고객의 플랫폼/서비스를 개선한 국내 사례 살펴보기 – 장준성 AWS 솔루션즈 아키텍트, 강산아 NDREAM 팀장, 송영호 야놀자 매니저, 안성민 AWS 솔루션즈 아키텍트:: AWS Cloud Week - Industry Edition

© 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
고객의 플랫폼/서비스를 개선한
국내 사례 살펴보기
장준성
솔루션즈 아키텍트
AWS
강산아
팀장
NDREAM
송영호
매니저
야놀자
안성민
솔루션즈 아키텍트
AWS

Agenda
AWS Transit Gateway의 다양한 활용 사례
AWS Shield를 사용한 MMORPG 서비스 DDoS 방어
NDREAM & JOYCITY AWS Global Accelerator 적용기
AWS IoT를 활용해 야놀자 IoT 서비스 구축하기
AWS End User Computing으로 서비스 개선하기

AWS Transit Gateway 이전의 AWS 네트워크
AWS Cloud
Amazon
VPC
Amazon
VPC
Amazon
VPC
Amazon
VPC
VPN
Gateway
Direct
Connect
Gateway
Customer
Gateway
On-Premise

AWS Transit Gateway를 사용한 AWS 네트워크
AWS Cloud
Amazon
VPC
Amazon
VPC
Amazon
VPC
Amazon
VPC
VPN
Gateway
Direct
Connect
Gateway
Customer
Gateway
On-Premise
AWS
Transit
Gateway

참조용 아키텍처
Internet
Development Testing Production
Outbound
URL filtering
NAT gateway
DLP / Proxy
Edge services
WAF / ADC
SD-WAN
VPN / Firewall
IDS / IPS
Firewall / NGFW
Inline services
공용 서비스
인증, 모니터링
VPN
AWS Direct
Connect
Route
tables
Route
tables
Transit Gateway

고객 사례 : Autodesk
• On-Prem 방화벽 어플라이언스
• VPC 연결 제한
• Direct Connect 에 의존
• VPC 간 트래픽 지연
• VPC 피어링 제한
• 공유 서비스 VPC 의 연결 제한
• Transit VPC 의 관리 복잡도 우려
고민 거리
On-
Premise
Hardware
Firewall
Appliance
AWS Direct
Connect
Direct
Connect
Gateway
AWS Cloud
Amazon
VPC
Amazon
VPC
Amazon
VPC
Amazon
VPC

고객 사례 : Autodesk
AWS Transit Gateway 사용한 해결책
Amazon
VPC
Amazon
VPC
Amazon
VPC
Amazon
VPC
Direct
Connect
Gateway
AWS Cloud
On-Premise
Hardware
Firewall
Appliance
AWS Transit
Gateway
PROD
VPC
Virtual
Firewall
Appliance
Availability Zone 1
Virtual
Firewall
Appliance
Availability Zone 2
AWS Transit
Gateway
DEV, STAGE
AWS Direct
Connect
Secure Transit Account
Legacy AWS Cloud
AWS Direct
Connect
Amazon
VPC
Amazon
VPC
Amazon
VPC
https://aws.amazon.com/blogs/networking-and-content-delivery/autodesk-cloud-network-journey-aws-transit-gateway/

AWS Transit Gateway 팁
• CIDR 블록 겹치지 않기
• Private ASN 겹치지 않기
• Routing 정보 요약하기
• 독립적인 라우팅 테스트 개발 환경 활용하기
• 생성 전에 미리 계획하기
▪ ECMP 활성화
▪ 공유 연결 자동 승인 활성화
▪ 기본 라우팅 테이블 비활성화
• Transit Gateway 연결 전용 Subnet 을 구성하기

DDoS 트렌드
From AWS Shield Threat Landscape Report
지표
작년 동일 분기
(Q1 2019)
최근 분기
(Q1 2020)
변화량
이벤트 발생 횟수 253,231 310,954 +23%
최대 bit rate (Tbps) 0.8 2.3 +188%
최대 packet rate
(Mpps)
260.1 293.1 +13%
최대 request rate
(rps)
1,000,414 694,201 -31%
높은 위협 발생 일 1 3 +200%
https://aws-shield-tlr.s3.amazonaws.com/2020-Q1_AWS_Shield_TLR.pdf

