리소스 백서

F5를 사용하여 Tier 1 애플리케이션 워크로드를 AWS로 마이그레이션

소개

퍼블릭 클라우드로 프로덕션 워크로드를 이전하거나 배포하는 것을 고려하는 기업은 Amazon Web Services(AWS)를 선택 플랫폼으로 고려할 가능성이 높습니다. 현재 AWS는 190개국에 걸쳐 100만 명 이상의 활성 고객을 보유하고 있으며, 여기에는 2,000개의 정부 기관과 5,000개의 교육 기관이 포함됩니다.¹ Gartner에 따르면 AWS는 매출(47%) 측면에서 압도적인 시장 점유율 선두주자입니다.² 그리고 애플리케이션 워크로드의 점유율(41.5%)² 퍼블릭 클라우드 인프라 즉 서비스(IaaS)에 배포됨. 이 논문에서는 기업용 애플리케이션을 위한 퍼블릭 클라우드의 광범위한 도입을 저해하는 많은 요소를 검토하고, F5 애플리케이션 제공 서비스가 AWS 도입을 가속화하는 데 중요한 역할을 하는 방법을 제시합니다.

인프라와 서비스를 신속하게 배포해야 할 필요성

대부분의 기업에서 애플리케이션은 성능 매개변수가 명확하게 정의된 정적인 리소스가 아닙니다. 사용자 경험에 영향을 미치지 않도록 예상치 못한 수요 급증에 자주 적응해야 합니다. 내부 IT 서비스의 비융통성과 고정 자산에 대한 투자 필요성으로 인해, IT 조직은 전통적으로 평균 수요가 아닌 최대 수요를 충족하기 위해 인프라와 애플리케이션 리소스를 프로비저닝하여 수요 변동에 대응해 왔습니다. 하지만 새로운 인프라, 네트워킹, 관련 애플리케이션 리소스를 조달하고 구축하는 것은 상당한 CapEx 투자가 필요한 복잡하고 시간이 많이 걸리는 프로세스입니다.

AWS는 이미 인프라와 소프트웨어 자산에 필요한 투자를 함으로써 이러한 과제를 부분적으로 해결했으며, 이를 통해 기업은 리소스를 과도하게 프로비저닝하지 않고도 무제한 용량의 이점을 얻을 수 있습니다. AWS와 같은 퍼블릭 클라우드 IaaS 공급업체를 활용하는 이점은 기업이 새로운 애플리케이션을 신속하게 배포할 수 있는 민첩성, 수요에 따라 리소스를 할당할 수 있는 유연성, OpEx 대 CapEx 모델의 경제성입니다.

애플리케이션을 퍼블릭 클라우드로 옮기는 것에 대한 기업의 우려

애플리케이션을 클라우드로 이전하는 것을 고려할 때 애플리케이션 보안, 성능 및 관리 제어가 IT의 최우선 관심사 중 하나라는 것은 놀라운 일이 아닙니다. AWS는 이러한 애플리케이션 제공 요소 중 일부를 해결하기 위해 많은 기본 도구와 서비스를 제공하지만, 해당 도구의 기능과 특징 세트가 다양해 애플리케이션 요구 사항을 충족하지 못할 수 있습니다.

보안

오늘날의 위협 환경을 감안할 때, 대부분의 조직은 클라우드 호스팅 애플리케이션에 대한 가장 큰 우려 사항으로 보안을 꼽습니다. 작업 부하를 퍼블릭 클라우드 인프라로 옮길 때 볼륨형 DDoS와 애플리케이션 계층 공격(OWASP Top 10, 크로스 사이트 스크립팅, SQL 주입 등)을 결합한 정교한 맬웨어와 4~7 계층 보안 위협을 혼합하여 보호하는 것이 중요합니다. AWS는 보안과 관련하여 공유 책임 모델을 사용하는데, 이는 클라우드 보안과 클라우드 내 보안이라는 두 가지 부문으로 나뉩니다. 클라우드 보안은 기본 IaaS 인프라(컴퓨팅, 스토리지, 물리적 하드웨어 등)의 보안과 관련이 있습니다. 이는 AWS의 책임입니다. 클라우드 보안은 하이퍼바이저 계층 위의 모든 것(OS, 애플리케이션, 데이터 등)을 보호하는 것입니다. 이는 소비자의 책임입니다.

