3. 클라우드 200% 활용하기 (강지나 | 네이버 클라우드)
3.1. 클라우드를 사용했을 때 기대하는 바와 진실 #1
3.1.1. 오해 1) 클라우드는 저렴하다?
: 클라우드에서의 비용은 CAPEX를 OPEX로 바꾸는 개념
: 사용할 필요가 있을 때 사용한 만큼 지불하는 방식으로 인프라를 효율적으로 운영 가능
: 결국 클라우드 상에서 인프라를 어떤 식으로 구성해서 사용하느냐에 따라 더 저렴할 수도 더 비쌀 수도 있다.
3.2. 클라우드를 사용했을 때 기대하는 바와 진실 #2
3.2.1. 오해 2) 클라우드는 보안상 취약하다?
: IT보안 감사는 On-premise와 Cloud 환경에서 모두 중요하며 필수적인 활동
다만, 감사 방법과 절차에는 차이점이 존재
| 구분 | On-premises Security | Naver Cloud Platform Security | Description |
| N/W | DDoS | Security Monitoring | + Security Monitoring DDoS 서비스를 통해 고객별 특화된 탐지 정책 적용을 제공 |
| 방화벽 | ACG(Access Control Group) | + ACG Rule 변경 기능으로 서버에 접속을 허용할 트래픽 규칙을 안전하고 편리하게 관리 | |
| IDS/IPS | Security Monitoring | + Security Monitoring IDS/IPS 서비스를 통해 고객별 특화된 탐지/차단 정책 적용을 제공 | |
| 전송구간 암호화 | IPsec/SSL VPN, Cloud Connect | + 고객의 네트워크와 네이버 클라우드 플랫폼에 있는 네트워크에 대한 안전한 연결을 제공 | |
| DB | DB접근통제 | NAVER Cloud Platform Marketplace | + 마켓 플레이스에서 제공하는 3rd-party Solution을 VM에 설치하여 사용 |
| DB암호화 | NAVER Cloud Platform Marketplace | + 마켓 플레이스에서 제공하는 3rd-party Solution을 VM에 설치하여 사용 | |
| Server | 서버접근통제 | SSL VPN, NAVER Cloud Platform Marketplace | + SSL VPN을 통해 서버 접근을 관리 + 마켓 플레이스에서 제공하는 3rd-party Solution을 VM에 설치하여 사용 |
| 서버보안(SecureOS) | NAVER Cloud Platform Marketplace | + 마켓 플레이스에서 제공하는 3rd-party Solution을 VM에 설치하여 사용 | |
| Anti-Virus | Security Monitoring | + Security Monitoring DDoS 악성코드 의심 이벤트 발생 시 탐지 보고서 및 분석 정보 전달 | |
| Application | 웹 방화벽 | Security Monitoring | + Security Monitoring WAF 서비스를 통해 고객별 특화된 탐지/차단 정책 적용을 제공 |
| Anti-Webshell | NAVER Cloud Platform Marketplace | + 마켓 플레이스에서 제공하는 3rd-party Solution을 VM에 설치하여 사용 | |
| User Access | 사용자 접근 통제 | Sub Account | + Sub Account 서비스를 이용하여 콘솔 접근에 대한 사용자 접근을 관리 |
| Audit | - | Cloud Activity Tracer/Resource Manager | + 리소스(서버, 네트워크, DB 등) 생성, 변경, 삭제에 대해 추적 기능을 제공 |
| Key Management | - | Key Management Service | + Key에 대한 접근제어 기능을 이용하여 데이터 암호화 키를 안전하게 보호하고 관리 |
3.2.2. 금융 기관 & 공공 기관에서 요구하는 보안
3.2.2.1. 금융 기관