게임사 대상의 DDoS 트렌드
• DDoS 에 취약
▪ 단일 실패 지점 (Single Point of Failure)
▪ 공격 규모 가시성
▪ 커뮤니티를 통한 악명 획득
▪ 다양한 공격 지점
• 공격 회수로 두 번째 업계

AWS Shield : 관리형 DDoS 보호 서비스
AWS Shield
Advanced
AWS Shield
Standard
애플리케이션의 아키텍처 변경이
필요없는 손쉬운 설정
다양한 DDoS 공격 벡터에 대한 전방위적 보호
실시간에 가까운 이벤트 가시화
공격에 따른 비용 보호

AWS Shield Standard 와 Shield Advanced 의 기능
AWS Shield
Advanced
AWS Shield
Standard
다양한 DDoS 공격 벡터에 대한 전방위적 보호
리소스에 따른
보호
콘솔 마법사

AWS Shield
Advanced
AWS Shield
Standard
리소스에 따른
보호
콘솔 마법사
공격 감지 및 완화
고객
애플리케이션
전용의 빠른 완화
24x7 Shield
대응팀 (SRT) 활용

AWS Shield
Advanced
AWS Shield
Standard
리소스에 따른
보호
콘솔 마법사
고객
애플리케이션
24x7 Shield
CloudWatch
지표
공격 분석
글로벌 공격
정보 대시보드
분기별 보안
리포트

AWS Shield
Advanced
AWS Shield
Standard
리소스에 따른
보호
콘솔 마법사
고객
애플리케이션
24x7 Shield
CloudWatch
지표
공격 분석
글로벌 공격
정보 대시보드
분기별 보안
리포트
추가 비용 없이
AWS WAF 사용
보호 리소스에 한해
추가 비용 없이
AWS Firewall
Manager 사용
방어용 규모
확장에 대한 비용
보호

AWS Shield 보호 리소스
Elastic Load Balancing
Amazon
Route 53
Amazon
CloudFront
Elastic IP Address AWS Global
Accelerator

일반적인MMORPG
• EC2 인스턴스에 EIP 붙여
클라이언트가 직접 TCP 연결
• TCP 연결을 맺은 상태로 게임
전용의 프로토콜 기반으로 통신
• 상태 유지형 애플리케이션으로
동적 규모 확장 불가
VPC
Private subnet
Public subnet
Login ServerGame Server
Game DB Login DB
Client

DDoS Attack!
• EC2 인스턴스의 네트워크, 패킷,
CPU 지표 급등
• 사용자 접속 끊기고 서버 프로세스
비정상 종료
• 고객 담당 파트너, AM, SA에게
지원 요청
• 높은 심각도의 서포트 케이스 개설

DDoS 방어 진행 과정
1. AWS Shield Advanced 가입
2. EIP 를 보호 리소스로 등록
3. Shield Advanced 의 공격 감지 및 기본 완화 발동
4. VPC 흐름 로그를 활성화하여 공격 패턴 및 공격자 정보 확보
5. DDoS 대응 팀과 대응을 위한 Chime 채널 생성
6. Network ACL 적용 검토
7. EIP대신 AWS Global Accelerator 로 서비스 엔드포인트 변경
8. IP 변경으로 인한 클라이언트 패치
9. Global Accelerator대상으로 전용 완화 정책 적용

파악된 공격 벡터
• SYN Flood
• RST Flood
• NetBIOS reflection
• UDP Fragment
• NTP Reflection
• …

적용한 전용 완화 규칙
• Geo-IP 기반 해외 트래픽 블록
• TCP Flag별 Rate-limit 적용

DDoS 대응팀에 제공할 정보
• 애플리케이션의 배경 정보
• 애플리케이션의 증상
• 파악된 공격 종류 및 공격 패턴 (bps, pps, rps)
• 공격 받고 있는 리소스
• 공격 대상이 되는 리소스
• 애플리케이션에 특화된 공격 패턴 파악용 정보

