AWS SAA 합격으로 가는 길 #144

안녕하세요! 넥스트클라우드의 테크니컬 트레이너 김유림입니다. 🎄

성탄절은 잘 보내셨나요? 매년 돌아오는 날이지만, 돌아올 때마다 가슴 간지러운 설렘이 감도는 듯합니다.

이제 곧 신정이라 마음이 심란하시겠지만, 꾸준함을 통해서 결실을 얻으시길 바랍니다. 😊

 

문제는 세 가지 단계를 거치며 풀어가겠습니다.

1. 문제의 요구사항 분석하기

2. 관련 AWS 서비스 생각하기

3. 선택지 분석하기

 

바로 문제 풀이 시작합니다.

---

문제1

회사에서 다중 계층 웹 애플리케이션에 Amazon ElastiCache를 사용할 계획입니다. 솔루션 설계자는 ElastiCache 클러스터용 캐시 VPC와 애플리케이션의 Amazon EC2 인스턴스용 앱 VPC를 생성합니다. 두 VPC 모두 us-east-1 리전에 있습니다.

솔루션 설계자는 애플리케이션의 EC2 인스턴스에 ElastiCache 클러스터에 대한 액세스 권한을 제공하는 솔루션을 구현해야 합니다.

이러한 요구 사항을 가장 비용 효율적으로 충족하는 솔루션은 무엇입니까?

 

선택지

A. VPC 간에 피어링 연결을 생성합니다. 두 VPC 모두에서 피어링 연결을 위한 라우팅 테이블 항목을 추가합니다. 애플리케이션의 보안 그룹에서 인바운드 연결을 허용하도록 ElastiCache 클러스터의 보안 그룹에 대한 인바운드 규칙을 구성합니다.

B. 전송 VPC를 생성합니다. 전송 VPC를 통해 트래픽을 라우팅하도록 캐시 VPC 및 앱 VPC의 VPC 라우팅 테이블을 업데이트합니다. 애플리케이션의 보안 그룹에서 인바운드 연결을 허용하도록 ElastiCache 클러스터의 보안 그룹에 대한 인바운드 규칙을 구성합니다.

C. VPC 간에 피어링 연결을 생성합니다. 두 VPC 모두에서 피어링 연결을 위한 라우팅 테이블 항목을 추가합니다. 애플리케이션의 보안 그룹에서 인바운드 연결을 허용하도록 피어링 연결의 보안 그룹에 대한 인바운드 규칙을 구성합니다.

D. 전송 VPC를 생성합니다. 전송 VPC를 통해 트래픽을 라우팅하도록 캐시 VPC 및 앱 VPC의 VPC 라우팅 테이블을 업데이트합니다. 애플리케이션의 보안 그룹에서 인바운드 연결을 허용하도록 Transit VPC의 보안 그룹에 대한 인바운드 규칙을 구성합니다.

---

풀이

문제는 같은 리전 내 두 VPC 간 연결을 요구하며, 비용 효율성을 강조합니다. 같은 리전 내 VPC 피어링은 무료이고 직접 연결을 제공하여 가장 비용 효율적이며, 보안 그룹 규칙으로 애플리케이션 보안 그룹에서 ElastiCache로의 트래픽을 허용하면 됩니다. Transit VPC는 추가 비용이 발생하고 복잡도가 높아 부적합합니다.

 

정답 : A

 

▼ 자세한 문제 풀이를 원하신 분은 아래 더보기를 통해 확인해 주세요.

---

1.  문제의 요구사항 분석하기

 

• ElastiCache 클러스터와 EC2 인스턴스가 서로 다른 VPC에 위치
• 같은 리전(us-east-1) 내에서 VPC 간 연결 필요
• EC2 인스턴스가 ElastiCache 클러스터에 액세스할 수 있어야 함
• 비용 효율적인 솔루션이 필요함

 

