NCP Essential

!! 해당 글은 edwith의 NCP 강의를 정리한 글 입니다.

 

네이버 클라우드 플랫폼

클라우드를 사용해야 하는 이유

• 비용절감 효과
  • 온프레미스 환경을 단순히 클라우드로 옮긴다고 비용 절감이 되지는 않음
  • 데브옵스를 통한 인건비 절감
  • 스케일링 기법들을 통한 최적화
  • SaaS, PaaS 등 다양한 부가 상품 활용 필요
• 빠른 Deploy 및 글로벌 시장 진출 용이
  • 기존 Legacy 인프라에 비해 빠른 Deployment
  • Global 리전을 활용하여 손쉬운 글로벌 서비스
• 보안
  • 인프라에 대한 보안은 CSP에 위임
  • 서비스 level에 대한 보안만 신경쓰면 됨

네이버 클라우드 플랫폼의 발전과정

공공 클라우드

• 공공기관의 엄격한 심의 요건을 충족하고, 다수의 보안 인증을 취득하여 안정성 검증
• NCP의 경우 공공 서비스에 최적화된 공공 서비스 전용 플랫폼 제공

금융 클라우드

• 법적인 규제에 대해 안심하고 사용할 수 있는 국내 최초의 전문 금융 퍼블릭 클라우드
• 금융 서비스 전용 플랫폼 제공

네이버 클라우드 플랫폼의 장점

• 공공, 금융 전문 클라우드 운영
• 쉬운 사용자 경험
• 각 리전간 전용선 통신을 통한 안정적인 글로벌 서비스 제공
• 빠른 상품 출시 및 상품 개선, 사용자의견 수용
• 24 X 7 고객 센터 운영을 통한 사용자 대응

네이버 클라우드의 제품군(22.05기준)

VPC의 정의

• 퍼블릭 클라우드 상에서 제공되는 고객 전용 사설 네트워크
• 각각의 VPC는 논리적으로 완벽하게 분리되어 있어, 다른 사용자의 네트워크와 상호 간섭이 발생하지 않는다.
• 계정마다 최대 3개의 VPC 생성 가능
• 사설 IP 대역대 사용
• Subnet을 이용하여 VPC 내 네트워크 공간 세분화
• NACL을 활용하여 in/out bound 네트워크 트래픽을 Subnet 단위로 제어
• VPC Flowlog 기능을 통해 트래픽 정보를 수집 및 Object Storage에 저장

VPC의 구성요소

• VPC
• Subnet
  • VPC 네트워크 대역 공간을 나누어서 사용
  • 인터넷 게이트웨이, NAT 게이트웨이용 서브넷을 생성하여 외부 인터넷과의 통신 조절
  • NACL을 이용하여 네트워크 접근제어
• NAT Gateway
• Route Table
  • VPC내 동작하는 고유의 라우팅 기능
  • 외부 연계 네트워크 및 내부 사설 통신간 흐름 제어
• ACG

• NACL

  • Network Acess Contral List의 약자로 VPC의 보안 정책
  • Allow/Deny 모두 설정 가능, 상태 비저장 방식

  

• Virtual Private Gateway
  • VPC와 IPsec VPN 또는 Cloud Connet를 연결하기 위한 접점
  • 보인이 확보된 통신경로를 통해 네이버 클라우드 플랫폼과 온프레미스 네트워크 연결

• VPC Peering

Compute

• 기본적으로 서버를 생성하고 관리하는 상품
  • 규모와 사용목적에 적합한 성능의 서버 선택 가능
  • 다양한 상품 라인업
  • 체험용 마이크로 서버 제공
• 요금 구성
  • 컴퓨팅, 네트워크, 스토리지 요금이 발생
  • 서버 정지 시 컴퓨팅, 네트워크 요금은 발생하지 않지만 스토리지 비용 발생
  • 약정에 따라 서버 정지 시에도 요금 발생
• SSH,HDD 디스크 타입 제공
  • IO 퍼포먼스 차별화
  • SSD 사용 시 최대 IOPS 보장

