[AWS] ELB

https://jeidiiy.notion.site/ELB-b4c839c9b9384e759f39500dde05fd43?pvs=4

ELB

💡노션에 최적화된 글입니다. 위 링크를 통해 접근할 수 있습니다.

ELB

• Elastic Load Balancer

목차

1. 로드 밸런서란?
2. ELB란?
3. 종류
4. Sticky Session
5. Cross Zone Load Balancing
6. SSL in AWS Load Balancer
7. Connection Draining

---

1. 로드 밸런서란?

• 트래픽을 백엔드 또는 다운스트림 EC2 인스턴스 또는 서버들로 전달하는 역할을 하는 서버 또는 서버의 집합

로드 밸런서를 사용하는 이유

1. 단일 액세스(DNS)만 노출
2. 다수의 다운스트림 인스턴스로 분산시켜 부하 감소 및 장애 처리 원활
3. 쿠키로 고정도 강화
4. 고가용성
5. 클라우드 내에서 private 트래픽과 public 트래픽 분리 가능

2. ELB란?

• AWS에서 제공하는 관리형 로드 밸런서
• AWS가 관리하며 어떠한 경우에도 작동 보장
  • 업데이트, 유지 관리 및 고갸용성
  • 커스텀 기능 제공

사용해야 하는 이유

1. 로드 밸런서를 자체 구축 및 운용하는 비용보다 저렴
2. 직접 관리 시 확장성 측면에서 번거로움
3. 다수의 AWS 서비스들과 통합되어 있음

상태 확인 (health check)

• ELB는 EC2 인스턴스가 제대로 동작하는지 확인할 필요가 있음
• 상태 확인은 포트와 라우트에서 이루어짐
• 백엔드 서버에서 protocol:HTTP, port:4567, endpoint:/health 와 같은 API를 오픈해놓으면 로드 밸런서 서버에서 이 API로 요청하여 응답 코드에 따라 백엔드 서버의 상태 확인 가능

3. 종류

1. ALB
2. NLB
3. GWLB

1. ALB (Application Load Balancer, v2 - new generation) - 2016

특징

• HTTP, HTTPS, WebSocket 지원
• 머신 간 다수 HTTP 애플리케이션의 라우팅에 사용
  • 이러한 머신들은 타겟 그룹(target group)으로 묶임
• 하나의 머신에 여러 애플리케이션에 부하 분산 시 사용
  • 컨테이너, ECS
• 리다이렉트 지원
  • HTTP로 접근하는 경우 HTTPS로 리다이렉트
• 타겟 그룹에 따른 경로 기반 라우팅 가능
  • URL 경로 기반 (example.com/users & example.com/posts)
  • URL 호스트네임 기반 (one.example.com & two.example.com)
  • 쿼리스트링, 헤더 기반 (example.com/users?id=1&order=false)
• 마이크로서비스, 컨테이너 기반 애플리케이션에 가장 적합한 로드 밸런서
  • 포트 매핑 기능이 있어 ECS 인스턴스의 동적 포트로 리다이렉션 가능

보안 그룹

• 보안 그룹 설정을 통해 모든 외부 통신은 로드 밸런서와 하고 로드 밸런서와 다운스트림 EC2 인스턴스는 서로 간에만 통신하여 보안성을 향상시킬 수 있음

1. 모든 기기로부터 HTTP, HTTPS에 대한 요청을 받음
2. 로드 밸런서에서 다운스트림 EC2 인스턴스에 HTTP를 통해 요청 전송
3. 다운스트림 EC2 인스턴스는 로드밸런서에게 HTTP를 통해 응답 전송
4. 로드 밸런서는 요청한 기기에게 HTTP 응답 전송

💡 다운스트림 EC2 인스턴스는 로드 밸런서와만 통신한다. 모든 최초 요청은 로드 밸런서에서 처리한다.

타겟 그룹 유형

• EC2 인스턴스
• ECS 태스크
• 람다
• IP 주소 - 반드시 사설 주소

💡 ALB는 여러 타겟 그룹으로 라우팅 가능

2. NLB (Network Load Balancer, v2 - new generation) - 2017

특징

• TCP, TLS, UDP 지원
• 초당 수백만 요청 처리 가능 → 고성능
• 100ms의 지연 시간(ALB는 400ms)
• 가용 영역 별로 하나의 고정 IP를 가짐
  • 탄력적 IP 주소를 각 가용 영역에 할당 가능
  • 여러 개의 고정 IP를 가진 애플리케이션 노출 시 유용
• 프리 티어 미제공

💡 1~3개의 IP로만 접근할 수 있는 애플리케이션을 만들라는 문제가 나오면 NLB 옵션을 고려하자. 또한 고성능, TCP, UDP, 정적 IP가 나오면 NLB를 떠올리자.