- CSP는 안전성 평가를 “100% 만족” 해야만 금융 회사에 클라우드 서비스를 제공 가능
- 클라우드의 기술적 · 관리적 보호조치 등 안전성을 자체 평가하여 안전성이 확보된 클라우드를 이용
| Category | |
| 제3장 전자금융거래의 안정성 확보 및 이용자 보호 | 제3절 시설부문 |
| 제4절 정보기술 부문 | |
| 제5절 정보기술부문 내부통제 | |
| 제6절 전자금융업무 | |
| 제4장 전자금융업의 허가와 등록 및 업무 | 제2절 허가 및 등록의 세부요건 |
| 제5장 전기금융업무의 감독 | 제3절 전자금융업의 업무 |
3.2.2.2. 공공 기관
- 클라우드 서비스 보안인증(CSAP: Cloud Security Assurance Program) 인증을 취득해야 공공기관에 클라우드 서비스를 제공 가능
- 인증기준(IaaS: 14개 분야 117개 통제항목으로 구성, SaaS: 13개 분야 78개 통제항목으로 구성)
- 공공기관에 안전성 및 신뢰성이 검증된 민간 클라우드 서비스를 공급할 수 있는지 판단하는 기준
| 통제분야 | |
| 1. 정보보호 정책 및 조직 | 8. 물리적 보안 |
| 2. 인적보안 | 9. 가상화 보안 |
| 3. 자산관리 | 10. 접근통제 |
| 4. 서비스 공급망 관리 | 11. 네트워크 보안 |
| 5. 침해사고 관리 | 12. 데이터 보호 및 암호화 |
| 6. 서비스 연속성 관리 | 13. 시스템 개발 및 도입 보안 |
| 7. 준거성 | 14. 공공부문 추가 보안요구 사항 |
: 각종 규제나 정책상의 이유로 클라우드를 활욯하는 데 제약이 있는 경우 해당 인프라는 온프레미스 형태로 사용하고, 그 외 인프라들은 클라우드 서비스를 활용하여 구성하는 하이브리드 클라우드 형태를 고려
< 클라우드를 사용했을 때 기대하는 바와 진실
> 클라우드 서비스를 활용하면 인프라를 보다 효율적으로 운영할 수 있다.
> 방법과 절차가 다를 뿐 클라우드 인프라에서도 On-Premise와 동일한 보안 환경을 조성할 수 있다.
3.3. 클라우드의 특징을 200% 활용하기 위해 고려해야 할 점들
3.3.1. 클라우드는 어떤 특징을 가지고 있는가? #1. 유연성
: 클라우드를 사용하면 비즈니스 변화에 따라 인프라를 확장 및 축소할 수 있으므로 예상치 못한 수요 폭증을 처리하기 위한 추가 인프라를 확보해야 할 필요도 없다.
3.3.1.1. Scale-up : 수직적 확장
: CPU, 메모리, 디스크 용량 등을 추가하여 리소스의 Capacity를 증가 시키는 것
3.3.1.2. Scale-out : 수평적 확장
: 동일 사양의 서버 대 수를 증가시킴으로써 리소스의 Capacity를 확보
3.3.2. 클라우드는 어떤 특징을 가지고 있는가? #2. 편리성
3.3.2.1. 클라우드에서 제공하는 완전관리성 서비스를 사용하면 쿠버네티스, 데이터베이스 등 주요 인프라들을 빠르게 생성하고 관리할 수 있도록 지원
Ex. 네이버 클라우드 플랫폼/Cloud DB For My-SQL/자동 Fail-over 기본 지원
: 어플리케이션에서는 동일한 도메인 주소로 DB로 접근하여, 도메인 주소의 IP를 자동으로 변경(;Active Master DB to Stanby Master DB)하여 제공
3.3.2.2. 자동화된 클러스터 생성을 통해 운영 및 관리 효율성 증대
3.3.2.2.1. 마스터/워커 노드 설정 [Kubernetes Service 제공 부분]
- VM/Baremetal 서버 생성
- K8s 통신 포트 확인
- 방화벽/ACG 룰 설정
3.3.2.2.2. 설치 도구 설정 [Kubernetes Service 제공 부분]
- VM/PC에 Ansible 설치
- ip_forward 설정
- Python 설치
- Kubepray 설치
- 마스터/워커 노드 인벤토리 파일 설정 (Playbook)
- Cluster Service, Pods subnet IP range 설정
