AWS VPC를 이용해 EC2와 RDS를 안전하게 관리하기
※ AWS VPC 서비스를 이용해 AWS EC2와 RDS를 관리하는 방법 ※
이번 시간에는 AWS VPC 서비스를 이용해 AWS EC2와 RDS를 안전하게 관리하는 방법에 대해서 알아보도록 하겠습니다. 우리는 일반적으로 AWS EC2를 이용해 웹 서버를 구동시키고, MySQL과 같은 데이터베이스는 AWS RDS 서비스를 이용하여 별도의 독립된 공간에서 관리합니다. 이 때 EC2는 웹 서버가 있다는 점에서 퍼블릭(Public) 상태여야 하며 RDS는 EC2에서만 접근할 수 있는 프라이빗(Private) 상태여야 해요.
다시 말해 다음과 같이 시스템을 구성하는 것이 안전하며 효과적입니다.
말 그대로 외부에서는 EC2에만 접근할 수 있으며 AWS RDS 데이터베이스는 EC2를 거쳤을 때만 이용할 수 있습니다. 그래서 외부에서 바로 DB에 접근할 수 없다는 점에서 중요한 정보를 안전하게 보관할 수 있다는 것입니다. 이는 가장 간단하면서도 보편적인 시스템 구성도입니다. 결과적으로 VPC라는 것을 이용해 AWS EC2와 AWS RDS를 감싸야 합니다. 따라서 가장 먼저 AWS VPC를 만들어 보도록 하겠습니다.
※ VPC 만들어보기 ※
▶ VPC 관리: https://console.aws.amazon.com/vpc/
VPC는 해당 사이트에 접속해서 생성할 수 있습니다. 바로 [VPC 만들기] 버튼을 눌러 이동합니다.
우리는 2번째 옵션인 [퍼블릭 및 프라이빗 서브넷이 있는 VPC]를 선택하면 됩니다. 외부에서 접속 가능한 퍼블릭(Public) 서브넷을 반드시 열어 두어야 합니다. 이후에 Public Subnet이라는 이름으로 외부에서 접속 가능한 서브넷을 만들 예정입니다.
다음과 같이 퍼블릭 서브넷(Public Subnet)과 프라이빗 서브넷(Private Subnet)의 이름을 설정하면 됩니다. 이 때 프라이빗 서브넷의 가용 영역을 기억해두시면 좋습니다. 나중에 프라이빗 서브넷을 하나 더 만드는데, 그 프라이빗 서브넷의 설정에 있어서 필요한 정보이기 때문입니다. 그리고 NAT 게이트웨이로 NAT 인스턴스를 사용하시면 됩니다. 어차피 저는 NAT 인스턴스 사용 설정만 해 놓고, 실제로는 사용하지 않을 생각입니다.
그러면 NAT 인스턴스의 세부 정보를 설정할 수 있습니다. 저는 가장 기본적인 인스턴스인 t2.nano를 이용했습니다. 어차피 NAT 인스턴스는 지운 다음에 다시 만들어 줄 생각이에요. 이후에 [VPC 만들기] 버튼을 눌러서 VPC를 생성하시면 됩니다.
이후에 [서브넷] 탭으로 이동해 보시면 다음과 같이 방금 우리가 만들었던 Public Subnet과 Private Subnet이 존재하는 것을 확인할 수 있습니다. 다만 VPC의 정상적인 동작을 위해서는 한 개의 Private Subnet을 더 만들어야 합니다. 따라서 [서브넷 생성] 버튼을 누를 수 있습니다.
서브넷을 생성할 때는 아까 우리가 생성했던 VPC를 대상 VPC로 설정해주시면 됩니다.
다만 이번에 만드는 두 번째 프라이빗 서브넷은 처음에 만들었던 프라이빗 서브넷과 다른 [가용 영역]을 사용해야 합니다. 만약 같은 가용 영역을 사용하시는 경우, 나중에 최종 단계에서 가용 영역이 최소 2개 이상 필요하다는 오류 메시지를 만나게 될 거예요. 또한 IPv4 CIDR 블록으로는 10.0.2.0/24를 사용하시면 됩니다. 이후에 [생성]을 진행해주시면 됩니다.
