모든 AWS 서비스 문제를 해결하기 위한 체계적인 가이드

AWS 서비스 문제가 발생했을 때 추측에 의존하면 시간을 낭비하고 사고를 더 악화시키는 경우가 많습니다. 체계적인 AWS 문제 해결 워크플로우는 증상을 정의하고, 올바른 증거를 확인하고, 원인을 격리하고, 한 번에 세 가지를 변경하지 않고 문제를 해결하는 데 도움을 줍니다.

이 가이드는 연결할 수 없는 EC2 인스턴스, AccessDenied 오류, 제한된 API 호출, 실패하는 Lambda 함수 또는 근본 원인이 명확하지 않은 다른 AWS 서비스 문제를 처리할 때 사용하세요.

체계적인 문제 해결 방법론

효과적인 문제 해결은 추측이 아니라 논리적이고 반복 가능한 프로세스를 따르는 것입니다. 구조화된 방법론을 채택하면 필요한 모든 정보를 수집하고, 그럴듯한 가설을 세우고, 효율적으로 테스트할 수 있습니다. 핵심 단계는 다음과 같습니다.

1. 문제를 명확하게 정의

로그를 살펴보기 전에 잠시 시간을 내어 문제를 철저히 이해하세요. 스스로에게 물어보세요.

• 무엇이 정확히 문제인가요? (예: EC2 인스턴스에 연결할 수 없음, S3 업로드 실패, Lambda 함수 시간 초과).
• 언제 시작되었나요? 지속적인가요, 간헐적인가요? 특정 시간에 발생하나요?
• 어디서 발생하나요? 어떤 리전, 가용 영역, 서비스 또는 특정 리소스인가요?
• 누가 영향을 받나요? 모든 사용자, 특정 그룹 또는 내부 시스템인가요?
• 얼마나 자주 발생하나요? 일회성 이벤트인가요, 반복되는 패턴인가요?
• 영향은 무엇인가요? 심각도가 치명적, 높음, 중간 또는 낮음인가요?

팁: 더 깊이 파고들기 전에 최근 배포, Terraform 또는 CloudFormation 변경 사항, IAM 편집, 라우팅 테이블 업데이트 및 보안 그룹 변경 사항을 확인하세요.

2. 정보 수집 및 관찰

이 단계에서는 AWS의 강력한 모니터링 및 로깅 도구가 사용됩니다. 변경을 가하지 않고 가능한 한 많은 관련 데이터를 수집하세요.

• AWS Health Dashboard 확인: 계정별 이벤트, 리전별 서비스 이벤트 또는 예정된 유지 관리를 찾아보세요.
• CloudWatch 지표 검토: 서비스 관련 지표(예: CPU 사용률, 네트워크 I/O, 오류율, 제한된 요청)를 검토하세요.
• CloudWatch 로그 분석: 애플리케이션 로그, VPC 흐름 로그, Lambda 로그 등에서 오류나 비정상적인 패턴을 찾아보세요.
• CloudTrail 로그 확인: 특히 무단 액세스 또는 잘못된 구성이 의심되는 경우 최근 API 호출을 식별하세요.
• 구성 검토: AWS Config를 사용하여 리소스 구성이 최근에 변경되었는지 확인하세요.
• 리소스 상태 확인: 각 콘솔에서 인스턴스, 데이터베이스, 로드 밸런서의 상태를 확인하세요.

3. 가설 수립

수집된 정보를 바탕으로 문제의 가능한 원인을 하나 이상 제안하세요. 가설은 구체적이고 테스트 가능해야 합니다. 예를 들어:

• "EC2 인스턴스에 연결할 수 없는 이유는 보안 그룹이 인바운드 SSH 트래픽을 허용하지 않기 때문입니다."
• "S3 업로드가 실패하는 이유는 Access Denied 오류로 인해 IAM 정책이 잘못되었음을 나타냅니다."
• "Lambda 함수가 시간 초과되는 이유는 서비스 동시성 제한에 도달했기 때문입니다."

4. 가설 테스트 및 변수 격리

가설을 증명하거나 반증하기 위해 간단한 테스트를 설계하세요. 초기 테스트로 문제가 해결되지 않으면 가설을 수정하고 다시 테스트하세요. 테스트할 때는 인과 관계를 쉽게 식별할 수 있도록 한 번에 하나의 변경만 수행하세요.

