본문 바로가기
AWS

[3편] AWS로 나만의 고가용성 보안 NAS 구축기 (EC2 서버 & 보안 그룹 설정)

by ImirAin 2025. 10. 13.

안녕하세요! 지난 2편에서는 우리가 만들 NAS 시스템의 튼튼한 뼈대가 되어줄 VPC와 네트워크 인프라를 완성했습니다.

이번 편에서는 그 뼈대 위에 실제 '자원'들을 올리는 과정을 다뤄보려 합니다. 구체적으로는 서버(EC2)를 생성하고, 각 서버의 출입문을 통제하는 보안 그룹(Security Group)을 설정하며, 모든 서버가 함께 사용할 공유 스토리지(EFS)를 준비할 것입니다.

이번 단계의 목표는 나중에 만들 자동화 시스템을 조립하기 위한 모든 '부품'을 완벽하게 준비하는 것입니다.

1단계: 보안 그룹(Security Group) 생성 - 디지털 경비원 배치하기

서버를 만들기 전에, 각 서버의 역할에 맞는 가상 방화벽, 즉 보안 그룹부터 설정하는 것이 좋습니다. 저는 '최소 권한의 원칙'에 따라 꼭 필요한 통신만 허용하도록 총 3개의 보안 그룹을 생성했습니다.

  • nas-bastion-sg (Bastion Host용): 오직 제 IP 주소에서만 SSH(22번 포트)로 접속할 수 있도록 설정했습니다.

  • nas-alb-sg (로드밸런서용): 외부 인터넷에서 들어오는 모든 웹 트래픽(HTTP/80, HTTPS/443)을 허용합니다.

  • nas-server-sg (NAS 서버용): 오직 ALB와 Bastion Host, 그리고 자기 자신(EFS 연결용)으로부터의 통신만 허용하여 철저하게 격리했습니다.

ALB와 Bastion host 그룹만 연결한 상태로 생성을 합니다.
EC2 인스턴스와 EFS 연결 지점(마운트 타겟)이 서로 통신할 수 있도록 허용 하기 위해서 nas-server-sg 그룹을 참조하도록 설정합니다.

 

2단계: 키 페어(Key Pair) 생성 - 서버 열쇠 만들기

EC2 인스턴스에 안전하게 접속하기 위한 암호화 키 페어를 생성합니다. 이 프라이빗 키(.pem 파일)는 서버에 접근할 수 있는 유일한 열쇠이므로, 유출되지 않도록 안전하게 관리해야 합니다.

3단계: Bastion Host 인스턴스 시작 - 외부 접점 서버 구축

Bastion Host는 외부 인터넷에서 내부 네트워크로 접근하기 위한 유일한 '관문' 역할을 하는 서버입니다. 따라서 반드시 Public Subnet에 배치하고, 외부에서 찾아올 수 있는 퍼블릭 IP를 활성화해야 합니다.

4단계: 시작 템플릿(Launch Template) 생성 - NAS 서버 설계도 만들기

서브넷과 가용 영역을 지정하지 않습니다.

나중에 Auto Scaling Group이 사용할 NAS 서버의 '설계도' 역할을 하는 시작 템플릿을 만듭니다. 여기서 중요한 점은 서브넷을 지정하지 않는 것입니다. 서버의 '설계'와 '배치 위치'를 분리하여, 나중에 Auto Scaling Group이 이 설계도를 가지고 여러 다른 가용 영역의 Private Subnet에 유연하게 서버를 배치할 수 있도록 하기 위함입니다.

왜 시작 템플릿을 사용할까요? 나중에 Auto Scaling Group이 서버를 자동으로 생성할 때, 이 시작 템플릿이라는 '설계도' 를 사용합니다. 이렇게 설계와 생성을 분리하면, 똑같은 품질의 서버를 여러 대 찍어내거나 관리하기가 매우 용이해집니다.

 

5단계: EFS 생성 - 중앙 공유 스토리지 구축

하단의 서브넷도 위와 마찬가지로 같은 가용 영역 내에 있는 subnet-2c를 지정해줍니다.

모든 NAS 서버들이 함께 사용할 중앙 공유 스토리지를 생성합니다. EFS 설정의 핵심은 네트워크 액세스 부분입니다.

NAS 서버들만 EFS에 접근할 수 있도록, EFS의 각 네트워크 연결 지점(마운트 타겟)을 Private Subnet에 배치하고, 이전에 만들었던 nas-server-sg 보안 그룹을 적용하여 접근을 엄격하게 통제했습니다.

이를 통해 허가되지 않은 다른 서버들이 스토리지에 접근하는 것을 네트워크 수준에서 원천적으로 차단합니다.

마무리하며

이것으로 고가용성 시스템을 조립하기 위한 모든 개별 '부품' 준비가 끝났습니다. 역할에 맞는 보안 규칙, 서버 접속을 위한 키, 외부 관문 서버, 서버 설계도, 그리고 중앙 스토리지까지 모두 마련되었습니다.

'AWS' 카테고리의 다른 글

[번외편] AWS NAS 구축 삽질기  (0) 2025.10.29
[5편] AWS로 나만의 고가용성 보안 NAS 구축기 (자동 설치 및 최종 테스트)  (0) 2025.10.29
[4편] AWS로 나만의 고가용성 보안 NAS 구축기 (ALB와 Auto Scaling)  (0) 2025.10.15
[2편] AWS로 나만의 고가용성 보안 NAS 구축기 (VPC 네트워크 설계)  (0) 2025.10.13
[1편] AWS로 나만의 고가용성 보안 NAS 구축기 (feat. 아키텍처 설계)  (0) 2025.10.03

관련글

티스토리툴바