이제 다음과 같이 Private Subnet이 2개 존재하는 것을 확인할 수 있습니다. 이 두 개의 프라이빗 서브넷이 동일한 라우팅 테이블을 가지는지 확인해주시면 됩니다. 다음 사진과 같이 각 서브넷을 클릭해서 [라우팅 테이블] 탭에서 확인하시면 됩니다.
※ 보안 그룹 설정하기 ※
이제 실제로 어떠한 프로토콜을 이용해서 우리의 VPC에 접근할 수 있는지를 설정하기 위해서 [보안 그룹] 탭으로 이동해서 [Create Security Group] 버튼을 눌러서 보안 그룹을 만들어 주시면 됩니다.
기본적으로 외부에서 접속이 가능한 보안 그룹으로 Security Group을 생성합니다. 마찬가지로 대상 VPC로는 처음에 만들었던 VPC를 넣어주신 뒤에 [Create] 버튼을 눌러서 생성해주시면 됩니다.
보안 그룹을 만든 이후에는 다음과 같이 만들어진 보안 그룹을 클릭하여 [Edit Rules] 버튼을 눌러서 규칙(Rule)을 추가하시면 됩니다.
이후에 다음과 같이 SSH와 HTTP 프로토콜을 열어서 외부에서 접속할 수 있도록 설정하시면 됩니다.
결과적으로 다음 그림과 같이 인바운드 규칙(Inbound Rule)을 확인해 보시면 80번 포트 및 22번 포트로는 외부에서 접속이 가능한 것을 확인할 수 있습니다. 이제 내부망에서 DB에 접속할 수 있는 보안 그룹 또한 만들어주도록 하겠습니다.
이후에 다음과 같이 DB Security Group이라는 이름으로 보안 그룹을 만든 뒤에 대상 VPC를 설정해주시면 됩니다.
이번에 만들어진 보안 그룹도 마찬가지로 [Edit Rules]를 눌러서 규칙을 추가할 수 있습니다. 이 때, 아까 만들었든 Security Group의 그룹 ID를 저장해 두시면 됩니다.
다음과 같이 3306 포트로만 접속할 수 있도록 설정하시면 됩니다. 이 때 [소스] 탭으로는 아까 만들었던 Security Group의 그룹 ID를 넣으시면 됩니다. 그러면 Security Group에 속해 있는 컴퓨터만 DB Security Group에 접근할 수 있게 됩니다.
※ 데이터베이스 서브넷 설정 ※
이제 하나의 데이터베이스를 만들어서 설정을 해보도록 하겠습니다. 가장 먼저 [서브넷 그룹] 탭으로 이동해서 [DB 서브넷 그룹 생성] 버튼을 누르시면 됩니다.
이후에 다음과 같이 DB 서브넷 그룹을 만들어 주세요. 만드실 때는 처음에 생성했던 VPC로 설정하시고 [이 VPC와 관련된 모든 서브넷 추가] 버튼을 눌러서 VPC와 관련된 서브넷을 모두 추가하시면 됩니다.
결과적으로 모든 서브넷이 추가된 것을 확인할 수 있습니다.
※ 데이터베이스 만들기 ※
결과적으로 [데이터베이스] 탭으로 이동해서 [데이터베이스 생성] 버튼을 눌러서 데이터베이스를 만들어 보도록 하겠습니다.
다음과 같이 프리 티어로 MySQL을 만들어 보도록 하겠습니다.
이후에 다음과 같이 DB 세부 정보를 지정할 수 있습니다. 저는 MySQL 5.6으로 설정하고 기본 설정 그대로 진행했습니다.
이후에 고급 설정 탭에서 VPC의 세부 설정을 진행하시면 됩니다. 다음과 같이 아까 만들어 주었던 DB Subnet Group과 DB Security Group으로 설정을 해주시면 됩니다. 그러면 동일한 VPC에 있는 Security Group에서만 이 DB에 접근할 수 있게 됩니다.