현재 상황
• 게임 서비스는 Global
Accelerator 로 엔드포인트 노출
• CloudWatch를 사용한 지표 이상
모니터링
• DRT Engagement Lambda를
사용하여 빠른 DRT 대응 구성
• 특정 이벤트 발생 시 선제적으로
전용 완화 규칙 적용
VPC
Private subnet
Public subnet
Login ServerGame Server
Game DB Login DB
Client
Global
Accelerator
Global
Accelerator
Amazon
CloudWatch
AWS
Lambda
DRT
Region

Agenda
소개
AWS Global Accelerator 검토 과정
AWS Global Accelerator의 장점
AWS Global Accelerator 적용 효과
마치며

Who we are
• NDREAM 글로벌 전략 게임(SLG) 전문 개발사 (2015~ )
• JOYCITY 글로벌 멀티플랫폼 게임 개발 및 퍼블리셔 (1994~ )

whoami
• NDREAM 플랫폼
▪ 사내/외 인프라, 보안, 데이터 엔지니어링
▪ 조이시티와 긴밀하게 협업
• 인프라’도’ 하는 데이터 엔지니어 (팀장이라는 이름의 잡부)

• 자사 아키텍처와 게임성
• 서비스 대상 지역
• 비용
글로벌 서비스를 위한 여정…

• Network Latency에 은근 민감하다
자사 아키텍처와 게임성

▪ 처음엔 분명 장르 때문에 느슨해도 된다고…
▪ 현실은 초 단위로 박터지는 게임성.
▪ 유저간 대규모 전투에 쏟아지는 패킷들

• 우리 게임은 완벽한 Monolithic 아키텍처

• 우리 게임은 완벽한 Monolithic 아키텍처
▪ 전략 게임은 한편으로는 부동산 게임 (640*640 or 1024*1024의 한정된 공간)
▪ 잘 만든 Monolithic 열 MicroService 안 부럽다.
– 나름 계속 진화 중이라 아직 힘낼 만 해요… ㅡㅜ

• 전투… 그리고 또 전투.
서비스 대상 지역

▪ 분쟁을 일으켜야 하는 게임성
– 분쟁 = 돈
– 여러 국가와 민족을 한데 모아 싸우게 해야 매출이 상승

▪ 분쟁을 일으켜야 하는 게임성
– 분쟁 = 돈
– 여러 국가와 민족을 한데 모아 싸우게 해야 매출이 상승
• 서버가 한 곳에 모여 있는 것이 여러모로 유리한 게임성과 구조
▪ 게임 서버와 DB 등은 단일 Region에 배치
▪ Last mile 히트맵 관리와 리전간 Latency 테스트도 직접 해왔음

서비스 대상 지역 – AWS Latency Monitoring https://www.cloudping.co/grid/latency/timeframe/1D

• 2018년 12월 AWS re:Invent에서 발표
• Anycast IP 방식의 가속기 (AWS Edge Location 사용)
• 매우 간단한 To ELB, To EC2 구성
• 저렴

• 다양한 Endpoint 지원
▪ ALB, NLB, EC2, Elastic IP

• 저렴한 비용
▪ 월 고정 요금: $18
▪ Data Transfer 요금
– In/outbound 트래픽 중 비중이 큰 트래픽으로 비용 발생
• 월 10,000GB 트래픽의 60%가 Outbound인 경우 6,000GB에 대한 요금만 발생
• 지역별로 조금 씩 다르지만, 매우 저렴

• 타사 서비스와 비교
• Case A = 주소당 비용 + 커스텀 포트당 비용 + 트래픽당 비용
• Case B = 주소당 비용 + 커스텀 포트 불가 + 트래픽당 비용

• 타사 서비스와 비교
• Case A = 주소당 비용 + 커스텀 포트당 비용 + 트래픽당 비용
• Case B = 주소당 비용 + 커스텀 포트 불가 + 트래픽당 비용
타사 대비 최대 약 5배
저렴한 상황
*조건에 따라 다를 수 있음
Global Accelerator A Case B Case
Cost Comparison

