[AWS Load Balancer] Service vs Ingress 차이점!!






 


핵심 요약

  • Service (type=LoadBalancer): Kubernetes 서비스 하나당 AWS 로드밸런서(주로 L4/NLB 또는 설정에 따라 L4/L7)를 직접 생성하여 특정 Pod 집합으로 트래픽을 전달 — 단순·직관적이지만 서비스당 LB가 생겨 비용·관리 부담이 커짐.

  • Ingress (ALB via AWS Load Balancer Controller): 클러스터 외부 진입을 하나의 ALB(혹은 소수의 ALB)로 통합해 도메인/경로 기반 L7 라우팅, TLS 종료, WAF, 인증 등 고급 HTTP 기능을 제공 — 여러 서비스 통합 관리에 유리.

1) 로드밸런서 타입과 계층 (L4 vs L7)

  • Service(type=LoadBalancer)

    • 보통 L4 (TCP/UDP) 중심: NLB 또는 때로는 Classic/Network LB.

    • 예외적으로 NLB에 TLS 리스너(종단 TLS) 구성 가능 → TLS 종료 또는 통과 설정 가능(환경에 따라).

    • 주로 포트 단위로 단순 포워딩(포트 → targetPort).

  • Ingress (ALB)

    • L7 (HTTP/HTTPS) 전용: 호스트/경로 기반 라우팅, 리다이렉션, HTTP 헤더 제어, 가중치 기반 라우팅 등.

    • TLS 종료(ACM 연동)로 인증서 관리가 쉬움. WAF/Shield 연동 편리.

2) 트래픽 흐름 (실무에서 보는 차이)

  • Service LoadBalancer

    • AWS LB → (노드 또는 Pod) → kube-proxy → Pod (또는 직접 Pod IP, targetType=ip 설정 시)

    • 외부 IP 또는 DNS가 서비스마다 생성됨.

  • Ingress (ALB)

    • 사용자 → ALB → Listener 규칙(호스트/경로) → 대상 그룹(Target Group) → Service → Pod

    • ALB 하나로 여러 서비스와 경로를 처리.

3) 대상(Target) 타입: Instance vs IP vs NodePort

  • Service LoadBalancer

    • 기본: LB가 인스턴스(노드) 대상으로 라우팅하고 노드에서 kube-proxy가 Pod로 분발(ClusterIP/NodePort 방식).

    • 또는 annotation으로 target-type=ip를 사용해 LB가 직접 Pod IP로 라우팅(더 낮은 네트워크 홉).

    • externalTrafficPolicy: Local 설정은 원본 클라이언트 IP 보존(하지만 트래픽 분산에 영향).

  • ALB via Controller

    • ALB의 Target Group은 IP (pod IP) 또는 instance 중 선택 가능. AWS Load Balancer Controller는 보통 IP 모드로 Pod로 직접 라우팅하는 경우가 많음(더 효율적).

4) TLS / HTTPS 처리

  • Service (NLB)

    • NLB는 TCP/UDP 기본이지만 TLS 리스너(TLS termination)도 지원. 그러나 HTTPS 레벨의 호스트/경로 라우팅은 불가.

    • TLS를 종단에서 처리하려면 LB에서 인증서(ACM) 설정하거나, Pod 내에서 TLS 처리(종단 통과)할 수 있음.

  • Ingress (ALB)

    • ALB에서 **TLS 종료(ACM 연동)**이 쉬움 → 여러 도메인/서브도메인에 대해 한 곳에서 인증서 관리 가능.

    • HTTP→HTTPS 리다이렉션, SNI(도메인별 인증서) 등 지원.

5) HTTP 고급 기능(필요시)

  • ALB/Ingress: 경로/호스트 기반 라우팅, 가중치 라우팅(A/B), 리다이렉션, 고급 헤더 조작, 리스너 규칙, WebSocket 지원, HTTP/2(종단) 등.

  • Service LoadBalancer: 기본 L4 포워딩만(HTTP 고급 기능 제한).

6) 스케일링·성능·지연

  • NLB (Service)

    • 고성능·저지연, 초당 연결량(throughput) 높음, 정적 IP(Elastic IP) 할당 가능.

