AWS SAA 합격으로 가는 길 #152

안녕하세요! 넥스트클라우드의 테크니컬 트레이너 김유림입니다.

오늘은 담백하게 바로 시작해보도록 하겠습니다.

 

문제 3개를 세 가지 단계로 풀어가겠습니다.

1. 문제의 요구사항 분석하기

2. 관련 AWS 서비스 생각하기

3. 선택지 분석하기

 

바로 문제 풀이 시작합니다!

---

문제1

한 회사가 AWS에서 실시간 데이터 수집 솔루션을 실행하고 있습니다. 이 솔루션은 최신 버전의 Amazon Managed Streaming for Apache Kafka(Amazon MSK)로 구성됩니다. 이 솔루션은 3개의 가용 영역에 걸쳐 프라이빗 서브넷의 VPC에 배포됩니다.

솔루션 설계자는 인터넷을 통해 공개적으로 사용할 수 있도록 데이터 수집 솔루션을 재설계해야 합니다. 전송 중인 데이터도 암호화되어야 합니다.

가장 효율적인 운영 효율성으로 이러한 요구 사항을 충족하는 솔루션은 무엇입니까?

 

선택지

A. 기존 VPC에서 퍼블릭 서브넷을 구성합니다. 퍼블릭 서브넷에 MSK 클러스터를 배포합니다. 상호 TLS 인증을 활성화하려면 MSK 클러스터 보안 설정을 업데이트하세요.

B. 퍼블릭 서브넷이 있는 새 VPC를 생성합니다. 퍼블릭 서브넷에 MSK 클러스터를 배포합니다. 상호 TLS 인증을 활성화하려면 MSK 클러스터 보안 설정을 업데이트하세요.

C. 프라이빗 서브넷을 사용하는 ALB(Application Load Balancer)를 배포합니다. HTTPS 프로토콜에 대한 VPC CIDR 블록의 인바운드 트래픽을 허용하도록 ALB 보안 그룹 인바운드 규칙을 구성합니다.

D. 프라이빗 서브넷을 사용하는 NLB(Network Load Balancer)를 배포합니다. 인터넷을 통한 HTTPS 통신을 위해 NLB 수신기를 구성합니다.

---

풀이

Amazon MSK의 퍼블릭 액세스 기능을 사용하려면 클러스터가 퍼블릭 서브넷에 위치해야 하며, 보안을 위해 TLS 암호화가 필수입니다. 새 VPC 생성보다 기존 VPC 내 구성을 변경하는 것이 운영 효율성이 높습니다. MSK 네이티브 기능을 활용해 복잡한 로드밸런서 없이 요구사항을 충족하는 가장 효율적인 방법입니다.

 

정답 : A

 

▼ 자세한 문제 풀이를 원하신 분은 아래 더보기를 통해 확인해 주세요.

---

1.  문제의 요구사항 분석하기

• 프라이빗 MSK의 인터넷 공개 액세스 전환 필요
• 전송 중 데이터의 필수 암호화 적용
• 운영 효율성이 가장 높은(관리 공수 최소화) 솔루션 선정

2. 관련 AWS 서비스 생각하기

• Amazon MSK : Apache Kafka의 완전 관리형 서비스로, 반드시 프라이빗 서브넷에만 배포 가능하며 퍼블릭 엔드포인트를 직접 제공하지 않습니다. VPC 내부에서만 액세스할 수 있도록 설계되었으며, ENI를 통해 VPC에 연결됩니다.
• Network Load Balancer : OSI 4계층(전송 계층)에서 작동하는 로드 밸런서로, TCP/UDP 트래픽을 처리합니다. Kafka는 TCP 기반 프로토콜을 사용하므로 NLB가 적합하며, TLS 종료 및 프록시 기능을 제공하여 인터넷 트래픽을 프라이빗 서브넷의 MSK로 전달할 수 있습니다.
• Application Load Balancer : OSI 7계층(애플리케이션 계층)에서 작동하며 HTTP/HTTPS 트래픽을 처리합니다. Kafka의 바이너리 프로토콜과 호환되지 않아 MSK 앞단에서 사용할 수 없습니다.

3. 선택지 분석하기

A. 기존 VPC에서 퍼블릭 서브넷을 구성합니다. 퍼블릭 서브넷에 MSK 클러스터를 배포합니다. 상호 TLS 인증을 활성화하려면 MSK 클러스터 보안 설정을 업데이트하세요.

→ MSK의 고유 기능을 활용하여 기존 환경을 수정하는 방식이므로 가장 운영 효율적이며 보안 요구사항을 충족합니다.

 

B. 퍼블릭 서브넷이 있는 새 VPC를 생성합니다. 퍼블릭 서브넷에 MSK 클러스터를 배포합니다. 상호 TLS 인증을 활성화하려면 MSK 클러스터 보안 설정을 업데이트하세요.

→ 새로운 VPC를 만들고 데이터를 이전하거나 환경을 다시 세팅해야 하므로 A보다 오버헤드가 큽니다.

