AWS : 3 Tier [구성도 및 설정 설명]

 

이전 글에서 이어집니다

AWS : 3 Tier [DB 생성]

 

 

 

VPC 구성

총 8개의 서브넷 중 Public 2개/ Privat 6개으로 구성되었다

2개의 가용영역(A,C)으로 나눠서 구성하였다

(이유: 1개의 가용영역으로 구성하면 장애가 생겼을때 대체할 수 있는 가용영역이 없기 때문에) 

 

 

Subent 구성

서브넷	대역	공인 IP	허용 포트	가용영역
public nat	10.0.118.0/28	탄력적 IP		A
public bastion	10.0.118.16/28	탄력적 IP	22	C
private web1	10.0.118.32/28		80, 22	A
private web2	10.0.118.48/28		80, 22	C
private was1	10.0.118.64/28		8080, 22	A
private was2	10.0.118.80/28		8080, 22	C
private db1	10.0.118.96/28		3306, 22	A
private db2	10.0.118.112/28			C

각 서브넷의 네트워크 대역, 허용 포트, 가용영역을 위와 같이 설정했다

 

 

Gateway 구성

NAT Gateway : Private Subnet의 인스턴스가 외부와 통신하기 위한 Gateway로 Public Subnet에 위치한다

NAT Route Table : Private Subnet에서 외부의 주소로 향할 때, NAT 게이트웨이를 거쳐가기 위한 라우팅 테이블이다

 

Internet Gateway : Bastion Host와 Nat Gateway가 외부망과 통신하기 위한 게이트웨이이다

Internet Route Table : Public Subnet에서 외부의 주소로 향할 때, 인터넷 게이트웨이를 거쳐가기 위한 라우팅 테이블

 

 

 EC2 구성

Server	Spec	OS	Volume	Public IP	Application	Version
Bastion	t2.micro	Amazon Linux	8 GB	O	X	X
WEB01	t2.small	Amazon Linux	20 GB	X	Apache	2.4.X
WEB02	t2.small	Amazon Linux	20 GB	X	Apache	2.4.X
WAS01	t2.small	Amazon Linux	30 GB	X	Tomcat	9.0.97
WAS02	t2.small	Amazon Linux	30 GB	X	Tomcat	9.0.97
DB	t2.medium	Amazon Linux	30 GB	X	MySQL	8.X

인스턴스 사양표에 맞도록 총 6개의 인스턴스를 생성했다

 

 

보안그룹

default를 제외한 총 6개의 보안그룹을 생성했다

WEB, WAS, DB 서버를 위한 보안그룹과 ALB, NLB를 위한 보안그룹이 있다

 

 

Bastion 보안그룹

SSH 접속에 대한 전체적인 네트워크 트래픽 흐름이다

모든 인스턴스에 대한 작업은 Bastion host를 통한 SSH 우회 접근을 하도록 설정했다

대칭 키를 이용한 서버 인증과 비대칭 키를 이용한 사용자 인증을 한다

Bastion 보안그룹의 인바운드와 아웃바운드 규칙이다

인바운드는 나의 pc에 대해서만 SSH을 허용했다

아웃바운드는 WEB, WAS, DB 서버로 SSH에 대해 트래픽이 나가는 것을 허용했다

 

 

ALB 보안그룹

외부에서 HTTP 트래픽이 들어오면, WEB 서버의 80번 포트로 HTTP 트래픽을 전달하는 것을 구상했다

모든 ip의 HTTP 프로토콜 접근을 허용했다

아웃바운드는 WEB 보안그룹을 지정하여 WEB 서버를 향해 트래픽이 나갈 수 있도록 설정했다

 

 

WEB 보안그룹

ALB로 부터 전달 받은 트래픽을 NLB 8080번 포트로 트래픽을 전달하도록 구상했다

ALB의 HTTP 프로토콜 접근을 허용하고 Bastion host의 SSH 접근을 허용했다

아웃바운드는 NLB 보안그룹을 지정하여 8080포트로 트래픽이 나가도록 설정했다

 

 

NLB 보안그룹

WEB 서버의 8080번 포트로 트래픽이 들어오면, WAS 서버로 트래픽을 전달하는 것을 구상했다

WEB 서버의 8080번 포트 트래픽을 허용했다

WAS 서버를 향해 8080번으로 트래픽이 나가도록 설정했다

 

 

WAS 보안그룹

NLB로부터 전달 받은 트래픽을 처리하고, DB로부터 데이터를 가져와야 한다

NLB 보안그룹의 8080번 포트로 들어오는 트래픽을 허용하고

DB 보안그룹을 지정하여 3306번 포트의 트래픽이 나가도록 설정한다

 

 

DB 보안그룹

DB 보안그룹은 인바운드만 설정하고 아웃바운드의 규칙은 모두 삭제했다

WAS 서버의 3306 포트로 들어오는 트래픽을 허용하고

Bastion host의 SSH 접근을 허용했다

 

 

ALB

가용역역을 public-nat와 public-basion을 설정하여 Public Subnet에 위치하도록 설정했다

 

HTTP 80번 포트를 Listen 상태로 설정하고

해당 포트로 들어오는 트래픽은 대상그룹과 연결된 WEB 인스턴스로 전달하도록 설정했다

ALB 대상그룹에 등록한 2개의 WEB 인스턴스이다

 

 

NLB

가용역역을 public-web1과 public-web2를 설정하여 Private Subnet에 위치하도록 설정했다

 

8080번 포트를 Listen 상태로 설정하고

해당 포트로 들어오는 트래픽은 대상그룹과 연결된 WAS 인스턴스로 전달하도록 설정했다

NLB 대상그룹에 등록한 2개의 WAS 인스턴스이다

 

 

구성도 흐름

웹 접속에 대한 전체적인 네트워크 트래픽 흐름은 위와 같다

 

흐름순서

1. Client가 ALB DNS 주소에 접속
2. IGW를 통해 ALB에 트래픽 전달
3. ALB에서는 대상그룹을 지정한 APACHE 서버에 트래픽 전달
4. APACHE 서버에서 Reverse Proxy를 통해 NLB에 트래픽 전달
5. NLB에서는 TOMCAT에 트래픽 전달
6. TOMCAT에서 MySql로부터 데이터를 불러와서 페이지 구성
7. 요청이 들어온 순서의 역순으로 HTTP 응답 메세지를 Client에게 전송