    • 유용: TCP 기반 서비스(데이터베이스 프록시, gRPC over TCP, 게임 서버 등).

  • ALB (Ingress)

    • HTTP 최적화, L7 처리 오버헤드 있지만 HTTP 기능 최적화로 실무 웹 트래픽에 적합.

    • 복잡한 라우팅 규칙이 많은 경우 관리·운영 이점 큼.

7) 비용과 리소스 관점

  • Service LoadBalancer

    • 서비스마다 LB가 생성 → 서비스가 많아지면 LB 수 증가 → 비용 증가.

    • 간단한 서비스라면 관리·설정이 빨라 초기엔 편리.

  • Ingress (ALB)

    • ALB 하나(또는 소수)로 다수 서비스 처리 → LB 수 감소, 운영비용 절감(특히 많은 서비스의 경우).

    • 단, ALB는 LCU 기반 과금(요청 수·규칙·동시 연결 등) — 요금 구조는 확인 필요.

(요금은 자주 바뀌므로 실제 도입 전 최신 AWS 문서/콘솔에서 확인 권장)

8) 보안(회선/ACL/SG/WAF)과 관제

  • Service LoadBalancer

    • NLB는 보통 Security Group 처리 방식이 다르므로 설정 유의. NLB → 노드 간 보안그룹 연동 고려 필요.

    • WAF 연동은 ALB와 비교해 번거로움.

  • Ingress (ALB)

    • ALB는 AWS WAF, AWS Shield 등과 직접 연동이 쉬움 → 웹 애플리케이션 보호에 유리.

    • ALB 앞단에서 IAM·인증/인가 연계(예: Cognito) 등도 쉬움.

9) 실전 설정(예시 YAML) — 빠르게 참고용

  • Service (LoadBalancer, NLB, Pod IP target mode)

apiVersion: v1
kind: Service
metadata:
  name: my-tcp-service
  annotations:
    service.beta.kubernetes.io/aws-load-balancer-type: "nlb"
    service.beta.kubernetes.io/aws-load-balancer-target-type: "ip"   # Pod IP로 직접 라우팅
spec:
  type: LoadBalancer
  selector:
    app: my-app
  ports:
    - port: 443
      targetPort: 8443

  • Ingress (ALB via AWS Load Balancer Controller)

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: web-ingress
  annotations:
    kubernetes.io/ingress.class: alb
    alb.ingress.kubernetes.io/scheme: internet-facing
    alb.ingress.kubernetes.io/listen-ports: '[{"HTTP":80},{"HTTPS":443}]'
    alb.ingress.kubernetes.io/certificate-arn: arn:aws:acm:...
spec:
  rules:
    - host: app.example.com
      http:
        paths:
          - path: /api
            pathType: Prefix
            backend:
              service:
                name: api-svc
                port:
                  number: 80
          - path: /
            pathType: Prefix
            backend:
              service:
                name: web-svc
                port:
                  number: 80

10) 운영·디버깅 차이점 (팁)

  • Service LoadBalancer

    • kubectl get svc로 External IP 확인.

    • AWS 콘솔에서 LB → target group → instances/pods 확인.

    • 클라이언트 IP 보존 문제 발생하면 externalTrafficPolicy: Local 확인.

  • Ingress (ALB)

    • kubectl describe ingress로 ALB 생성 상태와 이벤트 확인.

    • AWS 콘솔의 ALB Listener/Target Group 규칙이 Ingress 규칙과 매핑되는지 검증.

    • 인증서/Listener 에러는 ALB 이벤트/CloudWatch 로그 확인.

11) 언제 무엇을 선택할까? (결정 가이드)

  • Service (LoadBalancer) 추천 상황

    • TCP/비-HTTP 트래픽(데이터베이스 프록시, gRPC over TCP, 게임 등) 처리 필요할 때.

    • 극히 단순한 외부 노출 서비스가 소수일 때(단기간 테스트/POC).

    • 초저지연, 고연결성(네트워크 성능)이 최우선일 때 → NLB 유리.

  • Ingress (ALB) 추천 상황

    • 웹/HTTP 기반 서비스가 다수이고 도메인/경로 기반 라우팅이 필요한 경우.