 

C. 프라이빗 서브넷을 사용하는 ALB(Application Load Balancer)를 배포합니다. HTTPS 프로토콜에 대한 VPC CIDR 블록의 인바운드 트래픽을 허용하도록 ALB 보안 그룹 인바운드 규칙을 구성합니다.

→ ALB는 L7 로드 밸런서로 Kafka 전용 프로토콜 처리에 적합하지 않으며, 프라이빗 서브넷 배포는 인터넷 공개 요구사항을 충족하지 못합니다.

 

D. 프라이빗 서브넷을 사용하는 NLB(Network Load Balancer)를 배포합니다. 인터넷을 통한 HTTPS 통신을 위해 NLB 수신기를 구성합니다.

→ NLB를 통해 Kafka를 노출할 수는 있으나 설정이 매우 복잡하고 MSK 기본 제공 퍼블릭 액세스 기능보다 관리 효율성이 떨어집니다.

---

 

이어서 다음 문제입니다.

---

문제2

회사에서 워크로드를 위해 Amazon Elastic Kubernetes Service(Amazon EKS) 클러스터를 구축하고 있습니다. Amazon EKS에 저장되는 모든 암호는 Kubernetes etcd 키-값 저장소에서 암호화되어야 합니다.

이러한 요구 사항을 충족하는 솔루션은 무엇입니까?

 

선택지

A. 새 AWS Key Management Service(AWS KMS) 키를 생성합니다. AWS Secrets Manager를 사용하여 Amazon EKS에서 모든 비밀를 관리, 교체 및 저장합니다.

B. 새 AWS Key Management Service(AWS KMS) 키를 생성합니다. Amazon EKS 클러스터에서 Amazon EKS KMS 비밀 암호화를 활성화합니다.

C. 기본 옵션으로 Amazon EKS 클러스터를 생성합니다. Amazon Elastic Block Store(Amazon EBS) CSI(Container Storage Interface) 드라이버를 추가 기능으로 사용합니다.

D. alias/aws/ebs 별칭으로 새 AWS Key Management Service(AWS KMS) 키를 생성합니다. 계정에 대해 기본 Amazon Elastic Block Store(Amazon EBS) 볼륨 암호화를 활성화합니다.

---

풀이

이 문제는 Amazon EKS에 저장되는 Kubernetes Secret이 etcd 키-값 저장소에 저장될 때 반드시 암호화되어야 한다는 요구사항을 충족하는 것이 핵심입니다. Amazon EKS에서 etcd 암호화하는 방법은 AWS KMS 키를 사용해 EKS KMS Secret 암호화를 활성화해야 가능합니다.

 

정답 : B

 

▼ 자세한 문제 풀이를 원하신 분은 아래 더보기를 통해 확인해 주세요.

---

1.  문제의 요구사항 분석하기

• 워크로드 운영을 위해 Amazon EKS 클러스터를 구축
• 클러스터에서 생성되는 Kubernetes Secret이 etcd에 저장 시 암호화 필요
• AWS 관리형 서비스를 활용하여 암호화 적용

2. 관련 AWS 서비스 생각하기

• Amazon EKS : 관리형 Kubernetes 서비스로, 클러스터의 모든 상태 데이터와 Secret 정보를 내부 etcd 키-값 저장소에 보관합니다. 기본 설정에서는 Secret이 평문으로 저장되며, 별도의 암호화 설정을 해야 etcd 저장 시 암호화가 적용됩니다.
• AWS KMS : 암호화 키를 생성, 관리할 수 있도록 지원하는 AWS 관리형 서비스입니다. Amazon EKS와 통합되어 etcd에 저장되는 데이터를 암호화하는 봉투 암호화 기능을 지원합니다.
• AWS Secrets Manager : 데이터베이스 자격 증명, 애플리케이션 자격 증명, OAuth 토큰, API 키 및 기타 보안 암호를 관리, 검색 및 교체할 수 있는 서비스입니다. 보안 인증 정보를 저장하면 애플리케이션 또는 구성 요소 손상을 방지할 수 있습니다.

3. 선택지 분석하기

A. 새 AWS Key Management Service(AWS KMS) 키를 생성합니다. AWS Secrets Manager를 사용하여 Amazon EKS에서 모든 비밀를 관리, 교체 및 저장합니다.

→ Secrets Manager는 애플리케이션 Secrets 관리용 서비스로, Kubernetes etcd에 저장되는 Secret 자체의 암호화를 제공하지 않습니다.

 

B. 새 AWS Key Management Service(AWS KMS) 키를 생성합니다. Amazon EKS 클러스터에서 Amazon EKS KMS 비밀 암호화를 활성화합니다.

→ AWS KMS는 EKS Secret 암호화를 통해 Kubernetes Secret이 etcd에 암호화되어 적절 선택지입니다.

 

C. 기본 옵션으로 Amazon EKS 클러스터를 생성합니다. Amazon Elastic Block Store(Amazon EBS) CSI(Container Storage Interface) 드라이버를 추가 기능으로 사용합니다.

→ Amazon EBS CSI 드라이버는 스토리지를 관리하는 기능으로, Kubernetes Secret이나 etcd 암호화와는 관련이 없습니다.