Bare Metal Server

• 단독으로 사용할 수 있는 고성능 물리서버를 클라우드 형태로 제공
• 하이퍼바이저 없이 바로 운영체제를 설치하여 제공
• RAID10, RAID5 구성 제공
• 민감한 서비스도 안정적으로 운영
• CentOS, ORACLE Linux와 windows 제공
• NCP의 다양한 서비스와 일부 연계 가능
• 서버 장애 시 Live Migration 불가
• NCP가 미리 지정해 놓은 스펙 내에서만 선택이 가능하고 스펙 Custom 불가능

GPU Server

• 병렬 처리에 최적화된 GPU 서버의 고성능 컴퓨팅 파워 제공
• 딥 러닝을 위한 GPU 서버 팜
• CentOS 7.3, Ubuntu 16.04, Windows Server 2016 제공

서버 타입 별 이용 가능 서비스

리전(국가)별 지원 서버 타입

서버 이미지, 스냅샷, 유사 서버 비교

• 서버 이미지
  • 하나의 서버 자체를 이미지화 시키는 것
  • 서버가 켜져 있는 상태에서 이미지 생성 가능
  • 이미지를 토대로 서버 생성 시 디스크 타입이나 서버의 타입 변경 가능
• 스냅샷
  • 특정 볼륨에 대해 복사본을 만드는 것
  • 서버가 켜져 있는 상태에서도 스냅샷 생성 가능
  • 단, 디크스 사이즈 변경이 불가능하다
• 유사 서버
  • 특정 서버가 가지고 있는 스펙, 구성 등을 저장 하는 것
  • 서버 내의 데이터는 저장 하지 않음

• Server Image Builder 및 Terraform 등 활용 가능

init Scripte

• 서버 생성시 초기 1회만 실행되는 스크립트
• 커스텀 된 서버를 초기화하는데 유용
• Linux는 Python, Perl, Bash Shell, Windows는 Visual Basic 스크립트로 작성

보안영역

• ACG(Access Control Group)

  • 서버의 방화벽 역할 In/out bound 룰 설정 가능
  • Default ACG와 Custom ACG로 구분
  • 프로토콜은 TCP, UDP, ICMP 중 선택, 접근 소스는 IP(CIDR), ACG Group 설정 가능
  • 단일 NIC는 최대 3개 , 단일 ACG는 최대 100개의 rule 설정 가능(VPC 환경)

• Anti-Virus

  • Windows OS에 한해서 기본적으로 백신 제공
  • 리눅스의 경우 별도 요금

추가 스토리지 구성

• 추가 스토리지 당 10GB에서 2TB 까지 생성 가능
• 달일 서버에 최대 15개의 추가 스토리지를 추가할 수 있음(기본 OS 스토리지 1개 제외)
• 서버에 연결된 디스크를 다른 서버에 연결 가능
• 스토리지 볼륨을 2TB이상 사용 하려면 여러 디스크 볼륨을 하나로 묶을 수 있음
• 사용 중인 디스크의 크기 변경 가능

Autoscaling

• 유연한 인프라 확장 가능
• 스케줄링, 모니터링, 온디멘드에 따라 서버를 자동 생성, 삭제 진행
• Launch Configuration을 통해 만들 서버의 이미지를 저장
• Autoscaling Server Group을 지정하여 Scaling, Management 액션을 위한 논리적 그룹 설정
• Event Rule 설정을 통해 액션의 기준설정

완전 관리형 Kubernetes Cluster 제공

• 컨테이너의 배포(scheduling), 운영(HA, Failover), 확장(Scaling) 등 을 자동화 하여 제공하는 플랫폼
• 사용자는 Container가 구동되는 Worker Node에 대한 관리만 하면 된다.
• Container Registry, Load Balancer 등 NCP의 다양한 서비스와 연동 가능

Load Balnacer

• 부하 분산을 위해 서버 앞단에서 트래픽을 분산
• 로드밸런서 하나를 생성하게 되면 뒷단에서 Load Balancer 서버 2개가 생상되고 하나의 도메인에 바인딩 되어 제공
• 애플리케이션 로드밸런서, 네트워크 로드밸런서, 네트워크 프록시 로드밸런서의 종류로 제공
• 로드밸런서를 활용하기 위해 전용 서브넷 필요(Internet gateway 비사용, 용도는 LB로 생성)

