 이미지 마이그레이션

VM 이미지 가져오기/내보내기

기업 가상화 인프라 통합 - VMWARE

AWS MGMT Portal for vCenter AWS 플러그인

기업 가상화 인프라 통합 - Microsoft

SCVMM

SCOM

서비스 카탈로그 – 표준화된 IT자원 스택 구성

클라우드 인프라 전반에 대한

지식 없이도 개인화된 포털을

통해 필요 자원 프로비져닝

IT인프라 기획/운영 팀 IT/서비스 개발팀

테스트를 통해 검증된 최적의

자원을 표준화 하여 제공

클라우드 IT 인프라에 대한 거버넌스

포트폴리오 생성

사용제한/허용

1

4

5

IT 기획/운영팀포트폴리오

서비스 개발팀

제품검색

6제품실행CF템플릿

상품제작3템플릿 작성2제품 X 제품 Y 제품 Z

7

스택 구축 실행통지제품 사용에 대한 통지

88

서비스 Catalog를 통한 표준화된 제품 구성

서비스 Catalog 사용자 View

해당 사용자 에게 허가된 IT 상품(스택) 선택한 상품에 대한 상세 정보

사용자가 현재 구동중인 상품


AWS DirectConnect



• 클라우드와 온프레미스간 고도의보안성 및 유연성 제공





VM Import vCenter MGMT Portal

AWS System center Mgr Service Catalog



AWS DirectConnect



• 클라우드와 온프레미스간 고도의보안성 및 유연성 제공








Amazon Cloudwatch

어플리케이션 성능

운영분석

AWS 플랫폼 & 서비스 메트릭 값

Splunk App for AWS

API 통합

AppDynamics

Elastic Search KIBANA

ELK for VPC flow log

AWS 빌링 페이지 및DBR 또는 3RD Party

빌링서비스

자체 AWS 빌링 APN 리셀러 빌링 통합

파트너(리셀러) 제공 빌링 포털


AWS DirectConnect











하이브리드 디자인 패턴시작하기

I – AWS를 서비스의 Front End로 구성

AWS 리전

Web계층

데이터 센터

인터넷

App계층

Database계층

Auto Scaling

Direct Connect / VPN

AWS 리전

App계층

데이터 센터

인터넷

Web계층

II – AWS를 서비스의 Backend로 구성

DB계층

고객별 (보안, 규정) 적용 계층 (DMZ)

S3


III – 필요에 따라 계층 확장

Database계층

AWS 리전

Batch성워크로드

데이터 센터

인터넷

Web계층


App계층

스토리지 게이트웨이 서비스

클라우드로 스토리지 확장

Storage Gateway 서비스

Amazon EBS snapshots

Amazon S3

Amazon Glacier

AWSStorage Gateway가상 어플라이언스

애플리케이션서버

AWSStorage Gateway 서비스 백엔드

AWSDirect

Connect

인터넷

고객 데이터 센터

백업 및 아카이빙 DR 데이터 이전 스토리지 확장

I. Gateway-stored volumes

고객 데이터센터

AWS Storage Gateway VM



INIT

IATO

R

TARG

ET

UploadBuffer

VolumeStorage

AWSStorage Gateway

service

• 데이터의 원본은 로컬 스토리지에 저장

• AWS 스토리지로 비동기 백업 수행

• Point-in-time 백업들은 EBS 스냅샷으로 저장됨

• Gateway당 최대 512TB 지원 (16TB용량의 볼륨 32개까지 지원)

II. Gateway-cached volumes





INIT

IATO

R

TARG

ET

UploadBuffer

CacheStorage

AWSStorage Gateway

service

Volume StorageBacked by Amazon S3

• AWS에 데이터 원본 저장

• 자주 사용되는 데이터는 온 프레미스에 캐싱됨

• Point-in-time 백업들은 EBS 스냅샷으로 저장됨

• 최대 32TB 크기의 32개 볼륨까지 까지 지원하며, 최대 1PB까지 지원

III. Gateway-virtual tape library (VTL)



VTS StorageBacked by

Amazon Glacier


INIT

IATO

R Media

Changer

UploadBuffer

CacheStorage

AWSStorage Gateway

service

Gatewa-VTLStorage backedBy Amazon S3

Tape

Drive

• Virtual Tape 이 AWS에 스토리지에 저장

• 자주 사용되는 데이터는 로컬 스토리지에 캐싱(Caching)

• Vritul Tape Shelf(VTS)에 Tape 개수 무제한

• Gateway당 최대 1PB 지원 (최대2.5TB용량의 가상 Tape 1,500개 까지 지원)

백업 & 아카이빙

데이터센터

Amazon Simple Storage Service (S3)

Amazon Glacier

Applicationserver

Virtualserver

Fileserver

Databaseserver

Backupsystem

AWS Storage Gateway

iSCSI

전용선 / VPN

데이터 센터

Amazon Simple Storage Service

Applicationserver

Virtualserver

Fileserver

Databaseserver

Storageappliance

AWS Storage Gateway

iSCSI

스토리지 확장

전용선 / VPN

오늘의 세션 정리

하이브리드 형태의 클라우드 사용은 더욱 더 폭넓게 확산될것입니다.

보안에 대한 책임은 공유되지만 AWS는 어려운부분을 쉽게 하실수 있도록 도와드립니다.

현재 IT 인프라 팀의 역할은 변함 없지만, 더 잘수행하기 위해서는 새로운 기술 습득이 필요합니다.

• 이제 IT의 핵심은 ‘민첩성’ 입니다. – IT인프라는 쉽게 잘 변할수있고, 또 그래야하므로, 물리적인 ‘장비’에 더이상 ‘情’을 주지마세요.

여러분의 피드백을 기다립니다!

https://www.awssummit.co.kr

모바일 페이지에 접속하셔서, 지금 세션 평가에참여하시면, 행사후 기념품을 드립니다.

#AWSSummit 해시태그로 소셜 미디어에 여러분의행사 소감을 올려주세요.

발표 자료 및 녹화 동영상은 AWS Korea 공식 소셜채널로 곧 공유될 예정입니다.

감사합니다.

Technology

하이브리드 구성을 위한 AWS서비스 알아보기 ::김용우 :: AWS Summit Seoul 2016