이전 구성

현재 구성

빠르고 안정적인 네트워크
서울 to Oregon EC2 비교
(213byte 데이터 전송10회 실행)
Global Accelerator 미사용= 평균 159.5ms,
홉 30
Global Accelerator 사용 = 평균 130.8ms,
홉 15

빠르고 안정적인 네트워크
서울 to Oregon EC2 비교
(213byte 데이터 전송10회 실행)
Global Accelerator 미사용= 평균 159.5ms,
홉 30
Global Accelerator 사용 = 평균 130.8ms,
홉 15
라이브 서비스 A/B 테스트 결과
게임 서버와 3초 이상 지연 발생 빈도(per User)
Global Accelerator 미사용 = 평균 5.7회,
최대 14.6회
Global Accelerator 사용 = 평균 2.1회,
최대 5.9회

0
2
4
6
8
10
12
14
16
A B C D E F Z H I J K L
Average Network Error Rate by Region
With Global
Accelerator
Without Global
Accelerator
일부 지역에서
최대 9배 개선 효과!

0
2
4
6
8
10
12
14
16
A B C D E F Z H I J K L
Average Network Error Rate by Region
With Global
Accelerator
Without Global
Accelerator
일부 지역에서
최대 9배 개선 효과!
일부 지역에선 가속기 특성상 Abnormal Routing 발생…

Migrate Classic LB to Application LB
• 콘솔의 마이그레이션 마법사 사용 혹은 수동으로
▪ 대상 그룹에 누락된 인스턴스가 있는지 꼭 확인
• DNS TTL = 60초
• 테스트를 꼼꼼히 합시다!
• https://docs.aws.amazon.com/ko_kr/elasticloadbalancing/latest/usergui
de/migrate-classic-load-balancer.html

Next Step…
• AWS 환경의 모든 글로벌 서비스에 AWS Global Accelerator 의무 도입
• Classic Load Balancer 전부 Application Load Balancer로 교체

마치며
• 매우 쉽고 간편하게
• 다양한 Endpoint를 구성할 수 있는
• 저렴한 비용의
• 성공적인 글로벌 서비스를 위한 필수 기능

Agenda
IoT for Yanolja
AWS IoT 활용하기
Yanolja IoT Solution
구축 사례

IoT for Yanolja
• Online 가격 비교 / 예약 경험은 과거와 비교할 수 없음
▪ 전자 상거래 / OTA(Online Travel Agency)의 발달
• Hotel에서의 경험은 얼마나 개선 되었나요?
Domain Background
• PMS: Property Management System
• RMS: Room Management System

IoT for Yanolja
• Connected
• Seamless
• Consistent User Experience
Domain Background

IoT for Yanolja
• 사용자의 개입이 없습니다.
▪ 인증 / 보안
• 문제가 생길 때 마다 현장에 출동 한다면?
▪ 원격 모니터링
▪ 원격 업데이트
▪ 원격 지원
• Offline 특성
▪ Mass Product
▪ Hardware Fault
▪ Internet loss
IoT Product Requirement

• 인증 / 보안
▪ X.509 Certification
▪ Policy Like IAM
• 원격 모니터링
▪ Connectivity Event
▪ Dynamic Group
• 원격 지원
▪ Over The Air Update
▪ Secure Tunneling
AWS에 '재료’는 다 준비되어 있습니다.

{
...,
"Action": [ "iot:Connect" ],
"Resource": ["arn...:client/${iot.Connection.Thing.ThingName}"]
},
{
...,
"Action": [ "iot:Subscribe" ],
"Resource": [ "arn...:topicfilter/my_sub_topic"],
"Condition": {
"StringEquals": {
"iot:Connection.Thing.Attributes[my_control_attr]": ["true"]
}
}
Mass Product를 고려한 인증 / 보안

• 실시간 Log를 통한 확인
▪ Basic Ingest / Kinesis Data Firehose
Action 활용
▪ Message Broker를 활용하지 않아
비용부담 없음
• Metric을 이용한 감시
▪ CloudWatch Metric 활용
• Fleet Indexing / Dynamic thing
Group
▪ 특정 상태의 Device를 하나의 그룹으로
감시
원격 모니터링

