클라우드 컴퓨팅

On-Demand, Pay-Per-Use

인프라(Public, Private, Hybird)

오픈스택, CPNDS

SLA, 서비스카탈로그

OS, App, Data, Validation(전환기술)

사클마확서안(전환절차)

 

클라우드 컴퓨팅은 컴퓨팅을 위한 좀 더 효율적이고 확장성 있는 플랫폼을 제공하기 위해 연산과 스토리지를 중앙집중화하는 것에 관한 것이다

 

 

 

▲ 서버 가상화 vs. 네트워크 가상화(자료: VM웨어) 출처 : 데이터넷(http://www.datanet.co.kr)

▲ 가상 데스크톱 인프라 VDI(자료: AppDS) 출처 : 데이터넷(http://www.datanet.co.kr)

 

[개념] 가상화 기술을 활용하여 실시간 확장가능한 인프라 구조를 통한 IT 자원을 서비스로 제공하는 컴퓨팅 기술

[특징] On-Demand 셀프서비스, 광대역 네트워크 접근, 자원 공동관리, 신속한 탄력성, 측정 가능한 서비스

[서비스 모델] SaaS, PaaS, IaaS, IaaS, Hybrid(VDI, SECaaS,CDN)

[서비스 처리측면 기술]

1)분산데이터 저장:분산파일,분산데이터관리

2)분산 컴퓨팅:메시지 전달모델, 분산 공유메모리 모델, 데이터 병렬 모델

 

[서비스 관리측면 기술]

1)클러스터 관리:고가용성 클러스터, 부하분산 클러스터

2)프로비저닝/스케쥴링: 서비스 프로비저닝, 씬 프로비저닝, 작업 스케쥴링

 

[인프라 구성 기술]

1)가상화: 서버,스토리지, 네트워크

2)서버 구성:그리드,파티셔닝, 블레이드 서버

 

[보안측면] 플랫폼 보안, 스토리지 보안, 네트워크 보안, 단말 보안

 

[기업활용]

1)서비스 프로세스 측면: DevOps, VDI 

2)기술측면: 기본 Infra 대체, 망분리 구현

3)고려: 보안측면(보안인증제), 비용측면(CAPEX,OPEX)

 

[이슈] 통제권 상실, 신뢰성, SW 적합성, 성능 등 불확실성

[해결] 클라우드 활성화 정책, 보안, 인터클라우드, 서비스 성능 측정, SLA 등 표준화 진행중

 

[육성전략] 공공 도입촉진, 민간 이용 활성화, 기업경쟁력 강화 및 글로벌화, 산업성장기반 구축

 

클라우드 컴퓨팅 5대 기술영역

 

CSP, CSB, CN, CCD, CS

가상화기술, 대규모 분산처리, 오픈 인터페이스, 프로비저닝, 자원, SLA, 보안, 공유모델

 

[개념] 클라우드 서비스를 결합해 소비자의 요구에 맞는 맞춤형 서비스를 구성 및 중개

[기술영역]서비스제공자,CSB, 네트워크, 서비스 단말, 보안

[구현기술] 거버넌스 - 정책/규칙, 리포팅, 모니터링, SLA, Biz, 컴플라이언스

통합 - 커넥터,어댑터,메시징,라우팅,해석,스키마

관리 - 캐싱,대역폭관리,자동스케일링,로드관리,오프로딩,기술적 컴플라이언스

개발 - PaaS, IDE, APIs, 전문기술지식

커뮤니티 - 프로파일, 공급, 운영, 라이프사이클

 

[구현기술]

1)가상화 기술: 하이퍼바이저, 가상 I/O, 파티션 모빌리티

2)대규모 분산처리: 분산처리기술

3)오픈 인터페이스:SOA, Open API

4)프로비저닝/자동화도구

5)자원 유틸리티:사용량 측정, 과금, 사용자 계정관리

6)SLA 7)보안 및 개인정보관리

8) 다중 공유모델(SaaS)

 

※ Shadow IT - Shadow IT & BYOD

기업 및 조직에서 공식적으로 허가받지 않았거나 관리되고 있는 않은 다양한 IT 자산 (개인화된 비허가 자산)