이후에 나머지 설정을 해주시고 DB 인스턴스를 만들어 주시면 됩니다.
※ AWS EC2 인스턴스 만들기 ※
이제 AWS EC2 인스턴스를 만들어서 퍼블릭(Public)한 접근이 가능하도록 설정하겠습니다. 따라서 AWS EC2 관리 페이지의 [인스턴스] 탭에서 [인스턴스 시작] 버튼을 눌러 인스턴스를 만들어 보도록 하겠습니다.
저는 우분투(Ubuntu) 서버로 생성을 진행하여 인스턴스까지 설정해보도록 하겠습니다.
이후에 인스턴스 세부 정보를 편집하여 VPC 설정을 진행하도록 하겠습니다.
다음과 같이 처음에 만들었던 VPC로 설정을 진행하시면 됩니다. 또한 서브넷 설정에 있어서 만들었던 Public Subnet으로 설정하시면 됩니다.
이후에 [보안 그룹 구성] 탭으로 이동하여 아까 만들었던 Security Group으로 설정하여 외부에서 접근 가능하도록 설정합니다.
이후에 인스턴스를 시작해주시면 됩니다.
또한 해당 인스턴스에 접근하기 위하여 키 페어를 설정합니다.
이제 인스턴스가 생성되었습니다.
다만 이렇게 만들어진 인스턴스는 기본적으로 공인 IP가 할당되어 있지 않습니다. 따라서 탄력적 IP(Elastic IP)를 설정해줍니다.
하나의 탄력적 IP를 선택해 [주소 연결] 기능을 눌러 다음과 같이 방금 생성했던 인스턴스를 설정해주시면 됩니다.
이제 이 인스턴스에 해당 퍼블릭 IP로 접속할 수 있습니다.
실제로 접속을 해보면 다음과 같습니다.
※ VPC 내부의 MySQL 접속하기 ※
이제 VPC 내부에 있는 MySQL에 접속해보도록 하겠습니다. AWS RDS 서비스로 가서 아까 만들었던 DB를 확인합니다. 그러면 해당 DB에 접속할 수 있는 URL이 보입니다.
이제 외부에서 여기에 접속하려고 하면 접속 실패 메시지가 뜨는 것을 확인할 수 있습니다.
따라서 EC2에서 MySQL을 설치해서 EC2에서 해당 MySQL 서버에 접속해보도록 하겠습니다.
▶ APT 업데이트: sudo apt-get update
▶ MySQL 설치: sudo apt install mysql-client-core-5.7
다음 사진과 같이 동일 VPC 내의 EC2에서 접속했을 때 비로소 접속이 되는 것을 확인할 수 있습니다.
▶ MySQL 접속하기: sudo mysql -u user -p --port 3306 --host db.crtzcfwok2ed.ap-northeast-2.rds.amazonaws.com
이로써 VPC 내부에서만 접속이 가능한 MySQL 데이터베이스가 구축이 되었습니다. 반면에 EC2는 퍼블릭(Public)한 공간에 있기 때문에 누구나 언제든지 접속이 가능합니다. 이와 같은 구성이 많이 사용되는 이유는 EC2에 MySQL을 설치하는 것보다 RDS 서비스로 따로 분리하는 것이 더 효과적인 DB 관리가 가능하기 때문이에요.
'기타' 카테고리의 다른 글
AWS EC2에 AWS RDS 연동하기 (3) | 2019.01.03 |
---|---|
AWS VPC 안에 포함되어 있는 서비스들을 통째로 제거하는 방법 (2) | 2019.01.03 |
노션(Notion)을 활용한 팀 프로젝트 관리 (0) | 2018.12.31 |
Freenom 서비스로 무료 도메인 호스팅 이용하기! (2) | 2018.12.31 |
Xshell 6 개인 무료 라이센스로 설치하여 사용하는 방법 (0) | 2018.12.31 |