- Cluster CNI 선택/설정
3.3.2.2.3. K8S Cluster Deploy [Kubernetes Service 제공 부분]
- SSH key 생성 및 노드 서버로 복사
- Ansible Playbook 실행
- 설치 과정 확인
- 에러 확인 및 트러블 슈팅
3.3.2.2.4. 시각화/모니터링 도구 설치 [Kubernetes Service 일부 제공 부분]
- Dashboard 설치를 위한 Deployment 파일 다운로드 또는 작성
- Dashboard pods 생성
- Dashboard Service expose
- 계정 및 접근 정보 설정
- 모니터링 데이터 저장을 위한 NAS 스토리지 생성
- Helm (k8s package managing tool) 설치
- 프로메테우스 + Grafana deployments 생성
- 모니터링 메트릭 설정
3.3.2.2.5. 사용자 어플리케이션 배포 [Kubernetes Service 제공하지 않는 부분]
- 사용자 application deployment 생성
- Service expose
- LoadBalancer 설정
- PV 생성, Deployment 할당
- Service Healthcheck 설정/모니터링
+ 클러스터 용량 증설을 위해 노드 추가 시, 동일 프로세스(마스터/워커 노드 설정, 설치 도구 설정, K8S Cluster Deploy) 반복 진행
3.3.2.3. 과거에 상상만하던 시스템을 클라우드 서비스가 등장하면서 누구나 이용할 수 있게 됐고, 데이터 분서이나 인공지능 등 다양한 아이디어들을 오픈소스 환경에 나누면서 오픈 소스 생태계는 더욱 성장
Ex. NAVER CLOUD PLATFORM
- AL/DEVOPS: TensorFlow, Gitlab CE, Jenkins
- DBMS: MySQL, Cubrid, PostgreSQL, redis, MariaDB
- WEB/WAS: Node.js, Apache Tomcat, Apache, PHP
- OS: CentOS, Ubuntu
3.3.3. 클라우드를 잘 활용하기 위한 포인트
3.3.3.1. 클라우드 환경에 대한 이해
- 클라우드는 기본적으로 하나의 물리적 자원을 여러 개의 논리적 자원으로 나누어서 사용합니다. 이에 따라 간섭현상이 발생할 수도 있으므로 항상 성능상 이슈 혹은 장애에 대하는 것이 중요
- 만약 클라우드 환경에서 구축하고자 하는 서비스가 게임 서비스와 같이 성능에 민감한 서비스라면, 하드웨어 위에 하이퍼바이저 OS 설치 없이 고객이 설치하고 싶은 OS를 직접 하드웨어 위에 설치하는 방식인 베어메탈 서버를 사용
3.3.3.2. TIP. 클라우드에서 인프라 구성 시 고려해야 할 사항들
: “클라우드 상에서 인프라를 구성해야 할 시에는 어떠한 포인트들을 고려해야 할까?”
| 기준 | 세부기준 | 내용 |
| 가용성 | 이중화 구성 여부 | 시스템이 중단없이 계속 서비스가 가능하도록 구성이 되었는지? |
| 성능 | 서비스 안정성 | 시스템상의 요구사항을 충족하고 서비스에 대한 수요 증가 혹은 감소에 발맞춰 인프라를 효율적으로 운영할 수 있는지? |
| 신뢰성 | 백업 | 서비스 장애 및 오류, 잘못된 조작 등으로 인한 데이터나 정보의 손상에 대비하였는가? |
| 보안 안정성 | 고객이 인스턴스에 설치된 모든 애플리케이션 소프트웨어, 유틸리티의 관리, 고객의 데이터 등이 보안 측면에서 안정적으로 구축되었는지? 그 외 보안 준수사항대로 설정하였는가? | |
| 확장성 | 인프라 확장성 | 서비스 사용자 요청에 맞추어서 인프라가 확장될 수 있도록 구성되었는가? |
| 관리성 | 인프라 모니터링 | 클라우드 인프라에 대한 운영 상태를 확인할 수 있는 모니터링 체계를 구축하였는가? |
| 비용 | 비용 효율성 | 사용한 만큼 과금되는 구조 및 유연한 인프라 확장이 가능한 클라우드의 특성을 활용하여 구성하였는가? |
3.3.3.2.1 가용성
- 가용성이란, 시스템이 중단없이 계속 서비스가 가능함을 의미