2. 관련 AWS 서비스 생각하기

• Amazon VPC(Virtual Private Cloud) : AWS 클라우드에서 논리적으로 격리된 가상 네트워크를 프로비저닝할 수 있게 해줍니다.
  • VPC 피어링 : 두 VPC 간에 프라이빗 IPv4 또는 IPv6 주소를 사용하여 트래픽을 라우팅할 수 있게 하는 네트워킹 연결입니다. 같은 리전 내 VPC 피어링은 데이터 전송 비용이 무료이며, 피어링 연결 자체에 대한 시간당 요금도 없습니다. 피어링 연결을 생성한 후 각 VPC의 라우팅 테이블에 상대방 VPC의 CIDR 블록을 대상으로 하는 경로를 추가하면, 두 VPC 간 직접적인 네트워크 통신이 가능합니다. VPC 피어링은 일대일 연결이며, 전이적 피어링은 지원하지 않습니다.
• AWS Security Group(보안 그룹) : EC2 인스턴스 및 기타 AWS 리소스에 대한 가상 방화벽으로 작동하며, 인바운드 및 아웃바운드 트래픽을 제어합니다. 보안 그룹 규칙에서 소스로 다른 보안 그룹을 지정할 수 있으며, 이는 해당 보안 그룹이 연결된 모든 리소스로부터의 트래픽을 허용합니다. VPC 피어링을 통해 연결된 경우, 다른 VPC의 보안 그룹을 참조할 수도 있습니다.

3. 선택지 분석하기

A. VPC 간에 피어링 연결을 생성합니다. 두 VPC 모두에서 피어링 연결을 위한 라우팅 테이블 항목을 추가합니다. 애플리케이션의 보안 그룹에서 인바운드 연결을 허용하도록 ElastiCache 클러스터의 보안 그룹에 대한 인바운드 규칙을 구성합니다.

→ 같은 리전 내 VPC 피어링은 무료이고 라우팅 및 보안 그룹 설정이 올바르게 구성되어 있어 비용 효율적입니다.

 

B. 전송 VPC를 생성합니다. 전송 VPC를 통해 트래픽을 라우팅하도록 캐시 VPC 및 앱 VPC의 VPC 라우팅 테이블을 업데이트합니다. 애플리케이션의 보안 그룹에서 인바운드 연결을 허용하도록 ElastiCache 클러스터의 보안 그룹에 대한 인바운드 규칙을 구성합니다.

→ Transit VPC는 추가 비용이 발생하고 두 VPC만 연결하는 경우 과도하게 복잡한 방법입니다.

 

C. VPC 간에 피어링 연결을 생성합니다. 두 VPC 모두에서 피어링 연결을 위한 라우팅 테이블 항목을 추가합니다. 애플리케이션의 보안 그룹에서 인바운드 연결을 허용하도록 피어링 연결의 보안 그룹에 대한 인바운드 규칙을 구성합니다.

→ VPC 피어링 연결 자체는 보안 그룹을 가지지 않으므로 VPC 피어링 연결 만으로 라우팅 규칙을 수정한다는 것은 기술적으로 불가능한 방법입니다.

 

D. 전송 VPC를 생성합니다. 전송 VPC를 통해 트래픽을 라우팅하도록 캐시 VPC 및 앱 VPC의 VPC 라우팅 테이블을 업데이트합니다. 애플리케이션의 보안 그룹에서 인바운드 연결을 허용하도록 Transit VPC의 보안 그룹에 대한 인바운드 규칙을 구성합니다.

→ Transit VPC는 비용이 높고, 보안 그룹 참조 방식도 적절하지 않습니다.

---

 

이어서 다음 문제입니다.

---

문제2

한 회사가 다년간의 마이그레이션 프로젝트 중에 데이터와 애플리케이션을 AWS로 이전하고 있습니다. 회사는 회사의 AWS 리전과 회사의 온프레미스 위치에서 Amazon S3의 데이터에 안전하게 액세스하려고 합니다. 데이터가 인터넷을 통과해서는 안 됩니다. 회사는 해당 지역과 온프레미스 위치 간에 AWS Direct Connect 연결을 설정했습니다.

어떤 솔루션이 이러한 요구 사항을 충족합니까?