• 예시 (연결): 보안 그룹 문제가 의심되는 경우 알려진 소스 IP 하나와 포트 하나에서 테스트하세요. 규칙이 문제임이 입증되면 임시 테스트를 실제로 필요한 좁은 규칙으로 대체하세요.
• 예시 (권한): IAM Policy Simulator를 사용하여 실패하는 작업에 대해 다양한 IAM 정책을 테스트하세요.

5. 해결 및 확인

근본 원인을 식별한 후 적절한 수정을 구현하세요. 솔루션을 적용한 후 문제가 해결되었고 새로운 문제가 발생하지 않았는지 철저히 확인하세요.

6. 문서화 및 학습

해결 후 문제, 진단 단계, 근본 원인 및 솔루션을 문서화하세요. 이는 향후 사고에 대한 귀중한 지식 기반을 만들고 시스템 복원력을 개선하는 데 도움이 됩니다. 중요한 문제의 경우 사후 검토를 통해 예방 조치를 식별하는 것을 고려하세요.

주요 AWS 문제 해결 도구 및 리소스

AWS는 문제 진단에 필수적인 다양한 도구를 제공합니다.

Amazon CloudWatch

리소스 및 애플리케이션 모니터링을 위한 기본 도구입니다. CloudWatch는 다음을 제공합니다.

• 지표: 거의 모든 AWS 서비스에 대한 실시간 데이터 포인트(CPU 사용률, 네트워크 I/O, S3 요청 수, DynamoDB 제한 이벤트, Lambda 호출/오류). 애플리케이션별 데이터에 대한 사용자 지정 지표를 생성하세요.
• 로그: 거의 모든 소스(EC2, Lambda, VPC 흐름 로그, CloudTrail, 애플리케이션 로그)에 대한 중앙 집중식 로깅. CloudWatch Logs Insights를 사용하여 강력한 쿼리 및 분석을 수행하세요.
• 알람: 지표에 임계값을 설정하여 알림(SNS를 통해) 또는 자동화된 작업(예: 자동 확장)을 트리거합니다.
• 대시보드: 주요 지표와 로그를 시각화하는 사용자 지정 대시보드를 생성하여 운영 상태를 단일 창으로 확인할 수 있습니다.

AWS CloudTrail

CloudTrail은 AWS 계정 전반의 API 활동을 기록하여 누가, 언제, 어디서, 어떤 결과로 무엇을 했는지 보여줍니다. 보안 조사, 규정 준수 감사 및 특히 권한 또는 의도하지 않은 리소스 변경과 관련된 문제 해결에 필수적입니다.

• 사용법: 문제 발생 시점과 일치하는 Access Denied 이벤트, UPDATE, DELETE 또는 CREATE 작업을 찾아보세요.
• S3의 CloudTrail 로그에 대한 예시 Athena 쿼리:

  SELECT eventtime, eventsource, eventname, useridentity.arn, errorcode, errormessage
  FROM cloudtrail_logs
  WHERE eventtime > current_timestamp - interval '1' hour
    AND (errorcode LIKE '%AccessDenied%' OR errormessage LIKE '%denied%')
  ORDER BY eventtime DESC
  LIMIT 100
  

AWS Management Console

각 서비스 콘솔은 특정 대시보드, 상태 페이지 및 구성 세부 정보를 제공합니다. 리소스 상태 및 설정을 확인하는 첫 번째 장소인 경우가 많습니다. 예를 들어 EC2 콘솔에는 인스턴스 상태, 보안 그룹 및 네트워크 인터페이스가 표시됩니다.

AWS CLI/SDK

프로그래밍 방식 검사, 자동화 및 빠른 임시 쿼리를 위해 AWS Command Line Interface(CLI) 및 Software Development Kit(SDK)는 매우 유용합니다. 터미널이나 애플리케이션에서 직접 정보를 가져오고, 구성을 수정하고, 서비스와 상호 작용할 수 있습니다.

• 예시 (보안 그룹 규칙 확인):

  aws ec2 describe-security-groups --group-ids sg-0123456789abcdef0
  

AWS Health Dashboard

AWS 서비스 및 계정 상태에 대한 개인화된 정보를 제공합니다. 문제가 계정별 문제인지 아니면 더 광범위한 AWS 서비스 이벤트인지 이해하는 데 중요합니다. 운영 문제, 예정된 유지 관리 및 개인화된 알림을 보여줍니다.

AWS Config

AWS 리소스에 대한 구성 변경 사항을 기록합니다. 리소스가 예기치 않게 동작하는 경우 Config는 구성 기록을 보여주어 변경이 언제, 어떻게 이루어졌는지 정확히 파악할 수 있도록 합니다.