- 시스템을 구성하는 각 구성요소들을 Compute, Storage, Network 레이어 별로 살펴보고 단일 지점 (single point)를 이중화 하여 가용성을 유지하는 것이 일반적
- 가용성을 유지하기 윈한 인프라 구성은 Active-Active 구성이나, Active-Standby 형식으로 이중화를 구성 가능
3.3.3.2.2. 성능
: 성능적인 측면은 시스템상의 요구사항을 충족하고 서비스에 대한 수요 증가 혹은 감소에 발맞춰 인프라를 효율적으로 운영할 수 있는지를 의미
STEP 1. 적절한 용량 산정
- 서비스 설계 시, 적절한 용량을 산정하기 위해서는 시스템의 요구사항을 파악하고 인프라를 구성하는 것이 중요
- 특히 On-prem 환경에서 클라우드 환경으로의 이관일 경우, 기존 On-prem 환경과 동일한 구성이 아닌 오토스케일링 기능을 통해서 트래픽이 많을 때 인프라를 확장하여 대응할 수 있도록 구성하는 것이 효율적
STEP 2. 사전 테스트
- nGrinder, Apache bench와 같은 툴을 사용하여 웹서비스에 부하를 발생하고 서비스가 안정적으로 제공되는지 사전테스트가 가능
STEP 3. 지속적인 모니터링
- 지속적인 모니터링을 수행하면, 예상했던 성능과 실제 성능의 차이를 인식할 수 있으며 리소스의 변화를 감지하여 Scale-out 혹은 Scale-up 정책을 통해 리소스를 확충 가능
- 네이버클라우드플랫폼에서는 웹페이지에 대한 모니터링 뿐만 아니라, Cloud Insingt 서비스를 통해 네이버클라우드플랫폼에서 운영하는 인프라에 대한 전반적인 지표 확인 및 통보 알람 설정이 가능
3.3.3.2.3. 신뢰성 – 백업
- 서비스 장애 및 오류, 잘못된 조작 등으로 인한 데이터나 정보의 손상에 대비하여, 인프라 운영 관리담당자는 주기적(일/주/월 등)으로 백업을 할 수 있도록 백업 수행
- 백업 대상을 선정하고 그에 맞는 백업주기와 방법, 보관주기, 소산백업 여부 등에 대한 계획을 수립하고 수행
Ex. 네이버 클라우드 플랫폼 백업 신청
| 백업대상 | 백업주기 | 백업방법 | 보관주기 | 소산백업 |
| 데이터베이스 백업 | 1. 1회성 2. MSSQL 1일 1회 전체백업 3. MSSQL 1주 1회 전체백업 4. MSSQL 1주 1회 전체백업 & 매일 1회 증분백업 5. MYSQL 1일 1회 전체백업 6. MYSQL 1주 1회 전체백업 |
증분 혹은 전체 백업 | 최대 24주까지 보관 가능 | 소산백업 진행 여부 |
| 파일백업 | 1. 1회성 2. 1일 1회 전체백업 3. 1주 1회 전체백업 4. 1주 1회 전체백업 & 매일 1회 증분백업 5. 2주 1회 전체백업 6. 2주 1회 전체백업 & 매일 1회 증분백업 7. 3주 1회 전체백업 8. 4주 1회 전체백업 |
3.3.3.2.4. 신뢰성 – 보안
Ex. NAVERCLOUDPLATFORM’s Service Product
| 구분 | 상품 | Description |
| 침입탐지/대응 | Basic Security | 모든 고객에게 기본적으로 제공되는 무료 보안 서비스 |
| Security Monitoring | IDS, Anti-DDoS, Anti-Virus, IPS, WAF와 같은 다양한 보안 상품들을 이용하여 높은 수준의 보안 서비스를 제공 | |
| Site Safer | 고객이 개발한 웹 사이트가 해킹 또는 다른 보안 문제로 인한 악성코드를 배포하는지 검사 | |
| File Safer | 고객의 서비스에서 제공하는 파일과 아웃링크 URL의 악성 감영 여부를 해시 기반으로 검사 | |
| App Safer | 고객의 앱이 모바일에서 실행될 때, 루팅/탈옥, 악성 앱 설치, 앱 변조 등 보안 위협 여부를 실시간으로 탐지 | |
| 접근제어 | ACG | 인스턴스 그룹 단위로, IP, Port 기반의 네트워크 패킷 필터링 기능을 제공 |