 

선택지

A. Amazon S3용 게이트웨이 엔드포인트를 생성합니다. 게이트웨이 엔드포인트를 사용하여 지역 및 온프레미스 위치의 데이터에 안전하게 액세스하세요.

B. AWS Transit Gateway에 게이트웨이를 생성하여 리전 및 온프레미스 위치에서 Amazon S3에 안전하게 액세스합니다.

C. Amazon S3용 인터페이스 엔드포인트를 생성합니다. 인터페이스 엔드포인트를 사용하여 지역 및 온프레미스 위치의 데이터에 안전하게 액세스하세요.

D. AWS Key Management Service(AWS KMS) 키를 사용하여 지역 및 온프레미스 위치에서 데이터에 안전하게 액세스합니다.

---

풀이

문제는 AWS 리전과 온프레미스 양쪽에서 인터넷을 거치지 않고 S3에 접근해야 합니다. S3 게이트웨이 엔드포인트는 VPC 내부에서만 작동하여 온프레미스에서 사용할 수 없지만, S3 인터페이스 엔드포인트는 ENI를 통해 프라이빗 IP를 제공하므로 Direct Connect를 통해 온프레미스에서도 접근 가능합니다.

 

정답 : C

 

▼ 자세한 문제 풀이를 원하신 분은 아래 더보기를 통해 확인해 주세요.

---

1.  문제의 요구사항 분석하기

 

• AWS 리전과 온프레미스 위치 모두에서 S3 데이터에 접근해야 함
• 데이터가 인터넷을 통과하지 않아야 함 (프라이빗 연결 필요)
• Direct Connect 연결이 이미 구축되어 있음

 

2. 관련 AWS 서비스 생각하기

• Amazon S3(Simple Storage Service) : AWS의 객체 스토리지 서비스입니다. S3는 높은 내구성, 가용성 및 보안성을 제공하며, 웹 애플리케이션, 모바일 앱, 백업 및 복구, 데이터 분석 등 다양한 사용 사례에 활용됩니다.
  • S3 인터페이스 엔드포인트(PrivateLink) : VPC 내에 ENI(Elastic Network Interface)를 생성하여 프라이빗 IP 주소를 할당합니다. 이 ENI를 통해 S3에 접근할 수 있으며, 일반적인 네트워크 인터페이스처럼 작동하므로 Direct Connect나 VPN을 통해 연결된 온프레미스 환경에서도 접근 가능합니다. 온프레미스에서 인터페이스 엔드포인트의 프라이빗 IP로 트래픽을 보내면, Direct Connect를 통해 AWS 프라이빗 네트워크로 전달되어 인터넷을 거치지 않고 S3에 도달합니다. 인터페이스 엔드포인트는 시간당 요금과 데이터 처리 비용이 발생하지만, 온프레미스와 AWS 양쪽에서 사용 가능한 유일한 S3 VPC 엔드포인트 옵션입니다.
• AWS Direct Connect : 온프레미스 네트워크와 AWS 간의 전용 네트워크 연결을 구축할 수 있는 클라우드 서비스입니다. 프라이빗 연결을 제공하여 인터넷을 통하지 않고도 AWS 리소스에 액세스할 수 있습니다. Direct Connect는 대역폭 요구 사항이 높거나 데이터 전송 비용을 절감하려는 경우에 유용합니다.
• Amazon VPC 엔드포인트를 사용하면 VPC 내에서 AWS 서비스와 프라이빗 통신이 가능합니다. 게이트웨이 엔드포인트는 S3, DynamoDB 등과 같은 일부 서비스에만 사용 가능하며, 인터넷 게이트웨이나 NAT 게이트웨이를 거치지 않고 해당 서비스에 액세스할 수 있습니다. 인터페이스 엔드포인트는 대부분의 AWS 서비스와 함께 사용할 수 있으며, Direct Connect를 통해 온프레미스 환경과 통신할 수 있습니다.

3. 선택지 분석하기

A. Amazon S3용 게이트웨이 엔드포인트를 생성합니다. 게이트웨이 엔드포인트를 사용하여 지역 및 온프레미스 위치의 데이터에 안전하게 액세스하세요.

→ 게이트웨이 엔드포인트는 VPC 내부에서만 작동하며 온프레미스에서 사용 불가능합니다.

 

B. AWS Transit Gateway에 게이트웨이를 생성하여 리전 및 온프레미스 위치에서 Amazon S3에 안전하게 액세스합니다.

→ Transit Gateway는 네트워크 라우팅 허브이지 S3 접근 엔드포인트를 제공하지 않습니다.