 

D. alias/aws/ebs 별칭으로 새 AWS Key Management Service(AWS KMS) 키를 생성합니다. 계정에 대해 기본 Amazon Elastic Block Store(Amazon EBS) 볼륨 암호화를 활성화합니다.

→ Amazon EBS 볼륨 암호화는 EBS에 저장되는 데이터만 보호하는 기능으로, Kubernetes Secret 저장과 관련이 없습니다.

---

 

마지막 문제 살펴보겠습니다.

---

문제3

온라인 비디오 게임 회사는 게임 서버에 대해 매우 낮은 대기 시간을 유지해야 합니다. 게임 서버는 Amazon EC2 인스턴스에서 실행됩니다. 회사에는 초당 수백만 건의 UDP 인터넷 트래픽 요청을 처리할 수 있는 솔루션이 필요합니다.

이러한 요구 사항을 가장 비용 효율적으로 충족하는 솔루션은 무엇입니까?

 

선택지

A. 인터넷 트래픽에 필요한 프로토콜과 포트로 Application Load Balancer를 구성합니다. EC2 인스턴스를 대상으로 지정합니다.

B. 인터넷 트래픽을 위한 게이트웨이 로드 밸런서를 구성합니다. EC2 인스턴스를 대상으로 지정합니다.

C. 인터넷 트래픽에 필요한 프로토콜과 포트로 Network Load Balancer를 구성합니다. EC2 인스턴스를 대상으로 지정합니다.

D. 별도의 AWS 지역에 있는 EC2 인스턴스에서 동일한 게임 서버 세트를 시작합니다. 인터넷 트래픽을 두 EC2 인스턴스 세트로 라우팅합니다.

---

풀이

Network Load Balancer(NLB)는 L4 계층에서 작동하여 UDP 프로토콜을 완벽하게 지원하며, 초당 수백만 건의 트래픽을 매우 낮은 지연 시간으로 처리할 수 있어 실시간 게임 서버에 최적입니다. ALB는 UDP를 지원하지 않으며, 게이트웨이 로드 밸런서는 보안 장비용입니다. 멀티 리전 배포는 비용 효율성 측면에서 불리합니다.

 

정답 : C

 

▼ 자세한 문제 풀이를 원하신 분은 아래 더보기를 통해 확인해 주세요.

---

1.  문제의 요구사항 분석하기

• 초당 수백만 건에 달하는 대용량 UDP 트래픽 처리 능력 필요
• 실시간 게임을 위한 매우 낮은 대기 시간(Ultra-low Latency) 보장
• 비용 효율성을 고려한 아키텍처 설계

2. 관련 AWS 서비스 생각하기

• Network Load Balancer : OSI 4계층(전송 계층)에서 작동하는 로드 밸런서로, TCP/UDP 트래픽을 처리합니다. Kafka는 TCP 기반 프로토콜을 사용하므로 NLB가 적합하며, TLS 종료 및 프록시 기능을 제공하여 인터넷 트래픽을 프라이빗 서브넷의 MSK로 전달할 수 있습니다.
• Application Load Balancer : OSI 7계층(애플리케이션 계층)에서 작동하며 HTTP/HTTPS 트래픽을 처리합니다. Kafka의 바이너리 프로토콜과 호환되지 않아 MSK 앞단에서 사용할 수 없습니다.
• Gateway Load Balancer (GWLB): 타사 가상 방화벽, 침입 탐지 시스템(IDS/IPS) 같은 가상 어플라이언스를 배포하고 관리하기 위한 서비스입니다.

3. 선택지 분석하기

A. 인터넷 트래픽에 필요한 프로토콜과 포트로 Application Load Balancer를 구성합니다. EC2 인스턴스를 대상으로 지정합니다.

→ ALB는 UDP 프로토콜을 지원하지 않으며 대기 시간 측면에서도 NLB보다 유리하지 않습니다.

 

B. 인터넷 트래픽을 위한 게이트웨이 로드 밸런서를 구성합니다. EC2 인스턴스를 대상으로 지정합니다.

→ GWLB는 보안 어플라이언스를 위한 특수 목적 로드 밸런서이며 일반적인 게임 트래픽 처리에 효율적이지 않습니다.

 

C. 인터넷 트래픽에 필요한 프로토콜과 포트로 Network Load Balancer를 구성합니다. EC2 인스턴스를 대상으로 지정합니다.

→ 초당 수백만 건의 UDP 트래픽과 낮은 대기 시간 요구사항을 가장 완벽하게 해결하는 비용 효율적인 방식입니다.

 

D. 별도의 AWS 지역에 있는 EC2 인스턴스에서 동일한 게임 서버 세트를 시작합니다. 인터넷 트래픽을 두 EC2 인스턴스 세트로 라우팅합니다.

→ 단순 지역 분산은 트래픽 폭주에 대한 관리형 로드 밸런싱 해결책이 아니며 관리 및 운영 비용이 크게 증가합니다.

---

 

이번 주는 유난히 추웠던 나날이었습니다. 그러나 이런 궂은 날씨에도 공부를 하시는 여러분을 응원합니다.

다음 주 월요일에 뵙겠습니다 😊