| Secure Zone | 개인정보와 같이 중요 정보를 보다 더 안전하게 보호 할 수 있도록 대외 인터넷 망과 분리된 별도의 존을 제공 | |
| 인증/권한 관리 | Sub Account | 사용자 업무 역할별로 권한 관리를 할 수 있는 기능을 제공 |
| 암호화 | KMS | 고객 데이터의 암/복호화에 이용되는 키를 안전하게 보호할 수 있는 서비스 |
| SSL VPN | 고객 사이트로 안전하게 접근 가능한 SSL 방식의 가상 사설망을 제공 | |
| Certificate Manager | SSL 인증서의 손쉬운 등록 및 관리 서비스를 제공 | |
| 로깅 및 모니터링 | Resource Manager | 네이버 클라우드 플랫폼 서비스 내 생성한 모든 리소스를 한 눈에 볼 수 있는 통합 관리 서비스 |
| Cloud Activity Tracer | 네이버 클라우드 플랫폼 서비스 상에서 발생한 계정 활동 로그를 자동으로 수집해주는 서비스 | |
| Cloud Advisor | 네이버 클라우드 플랫폼 모범 사례에 따른 서비스 이용 권장 지침 안내 | |
| 취약점 관리 | System Security Checker | 고객 서버의 운영체제 및 WAS 시스템에 대해서 보안상 취약점이 없는지 점검하고 결과 리포트를 제공하는 서비스 |
| Web Security Checker | 고객의 웹 서비스에 대해 총 20가지의 주요 웹 취약점을 자동으로 진단하고 결과 리포트를 제공하는 서비스 | |
| App Security Checker | 고객의 Android 모바일 앱에 대하여 취약점을 자동 점검하고 결과 리포트를 제공하는 서비스 | |
| Compliance | Compliance Guide | 고객의 보안 인증이나 규제에 대응하는 데 필요한 사항들을 알기 쉽게 정리한 가이드 |
3.3.3.2.5. 관리성
- 클라우드 서비스에 대한 지속상태를 확인하기 위해 모니터링 체계를 구축하는 것이며 이를 통해 잠재적인 문제나 장애 발생시 예방 혹은 빠르게 조치를 취하여, 서비스 가용성을 유지 혹은 개선
- 또한 서비스되고 있는 웹사이트에 대한 지속적인 모니터링 체계를 추가 구축한다면 더욱더 안정적인 서비스 운영이 가능
- 데이터로 수집해야 하는 항목들 Examples (from 인프라 엔지니어링 첫걸음)
: 디스크 또는 inode 사용량, 디스크 지연 시간, 데이터베이스 Select 명령 실행에 걸리는 시간, 트래픽 IN/OUT, 메모리 사용량, 읽기 평균값, 데이터베이스 동시 접속 수, 서버의 CPU 사용량, 데이터베이스 Update 명령 실행에 걸리는 시간, 웹 서버 동시 접속 수
3.3.3.2.5.1. 필수 수집 대상인 지표
| 감시 종류 | 감시할 내용 | 개요 |
| 포트 감시 | Listen 상태 확인 | 포트 통신을 확인해서 포트 상태를 확인할 수 있음 |
| 프로세스 감시 | 프로세스 수 확인 | 수신할 수 없는 것 또는 포트를 수신하지만 프로세스에 문제가 생긴 경우를 감지할 수 있음 |
| 디스크 사용량 | 디스크 사용량 | 디스크 사용량이 상한에 가까운지 감지할 수 있음 |
| 읽기 평균(load average) 값 | 시스템 전체의 부하 상태를 나타내는 값 | 처리 실행 대기 행렬을 확인할 수 있음 |
| 메모리 스왑 사용량 | 메모리 스왑 사용량 | 메모리가 부족한 지 미리 감시할 수 있음 |
| Ping fail | 서버 장애 | 서버와 관련된 이상을 감지할 수 있음 |
- 디스크 사용량과 inode 사용량: 누군가 데이터를 대량으로 업로드하거나 로그를 정기적으로 압축하지 않으면 두 가지 모두 사용량이 100% 도달할 수 있습니다. 이렇게 되면 더 이상 파일을 생성할 수 없으므로 매일 송수신 오류가 발생하거나 로그를 추가 저장할 수 없기 때문에 통보 알람 설정을 통해 디스크 사용량과 inode 사용량을 모니터링 하는 것이 좋습니다.
- 읽기 평균: 읽기 평균은 서버 스펙과 애플리케이션에 따라 적절한 값이 변경됩니다.