• Secure Tunneling
▪ AWS IoT에 논리적 경로(Tunnel) 생성
▪ IoT 구간을 이용하여 Device에 Agent 구동
▪ Agent는 443 Port를 이용하여 Tunnel에
연결
▪ User는 Tunnel을 통해, 연결된 Device에
SSH Session 연결하여 활용
▪ 최소한의 노력으로 보안 통신 가능
원격 지원
• https://github.com/aws-samples/iot-secure-tunneling-
demo/blob/master/docs/test.md

• Device 관리 고민으로 서비스 집중 어려움
• Yanolja에 IoT 적용이 필요한 다양한 서비스들
▪ 중복 구현 / IoT 이해도에 따른 품질 차이
▪ AWS IoT의 높은 자유도
• IoT Solution이 필요했습니다.
지금까지 한 고민이 무엇에 관한 것이었나요?
서비스
요구사항
디바이스 관리
Offline 고려사항

• Common Rule Engine
▪ Device 관리
▪ 인증 / 활성화
▪ 로깅
• Service Rule Engine
▪ Custom Action
• Reserved Rule Engine
▪ Event 처리
• IoT Mng. Server
▪ 공용 관리체계 제공
Yanolja IoT Management Platform

구축 사례
• Y Flux RMS (Room Management System)
• Guest Portal (Y Flux Application)

Wrap Up
• Tip
▪ Pub / Sub VS Req / Resp
▪ IoT Device != Low End Device
▪ Follow Up
– AWS IoT Greenglass
– Secure Tunneling
– Named Shadow
기능은 충분합니다. 어떻게 활용할지가 관건입니다.

Agenda
• 비즈니스 및 IT를 위한 리모트 접속의 트랜드
• Amazon WorkSpaces를 도입한 국내 고객 사례
• Amazon AppStream2.0를 도입한 국내 고객 사례
• Amazon AppStream2.0 Demo with AWS SSO

비즈니스 및 IT를 위한 리모트 접속의 트랜드
필수가 되어버린 재택근무
• 클라우드 기반의 원격근무 솔루션 생태계를 주도
• 코로나 사태의 장기화로 원격근무 및 비대면 시장 성장
• 기업 역시 원격근무와 유연근무를 포함한 스마트워크제를 적극 도입
• 초기 비용 없이 사용량에 따라 일정한 비용을 지불하는 모델로 전환
• 원격근무 솔루션의 보안 기능 및 인증 강화
• 클라우드 컴퓨팅 도입을 통하여 비용 절감과 함께 민첩성 강화
…
클라우드 기반의
재택근무 환경 지원
주요 특성
코로나 사태의 장기화
원격근무 솔루션
보안성 유지
민첩성 강화
“
“
Connect
amazon
Client VPN
AWS

Amazon WorkSpaces for Contact Center
사용자 생산성 유지
보안, 컴플라이언스 및
제어
신속한 구현, 변화하는
리소스로 확장
에이전트 환경 최적화
언제 어디서나 모든
장치에서 리소스 액세스
사용한 만큼 비용 부담

Amazon WorkSpaces 를 도입한 국내 고객 사례
클라우드 기반의 VDI를 이용한 재택근무 콜센터
고객 경험
혁신
비용 /
관리의
효율화
1 코로나 사태의 장기화로 콜센터의 원격근무 요구
Thin Client를 기반으로 한 클라이언트 보안성 유지
CRM을 비롯한 고객 대응 어플리케이션을 안전하게 접속
안정적인 보이스 기반의 콜센터 기능을 구현
AWS 서비스 특성 / 활용
사무실 임대 비용의 TCO 관점 비용 절감
고객 대응 플랫폼 (컨택센터) 유지/관리/확장의 용이성
코로나 사태에도 업무의 중단없이 비지니스 제공
2
3
4
5
6
7
B 원격근무 솔루션
▪ 시간당 과금 혹은 월과금 형태
▪ 업무에 기준한 Instance 타입
변경 가능
▪ 사용자별 디바이스에 따라
적절한 선택
A 100% 클라우드 솔루션
보안성과 성능C
클라우드 관리형 서비스
TCO 절감형 과금 체계
D
E