    • TLS/ACM, WAF, 인증, 리다이렉트 등 L7 기능을 중앙에서 관리하고 싶을 때.

    • 서비스 수가 많아 LB 갯수 관리를 줄이고 비용·운영 효율을 기대할 때.

  • 혼합 운영

    • 보통 실무에서는 ALB(Ingress) 를 웹 트래픽에, NLB(Service) 를 TCP 기반(또는 높은 성능 요구) 서비스에 사용하는 혼합 전략을 택함.

12) 체크리스트 (도입 전 점검)

  1. 서비스 트래픽 종류: HTTP/HTTPS인가? TCP인가?

  2. TLS 인증서 어디서 관리할지(ACM 사용 권장).

  3. Pod → LB의 targetType: ip로 직접 라우팅 할지 instance로 할지.

  4. 클라이언트 IP 보존 필요성(예: 로그, 인증) → externalTrafficPolicy.

  5. 보안: ALB+WAF 연동 필요성, Security Group 설계.

  6. 비용 모델 예상: 서비스 수, 요청량, LCU/처리량 차이.

  7. 모니터링·로그(CloudWatch, ALB 로그)와 알림 설계.

  8. IAM 권한: AWS Load Balancer Controller 설치 시 필요한 권한 확인.






댓글

댓글 쓰기

이 블로그의 인기 게시물

[8/9] 1184회 로또 당첨번호 추천!!

이미지
이번주 로또 추천번호 최근 600회차 이력 분석 후, 통계기반 번호 생성으로 파이썬 개발!!    1. 추천 번호 : [1, 6, 18, 31, 37, 42] 2. 추천 번호 : [8, 13, 15, 19, 31, 33] 3. 추천 번호 : [7, 10, 22, 23, 26, 33] 4. 추천 번호 : [12, 19, 21, 27, 37, 41] 5. 추천 번호 : [6, 16, 17, 27, 36, 43]  
Read more »

[AWS] SCP, OU, Policy 사용하기 !!

이미지
AWS Organization 을 활용하여  다수의  aws 계정 을 효율적으로 관리 하는 방법을 설명합니다. 특히  scp ,  ou , Policy 의 개념과 역할을 소개하며, 이를 통해  중앙 집중식 관리,  접근 제어  단순화,  통합 결제 , 보안 및 감사  등 다양한 장점을 얻을 수 있음을 강조합니다. 기업 환경에서  aws 계정  구조를 조직 구조에 맞게 구성 하는 데 중요한 역할을 하는  AWS Organization 의 활용법을 다루고 있습니다. 1. AWS Organization 개요 AWS Organization은 여러 aws 계정 을 관리하는 서비스이다. 엔터프라이즈급 기업은 AWS Organization을 통해 다수의 계정을 연동하고 ou 를 생성하여 관리한다. 2. 주요 용어 설명 SCP (Service Control Policy) ou 또는 aws 계정 에 적용 가능하다. 하위 ou 에 상속된다. ou 마다 다르게 적용할 수 있다. Permission B ou ndary & Policy IAM 사용자에게 적용된다. scp 와 중첩되어야 정책이 적용된다. OU (Organization Unit) aws 계정 의 그룹 단위이다. 하위 ou 를 가질 수 있어 회사 구조를 반영할 수 있다. 하나의 aws 계정 은 오직 하나의 ou 에 속할 수 있다. 최대 5단계의 계층 구조를 가질 수 있다. Management Acc ou nt ou 를 생성한 계정이다. 다른 aws 계정 을 초대하거나 포함 및 제거할 수 있다. 오직 하나의 마스터 계정만 존재하며 scp 의 영향을 받지 않는다. Acc ou nt ou 에 초대된 aws 계정 들이다. 신규 및 기존 aws 계정 모두 ou 에 초대 가능하다. IAM Users aws 계정 에 속하는 IAM 사용자를 의미한다. Permission b ou ndary와 policy에 영향을 받는...
Read more »