일관된 애플리케이션 액세스도 필수입니다. 조직에서는 내부 정책을 준수하는 동시에 장치나 위치에 관계없이 모든 사용자에게 동일한 액세스 권한을 부여하려면 어떻게 해야 할까요? 사용자가 여러 개의 사용자 이름/비밀번호 조합을 기억해야 하는 경우 비밀번호 피로로 인해 보안이 손상될 수 있으며, 이는 효율성이 저하될 수 있습니다. 대부분의 기업은 자체 데이터 센터/프라이빗 클라우드 환경에 배포된 워크로드 뿐만 아니라 퍼블릭 클라우드 워크로드도 배포할 가능성이 높습니다. 따라서 이러한 사용자는 하이브리드 클라우드 환경 전반에서 일관되고 검증된 보안 관행/정책을 복제하고 시행할 수 있어야 합니다.

성능

사용자 경험과 생산성은 여전히 중요한 고려사항이며, 둘 다 클라우드에서의 애플리케이션 성능에 달려 있습니다. 어떤 경우에는 클라우드 제공자의 데이터 센터가 사용자와 멀리 떨어져 있어서 사용자와 애플리케이션 간의 지연 시간이 늘어나 성능에 영향을 미칩니다. 또한 캐싱, 압축, TCP 최적화 등 일반적으로 지연 시간을 처리하는 데 사용되는 일부 방법을 AWS에서는 사용할 수 없습니다.

고급 트래픽 관리 및 가시성

대부분의 기업은 비즈니스에 중요한 애플리케이션을 위해 데이터 센터에서 고급 트래픽 관리(기본적인 부하 분산 그 이상)를 필요로 합니다. AWS는 ELB(Elastic Load Balancing) 및 ALB(Application Load Balancer)를 통해 기본적인 로드 밸런싱 서비스를 제공하지만, 조직은 HTTP/HTTPS 및 TCP 외에 어떤 프로토콜 지원이 필요한지 고려해야 합니다. 기본적인 건강 검진과 부하 분산 알고리즘으로 충분할까요? 소비자는 종종 애플리케이션 데이터를 조작해야 하며, 이를 위해서는 URL 검사 및 재작성 등의 전체 L7 애플리케이션 프록시 기능이 필요합니다. 맥락을 고려하여 유입 클라이언트 트래픽을 파악하는 능력은 세부적인 트래픽 조정 결정을 내리는 데 중요합니다.

F5가 AWS 도입을 가능하게 하는 방법

위의 우려 사항을 해결하려면 F5의 BIG-IP 솔루션과 같은 통합 플랫폼을 통해 제공되는 고급 프로그래밍 가능 애플리케이션 제공 및 보안 서비스가 필요합니다. 이 플랫폼은 위치에 관계없이 모든 애플리케이션의 보안, 성능, 가용성을 보장합니다. 또한 이 솔루션을 사용하면 모든 하이브리드 환경에서 새로운 클라우드 기반 애플리케이션과 기존 애플리케이션 모두에 대해 일관된 방식으로 애플리케이션 서비스와 관련 정책을 제공하고 관리할 수 있습니다.

F5 BIG-IP Virtual Editions(VE)는 모든 BIG-IP 하드웨어에서 사용 가능한 동일하고 일관된 서비스 세트를 제공하는 가상 BIG-IP 어플라이언스입니다. 여기에는 지능형 트래픽 관리(로컬 및 글로벌), 가속 및 최적화, DNS, 고급 애플리케이션 액세스, 정교한 애플리케이션 보안 등 애플리케이션 및 네트워킹 서비스가 포함됩니다. 이러한 서비스는 애플리케이션 스택의 일부로 완전히 통합될 수 있으며 자동으로 구성될 수 있습니다. 하드웨어와 가상 ADC(애플리케이션 전송 컨트롤러) 분야의 시장 리더이자 Fortune50 기업 중 48개가 현재 F5 애플리케이션 서비스를 사용하고 있으므로 F5가 특정 비즈니스에서 애플리케이션을 서비스하고 보호하기 위해 이미 사용되고 있을 가능성이 큽니다.