- 메모리의 스왑 사용량: 스왑이란 메인 메모리를 모두 사용하거나 부족할 때 보충해 주는 하드디스크 영역으로서, 메모리의 처리 속도보다 매우 느립니다. 따라서 스왑 영역에 읽고 쓰는 횟수가 많으면 서비스 전체 성능에 영향을 줄 수 있기 때문에 메모리의 스왑 사용량에 대해 지속적으로 모니터링 하는 것이 좋습니다.
3.3.3.2.5. 비용
- 클라우드는 사용한 만큼 과금 되는 구조로서, 시간 당 혹은 월 단위 비용이 청구되며 짧은 시간 동안 서버를 사용할 시에는 편리하지만 ‘얼마만큼 과금 될지 알기 어렵다’ 라는 특징이 있음
- 클라우드 서비스 제공업체마다 과금 구조가 다르기 때문에 각 과금 구조를 정확하게 파악하고 장기 할인 플랜 등 요금을 절약할 수 있는 방안을 살펴보는 것이 중요함
- 대규모 웹서비스 운영 시에는 트래픽이 늘었을 시에는 서버를 확장했다가, 트래픽이 줄었을 시에는 불필요한 서버를 반납처리 함으로써 인프라를 비용 효율적으로 운영할 수 있음
< 클라우드의 특징을 200% 활용하기 위해 고려해야 할 점들
> 클라우드를 사용하면 비즈니스 변화에 따라 인프라를 확장 및 축소할 수 있으므로 예상치 못한 수요 폭증을 처리하기 위한 추가 인프라를 확보해야 할 필요도 없다.
> 클라우드에서 제공하는 완전관리형 서비스를 사용하면 쿠버네티스, 데이터베이스 등 주요 인프라들을 빠르게 생성하고 관리할 수 있도록 지원한다.
> 클라우드에서 인프라를 구성할 때는 다음과 같은 포인트들을 고려해야 한다.
- 가용성, 성능, 신뢰성(백업), 확장성, 관리성, 비용
3.4. 클라우드의 특징을 활용할 수 있는 주요 서비스 및 구성안
3.4.1. 멀티존을 활용한 고가용성 유지방안
+ Availability : 가용성을 확보하여 24/7이 가능하도록 구성이 가능
3.4.1.1. 고가용성을 위해 필요한 개념들
3.4.1.1.1. 리전과 존의 개념 – 존
+ Availability Zone
- 리전 내 물리적으로 분리되어 있는 데이터센터 및 네트워크로 구성되어 있는 지점
- 각 존들은 전용회선 베이스의 사설 통신 가능
- 사용자는 서비스 가용성 및 연속성을 위해 복수개의 존에 걸쳐 서비스를 설계하고 배포 필요
- 서로 다른 가용 영역 내 리소스 배포 통해 존 자체 이슈로부터 고가용 서비스 설계 가능
+ AZ 제공 현황_CSP.NAVERCLOUDPLATFORM
- 민간 Classic : KR-1 / KR-2
- 민간 VPC : KR-1 / kR-2
- 공공 VPC : KR-1
- 금융 VPC : FKR-1 / FKR-2
+ 멀티존
- 멀티존 정의
: KR-1, KR-2에서 동일한 상품을 제공하고 재해 발생 등으로 한 쪽 Data Center가 운영 불능이 될 상황에 대비하여, 고객 자체적으로 DR을 구성할 수 있는 환경을 제공
- 멀티존 상품이란
+ 클라우드 리소스는 글로벌, 리전, 존으로 구분되며, 리소스 범위에 따른 리소스 간 엑세스 가능범위를 결정
+ 멀티존 상품은 해당 클라우드 리소스를 배포할 존을 선택할 수 있음
- 사용자가 직접 존을 선택할 수 있는 상품: (1) only KR-1, (2) only KR-2, (3) Both KR-1 and KR-2 中 택 1이 가능한 상품
- 사용자가 직접 선택할 수는 없지만 멀티존을 지원하는 상품
- VPC 멀티존
+ Subnet은 존에 종속으로 생성되며, VPC내 서로 다른 존에 생성된 Subnet은 Network 주소가 중첩되지 않음
+ 클라우드 리소스가 Subnet에 귀속되어 있다면 해당 상품은 자연스럽게 존에 Dependency가 생기게 됨
3.4.1.2. 멀티존을 활용한 서버 고가용성 유지
- Server 생성 시 생성존( KR-1, KR-2 ) 를 선택할 수 있음