Amazon WorkSpaces 접속 환경 예시
Private subnet
AWS Cloud
Amazon
WorkSpaces
VPC
Private subnet
Direct Connect
콜센터 에이전트 @ Home
Applications
Active Directory
MFA (Optional)
Corporate Data Center
음성 콜
CRM
선택적
Internet 연결
• WorkSpaces 환경을 통한 음성 미디어 및 호출/제어 신호 전달
• WorkSpaces 를 통해 CRM 환경 접속
• Thin Client에 설치된 WorkSpaces Client를 이용해서 접속
• Thin 클라이언트는 로컬 브라우저에 액세스 불가능
Applications
Applications
CRM을 비롯한 고객 대응
어플리케이션을 안전하게 접속
기존 on-prem에 위치한
Active Directory와 연결

UsersCo-located Compute, Graphics, Apps, Data
애플리케이션 및 데스크톱 스트리밍을 완벽하게 관리

Amazon AppStream2.0 을 도입한 국내 대표 고객 사례
클라우드 컴퓨팅을 통한 리모트 접속
• 고객 관련 데이터 접속하는 IT 어드민과 개발자를 대상으로 가상환경 제공
• 자사 개발자들에게 아마존 개발 환경을 접속을 위한 Bastion Host 제공
• HTML5 기반의 브라우저 접속으로 클라이언트의 설치 없이 편리하게 접속
• 클라우드 컴퓨팅 도입으로 비용 절감과 함께 사용자 증가에도 유연하게 대처
• 외주 직원에 대한에 대한 보안 요구사항과 활용 범위가 지속 증대
• Non-Persistence 기반의 VDI 가상환경으로 사용자 관리의 용이성
…
리모트 접속 환경 지원
주요 사례
개발자를 위한 아마존
환경 접근
국내 법규 준수
(ISMS 인증)
어플리케이션
가상환경 제공
“
“
• SAML/SSO 지원으로 간편한 인증 절차
• 클라우드 컴퓨팅 도입을 통하여 비용 절감과 함께 민첩성 강화

Amazon AppStream2.0 서비스 플로우
Image BuilderImage Registry
이미지
(Private)
Fleet
스트리밍
인스턴스
스트리밍
인스턴스
스트리밍
인스턴스
Stack
사용자 액세스
설정
스토리지 설정
사용자
사용자
사용자
어드민
인터넷 /
VPC 엔드포인트
스트리밍 인스턴스
• Always-On: 인스턴스가 항상 실행 중
• On-Demand: 인스턴스는 사용자가 응용프로그램을
스트리밍할 때만 실행된다. 1~2분 동안 연결 대기 시간
• 사용자별 홈 폴더 제공
• 어플리케이션 Persistence
Application Image ManagementApplication/Desktop Streaming
S3

감사합니다

고객의 플랫폼/서비스를 개선한 국내 사례 살펴보기 – 장준성 AWS 솔루션즈 아키텍트, 강산아 NDREAM 팀장, 송영호 야놀자 매니저, 안성민 AWS 솔루션즈 아키텍트:: AWS Cloud Week - Industry Edition

More Related Content

What's hot

Similar to 고객의 플랫폼/서비스를 개선한 국내 사례 살펴보기 – 장준성 AWS 솔루션즈 아키텍트, 강산아 NDREAM 팀장, 송영호 야놀자 매니저, 안성민 AWS 솔루션즈 아키텍트:: AWS Cloud Week - Industry Edition

More from Amazon Web Services Korea

고객의 플랫폼/서비스를 개선한 국내 사례 살펴보기 – 장준성 AWS 솔루션즈 아키텍트, 강산아 NDREAM 팀장, 송영호 야놀자 매니저, 안성민 AWS 솔루션즈 아키텍트:: AWS Cloud Week - Industry Edition