[AWS] AWS Activate 스타트업 $1,000 지원 성공

이미지
https://aws.amazon.com/startups/credits 현재 고환율 시대에 서버 개발자에게 금전적 지원은 매우 중요하며, aws activate는 좋은 기회가 될 수 있습니다. 신청 자격 요건이 크게 까다롭지 않고, 링크드인 계정을 통해 간단하게 신청할 수 있습니다. 이 프로그램은 스타트업의 초기 인프라 비용 부담을 줄여주는 데 도움을 줄 수 있습니다. 2년간 $1000, 1년간 $350의 크레딧을 제공하며, 개발자 모드 변경 및 유효기간 관리가 필요합니다. 1. 💰 AWS 스타트업 지원 혜택 aws는 스타트업에게 1350달러를 지원하는 프로그램을 운영하고 있다 . 현재 환율이 매우 높은 상황에서 지원금을 신청하는 것이 유리하다고 판단된다 . 서버 개발자들은 비용에 민감하게 반응해야 하는 상황임을 강조한다 . 2. 💼 AWS Activate 스타트업 지원 자격요건 자격요건은 크게 까다롭지 않아 대부분의 회사가 지원할 수 있다.  3. 📝 신청 절차 및 필요 정보 신청 과정은 크게 어렵지 않으며, 회사 정보와 개인 정보를 입력하면 완료된다.  신청 시 링크드인 계정이 필요하며, 이를 통해 개인정보를 입력해야 한다.  링크드인 계정은 특별한 정보 없이 간단하게 생성할 수 있으며, 생성 후 프로필 주소를 입력하면 된다.  4. 🚀 AWS Activate 스타트업 지원 소요 시간 지원 신청 후 4일 만에 결과를 받았다는 언급이 있다.  5. 📊 AWS Activate 지원 내용 요약 aws activate는 스타트업에게 유효기간 2년 동안 $1000 지원을 제공하며, 이는 자동으로 적용된다.  $350 지원도 있으며, 유효기간은 1년으로, 개발자 모드에서 직접 변경 가능하고, support plan을 Basic에서 Developer로 전환해야 한다.  유효기간이 만료되거나 지원 금액을 모두 사용한 경우, 추가 요금을 결제해야 하며, 사용하지 않을 경우 베이직 플랜으로 전환해야 한다....
Read more »

[Gemini API] 구글 생성형 AI API 모델별 요금 및 청구 방식!!

💡 1. 요금 체계 요약 구글은 모델별로 Free Tier(무료) 및 Pay‑as‑you‑go(종량 요금제)를 제공합니다. Free Tier는 제한된 토큰 수와 요청 수를 제공하며, 유료 요금을 활성화하려면 Google Cloud Billing 계정을 연결해야 합니다 Google One +8 Google AI for Developers +8 Google Cloud +8 . ▶ 무료 요금제: 일부 모델에 대해 입력/출력 토큰 수가 한정된 무료 사용 허용 ▶ 유료 요금제: 더 많은 사용, 높은 속도 제한, 데이터가 제품 개선에 사용되지 않음 등의 혜택 🧠 2. Gemini 모델별 요금표 (2025년 6월 기준) Gemini 2.5 Flash‑Lite (가장 저렴한 옵션) 입력 토큰 (텍스트·이미지·비디오): $0.10 /백만 토큰 출력 토큰(응답 포함): $0.40 /백만 토큰 컨텍스트 캐싱 비용: $0.025 /백만 토큰, 저장: $1.00 /백만 토큰당 시간당 정확한 활성화일은 2025년 6월 Reddit +5 Google AI for Developers +5 Google Cloud +5 Android Central . Gemini 2.5 Flash (일반) 입력: $0.30/백만 토큰 출력: $2.50/백만 토큰 캐싱: $0.075/백만 토큰, 저장: 비슷하게 시간당 계산 Google AI for Developers Gemini 2.5 Pro (고성능 모델) 입력: $1.25 (200K 토큰 이하) 또는 $2.50 (200K 초과)/백만 토큰 출력: $10 / $15 /백만 토큰 캐싱: $0.31 / $0.625 /백만 토큰, 저장: $4.50/백만 토큰∙시간 apidog +7 Google AI for Developers +7 Google Cloud +7 Google Cloud 📦 모델 요약 비교 모델 입력 비용 출력 비용 캐싱 비용 저장 비용 Gemini 2.5...
Read more »

[8/2] 1183회 로또 당첨번호 추천!!

