5. IT서비스에 대한 요구사항 변화
고 가용성(HA)
확장성
장애 대응(FT)
높은 보안성
비용 효율성
유연성
투자보호
규제준수
온 프레미스 AWS 클라우드
민첩성
Devops
숙달된 인력
6. Amazon Web Services 서비스 포트폴리오
코어 서비스 컴퓨팅 스토리지 데이터베이스 네트워킹
인프라 리전가용영역 엣지 로케이션
플랫폼
서비스
분석
엔터프라이즈
App
모바일
서비스
IoT
접근제어 감사(Audit) 모니터링 암호화보안
DevOps 운영/관리도구 신원관리(IAM) App 서비스개발/운영관련
A
P
I
&
S
D
K
7. AWS 클라우드는 기존 IT와 많은 접점을 가집니다.
코어 서비스 컴퓨팅 스토리지
데이터
베이스
네트워킹
인프라 리전가용영역
엣지
로케이션
플랫폼
서비스 분석
엔터프라
이즈 App
모바일
서비스
IoT
접근제어 감사(Audit) 모니터링 암호화보안
DevOps
운영/관리
도구
신원관리
(IAM)
App
서비스
개발/운영관련
A
P
I
&
S
D
K
기업
데이터 센터
관리툴, 서비스
네트워크
데이터 베이스
운영체제
서버/하이퍼 바이저
보안
데이터센터
10. • 클라우드와 온프레미스간 고도의
보안성 및 유연성제공
• 기업 내부사용자들의 신원정보를
안전하고 손쉽게 AWS와 연동 및 관리
• 하이브리드 환경 관리를 위한 도구들
• 통합 모니터링 서비스
HYBRID OPS - REQUIREMENTS하이브리드 구성 및 운영
11. • 클라우드와 온프레미스간 고도의
보안성 및 유연성제공
• 기업 내부사용자들의 신원정보를
안전하고 손쉽게 AWS와 연동 및 관리
• 하이브리드 환경 관리를 위한 도구들
• 통합 모니터링 서비스
HYBRID OPS - REQUIREMENTS하이브리드 구성 및 운영
12. 가상 데이터센터 네트워크 환경 – VPC
AWS Virtual Private Cloud
• 서브넷팅, 라우팅, Network ACL, NAT 및 VPN 등의
네트워크 서비스/기능을 포함하는 사용자 정의 네트워크
• AWS Direct Connect, VPN 및 VPC Peering 서비스를
통해 손쉽게 데이터센터 및 VPC간 상호 연결
• 서비스 특성에 따라 논리적으로 네트워크 분리
14. 안전하고 유연한 네트워크 연동방안
AWS Direct Connect / IPsec VPN
• 고객 데이터센터와 AWS Cloud간 전용회선을 통한
네트워크 연동
• 전용선(DX)통한 높은 보안성과 일관된 성능
• 상대적으로 저렴한 데이터 전송비용 (VPN대비)
• 1Mbps 에서 수십10Gbps 까지 확장
• 적은 워크로드 혹은 전용선의 백업으로 VPN 구성
16. Virtual private cloud 1
Virtual private cloud 2
Virtual private cloud N
…
Public endpoints
리전(Region)
Direct Connect
로케이션
Private VIF 1
AWS Direct
Connect Router
Router
고객 데이터센터 고객 AWS 계정
전용선
(물리회선)
AWS 연결옵션 2 - Direct Connect
17. Virtual private cloud 1
Virtual private cloud 2
Virtual private cloud N
…
Public endpoints
리전(Region)
Direct Connect
로케이션
Private VIF 1
AWS Direct
Connect Router
Router
고객 데이터센터 고객 AWS 계정
전용선
(물리회선)
AWS 연결옵션 3 - Direct Connect w/ VPN 백업
18. • 클라우드와 온프레미스간 고도의
보안성 및 유연성제공
• 기업 내부사용자들의 신원정보를
안전하고 손쉽게 AWS와 연동 및 관리
• 하이브리드 환경 관리를 위한 도구들
• 통합 모니터링 서비스
HYBRID OPS - REQUIREMENTS
AWS Virtual Private
Cloud (VPC)
AWS Direct Connect
IPSEC VPN
하이브리드 구성 및 운영
19. • 클라우드와 온프레미스간 고도의
보안성 및 유연성제공
• 기업 내부사용자들의 신원정보를
안전하고 손쉽게 AWS와 연동 및 관리
• 하이브리드 환경 관리를 위한 도구들
• 통합 모니터링 서비스
HYBRID OPS - REQUIREMENTS
AWS Virtual Private
Cloud (VPC)
AWS Direct Connect
IPSEC VPN
하이브리드 구성 및 운영
20. 1. AWS Directory 서비스 옵션
옵션 1 – Simple AD
• Samba 4 기반(AD호환) 관리형 Directory 서비스
• 5000 명 이하의 사용자 및 기본 디렉토리 기능 필요시 사용
• 온 프레미스 Active Directory 와 AD Trust 설정 불가
