[AWS] Gateway

- 해당 글은 AWS 서비스 중 다양한 영역을 차지하며, 종류도 상당히 많아 혼동을 줄 수 있는 Gateway들에 대해 정리하여, 정확한 개념을 확충하고자 작성한 글로 많은 분들과 필자에게 도움이 되었으면 함

- 단, 요금 정책, 구성도, 상세한 장/단점 등의 정보는 제외하고 작성(개념만 이해한다면 개인이 찾아서 응용이 가능하다고 판단함
(뭔놈의 Gateway가 이렇게 많은지... 개인적으로 필자는 혼동이 엄청나다)

AWS API Gateway ICON (뭘 뜻하는진 잘 모르겠다...)

 

 

 

 

* Storage Gateway

• 기존 On-premise 서비스를 Cloud Storage로 연결하여 사용할 수 있게 하는 Hybrid-Cloud Storage Service
• 온 프레미스에서 별도의 네트워킹이나 하드웨어 추가 없이, 스토리지를 가상머신으로 배치하거나, AWS에서 제공하는 Hardware appliance로 배치 가능
• 표준 스토리지 프로토콜(NFS, SMB, iSCSI, VTL 등)을 지원하여 기존 애플리케이션 변경 없이 Cloud Storage 이용 가능
• 잦은 액세스 데이터를 캐싱하여 짧은 지연시간 제공
• 온프레미스에서 클라우드 스토리지로의 액세스를 제공하는 인터페이스 유형에 따라 4가지(S3 File / FSx File / Volume / Tape) Gateway로 분류

---

* S3 File Gateway

• Storage Gateway 중 AWS S3(Simple Storage Service - 일종의 파일 서버)에 객체(Object)로 저장하는 인터페이스
• SMB(Windows Client 지원)나 NFS(Linux Client 지원)를 통해 S3에 대한 액세스 제공
• File Gateway를 통해 S3에 저장되는 데이터는 SSE-S3(Server-Side Encryption) Key를 통해 암호화

---

* FSx File Gateway

• Storage Gateway 중 AWS FSx 상의 고성능 분산 파일 시스템에 대한 액세스를 제공하는 인터페이스
• 유형은 Lustre와 For Windows 방식으로 구분
  • HPC(고성능 컴퓨팅)을 목적으로 Linux 클러스터로 구성하는 Lustre용 File System
  • SMB 프로토콜을 기반으로 한 Windows System 용 EFS(Elastic File System)
    • SMB 프로토콜을 기반으로 암호화를 지원, 데이터 변경 시 FSx File Gateway로 동기화

---

* Volume Gateway

• Storage Gateway 중 S3가 지원하는 iSCSI(internet Small Computer System Interface)를 통해 IP를 기반으로 Block Storage Volume(EBS : Elastic Block Storage : 일종의 하드디스크 패키지)에 대한 액세스를 제공
• 데이터는 S3에서 EBS Snapshot 형식으로 관리, 데이터의 수정 발생 시, 수정 된 부분만을(Incremental(증분)) 저장
• 모든 데이터를 전송 시 SSL을 통해 암호화하며, S3에 저장 시, SSE-S3를 통해 서버 측에서 암호화
  (KMS 관리형 키를 통한 암호화는 선택 사항)
• 유형
  • VM 스토리지를 주 저장소로 사용하며, 데이터를 S3에 EBS Snapshot 형식으로 백업하는 Stored Volume
  • AWS Storage를 주 저장소로 사용하며 최근 액세스한 데이터 일부를 VM에 저장, 나머지 모든 데이터는 S3에 저장하는 Cached Volume

---

* Tape Gateway

• Storage Gateway 중 VTL(Virtual Tape Library) 프로토콜을 사용하여 Long-Term 아카이빙 저장소(클라우드 기반의 가상 테이프 스토리지)를 이용하는 방식
• 자기테이프를 사용(높은 저장효율 및 안정성 등의 장점)하는 방식을 가상화하여 저비용, 고용량 Storaging(또는 Backup)을 목적으로 사용
• 모든 데이터를 전송 시 SSL을 통해 암호화하며, S3에 저장 시, SSE-S3를 통해 서버 측에서 암호화
  (KMS 관리형 키를 통한 암호화는 선택 사항)

 

 

 

 

- 위 Gateway들은 Storage와 관련된 Gateway로 저장, 백업 등의 목적으로 기능과 목적에 따른 분류

- 아래는 목적이 다른 Gateway들에 대한 설명

 

 

 

 

* AWS API Gateway

• API 관련 서비스(생성, 게시, 유지 관리, 모니터링 및 보안 유지 등)를 목적으로 한 AWS 제공 완전관리형 서비스
• API Gateway 기반 API 유형 구분
  • HTTP API : HTTP 기반으로 통신하는 API로, Endpoint를 API Gateway로 지정, HTTP 요청을 통해 서버에 접근 할 수 있게 지원 가능
  • REST API : 웹 서비스 구조를 만들기 위해 활용되며, CRUE 방식 메소드 또는 HTTP(GET, POST, PUT, DELETE) 메소드를 활용
  • WebSocket API : 채팅, 스트리밍 등의 실시간 양방향 통신을 위해 백엔드와 클라이언트 간 메세지 전송 처리를 위한 지속적 연결을 목적으로 하는 방식

---

* Transit Gateway

• VPC와 온프레미스 네트워크를 상호 연결하거나, VPC간 통신을 목적으로 Peering하는 서비스
• 1:1 VPC 연결만 가능한 VPC Peering과 달리, Transit Gateway를 중앙 허브로 하여, 다수의 VPC간 연결하며 정책을 중앙 관리, VPN을 통해 VPC와 온프레미스 간 네트워크 통신이 가능
• 일종의 라우터 역할로 신규 연결은 한번만 추가하면 통신이 가능
• 타 Region간의 TGW와 피어링 연결로 통신이 가능

---

* AWS Internet Gateway

• VPC 리소스들과 인터넷 간 통신을 활성화 하기 위해 연결하는 GW
• 웹과 연결되어 외부와 통신해야하는 Public Subnet의 라우팅 테이블에만 Internet GW로 향하는 규칙을 포함하도록 구성
• 인터넷과의 통로 역할과 동시에 NAT의 역할도 수행

---

* AWS NAT Gateway

• Public Subnet만 웹과 통신하는 Internet GW와 달리, Private 서브넷도 웹과 트래픽을 전달 받을 수 있게 하는 GW
• 단, Private Subnet -> NAT Gateway -> Public Subnet의 순서로 트래픽을 전송하여, 웹과 통신을 중계