- 장애 시나리오 별 서비스 영속성을 위해 Server는 둘 이상의 존에 분산, 배포 필요
- Server 고가용성 구성 방안
1) LB를 이용한 존 간 이중화 구성
- 서버는 각 존(KR-1, KR-2)에 생성할 수 있으며, LB 상품을 이용하여 존 장애 대비한 이중화 구성 필요
2) 데이터 백업을 통한 이중화 구성
2-1) 커스텀 이미지 활용
- 내서버 이미지와 스냅샷 이미지를 이용해서 OS, 추가 볼륨(Block Storage)에 대한 현재 시점의 데이터를 이미지화
- 각 커스텀 이미지는 서버와 동일 존에 생성, 저장되므로 이미지를 “수작업”으로 멀티 리전에 사전 복사 작업 필요
2-2) Backup 상품 활용
- NCP Backup 상품을 이용해서 OS 데이터, 이미지 Built-in DB의 경우 table 단위까지 백업 설정 가능하며, 필요시 데이터 복원 가능, 존 간 (KR-1 <--> KR-2), 글로벌 리전에 소산 백업 신청 필요
3.4.1.2.1. (1) LB를 이용한 존 간 이중화 구성
- VPC 내 존 종속 리소스인 Subnet을 활용하여 Server를 존(KR-1, KR-2) 별 분산 구성
- Load Balancer 배포 시 리스너를 존(KR-1,KR-2) 별 생성하고 서버 바인딩
- 로드밸런서를 이용 애플리케이션에 대한 인입 트래픽을 존 별 분산 구성
3.4.1.2.2. (2) 데이터 백업을 통한 이중화 구성
(2)-1 커스텀 이미지 활용
- 내서버 이미지와 스냅샷 이미지를 이용하여 OS, 추가 볼륨(Block Storage)에 대한 현재 시점의 데이터를 이미지화
- 각 커스텀 이미지는 서버와 동일 존에 생성, 저장되므로 이미지를 글로벌 리전에 사전 복사 작업 필요
(2)-2 Backup 상품 활용
- Backup 데이터는 백업 대상 리소스와 동일 존에 저장됨
- 존 장애에 대비하여 소산 백업 신청 필요
- 소산 백업을 통해서 존 간 (KR-1 <--> KR-2), 글로벌 리전에 소산 백업 신청 필요
3.4.1.3. 멀티존을 활용한 데이터베이스 고가용성 유지
- Cloud DB for MySQL은 HMA (Master High Availability) 방식으로 DB 서버를 이중화 구성
- Read I/O를 위한 Replica는 존 별 선택 구성 가능
- PLB 이용 Replica DB 바인딩 하여 Read IO 분산 가능
- Active Master와 Standby Master를 존 별 배치하여 멀티존 고가용성 확보
- Read I/O 분산 목적의 Slave를 각 존 별 분산 배치하고 PLB를 이용한 Mesh 구성으로 고가용성 확보
3.4.2. 클라우드의 확장성
3.4.2.1. 오토스케일링을 이용한 인프라 확장성 – (지정 정책에 따른) Alarm에 의한 동작방식
- 모니터링 서비스와 연계해 각종 모니터링 항목(CPU, Memory, Traffic 등)에 임계치를 설정하고, 임계치를 초과하면 자동으로 서버를 추가로 생성하거나 반납
- (예) 모니터링 결과, CPU 사용이 50% 이상이면 서버를 추가로 투입
3.4.2.2. 오토스케일링을 이용한 인프라 확장성 – 스케줄에 의한 동작방식
- 고객 서비스 특성에 따라서 서비스 트래픽이 몰리는 특정 시간대에만 서버를 증가시키는 방식. 시간대별로 서비스 트래픽에 차이가 크거나 일괄 처리 작업을 실행하는 시간이 정해져 있는 경우에 활용 가능
- (예) 사용자가 많은 오후 5시~11시 사이에는 서버를 5대 추가로 투입하고, 11시 이후에는 다시 보통 수준으로 서버대수 유지
3.4.3. 클라우드 인프라 모니터링_CSP.NCP
3.4.3.1. Cloud Insight를 통한 모니터링