일반적인 AWS 문제 범주 및 솔루션

대부분의 AWS 문제는 몇 가지 반복되는 범주에 속합니다. 이러한 패턴을 이해하면 정확한 가설을 세우는 데 도움이 됩니다.

1. 연결 문제

리소스가 통신할 수 없는 경우 네트워크 경로를 확인하세요.

• 보안 그룹 및 네트워크 ACL(NACL): 가장 일반적인 원인입니다. 보안 그룹은 상태 저장이며 인스턴스/ENI에 적용됩니다. NACL은 상태 비저장이며 서브넷에 적용됩니다. 인그레스/이그레스 규칙이 필요한 트래픽을 허용하는지 확인하세요.
  • 팁: 보안 그룹은 허용 목록입니다. NACL에는 허용 및 거부 규칙이 모두 있습니다. NACL의 경우 순서가 중요합니다.
• 라우팅 테이블: 서브넷에 인터넷(인터넷 게이트웨이를 통해), 다른 VPC(피어링) 또는 온프레미스 네트워크(VPN/Direct Connect)에 대한 올바른 경로가 있는지 확인하세요.
• DNS 확인: 리소스가 호스트 이름을 확인할 수 없는 경우 VPC DNS 설정, Route 53 구성 또는 애플리케이션 수준 DNS 설정을 확인하세요.
• VPC 흐름 로그: 심층 네트워크 문제 해결을 위해 흐름 로그는 VPC의 네트워크 인터페이스로 들어오고 나가는 모든 IP 트래픽을 기록합니다. CloudWatch Logs Insights에서 분석하여 수락/거부된 연결을 확인하세요.

  fields @timestamp, @message
  | filter logStatus = 'OK'
  | filter action = 'REJECT'
  | filter srcAddr = '192.0.2.1' or dstAddr = '192.0.2.1' -- IP of interest
  | sort @timestamp desc
  

2. 권한 오류 (Access Denied)

이러한 오류는 자주 발생하며 Access Denied, UnauthorizedOperation 또는 Forbidden 메시지로 표시됩니다.

• IAM 정책: 작업을 수행하는 사용자, 역할 또는 그룹에 연결된 IAM 정책을 확인하세요. 올바른 Resource에 대한 특정 Action에 대한 Allow 문이 있는지 확인하세요.
  • 팁: IAM 정책은 기본적으로 거부입니다. 명시적인 허용이 필요합니다.
• 리소스 기반 정책: S3, SQS, KMS, SNS 및 Lambda를 포함한 일부 서비스는 리소스에 대한 액세스를 직접 허용하거나 거부하는 리소스 기반 정책을 지원합니다. 이는 IAM ID 정책과 일치해야 합니다.
  • 퍼블릭 액세스가 아닌 하나의 AWS 계정에 대한 예시 S3 버킷 정책:

    {
      "Version": "2012-10-17",
      "Statement": [
        {
          "Sid": "AllowReadFromAppRole",
          "Effect": "Allow",
          "Principal": {
            "AWS": "arn:aws:iam::111122223333:role/app-readonly-role"
          },
          "Action": [
            "s3:GetObject"
          ],
          "Resource": [
            "arn:aws:s3:::example-private-bucket/*"
          ]
        }
      ]
    }
    

• 서비스 제어 정책(SCP): AWS Organizations를 사용하는 경우 SCP는 계정에서 사용 가능한 최대 권한을 설정할 수 있습니다. IAM 허용은 SCP 제한을 재정의할 수 없습니다.
• CloudTrail: CloudTrail 로그에서 Access Denied 오류를 검색하여 관련된 정확한 API 호출, 주체 및 리소스를 식별하세요.
• IAM Policy Simulator: IAM 콘솔에서 다양한 정책이 특정 작업에 미치는 영향을 테스트할 수 있는 강력한 도구입니다.

3. 서비스 한도 및 제한

AWS 서비스에는 소프트 및 하드 한도가 있습니다. 이러한 한도에 도달하면 오류나 성능 저하가 발생할 수 있습니다(ThrottlingException, TooManyRequestsException).

• CloudWatch 지표: DynamoDB ReadThrottleEvents 또는 Lambda Throttles와 같은 제한 징후에 대한 서비스별 지표를 모니터링하세요.
• Service Quotas 콘솔: 이 콘솔에는 모든 AWS 서비스 할당량, 현재 사용량이 나열되며 조정 가능한 할당량에 대한 증가를 요청할 수 있습니다.
• 지수 백오프 및 재시도: AWS API와 상호 작용할 때 애플리케이션에서 이러한 패턴을 구현하여 일시적인 제한을 정상적으로 처리하세요.