로드밸런서 선택 기준

• 프로토콜의 종류의 따른 구분
• DSR 방식을 통해 응답속도 개선이 필요하다면 NetworkLB 사용
• Round Robin, Least Connetion, Source IP Hash 등의 알고리즘을 선택하여 로드밸런싱 가능

DNS

• 보유하고 있는 도메인을 클라우드의 서비스와 매핑 할 수 있는 서비스
• Round Robin 알고리즘을 통해서 인입되는 트래필을 분기
• 도메인의 헬스 체크는 불가능

CDN

• 컨텐츠를 Caching 하여 보다 빠르고 안정적으로 사용자에게 전송하는 서비스
• 국내, 외 주 서비스 지역에 따른 CND 상품 분리 제공
• HTPP/S 프로토콜 지원
• 대규모 파일 배포나 이미지 서비스, 동영상 서비스 등 대규모로 트래픽이 발생하는 경우 사용

IPsec VPN

• 고객의 사내망과 NCP간 사설 통신을 위한 IPsec VPN
• 고객의 VPN 장비와 NCP VPN 장비 간 터널링 연결 제공
• NCP 서버들은 Private Subnet 대역 192.168.x.x(Classic 환경에서만)

NAT Gateway

• 사설 IP(비공인 IP)들을 공인IP와 매핑하여 외부 인터넷과 연결
• VPN 안에 있는 서버 들이 외부와 통신 할 때 활용

Global Route Manager

• 네트워크 트래픽을 분배해 주는 서비스
• 여러 리전으로 로드 밸런싱을 도와주는 서비스
• DNS 기반으로 사용
• Round Robin, Weighted, GeoLocation, Failover 알고리즘을 통해 서비스 제공

오브젝트 스토리지

• 인터넷상에 원하는 데이터를 저장하고 사용할 수 있음
• 객체 기반의 무한에 가까운저장 스토리지
• 저장된 파일마다 고유한 접근 URL이 부여되어 인터네 상에서 여러 사용자가 쉽게 접근 가능
• 정적 웹사이트 호스팅 가능
• S3 Compatibility API 지원
• Data Lifecycle 지원
• Sub Account와의 연동으로 접근제어
• CDN, VOD Transcoder, Image Optimizer, Cloud Hadoop, Cloud Log Analytics 등 NCP 내 다양한 서비스와 통합, 연계

Archive Storage

• 데이터 아카이빙 및 장기 백업에 최적화된 스토리지서비스
• AWS glacier에 대응
• Infrequent Data백업 및 Archiving Data 보관을 주 목적으로 하는 스토리지
• Object Storage 보다 데이터 저장 비용은 저렴
• 콘솔, API(swift, s3), CLI, SDK를 이용해 데이터 관리 가능
• Sub Account 연동을 통한 권한 관리 기능 제공

NAS

• 다수의 서버에서 공유하여 사용할 수 있는 스토리지
• 최소 500GB에서 10TB까지 구성 가능, 추가는 100GB 단위로 추가
• NAS 가용량 안에서 생성된 스냅샷 이미지를 이용한 데이터에 대한 복구기능 제공
• NFS / CIFS 프로토콜 제공
• 서버 사설IP를 이용하여 ACL 오픈으로 타 계정 서버에서도 마운트하여 사용 가능

Data Teleporter

• 대용량의 데이터를 네이버 클라우드 플랫폼으로 옮기때 활용
• 전용 어플라이언스 장비를대여
• 네트워크 비용 절감, 안전하고 빠른 데이터 이관 가능
• 한 대당 100TB 저장 가능
• 이관 데이터를 Object Storage / Archive Storage / NAS에 Import 가능

Backup

• 서면으로 요청하여 백업 서비스 사용 가능
• 최대 24주까지 백업 파일 보관 가능

완전관리형 DB(Cloud DB for MYSQL, MS-SQL)

