AWS - Cross-Zone Load Balancing & SSL / TLS & SNL

Cross-Zone Load Balancing

목적

Cross-Zone Load Balancing의 목적은 로드 밸런서가 여러 가용 영역에 걸쳐있는 인스턴스에 대한 트래픽을 조절하고 분산시키기 위한 것입니다. 예를 들어, 로드 밸런서와 인스턴스가 서로 다른 가용 영역에 위치한 경우, Cross-Zone Load Balancing을 사용하면 로드 밸런서가 각 가용 영역의 인스턴스에 대한 트래픽을 균등하게 분산시킬 수 있습니다. 이를 통해 애플리케이션의 가용성을 향상시키고 지연 시간을 최소화할 수 있습니다.

 

아래 이미지를 보시면 Cross-Zone Load Balancing기능이 활성화 되면 가용영역이 달라도 각 인스턴스들에게 트레픽이 분산되고, Cross-Zone Load Balancing이 꺼져있다면 로드밸런서에게만 트레픽이 분산되어 인스턴스마다 감당하는 트레픽이 달라집니다. 

목적

SSL / TLS

목적

로드 밸런서에서 SSL/TLS를 사용하면 클라이언트와 로드 밸런서 간의 통신, 로드 밸런서와 백엔드 인스턴스 간의 통신을 모두 암호화할 수 있습니다. 이를 통해 데이터의 기밀성과 무결성을 보장할 수 있습니다. SSL/TLS를 사용하면 중간자 공격 등의 보안 위협으로부터 안전한 통신을 할 수 있습니다.

핸드쉐이크 방법

1. 클라이언트가 서버에게 Client Hello 메시지를 보냅니다. 이 메시지에는 클라이언트가 사용 가능한 암호화 방식 및 클라이언트의 랜덤 데이터가 포함됩니다.
2. 서버는 Client Hello 메시지를 받고 Server Hello 메시지를 클라이언트에게 보냅니다. 이 메시지에는 서버가 선택한 암호화 방식, 서버의 랜덤 데이터, 서버 인증서와 같은 정보가 포함됩니다.
3. 서버는 클라이언트에게 자신의 인증서를 보내고, 클라이언트는 이 인증서가 신뢰할 수 있는지 확인합니다.
4. 클라이언트는 서버에게 Pre-master Secret 메시지를 보냅니다. 이 메시지는 세션 중 사용할 대칭 암호화 키를 생성하기 위한 임시 데이터입니다. 클라이언트는 이 메시지를 서버의 공개 키로 암호화하여 전송합니다.
5. 서버는 Pre-master Secret 메시지를 받아들이고 세션 중 사용할 대칭 암호화 키를 생성합니다.
6. 클라이언트와 서버는 이제 핸드쉐이크 단계를 마쳤습니다. 이제 SSL/TLS 연결이 설정되었으며, 클라이언트와 서버 간의 모든 통신은 암호화되어 전송됩니다.

 

SSL/TLS 통신 요약ㄷ

 

로드밸런서의 SNI(Server Name Indication) 기능은 클라이언트가 접속하는 도메인 이름을 기반으로 SSL/TLS 인증서를 선택하는 기능입니다.

 

기본적으로 로드밸런서는 하나의 SSL/TLS 인증서만을 사용하여 모든 도메인에 대한 암호화 통신을 수행합니다. 하지만 SNI 기능을 사용하면 로드밸런서가 클라이언트 요청에 따라 여러 개의 SSL/TLS 인증서를 사용할 수 있습니다. 이를 통해 하나의 로드밸런서에서 여러 개의 도메인을 처리할 수 있으며, 다수의 도메인을 처리할 경우 서버 비용을 절약할 수 있습니다.

 

단, SNI 기능은 클라이언트와 서버가 모두 SNI를 지원해야만 사용할 수 있습니다. SNI를 지원하지 않는 클라이언트는 로드밸런서에서 기본 SSL/TLS 인증서를 사용하게 됩니다. 또한, SNI를 사용할 경우 인증서를 선택하는 추가적인 과정이 필요하므로 약간의 성능 저하가 발생할 수 있습니다.