 

C. Amazon S3용 인터페이스 엔드포인트를 생성합니다. 인터페이스 엔드포인트를 사용하여 지역 및 온프레미스 위치의 데이터에 안전하게 액세스하세요.

→ 인터페이스 엔드포인트는 ENI를 통해 Direct Connect로 온프레미스 접근을 지원하기에 적절한 선택지입니다.

 

D. AWS Key Management Service(AWS KMS) 키를 사용하여 지역 및 온프레미스 위치에서 데이터에 안전하게 액세스합니다.

→ KMS는 암호화 키 관리 서비스이며 네트워크 연결 경로를 제공하지 않습니다.

---

 

마지막 문제 살펴보겠습니다.

---

문제3

회사가 단일 AWS 리전에서 모바일 게임 앱을 개발하고 있습니다. 앱은 Auto Scaling 그룹의 여러 Amazon EC2 인스턴스에서 실행됩니다. 회사는 앱 데이터를 Amazon DynamoDB에 저장합니다. 앱은 사용자와 서버 간에 TCP 및 UDP 트래픽을 사용하여 통신합니다. 이 응용 프로그램은 전 세계적으로 사용되며 회사는 모든 사용자에게 가능한 가장 낮은 대기 시간을 보장하고자 합니다.

이러한 요구 사항을 충족하는 솔루션은 무엇입니까?

 

선택지

A. AWS Global Accelerator를 사용하여 가속기를 생성합니다. Global Accelerator 통합을 사용하고 TCP 및 UDP 포트에서 수신 대기하는 가속기 엔드포인트 뒤에 Application Load Balancer(ALB)를 생성합니다. Auto Scaling 그룹을 업데이트하여 ALB에 인스턴스를 등록합니다.

B. AWS Global Accelerator를 사용하여 가속기를 생성합니다. Global Accelerator 통합을 사용하고 TCP 및 UDP 포트에서 수신 대기하는 가속기 엔드포인트 뒤에 NLB(Network Load Balancer)를 생성합니다. Auto Scaling 그룹을 업데이트하여 NLB에 인스턴스를 등록합니다.

C. Amazon CloudFront 콘텐츠 전송 네트워크(CDN) 엔드포인트를 생성합니다. 엔드포인트 뒤에 NLB(Network Load Balancer)를 생성하고 TCP 및 UDP 포트에서 수신 대기합니다. Auto Scaling 그룹을 업데이트하여 NLB에 인스턴스를 등록합니다. NLB를 오리진으로 사용하도록 CloudFront를 업데이트합니다.

D. Amazon CloudFront 콘텐츠 전송 네트워크(CDN) 엔드포인트를 생성합니다. 엔드포인트 뒤에 ALB(Application Load Balancer)를 생성하고 TCP 및 UDP 포트에서 수신 대기합니다. Auto Scaling 그룹을 업데이트하여 ALB에 인스턴스를 등록합니다. ALB를 오리진으로 사용하도록 CloudFront를 업데이트합니다.

---

풀이

문제는 전 세계 사용자에게 낮은 지연 시간을 제공하고 TCP와 UDP 프로토콜을 모두 지원해야 합니다. AWS Global Accelerator는 AWS 글로벌 네트워크를 통해 최적 경로로 트래픽을 라우팅하여 지연 시간을 줄이며, NLB는 TCP와 UDP를 모두 지원하므로 이 조합이 요구사항을 충족합니다.

 

정답 : B

 

▼ 자세한 문제 풀이를 원하신 분은 아래 더보기를 통해 확인해 주세요.