• 자동 Fail-Over 지원 및 사용자 환경에 맞는 구성 가능
• 자동 백업 주기를 설정할 수 있으며, 최대 30일 백업 파일 보관
• Master DB Failover을 활용해서 수동으로 Failover를 테스트 가능
• DB Process 모니터링을 통해 수행 중인 Query를 확인 가능, DB를 점검하는데 도움
• Stand Alone 서버를 생성하여 저렴하게 운영 가능(가용성 보장이 되지 않음)
• Multizone 구성 제공하여 가용성 유지
• 로그 로케이션 기능을 통해 Error Log, Slow Log, General Log를 일별, 사이즈 별로 설정 가능

Cloud DB for Redis

• 자동 복구를 통해 안정적으로 운영되는 완전 관리형 클라우드 인메모리 캐시 서비스
• • VPC내 Private Subnetd에서 Redis Cluster 지원 샤드 최소 3개, Config Group을 통해 설정 적용 및 HA 구성 지원

Cloud Insight

• 클라우드 리소스 상태 모니터링 수행
• 통합 관리 모니터링 서비스 제공
• Basic Metric 뿐만 아니라, 사용자 설정에 따른 Custom Metric 설정도 가능
• Event 발생 시 담당자에게 SMS, Email을 통해 알람 제공

Sub Account

• 서브 계정 별 역할 부여를 통한 리소스 관리
• 다수의 사용자가 동일한 자원을 이용하고 관리할 수 있도록 역할을 부여한 서브계정을 제공
• 2차 인증 설정 가능
• 서브 계정이 작업한 모든 내역은 Cloud Activity Tracer 상품에서 확인 가능

Web service Monitoring System(WMS)

• 고객의 웹페이지 품질 측정 도구
• 웹 서비스 URL을 입력하여
• 시나리오 기반의 웹페이지 모니터링 가능

Cloud Activity Tracer

• 다양한 계정 활동 로그를 수집
• Management 콘솔, API, SDK, CLI를 통한 계정 별 액션 로그와 비 계정 활동에 대한 로깅 기능 제공

Resource Manager

• 리소스들을 통합적으로 관리 서비스
• 목적에 따라 자원들을 그룹화 하거나 태그를 지정하여 다양하게 활용 가능
• 리소스 별 생성 및 변경 이력을 확인

Global Latency Status

• NCP 플랫폼 리전간 전용선을 통해 빠른 응답시간 제공

• Latency 정보를 실시간으로 제공

  

  Security

  • Site Safer
    • 고객의 웹페이지에 악성 코드가 있는지 주기적으로 검사
    • NCP 외부 IP 대역도 점검 가능
    • 행위에 기반한 탐지
  • App Safer
    • 고객의 모바일 APP 환경에 대한 보안 위협 여부를 실시간으로 탐지
  • File Safer
    • 업로드 / 다운로드 되는 파일의 악성코드 여부를 탐지
  • Web Security Checker
    • 고객의 웹사이트 보안 취약점 진단
    • 고객의 OS, WAS(Apache, Tomcat, Nginx) 설정에 대한 취약점 젖ㅁ검
    • 점검에 필요한 서버에 Agent 설치 후 간편하게 사용
    • KISA 보안 설정 가이드와 NAVER의 보안 설정 정책에 근거하여 취약점 점검 및 수정 가이드 제공
  • App Security Checker
    • 고객의 모바일 App 보안 취약점 진단
  • Certificate Manager
    • SSL 인증서 등록 및 관리의 통합
    • NCP 플랫폼의 연계 상품에 인증서 등록하여 사용 가능
    • 인증기간 만료 도래시 알림 메일 제공
  • Security Monitoring
    • IDS 이벤트 탐지, Anti-Virus 서비스를 무료로 제공
    • 그외 Ddos, WAF 등 추가적인 매니지드 서비스를 별도의 신청하여 유료로 제공

    

    • SSL VPN
      • SSL VPN을 통한 서버 접속
      • 10 대역의 28bit VPN IP 제공
      • 최대 10개 ID 생성 가능
      • 1차 인증과 2차 인증 지원(ID/PW, OTP)

NCP 정보 습득 방법

• NCP 기술 블로그
• NCP Youtube
• 클라우드 관련 무료 교율 진행(월 2회)