 

 

 

 

---

• 테넌트 (Tenent)혹 다른 이용자와, 물리적으로는 하나의 서버를 공유하게 되더라도AWS에서는 하나의 관리자 계정(AWS 콘솔 루트 사용자)에 의해 관리되는 환경을 테넌트라 할 수 있다.
• 논리적으로 분리된 멀티 테넌트 환경에 의해서 클라우드 리소스를 보호 받을 수 있다.
• 클라우드 서비스 이용자가 갖게 되는 자신만의 격리된 환경 을 테넌트라고 한다.

 

• 리전 (Region)AWS에서는 미국 동/서부, 캐나다, 유럽, 아시아, 남미 중에서 리전을 선택해서 사용할 수 있다.2017년 9월 현재 Asia Pacific에는 싱가포르, 시드니, 서울, 도쿄, 뭄바이 리전이 존재한다.
• 참고: AWS Region Table
• (중국, 프랑스, 홍콩, 스웨덴 등이 준비 중이다.)
• 클라우드 인프라가 위치한 국가나 지역을 식별할 수 있도록 분리한 것을 리전이라고 한다.

 

• AZ (Availability Zone)여러개의 AZ에 동일 리소스/서비스를 분산/배포해서, 특정 데이터 센터(zone)에서 발생하는 장애에 대비할 수 있다.AWS의 컨디션이나 계정에 따라 특정 AZ의 사용이 제한될 수 있다.국내 대상 서비스에는 물리적으로 가까운 도쿄, 서울 리전이 주로 사용된다.
• AZ는 리전 코드와 식별 문자의 조합으로 표시된다.
•  
• 동일 region안에서의 AZ간 발생하는 latency 문제는 low-latency links를 통해서 보장해준다고 한다.
• 동일 리전안에서 리소스가 운용되는 데이터 센터를 Availability Zone(줄여서 AZ)으로 나눠서 관리한다.
• 도쿄 리전은 다음의 3개의 AZ로 구분된다.
• ap-northeast-1a
• ap-northeast-1b
• ap-northeast-1c
• 서울 리전은 다음의 2개의 AZ로 구분된다.
• ap-northeast-2a
• ap-northeast-2c
• CIDR (Classless Inter-Domain Routing)일반적으로 VPC는 private IP 대역인 다음 대역 내에서 CIDR을 정의한다.* 10.0.0.0 - 10.255.255.255 (10.0.0.0/8)* 192.168.0.0 - 192.168.255.255 (192.168.0.0/16)
  여기서 / 뒤에 붙는 숫자 8, 12, 16은 IP의 앞에서부터 각각 8비트, 12비트, 16비트가 네트워크 주소로 사용 됨을 의미한다. 32비트로 이뤄진 ipv4 주소에서 네트워크 주소를 제외한 24, 20, 16비트가 호스트를 나타내는 주소로 사용된다.2진수로 00001010.00000001.00000001.00000000/24 로 나타낼 수 있고
  