---

1.  문제의 요구사항 분석하기

 

• 전 세계 사용자에게 가능한 가장 낮은 지연 시간 제공해야 함
• TCP와 UDP 트래픽을 모두 지원해야 함
• 단일 리전에서 실행되지만 글로벌 사용자가 대상인 서비스임

 

2. 관련 AWS 서비스 생각하기

• AWS Global Accelerator : AWS의 글로벌 네트워크 인프라를 활용하여 사용자 트래픽을 최적의 AWS 엔드포인트로 라우팅하는 서비스입니다. 사용자는 가장 가까운 AWS 엣지 로케이션으로 연결되고, 트래픽은 AWS 프라이빗 네트워크를 통해 애플리케이션 엔드포인트로 전달되어 인터넷 경로의 불안정성을 피할 수 있습니다. Global Accelerator는 정적 애니캐스트 IP 주소 2개를 제공하며, 이를 통해 전 세계 어디서든 일관된 진입점을 제공합니다. TCP와 UDP 프로토콜을 모두 지원하며, ALB, NLB, EC2 인스턴스, Elastic IP를 엔드포인트로 사용할 수 있습니다. 실시간 게임, VoIP, IoT 등 지연 시간에 민감한 애플리케이션에 적합합니다.
•  Network Load Balancer(NLB) : OSI 모델의 4계층(전송 계층)에서 작동하는 로드 밸런서로, TCP, UDP, TLS 트래픽을 처리할 수 있습니다. NLB는 초당 수백만 개의 요청을 처리할 수 있는 높은 성능과 매우 낮은 지연 시간을 제공합니다. 클라이언트 IP 주소를 보존하며, 정적 IP 주소를 지원하여 방화벽 규칙 설정이 용이합니다. 게임 서버처럼 TCP와 UDP를 동시에 사용하는 애플리케이션에 이상적입니다.
• Application Load Balancer(ALB) : OSI 모델의 7계층(애플리케이션 계층)에서 작동하며, HTTP와 HTTPS 트래픽만 처리할 수 있습니다. UDP 프로토콜을 지원하지 않으므로, UDP 트래픽이 필요한 모바일 게임 앱에는 적합하지 않습니다. 경로 기반 라우팅, 호스트 기반 라우팅 등 고급 라우팅 기능을 제공하지만, 이 문제의 요구사항에는 맞지 않습니다.

3. 선택지 분석하기

A. AWS Global Accelerator를 사용하여 가속기를 생성합니다. Global Accelerator 통합을 사용하고 TCP 및 UDP 포트에서 수신 대기하는 가속기 엔드포인트 뒤에 Application Load Balancer(ALB)를 생성합니다. Auto Scaling 그룹을 업데이트하여 ALB에 인스턴스를 등록합니다.

→ ALB는 HTTP/HTTPS만 지원하여 UDP 트래픽을 처리할 수 없습니다.

 

B. AWS Global Accelerator를 사용하여 가속기를 생성합니다. Global Accelerator 통합을 사용하고 TCP 및 UDP 포트에서 수신 대기하는 가속기 엔드포인트 뒤에 NLB(Network Load Balancer)를 생성합니다. Auto Scaling 그룹을 업데이트하여 NLB에 인스턴스를 등록합니다.

→ Global Accelerator로 글로벌 지연 시간 최소화하고 NLB로 TCP/UDP를 지원합니다.

 

C. Amazon CloudFront 콘텐츠 전송 네트워크(CDN) 엔드포인트를 생성합니다. 엔드포인트 뒤에 NLB(Network Load Balancer)를 생성하고 TCP 및 UDP 포트에서 수신 대기합니다. Auto Scaling 그룹을 업데이트하여 NLB에 인스턴스를 등록합니다. NLB를 오리진으로 사용하도록 CloudFront를 업데이트합니다.

→ CloudFront는 일반 TCP/UDP 트래픽을 지원하지 않으며 웹 콘텐츠 전용이기에 적절하지 않습니다.

 

D. Amazon CloudFront 콘텐츠 전송 네트워크(CDN) 엔드포인트를 생성합니다. 엔드포인트 뒤에 ALB(Application Load Balancer)를 생성하고 TCP 및 UDP 포트에서 수신 대기합니다. Auto Scaling 그룹을 업데이트하여 ALB에 인스턴스를 등록합니다. ALB를 오리진으로 사용하도록 CloudFront를 업데이트합니다.

→ CloudFront와 ALB 모두 UDP를 지원하지 않아 요구사항 충족이 불가합니다.

---

 

가장 심난하셨을 연말까지 고생 많으셨습니다.

저희는 다음 주에 월요일에 뵙겠습니다!