4. 리소스 잘못된 구성

잘못 구성된 리소스는 문제의 빈번한 원인입니다.

• 스토리지: 잘못된 S3 버킷 권한(퍼블릭 액세스), 암호화되지 않은 EBS 볼륨, EBS에 대한 IOPS 부족.
• 컴퓨팅: 잘못된 EC2 인스턴스 유형, 잘못된 AMI, 잘못 구성된 사용자 데이터, Auto Scaling 그룹 문제.
• 데이터베이스: 연결 문자열 문제, 보안 그룹 잘못된 구성, 파라미터 그룹 설정.
• 로드 밸런서: 잘못된 리스너 규칙, 비정상 대상 그룹, 보안 그룹 문제.
• AWS Config: Config를 사용하여 시간 경과에 따른 리소스 구성 변경 사항을 추적하여 잘못된 구성이 도입된 시점을 식별하는 데 도움을 받으세요.

5. 애플리케이션별 문제

AWS 서비스가 완벽하게 실행되더라도 애플리케이션 코드에 문제가 있을 수 있습니다.

• 애플리케이션 로그: 애플리케이션 로그가 CloudWatch Logs로 전송되고 있는지 확인하세요. 오류, 예외 또는 예기치 않은 동작을 분석하세요.
• 애플리케이션 지표: 더 깊은 통찰력을 위해 애플리케이션에서 사용자 지정 CloudWatch 지표(예: 오류 수, 요청 대기 시간, 대기열 깊이)를 내보내세요.
• AWS X-Ray: 분산 애플리케이션의 경우 X-Ray는 엔드 투 엔드 가시성을 제공하여 요청이 다양한 서비스를 통해 흐르는 것을 추적하고 성능 병목 현상이나 오류를 식별합니다.

MTTR 단축을 위한 모범 사례

좋은 준비는 사고 중에 필요한 탐정 작업을 줄여줍니다.

• 사전 예방적 모니터링 및 알림: 중요한 지표(CPU 사용량, 오류율, 대기 시간, 디스크 공간, API 오류)에 대한 포괄적인 CloudWatch 알람을 구현하세요. SNS와 통합하여 PagerDuty, Slack 또는 이메일로 알림을 보내세요.
• 중앙 집중식 로깅: 모든 서비스(EC2, Lambda, 컨테이너 등)의 로그를 CloudWatch Logs 또는 S3 기반 데이터 레이크에 집계하여 쉽게 검색하고 분석할 수 있도록 하세요.
• IaC(Infrastructure as Code): CloudFormation, AWS CDK 또는 Terraform을 사용하여 인프라를 정의하세요. 이는 일관성을 보장하고 수동 오류를 줄이며 변경 사항을 되돌리기 쉽게 만듭니다.
• Runbook 및 Playbook: 일반적인 문제, 증상, 진단 단계 및 해결 절차를 문서화하세요. 이는 팀이 문제를 신속하고 일관되게 해결할 수 있도록 지원합니다.
• AWS Well-Architected Framework 수용: 운영 우수성, 보안, 안정성, 성능 효율성 및 비용 최적화를 염두에 두고 시스템을 설계하세요. 사전 예방적 설계는 많은 문제를 방지합니다.
• 정기적인 감사 및 검토: 보안 그룹 규칙, IAM 정책 및 리소스 구성을 정기적으로 검토하여 모범 사례 및 현재 요구 사항에 부합하는지 확인하세요.
• AWS Support 활용: 해결할 수 없는 복잡한 문제가 있거나 AWS 측 서비스 문제가 의심되는 경우 지원 플랜에서 허용하는 경우 지원 케이스를 여세요. 리소스 ID, 리전, 시간대가 포함된 타임스탬프, 오류 메시지, 요청 ID 및 이미 시도한 단계를 포함하세요.

핵심 요점

모든 AWS 서비스 문제를 동일한 리듬으로 시작하세요: 증상을 정의하고, 최근 변경 사항을 확인하고, 로그와 지표를 수집하고, 한 번에 하나의 가설을 테스트한 다음, 수정 사항을 문서화하세요. 이 습관은 사고가 진정되지 않을 때 문제 해결을 침착하게 유지합니다.