F5 보안 서비스

BIG-IP VE는 제어력, 유연성 또는 가시성을 희생하지 않고도 클라우드 애플리케이션을 보호하는 포괄적인 L4-7 보안 서비스를 제공합니다. 이러한 서비스는 AWS 서비스를 보완하며, 정교한 WAF(웹 애플리케이션 방화벽)를 통해 복잡한 DDoS 공격, 웹 스크래핑, 다층 웹 기반 애플리케이션 공격, 데이터 도난 및 유출을 모두 방지할 수 있습니다. F5 솔루션은 비정상적인 트래픽 패턴을 인식하는 데 필요한 지능과 고급 행동 분석을 통해 자동화된 봇넷 공격을 감지하고 완화할 수 있습니다. F5 iRules® 데이터 경로 스크립팅의 힘을 활용하여 F5 솔루션은 애플리케이션 취약점 악용과 제로데이 공격에 신속히 대응할 수 있습니다. F5를 사용하면 각 내부 애플리케이션에 대한 방화벽 규칙과 정책을 조정하고 구성하는 데 투자한 노력과 전문 지식을 VE가 클라우드 호스팅 애플리케이션에 활용하고 재사용할 수 있습니다.

F5의 ID 및 액세스 관리 아키텍처는 전체 사용자, 장치, 환경, 애플리케이션 및 네트워크 상황 인식을 기반으로 합니다. 즉, F5 솔루션은 데이터 센터와 클라우드 전반의 애플리케이션 액세스에 대한 ID 연합과 단일 로그인을 지원합니다. 동시에 보안이 강화된 컨텍스트 기반 액세스, 웹 기반 맬웨어 및 지속적 위협으로부터의 보호, 포괄적인 엔드포인트 장치 검사를 통해 애플리케이션 보안과 데이터 무결성을 보장합니다.

가용성 및 성능

BIG-IP 고급 로컬 트래픽 관리 서비스는 HTTP/TCP(예: HTTP 2.0, SPDY, UDP) 및 심층적인 애플리케이션 유창성을 넘어 광범위한 프로토콜을 지원합니다. 풀 프록시 아키텍처인 BIG-IP 플랫폼은 애플리케이션 트래픽에 대한 완벽한 가시성을 제공하고 이 과정에서 SSL 트래픽을 복호화하고 다시 암호화합니다. 또한 그룹 내 서버의 성능 수준을 동적으로 추적하고 심층적인 상태 모니터링 및 연결 상태 관리 기능을 제공합니다. BIG-IP 애플리케이션 전송 최적화 서비스는 애플리케이션 응답 시간을 가속화하고, 대기 시간과 지연을 최소화하고, 모바일 기기에서 웹 요청을 완료하는 데 필요한 데이터 왕복 횟수를 줄여줍니다.

BIG-IP DNS와 글로벌 서버 로드 밸런싱 서비스는 사용자를 가장 가까운 클라우드 데이터 센터로 안내하여 최고의 사용자 경험, 재해 복구, 장애 조치 정책을 제공합니다. 라우팅 결정에는 사용자 근접성, 지리적 위치, 네트워크 조건, 애플리케이션 가용성 등이 모두 고려됩니다. 이 플랫폼은 다양한 글로벌 로드 밸런싱 방법과 각 애플리케이션과 사용자에 맞는 지능형 모니터링을 채택합니다. F5는 또한 DNS DDoS 보호를 제공하고, 악성 IP 주소에 대한 액세스를 차단하며, DNSSEC로 응답을 보호합니다. 무엇보다도 DNS 쿼리와 상태 검사는 사용당 청구되지 않으므로 DNS DDoS 공격 중에 합법적인 쿼리와 불법적인 쿼리에 대해 모두 청구되는 높은 비용을 피할 수 있습니다.

애플리케이션 성능 요구 사항을 충족하는 확장성

애플리케이션 워크로드를 퍼블릭 클라우드 플랫폼으로 옮기는 주요 이점은 데이터 센터에 프로비저닝된 기본 용량을 넘어 애플리케이션을 확장할 수 있다는 것입니다. AWS 자동 확장을 사용하면 애플리케이션은 가용성을 유지하면서도 사전 정의된 임계값에 따라 Amazon EC2 용량을 자동으로 늘리거나 줄일 수 있습니다. BIG-IP 솔루션은 AWS Auto Scaling과 통합되어 동적으로 확장되는 BIG-IP 애플리케이션 및 보안 서비스를 지원합니다. BIG-IP VE는 기본적으로 풀 멤버의 추가나 제거를 처리하므로 대역 외 오케스트레이션이나 구성 관리가 필요 없습니다. BIG-IP LTM의 자동 확장(그림 1 참조) 외에도 F5는 BIG-IP LTM과 BIG-IP ASM을 모두 BIG-IP VE에 프로비저닝하여 자동 확장 애플리케이션 보안을 구현하는 솔루션을 출시했습니다.