  
  그림1 에서 파란색 점선은 private ip(virtual ip)로 통신하는 부분, 붉은색 점선은 public ip(real ip)로 통신하는 부분을 나타낸다.
•  
•  
•  
• 여기서 24는 앞에서 24비트인 00001010.00000001.00000001를 고정하고 마지막 8비트를 변경가능한 IP 대역 (10.1.1.0 ~ 10.1.1.255)으로 사용하게된다.
• 예를들면 10.1.1.0/24 의 경우
•  
•  
• * 172.16.0.0 - 172.31.255.255 (172.16.0.0/12)
•  
• VPC resource는 CIDR로 IP대역을 정의한다.
• 가정에서 흔히 사용하는 공유기는 여러가지 기능을 제공하는데 이 중 VPC의 이해를 도와줄 공유기의 주요 기능을 살펴보면 다음과 같다.
• 라우터 (Router)여기서 다른 네트워크란 subnet mask가 다른 네트워크로 이해하면 쉽다.
• 라우터는 서로 다른 네트워크간의 통신을 중계한다.
• 스위치 (Switch), DHCP공유기 내부에서 사용하는 스위치나, 저가에 판매되는 대부분의 스위치는 L2 스위치를 칭한다.
• 각 포트에 연결된 MAC address를 기억하고 있다가 스위치로 들어온 요청에서 destination MAC address를 읽어, 해당 MAC address로 연결된 port로 데이터를 전송하는 역할을 한다.
• 전송 시에 사용하는 OSI 7 Layer에 따라 L2, L3, L4, L7으로 구분한다.
• NAT (Network Address Translation)그런데, 공유기 내부의 장비(PC)들은 private IP만 할당받았기 때문에, private IP만으로는 외부 네트워크와의 통신이 불가능하다.
• 이때 공유기의 NAT기능을 통해서 외부로 나가는 요청은 public IP로 변환(IP Masquerading)되어 전송되고, 요청에 대한 응답이 오면 요청했던 내부 IP로 전달해주는 역할을 한다.
• 외부 네트워크와 통신할 때는 반드시 public IP를 통해야 한다.
• DHCP (Dynamic Host Configuration Protocol)
• 공유기에 연결된 새로운 장비에 동적으로 IP 주소를 할당한다.
• 방화벽 (Firewall)
• 내부로 들어오는/외부로 나가는 IP/PORT를 특정 규칙으로 통제할(열거나 닫을) 수 있다.
• 그림1의 공유기를 사용하는 네트워크를 AWS VPC에 매칭해서 그려보면 다음과 같다.
•  

[ 그림2 – 공유기에 대응하는 AWS VPC 네트워크 ]

• 앞에서 설명했던 공유기의 주요기능을 다음과 같은 AWS resource가 대신한다고 볼 수 있다.
• 라우터 (Router)Internet Gateway는 VPC마다 최대 하나씩 할당하며, VPC의 Internet연결을 위해 사용한다.
• Route Table은 (서브넷의) 네트워크 트래픽을 전달할 위치를 결정하는데 사용한다.
• Internet Gateway + Route Table이 라우터를 대신한다.
• 스위치 (Switch), DHCP(Dynamic Host Configuration Protocol)가상 스위치는 가상 라우터와 가상 머신 인스턴스의 가상 NIC(Network Interface Card)이 연결되는 접점이된다.서브넷에 연결된 인스턴스는 기동 시 DHCP를 통해 IP 주소를 할당받게 된다.
• 하나의 가상 스위치에 하나의 서브넷이 할당되는데, 여기서 서브넷은 가상 머신 인스턴스가 사용할 수 있는 사설 IP주소의 범위를 의미한다.
• AWS는 스위치를 별도로 구분하지 않고, Subnet이 (가상)스위치의 기능을 포함한다.
• NAT (Network Address Translation)
• NAT instance나, NAT Gateway가 NAT를 대신한다.

방화벽 (Firewall)

NACL(Network ACL)과 Security Group이 방화벽을 대신한다.

 

https://blog.2dal.com/2017/09/12/aws-vpc-basic/?refer=%EA%B0%9C%EB%B0%9C%EC%9E%90%EC%8A%A4%EB%9F%BD%EB%8B%A4

AWS VPC basic | asbubam's blog on 2dal.com

 

 

 

클라우드 마이그레이션 위험관리

 

계식분대통, 상호운용성 주의깊은 검토

이슈 및 리스크관리 대장

 

[고려되어야 하는 위험요소] 인프라 스트럭처, Data&Application, 보안

1)인프라관점 고려사항 - public/private/hybrid 형태 선택

2)데이터&App 관점 - 마이그레이션 영향도, 연동검토

3)보안과 프라이버시 관점

[고려사항]

이행계획수립, 보안요구 분류 및 매핑, 컴플라이언스 확인 및 SLA수준 점검

민감데이터 식별, 보안 프라이버시 위반여부 확인, 이관후 비즈니스 영향도 평가

 

[사례] OSS DBMS사용시 예측가능한 위험

구분 / 내용 / 심각도 / 담당자 / 대처방안