동작 원리

• 타겟 그룹을 생성하면 NLB가 타겟 그룹으로 리다이렉트
• 백엔드, 프론트엔드 모두 TCP를 사용하거나 백엔드는 TCP, 프론트엔드는 HTTP를 사용할 수도 있음

타겟 그룹 유형

• EC2 인스턴스
• IP 주소 - 반드시 사설 주소
  • EC2 인스턴스 뿐만 아니라 자체 데이터센터를 사용할 수도 있기 때문
  • 둘 다 같은 NLB를 앞에 사용할 수 있음
• ALB
  • ALB 앞에 NLB를 사용할 수 있음
    • NLB를 통해 고정 IP 주소를 얻을 수 있음
    • ALB로 HTTP 유형의 트래픽 처리

타겟 그룹이 수행하는 상태 확인

• TCP, HTTP, HTTPS 지원
• 위 프로토콜을 활용해 타겟 그룹에 대한 상태 확인 가능

3. GWLB (Gateway Load Balancer) - 2020

특징

• AWS의 서드 파티 네트워크 가상 애플리케이션의 플릿(fleet)을 배포, 확장 및 관리할 수 있는 로드 밸런서
• 방화벽, 침입 탐지 및 예방 시스템, 패킷 검사 시스템, 페이로드 조작 등의 작업이 필요한 경우 적합
• 3계층(IP)에서 동작
• 두 가지 기능이 결합되어 있음
  • Transparent Network Gateway
    • VPC의 모든 트래픽이 GWLB 하나의 입구(entry)와 출구(exit)를 통과
  • Load Balancer
    • 타겟 그룹의 가상 어플라이언스 집합에 트래픽을 확산
• GENEVE 프로토콜에서 6081 포트를 사용

동작 원리

1. GWLB가 생성되면 VPC에서 라우팅 테이블이 업데이트됨
2. 모든 사용자 트래픽은 GWLB를 통과
3. GWLB는 가상 어플라이언스의 타겟 그룹 전판으로 트래픽 확산
4. 모든 트래픽은 어플라이언스에 도달하고 각 어플라이언스는 트래픽 분석 및 처리
   • 방화벽, 침입 탐지 등
5. 이상이 없으면 다시 GWLB로 전송, 이상이 있으면 트래픽 드랍

타겟 그룹 유형

• EC2 인스턴스
• 자체 데이터센터

4. Sticky Session (Session Affinity)

• 같은 클라이언트는 항상 같은 인스턴스로 리다이렉트하도록 고정하는 기능
• 쿠키 기반 동작
• 쿠키가 만료되면 다른 EC2 인스턴스로 리다이렉트됨
• 세션 데이터를 잃지 않아야 하는 경우 사용
  • 로그인

💡 고정성을 활성화하면 백엔드 EC2 인스턴스 부하에 불균형을 초래할 수 있다.

쿠키 유형

애플리케이션 기반 쿠키

• 타겟 기반으로 생성되는 쿠키
• 애플리케이션에서 생성됨
• 애플리케이션에 필요한 모든 사용자 정의 속성 포함 가능
• 쿠키 이름은 각 타겟 그룹 별로 개별적으로 지정해야 함

⚠️ AWSALB, AWSALBAPP, AWSALBTG 와 같은 이름은 이미 ELB에서 사용 중이기 때문에 사용하면 안 된다.

기간 기반 쿠키

• 로드 밸런서에서 생성되는 쿠키
• ALB에서는 AWSALB, CLB에서는 AWSELB의 이름을 가짐
• 특정 기간을 기반으로 만료되며 그 기간은 로드 밸런서에서 지정

💡 애플리케이션 기반 쿠키는 애플리케이션에서 기간을 지정할 수 있다.

5. Cross Zone Load Balancing

• 여러 로드 밸런서 인스턴스가 모든 가용 영역에 등록된 모든 인스턴스에 부하를 고르게 분배하는 기능

시나리오

활성화 시

• 두 가용 영역에 등록된 인스턴스가 10개이므로 각 인스턴스는 모두 10%씩의 트래픽 처리

비활성화 시

• 두 가용 영역의 로드 밸런서에 각각 50%씩 트래픽 분산
• 가용 영역 1에는 2개의 인스턴스가 있으므로 각 인스턴스는 25%씩 처리
• 가용 영역 2에는 8개의 인스턴스가 있으므로 각 인스턴스는 6.25%씩 처리

💡 상황에 맞게 사용하면 된다.

로드 밸런서 별 차이

ALB

• 기본적으로 활성화 (타겟 그룹 레벨에서 비활성화 가능)
• 가용 영역 데이터 이전 시 비용 X

NLB, GWLB

• 기본적으로 비활성화
• 활성화했다면 가용 영역 데이터 이전 시 비용 O

6. SSL in AWS Load Balancer

흐름

• 외부와는 HTTPS 기반으로 Load Balancer와 통신하고 내부에선 HTTP로 통신

SSL 인증

CLB

• 단 하나의 SSL 인증만을 지원
• 여러 개의 SSL 인증을 처리하려면 그만큼의 CLB를 사용해야 함

ALB, NLB

• 여러 개의 SSL 인증 처리 가능
• SNI 사용 가능

💡 AWS에서 인증서 관리 서비스는 ACM(AWS Certificate Manager)에서 관리한다.

7. Connection Draining

• 인스턴스가 등록 취소 또는 비정상적인 상태에 있을 때 인스턴스에 어느 정도 시간을 주어 인플라이트 요청, 즉 현재 활성화된 요청을 완료할 수 있도록 하는 기능
• 연결, 즉 인스턴스가 드레이닝되면 ELB는 해당 인스턴스로는 새로운 요청을 보내지 않음
• 드레이닝 상태의 인스턴스는 현재 활성화된 요청을 처리하는 일정 시간을 가짐
• 시간 - 1~3600 초로 지정 가능. 기본적으로 300초(5분)
  • 0으로 설정 시 기능 비활성화

네이밍

• Connection Draining - for CLB
• Deregistration Delay - for ALB & NLB