그림 1 : Amazon EC2 인스턴스와 함께 F5 애플리케이션 및 보안 서비스를 자동으로 확장합니다.

단순화되고 자동화된 배포

AWS 클라우드 형성 템플릿(CFT)은 인프라(서버, 스토리지, 네트워킹, 컴퓨팅) 리소스의 배포를 자동화하는 스크립트화된 방법을 제공합니다. 이 솔루션은 AWS 내에서 동일한 BIG-IP 이미지와 구성을 여러 번 빠르게 배포하는 반복 가능한 방법을 제공하므로 귀중한 업무 시간을 보다 시급한 비즈니스 문제에 재분배할 수 있습니다. F5 엔지니어가 광범위하게 설계하고 테스트한 CFT는 BIG-IP VE의 배포 또는 구성과 관련된 모든 걱정을 없애고 F5 전문가의 확신을 가지고 F5 가상 어플라이언스를 프로비저닝할 수 있도록 보장합니다. 뿐만 아니라 Ansible, Chef, Puppet과 같은 타사 자동화 도구와의 원활한 통합 덕분에 이러한 CFT는 BIG-IP VE를 자동화하고 조율하는 프로세스를 간소화합니다. 모든 F5 CFT는 오픈 소스이며 GitHub에서 무료로 사용할 수 있으므로 F5 애호가들은 특정 비즈니스 요구 사항에 더 잘 맞게 템플릿을 변경할 수 있습니다.

또한 F5는 일부 CFT를 AWS Marketplace를 통해 직접 제공하여 AWS Marketplace와 더욱 긴밀하게 통합하여 더 빠르고 쉽게 구현할 수 있도록 했습니다. 예를 들어, 다양한 자동 확장 솔루션(BIG-IP LTM 자동 확장, WAF 자동 확장 등)을 마켓플레이스에서 선택하여 배포할 수 있으며, 1시간 이내에 프로덕션 환경에서 작동시킬 수 있으므로 F5 사용자가 이러한 복잡한 솔루션을 직접 구성할 필요가 없습니다. 즉, 며칠 또는 몇 주의 작업 시간을 절약할 수 있습니다.

DevCentral™ 커뮤니티 사이트는 BIG-IP VE 배포를 위한 서브넷, 네트워크 인터페이스, 라우팅 테이블과 같은 VPC 리소스의 구성 예를 제공합니다. 이러한 예제에서는 CloudInit 사용자 데이터 스크립트를 사용하여 특정 패키지 애플리케이션(Microsoft SharePoint, Exchange 등)과 사용자 지정 애플리케이션에 대한 BIG-IP iApps® 템플릿을 배포하는 방법도 보여줍니다. AWS CFT와 기능이 비슷한 F5 iApps는 각 애플리케이션에 필요한 특정 서비스를 빠르게 배포하는 데 도움이 되도록 만들어졌습니다. iApps는 또한 각 애플리케이션에 대한 트래픽 관리, 암호화, 방화벽, 성능 최적화와 같은 서비스의 구성 및 정책을 정의합니다.

연합된 공공 및 사설 배포

퍼블릭 클라우드 리소스를 기존의 프라이빗 데이터 센터와 통합함으로써, 조직은 기존 투자를 계속 활용하면서 우선순위가 지정된 일정에 따라 애플리케이션 워크로드를 전환할 수 있습니다. BIG-IP VE, F5 iApp 및 AWS CFT는 함께 작동하여 추가 애플리케이션 리소스를 빠르고 투명하게 배포할 수 있는 통합된 클라우드 구성을 만듭니다. 이 연합 클라우드 구성의 주요 장점으로는 애플리케이션 사용자의 원활한 리디렉션, 지리적 위치 및 가속 기술, AWS Direct Connect를 사용한 안전한 연결 등이 있습니다. 애플리케이션 리소스가 개인 데이터 센터에서 제공되든 퍼블릭 클라우드에서 제공되든 사용자 경험에는 영향이 없습니다. 개인 및 공공 클라우드 리소스의 투명하고 지속적인 사용은 수요, 프로젝트가 새롭거나 이미 진행 중인지 여부, 요청자의 구체적인 위치에 따라 달라질 수 있습니다.

