[AWS] RDS 와 애플리케이션의 VPC 분리 이유

▏시작하는 말

회사에서 나는 NDS 와 협업하여 사내 클라우드를 구축하는 업무를 맡고 있다. 새롭게 구축될 인프라의 설계를 진행 중인데, 이 과정에서 NDS 측에서 RDS의 VPC를 별도로 구축하는 것을 제안했다. 방화벽을 비롯한 다양한 보안 기능이 VPC 내에 구비되어 있음에도 불구하고 왜 VPC를 분리해야 하는지 궁금증이 생겨 찾아보게 되었다.

 

▏분리 이유

보안 격리

RDS는 데이터베이스를 호스팅 하는 서비스로, 중요한 데이터가 저장될 수 있다. 특히 우리 회사의 경우는 은행권이나 공공을 주로 수주하고 있어 더욱 중요하다. 때문에 애플리케이션 서버와 RDS를 독립된 VPC로 분리함으로써 애플리케이션에서 발생하는 잠재적인 보안 위협이 RDS에 영향을 끼치는 것을 방지할 수 있다.

 

네트워크 제어

애플리케이션과 RDS를 각각의 VPC로 분리함으로써 네트워크 트래픽을 더욱 효율적으로 제어할 수 있다. 필요한 경우에만 네트워크 간 통신을 허용하고, 그 외의 경우는 막아 불필요한 연결을 방지한다.

 

포트 포워딩 제

애플리케이션과 RDS 간의 포트포워딩을 통해 데이터베이스에 직접 액세스 하는 것은 보안상의 위험이 될 수 있다. 때문에 VPC를 분리함으로써 외부에서 직접적으로 접근하는 것을 막고, VPC 피어링을 설정하여 애플리케이션 서버와 RDS간의 안전한 통신을 활성화할 수 있다.

 

▏AWS의 네트워크 및 인프라 분리 요소

클라우드 환경에서 네트워크 및 인프라를 분리하는데 사용되는 개념은 VPC 외에도 Region 과 Availability Zone이 있다.

 

Region

AWS의 데이터 센터가 위치한 지리적인 영역을 나타낸다. 각 Region은 독립적인 데이터 센터 그룹으로, 애플리케이션을 어디에 두는냐에 따라 다른 Region을 선택할 수 있다. 이렇게 분리하는 이유는 가용성과 지연시간을 최적화하기 위함이다.

 

예를들어, AWS의 Region중 하나인 서울은'ap-northeast-2' 로 표기된다.

 

Availability Zone (AZ)

 AZ는 가용영역이라 부르며, Region은 최소 2개 이상의 AZ로 구성된다. 각 AZ는 물리적으로 분리된 데이터 센터로 구성되어 있으며, 보통 3개 이상의 AZ로 구성된다. 이러한 가용 영역 간에는 격리된 전력, 네트워크 및 물리적 환경이 제공된다. 이를 통해 사용자는 단일 지점의 장애에 대비하여 안정적인 시스템을 구축할 수 있다.

 

VPC 설정할 땐 AZ를 최대 2개까지 설정 가능하다.

 

서울 리전의 AZ는 다음과 같다.
- ap-northeast-2a

- ap-northeast-2b

- ap-northeast-2c

 

▏참고자료

https://docs.kakaocloud.com/service/bns/vpc/how-to-guides/vpc-create-manage

https://velog.io/@ur2e/VPC%EB%A5%BC-%EB%82%98%EB%88%84%EB%8A%94-%EC%9D%B4%EC%9C%A0