MSA 아키텍처 초안

[ssedogdoom]

아키텍처 구성 요소

• Application Load Balancer (ALB):

  • ALB는 퍼블릭 서브넷에 위치하여 외부에서 들어오는 HTTP/HTTPS 트래픽을 처리하고, 이를 EKS 클러스터의 서비스로 전달하는 역할을 합니다.
  • 경로 기반 라우팅(Path-based routing)을 지원하여, 트래픽을 API 또는 다른 애플리케이션 서비스로 분배할 수 있습니다.

• EKS 클러스터 (Elastic Kubernetes Service):

  • EKS 클러스터는 프라이빗 서브넷(Private Subnet)에 배치된 애플리케이션 컨테이너를 실행합니다.
  • ALB를 통해 전달된 트래픽을 받아 API와 다양한 애플리케이션 서비스를 제공하며, 외부에서 직접 접근할 수 없습니다.
  • Kubernetes 기반의 컨테이너 관리 시스템을 통해 애플리케이션의 배포, 확장, 관리가 가능합니다.

• RDS (Relational Database Service):

  • RDS 인스턴스는 내부 서브넷(Internal Subnet)에 배치되어 외부 접근이 차단된 상태로, 오직 EKS 클러스터 내의 애플리케이션에서만 접근할 수 있습니다.
  • 보안을 강화하기 위해 EKS 클러스터에서만 접근 가능하며, 데이터베이스는 주로 애플리케이션의 저장소 역할을 수행합니다.(우리는 INTERNAL 구역 만들어서 보안을 강화하기로 함)

구성 세부 사항

• 퍼블릭 서브넷:

  • 각 가용 영역(AZ)에 퍼블릭 서브넷이 하나씩 위치합니다.
  • 퍼블릭 서브넷에는 **Application Load Balancer (ALB)**가 배치되어 외부 트래픽을 받아들이며, 이 트래픽을 프라이빗 서브넷에 있는 EKS 클러스터로 전달합니다.
  • ALB는 인터넷 게이트웨이(Internet Gateway)를 통해 외부와 연결되어 있습니다.

• 프라이빗 서브넷 (Private Subnet):

  • 각 가용 영역에 하나씩 존재하는 프라이빗 서브넷에는 외부에서 직접 접근할 수 없는 리소스들이 배치됩니다.
  • EKS 클러스터는 이 프라이빗 서브넷에 배치되어 있으며, ALB로부터 전달된 트래픽을 받아 애플리케이션 서비스를 제공합니다.
  • 외부와의 직접적인 통신은 차단되지만, 필요 시 데이터베이스와 통신이 가능합니다.

• 내부 서브넷 (Internal Subnet):

  • RDS 인스턴스는 내부 서브넷에 위치하여 외부에서 직접 접근할 수 없도록 구성되어 있습니다.
  • EKS 클러스터의 애플리케이션에서만 접근 가능하여 보안이 강화된 상태로 데이터베이스 접근이 가능합니다.

트래픽 흐름 및 서비스 설명

1. 외부 접근:

   • 외부 클라이언트는 퍼블릭 서브넷에 있는 ALB를 통해 애플리케이션에 접근합니다.
   • ALB는 인터넷 게이트웨이를 통해 외부 트래픽을 수신하고, 경로 기반 라우팅을 통해 트래픽을 프라이빗 서브넷에 있는 EKS 클러스터로 전달합니다.

2. 트래픽 분배:

   • ALB는 경로 기반 라우팅(Path-based routing)을 사용하여 수신한 트래픽을 EKS 클러스터 내의 API 및 애플리케이션 서비스로 분배합니다.

3. 데이터베이스 통신:

   • EKS 클러스터의 애플리케이션 컨테이너는 필요 시 내부 서브넷에 위치한 RDS 인스턴스와 통신하여 데이터를 읽고 씁니다.
   • RDS는 외부 접근이 차단된 상태이며, 오직 EKS 클러스터에서만 접근 가능하여 보안이 강화되어 있습니다.

기대 효과

• 보안성 강화:

  • RDS 인스턴스는 내부 서브넷에 위치하여 외부에서 접근할 수 없도록 설정되어 있어 보안성이 높습니다.
  • ALB를 통해서만 EKS 클러스터로 트래픽이 전달되며, 프라이빗 서브넷과 내부 서브넷으로의 직접적인 접근을 차단하여 보안을 강화합니다.

• 확장성:

  • EKS 클러스터와 ALB는 트래픽 증가에 따라 자동으로 수평 확장이 가능하여, 높은 대역폭의 트래픽도 안정적으로 처리할 수 있습니다.
  • Kubernetes 기반의 EKS 클러스터는 컨테이너의 자동 확장 기능을 통해 애플리케이션의 확장성을 지원합니다.

• 고가용성:

  • 두 개의 가용 영역에 퍼블릭 서브넷과 프라이빗 서브넷을 분산 배치하여, 장애 발생 시에도 서비스가 지속적으로 운영될 수 있습니다.
  • RDS와 EKS도 다중 가용 영역에 배포되어 있어, 고가용성을 제공합니다.

추가 정보

구성 과정에서 발생한 문제나 개선 사항이 있다면 Discussion을 통해 자유롭게 논의해 주세요. 궁금한 점이나 추가 요구 사항이 있을 경우 comment 또는 Discussion에 제안해 주시기 바랍니다.

---

저희 팀만의 특이사항

Internal Subnet을 생성하여 RDS 인스턴스를 배치했습니다. 이를 통해 외부에서 직접 접근할 수 없도록 구성함으로써 데이터베이스의 보안을 강화하였습니다. 이 RDS 인스턴스는 EKS 클러스터 내의 애플리케이션만 접근할 수 있으며, 읽기 전용(Read Only)과 쓰기 전용(Write Only) 인스턴스를 분리하여 데이터베이스의 성능을 최적화하였습니다.

Write Only RDS Instance는 모든 쓰기 작업을 처리하며, 데이터가 기록될 때마다 Read Only RDS Instance로 데이터가 복제됩니다.
Read Only RDS Instance는 다중 읽기 작업을 분산 처리하여 읽기 성능을 향상시키며, 주로 조회용으로 활용됩니다.
이 구성은 트래픽 증가 시 성능을 안정적으로 유지할 수 있으며, 내부에서만 접근 가능하도록 설정되어 있어 보안이 강화되었습니다.

이 아키텍처는 보안성, 확장성, 고가용성을 갖춘 AWS 클라우드 인프라 환경을 구축하는 데 적합합니다. ALB를 통한 트래픽 제어와 EKS의 컨테이너 기반 애플리케이션 관리, RDS의 데이터 보호가 통합되어 안정적이고 신뢰할 수 있는 애플리케이션 환경을 제공합니다.

참고: https://techblog.lotteon.com/%EB%89%B4%EC%98%A8%EC%9D%B4%EB%93%A4%EC%9D%98-%EC%B2%AB-msa-%EC%84%9C%EB%B9%84%EC%8A%A4-%EB%8F%84%EC%A0%84%EA%B8%B0-d336186a7e31