F5® BIG-IQ® 중앙 관리 솔루션은 클라우드와 온프레미스 모두에서 F5 물리적 및 가상 디바이스에 대한 중앙 제어 지점을 제공합니다. BIG-IQ 중앙 관리 솔루션은 애플리케이션 관리를 간소화하고, 규정 준수를 보장하며, F5 장치와 서비스를 위치에 관계없이 일관되고 안전하게 관리할 수 있는 도구를 제공합니다. BIG-IQ Centralized Management는 F5 장치와 다음 F5 모듈에 대한 정책, 라이선스, SSL 인증서, 이미지 및 구성을 처리합니다.

BIG-IP® 로컬 트래픽 관리자™(LTM)
BIG-IP® 애플리케이션 보안 관리자™(ASM)
BIG-IP® 고급 방화벽 관리자™(AFM)
BIG-IP® 액세스 정책 관리자®(APM)
BIG-IP DNS(모니터링 전용)
F5 사기 방지 솔루션 WebSafe 및 MobileSafe용 대시보드

BIG-IQ Centralized Management는 물리적 또는 가상 어플라이언스로 사용할 수 있으며 AWS Marketplace에서 직접 실행할 수도 있습니다.

그림 2: F5 BIG-IQ 중앙 관리 서비스는 퍼블릭 및 프라이빗 클라우드 전반의 F5 장치와 서비스를 포괄합니다.

유연한 라이선싱 모델

BIG-IP Virtual Editions는 주로 Good-Better-Best 번들로 제공되며, 세 가지 구매 모델로 제공됩니다.

공공 서비스 요금 청구. 테스트 및 개발 사전 프로덕션 워크로드나 일시적인 클라우드 버스팅 및 확장성 사용 사례의 경우 F5는 유연성과 주문형, 후불 사용을 제공하는 시간당 유틸리티 라이선스를 제공합니다. 모든 공공 서비스 제공에는 프리미엄 지원 및 소프트웨어 업그레이드가 포함되어 있습니다.
자체 라이센스 사용(BYOL). 이 옵션은 기존 BIG-IP VE 라이선스가 프라이빗 데이터 센터에서 AWS로 직접 마이그레이션되는 하이브리드 클라우드 환경에 이상적입니다.
연간 구독. F5는 영구 VE 라이선스 외에도 연간 구독 BYOL VE 라이선스도 제공합니다. 지원되는 모든 하이브리드 클라우드 환경에서 사용할 수 있어 더욱 뛰어난 이동성과 유연성을 제공합니다. 연간 구독은 안정적인 트래픽이 있는 프로덕션 워크로드에 적합하며 AWS Marketplace에서 이용할 수 있습니다.
기업 라이선스 계약(ELA). 최대한의 유연성과 민첩성을 추구하는 대규모 기업 환경의 경우, ELA를 통해 3년 계약으로 여러 VE를 구매할 수 있으며, 프리미엄 지원 및 소프트웨어 업그레이드도 포함됩니다.

또한, BIG-IQ Centralized Management License Manager를 무료로 사용하면 모든 하이브리드 환경에서 BIG-IP 제품 라이선스를 관리할 수 있습니다.

결론

지난 몇 년 동안 퍼블릭 클라우드 서비스 도입이 기하급수적으로 늘어났으며, AWS는 이러한 서비스 분야에서 꾸준히 시장을 선도해 왔습니다. 많은 IT 스타트업과 규모가 더 크고 잘 알려진 대기업도 AWS 클라우드에 전적으로 서비스를 구축하여 상당한 성공을 거두었습니다. 기업이 애플리케이션을 클라우드로 마이그레이션할 계획을 세우면서, F5 BIG-IP 가상 에디션을 사용하여 F5 애플리케이션 제공 및 보안 서비스를 클라우드 애플리케이션 워크로드로 쉽게 이식할 수 있습니다. 이를 통해 기업 고객이 퍼블릭 클라우드에서 보안, 성능, 제어와 관련하여 갖고 있는 근본적인 우려 사항 중 많은 부분을 해결할 수 있습니다. AWS Marketplace에서 BIG-IP 솔루션에 대한 유연한 라이선스 모델을 제공함으로써 기업은 최소한의 재정적 노출로 AWS에서 애플리케이션을 계획, 준비, 배포하고 AWS 클라우드의 민첩성과 효율성의 이점을 누릴 수 있습니다.

¹ Amazon Cloud Essentials: 당신이 알아야 할 5가지 사실 (https://n2ws.com/blog/5-facts-amazon-cloud-essentials.html)
² AWS 대 Azure 대 Google 클라우드 시장 점유율 2017("https://www.skyhighnetworks.com/cloud-security-blog/microsoft-azure-closes-iaas-adoption-gap-with-amazon-aws/)