옵션 2 – MS AD 기반 관리형 Directory 서비스(엔터프라이즈)
• AWS에 구축된 MS Active Directory 서비스
• 5000 명 이상의 사용자 및 MS AD의 다양한 기능 필요시 사용
• 온 프레미스 Active Directory 와 Trust 관계 설정 가능
21. 1. AWS Directory 서비스 옵션
옵션 3 – AD Connector
• 기존 온프레미스 AD를 AWS로 확장
• Directory 관련 정보가 AWS상에 복제되거나 캐싱되지 않음
AD서버
AD Connector AD Connector
Microsoft Active
Directory
InternetAD
Connector
Direct Connect
VPN
22. 2. Identity federation
고객 데이터센터 AWS Cloud
AWS 자원
브라우저/
어플리케이션
Active
Directory
Identity 브로커
3
임시보안토큰 발급2
Amazon S3
Bucket
with Objects
Amazon
DynamoDB
Amazon
EC2
세션요청
1
APP
4
4
AWS 콘솔 사용
*STS: Security Token Service
AWS콘솔
24. 3. AWS 계정/사용자 관리 모델
기업 재무팀
(비용 컨트롤)
SOC/AuditorsAWS 관리자
통합빌링계정
소프트웨어
개발자들
개발팀 계정#1
서비스 계정 #1
사용자 관리계정 보안/ 감사 계정
개발팀 계정 #2
App운영팀
DevOps 팀
보안/감사운영개발/테스트재무/구매
빌링통합,
빌링경보 설정
모든 계정에 대한
읽기권한
25. AWS Virtual Private
Cloud (VPC)
AWS DirectConnect
AWS Identity & Access
Management (IAM)
AWS Directory Service
• 클라우드와 온프레미스간 고도의
보안성 및 유연성제공
• 기업 내부사용자들의 신원정보를
안전하고 손쉽게 AWS와 연동 및 관리
• 하이브리드 환경 관리를 위한 도구들
• 통합 모니터링 서비스
HYBRID OPS - REQUIREMENTS하이브리드 구성 및 운영
26. AWS Identity & Access
Management (IAM)
AWS Directory Service
• 클라우드와 온프레미스간 고도의
보안성 및 유연성제공
• 기업 내부사용자들의 신원정보를
안전하고 손쉽게 AWS와 연동 및 관리
• 하이브리드 환경 관리를 위한 도구들
• 통합 모니터링 서비스
HYBRID OPS - REQUIREMENTS
AWS Virtual Private
Cloud (VPC)
AWS DirectConnect
하이브리드 구성 및 운영
27. 가상환경 및 AWS환경 관리통합
VMware vCenter 용
AWS관리포털 제공 AWS VM Import / Export
vCenter에서 EC2
인스턴스 통합관리
VMWare, Hyper-V 및 Citrix
Xen 이미지 마이그레이션
VM 이미지 가져오기/내보내기
28. 기업 가상화 인프라 통합 - VMWARE
AWS MGMT Portal for vCenter AWS 플러그인
30. 서비스 카탈로그 – 표준화된 IT자원 스택 구성
클라우드 인프라 전반에 대한
지식 없이도 개인화된 포털을
통해 필요 자원 프로비져닝
IT인프라 기획/운영 팀 IT/서비스 개발팀
테스트를 통해 검증된 최적의
자원을 표준화 하여 제공
클라우드 IT 인프라에 대한 거버넌스
32. 서비스 Catalog 사용자 View
해당 사용자 에게 허가된 IT 상품(스택) 선택한 상품에 대한 상세 정보
사용자가 현재 구동중인 상품
33. AWS Virtual Private
Cloud (VPC)
AWS DirectConnect
AWS Identity & Access
Management (IAM)
AWS Directory Service
• 클라우드와 온프레미스간 고도의
보안성 및 유연성 제공
• 기업 내부사용자들의 신원정보를
안전하고 손쉽게 AWS와 연동 및 관리
• 하이브리드 환경 관리를 위한 도구들
• 통합 모니터링 서비스
HYBRID OPS - REQUIREMENTS
VM Import vCenter MGMT Portal
AWS System center Mgr Service Catalog
하이브리드 구성 및 운영
34. AWS Virtual Private
Cloud (VPC)
AWS DirectConnect
AWS Identity & Access
Management (IAM)
AWS Directory Service
• 클라우드와 온프레미스간 고도의
보안성 및 유연성 제공
• 기업 내부사용자들의 신원정보를
안전하고 손쉽게 AWS와 연동 및 관리
• 하이브리드 환경 관리를 위한 도구들
• 통합 모니터링 서비스