이미지
  이번주 로또 추천번호 최근 600회차 이력 분석 후, 통계기반 번호 생성으로 파이썬 개발!!    1. 추천 번호 : [1, 3, 5, 11, 17, 26] 2. 추천 번호 : [13, 19, 22, 29, 36, 43] 3. 추천 번호 : [7, 10, 13, 19, 23, 24] 4. 추천 번호 : [1, 7, 12, 20, 28, 36] 5. 추천 번호 : [2, 7, 23, 25, 27, 43]      
Read more »

[Shopizer E‑commerce] Shopizer란?

🚀 Shopizer란? Shopizer는 Java 기반 오픈 소스 e‑commerce 플랫폼 으로, Spring Boot , Drools , Hibernate 등을 활용한 Headless, Microservices 아키텍처 를 지원합니다. 2025년 2분기~3분기 정식 출시 예정인 최신 Shopizer Microservices 플랫폼 버전은 Spring Security 기반 보안 , PostgreSQL/JSONB 지원 , Cloud‑agnostic 배포 를 특징으로 합니다 github.com +13 shopizer.com +13 github.com +13 . 기존의 Shopizer Headless 3.2.7 버전도 GitHub에서 다운로드 가능 sourceforge.net +2 shopizer.com +2 github.com +2 . 📌 최신 버전 정보 (2025년 기준) Headless 및 Legacy 버전 현재 다운로드 가능한 안정 버전은 3.2.7 sourceforge.net +10 shopizer.com +10 mvnrepository.com +10 GitHub 릴리즈 기록: 3.2.5(2022‑12‑30), 3.2.2(2022‑09‑06), 3.2.0(2022‑06‑22) github.com 차세대 Microservices 플랫폼 2025년 Q2–Q3 출시 예정 마이크로서비스 아키텍처, 각 서비스 독립 배포, Spring Security , Cloud Agnostic 지원 mvnrepository.com +8 shopizer.com +8 youtube.com +8 💡 핵심 키워드 정리 Shopizer : Java e‑commerce, 오픈 소스, Headless, Microservices Spring Boot : 백엔드 핵심 프레임워크 Drools : 비즈니스 룰 엔진 Hibernate , JPA : ORM, 데이터베이스 연동 Headless Comm...
Read more »

[Vault] 온프레미스 구축 개요!!

Vault는 HashiCorp에서 개발한 비밀(Secret) 및 자격 증명 관리 시스템 으로, 온프레미스 환경에서도 안전하게 구축할 수 있습니다. 이 문서에서는 Vault 서버의 온프레미스 구축 방법 과 권장 아키텍처 를 보안, 가용성, 확장성을 고려하여 구체적으로 설명합니다. 1. Vault 온프레미스 구축 개요 Vault는 민감한 데이터(예: API 키, 데이터베이스 자격증명, 인증 토큰)를 저장하고 제어된 방식으로 접근하게 해주는 솔루션입니다. 온프레미스 구축은 데이터 주권 이나 보안 규제 가 중요한 기업 환경에 적합합니다. 2. Vault 온프레미스 설치 사전 준비 2.1 요구사항 운영체제 : Linux (Ubuntu, CentOS, RHEL 등) 메모리/CPU : 최소 2 vCPU, 4GB RAM 디스크 용량 : 최소 10GB (스토리지 백엔드에 따라 다름) 네트워크 포트 : 기본 HTTP 8200, 클러스터 통신 8201 2.2 주요 구성 요소 Vault 서버 바이너리 스토리지 백엔드 (Consul, Raft, etcd 등) TLS 인증서 systemd 또는 Supervisor 로 서비스 등록 3. Vault 온프레미스 설치 및 설정 3.1 Vault 설치 bash # 1. 바이너리 다운로드 wget https://releases.hashicorp.com/vault/1.16.1/vault_1.16.1_linux_amd64.zip # 2. 압축 해제 및 설치 unzip vault_1.16.1_linux_amd64.zip sudo mv vault /usr/local/bin/ # 3. 버전 확인 vault --version 3.2 스토리지 백엔드 구성 옵션 1: Consul (권장) Consul을 함께 설치한 후 Vault 설정 파일에 아래처럼 지정합니다. hcl storage "consul" { address = "127.0.0.1:85...
Read more »