- 네이버 클라우드 플랫폼에서는 Cloud Insight를 통해 자동화된 모니터링 수행 및 장애 조짐이 의심되는 상황 또는 실제 장애 상황을 빠르게 식별할 수 있도록 단계별로 Event Rule을 생성할 수 있으며, Event Rule마다 해당 장애 상황 조치에 가장 적합한 담당자를 지정 가능
- 또한 Event 발생 시 각 담당자가 빠르게 대응할 수 있도록 SMS 및 Email을 통해 장애 상황에 대한 요약 정보가 포함된 알람을 제공
3.4.4. 클라우드 인프라 로그 관리
3.4.4.1. 로그 수집 및 분석을 편리하도록 하는 CLA(: Cloud Log Analytics, NCP)
- Agent 기반으로 동작하기 때문에 로그를 수집할 서버에 에이전트 설치가 필요
- Syslog, Apache Log, MySQL Log, Tomcat Log, Windows, Event Log, MS-SQL error Log 수집 (텍스트 형태의 모든 로그 수집 가능)
- 커스텀 로그 기능을 통해 직접 로그 대상 지정 가능
- (확장성이 좋은)Object Storage와 연계되어 로그파일 보관(및 영구보관) 기능 제공
- 필터링 및 키워드 옵션을 제공하여 원하는 로그 만을 추출하여 확인 가능
3.4.5. 클라우드 서비스에서 이외의 구현 가능한 서비스
3.4.5.1. 클라우스 서비스를 사용하여 할 수 있는 것 – 미디어
+ 아키텍처 소개
- 주문형 비디오 서비스
- 클라우드 상품만으로 End-to-End 서비스
- 무제한의 용량과 99.999%의 가용성을 가진 오브젝트 스토리지를 통한 데이터 저장
- 고성능의 컴퓨팅 파워가 필요한 VOD 트랜스코딩 작업을 원하는 만큼 사용하고 과금 지불
- CDN+ / GCDN 의 컨텐츠 가속 기능을 이용하여 세계 모든 사용자에게 서비스 가능
- 오래된 영상은 Archive Storage에 저장
- Cloud Function 연동은 향 후 출시예정
+ 주요 상품
- VOD transcoder
- Cloud function
- CDN+ / GCDN
+ 적용 가능 서비스
- Live/VOD 서비스, e-Learning
3.4.5.2. 클라우드 서비스를 사용하여 할 수 있는 것 – 온라인 광고 플랫폼
+ 아키텍처 소개
- 실시간 입찰(RTB) 시스템
- 소비자가 브라우저 접속 시 적절한 광고가 노출됨
- AD 서버는 사용자 접속 시 즉각 실시간 Bidding을 통해 선택된 광고를 사용자 브라우저에 노출시킴
- 광고주는 미리 생성한 광고 컨텐츠를 Object Storage와 CDN에 보관 후 사용자 call 있을 때 빠르게 서비스
- 퍼블리셔, 광고 소비자의 행위가 실시간 입찰 결과에 반영됨
- 입찰과정은 수십 밀리세컨드 내에 처리되어야 함
- 사용자 클릭 이벤트를 수집하고 처리할 빅테이터 시스템 필요
+ 주요 상품
- Cloud Hadoop
- Auto Scaling
+ 적용 서비스
- 디지털 마케팅
- RTB 플랫폼
< 클라우드의 특징을 활용할 수 있는 주요 서비스 및 구성안
> 멀티존을 활용하여 서버 고가용성을 유지할 수 있다.
> 오토스케일링을 이용하여 인프라 확장성을 확보할 수 있다.
> Cloud Insight를 통해 자동화된 모니터링을 수행할 수 있다.
> CLA를 통해 로그를 편리하게 수집하고 분석할 수 있다.
> 미디어, 온라인 광고 플랫폼, 네트워크, 게임 뿐 아니라 글로벌 지역에서는 클라우드 서비스를 활용할 수 있다.
'-01. E-Learning' 카테고리의 다른 글
| 네이버클라우드와 떠나는 Cloud 여행 -3 (26) | 2024.09.09 |
|---|---|
| 네이버클라우드와 떠나는 Cloud 여행 -1 (29) | 2024.09.06 |
| 네이버클라우드와 떠나는 MSA 여행 (21) | 2024.09.04 |