HYBRID OPS - REQUIREMENTS
VM Import vCenter MGMT Portal
AWS System center Mgr Service Catalog
하이브리드 구성 및 운영
36. AWS 빌링 페이지 및
DBR 또는 3RD Party
빌링서비스
자체 AWS 빌링 APN 리셀러 빌링 통합
파트너(리셀러) 제공 빌링 포털
37. AWS Virtual Private
Cloud (VPC)
AWS DirectConnect
AWS Identity & Access
Management (IAM)
AWS Directory Service
• 클라우드와 온프레미스간 고도의
보안성 및 유연성제공
• 기업 내부사용자들의 신원정보를
안전하고 손쉽게 AWS와 연동 및 관리
• 하이브리드 환경 관리를 위한 도구들
• 통합 모니터링 서비스
HYBRID OPS - REQUIREMENTS
VM Import vCenter MGMT Portal
AWS System center Mgr Service Catalog
하이브리드 구성 및 운영
43. Storage Gateway 서비스
Amazon EBS
snapshots
Amazon S3
Amazon
Glacier
AWS
Storage Gateway
가상 어플라이언스
애플리케이션
서버
AWS
Storage Gateway
서비스 백엔드
AWS
Direct
Connect
인터넷
고객 데이터 센터
백업 및 아카이빙 DR 데이터 이전 스토리지 확장
44. I. Gateway-stored volumes
고객 데이터센터
AWS Storage
Gateway VM
Amazon EBS
snapshots
애플리케이션
서버
INITIATOR
TARGET
Upload
Buffer
Volume
Storage
AWS
Storage Gateway
service
• 데이터의 원본은 로컬 스토리지에 저장
• AWS 스토리지로 비동기 백업 수행
• Point-in-time 백업들은 EBS 스냅샷으로 저장됨
• Gateway당 최대 512TB 지원 (16TB용량의 볼륨 32개까지 지원)
45. II. Gateway-cached volumes
고객 데이터센터
AWS Storage
Gateway VM
Amazon EBS
snapshots
애플리케이션
서버
INITIATOR
TARGET Upload
Buffer
Cache
Storage
AWS
Storage Gateway
service
Volume Storage
Backed by
Amazon S3
• AWS에 데이터 원본 저장
• 자주 사용되는 데이터는 온 프레미스에 캐싱됨
• Point-in-time 백업들은 EBS 스냅샷으로 저장됨
• 최대 32TB 크기의 32개 볼륨까지 까지 지원하며, 최대 1PB까지 지원
46. III. Gateway-virtual tape library (VTL)
고객 데이터센터
AWS Storage
Gateway VM
VTS Storage
Backed by
Amazon Glacier
애플리케이션
서버
INITIATOR
Media
Changer Upload
Buffer
Cache
Storage
AWS
Storage Gateway
service
Gatewa-VTL
Storage backed
By Amazon S3
Tape
Drive
• Virtual Tape 이 AWS에 스토리지에 저장
• 자주 사용되는 데이터는 로컬 스토리지에 캐싱(Caching)
• Vritul Tape Shelf(VTS)에 Tape 개수 무제한
• Gateway당 최대 1PB 지원 (최대2.5TB용량의 가상 Tape 1,500개 까지 지원)
47. 백업 & 아카이빙
데이터센터
Amazon Simple
Storage Service (S3)
Amazon Glacier
Application
server
Virtual
server
File
server
Database
server
Backup
system
AWS Storage
Gateway
iSCSI
전용선 / VPN
데이터 센터
Amazon Simple
Storage Service
Application
server
Virtual
server
File
server
Database
server
Storage
appliance
AWS Storage
Gateway
iSCSI
스토리지 확장
전용선 / VPN
48. 오늘의 세션 정리
하이브리드 형태의 클라우드 사용은 더욱 더 폭넓게 확산될
것입니다.
보안에 대한 책임은 공유되지만 AWS는 어려운
부분을 쉽게 하실수 있도록 도와드립니다.
현재 IT 인프라 팀의 역할은 변함 없지만, 더 잘
수행하기 위해서는 새로운 기술 습득이 필요합니다.
• 이제 IT의 핵심은 ‘민첩성’ 입니다. – IT인프라는 쉽게 잘 변할수
있고, 또 그래야하므로, 물리적인 ‘장비’에 더이상 ‘情’을 주지
마세요.