우주의 IT 소행성

4장, 처리율 제한 장치의 설계

• 처리율 제한 장치 (Rate Limiter)
  • 네트워크 시스템에서 클라이언트 또는 서비스가 보내는 트래픽의 처리율(Rate)을 제어하기 위한 장치
  • HTTP로 예를 들면 특정 기간 내에 전송되는 클라이언트의 요청 횟수를 제한
  • API 요청 횟수가 제한 장치에 정의된 임계치(Threshold)를 넘어서면 추가로 도달한 모든 호출은 처리가 중단(Block)
  • 적용 사례
    • 사용자는 초당 2회 이상 새 글을 올릴 수 없다.
    • 같은 IP 주소로는 하루에 10개 이상의 계정을 생성할 수 없다.
    • 같은 디바이스로는 주당 5회 이상 리워드(Reward)를 요청할 수 없다.

• 처리율 제한 장치의 장점
  • Dos (Denial of Service) 공격에 의한 자원 고갈 (Resource Stravation)을 방지
    • 대형 IT 기업들이 공개한 거의 대부분의 API는 어떤 형태로든 처리율 제한 장치를 가지고 있다.
      • 예를 들어 트위터는 3시간 동안 300개의 트윗만 올릴 수 있도록 제한
      • 구글 독스 API는 사용자당 분당 300회의 Read 요청만 허용
      • 처리율 제한 장치는 추가 요청자에 대해서는 처리를 중단함으로써 Dos 공격을 방지
  • 비용 절감
    • 추가 요청에 대한 처리를 제한한다면 서버를 많이 두지 않아도 됨
    • 우선순위가 높은 API에 더 많은 자원을 할당할 수 있음
    • 처리율 제한은 제3자 API에 사용료를 지불하고 있는 회사들에게 매우 중요
      • 신용을 확인하거나, 신용카드 결제를 하거나, 건강 상태를 확인하거나 하기 위해 호출하는 API에 대한 과금이 횟수에 따라 이루어진다면, 그 횟수를 제한할 수 있어야 비용을 절감할 수 있을 것
  • 서버 과부하 방지
    • 봇(bot)에서 오는 트래픽
    • 사용자의 잘못된 이용 패턴

• 처리율 제한 장치는 어디에 둘 것인가?
  • 클라이언트 측 (Client Side)
    • 일반적으로 클라이언트는 처리율 제한을 안정적으로 걸 수 있는 장소가 아니다.
    • 클라이언트 요청은 쉽게 위변조가 가능함
    • 모든 클라이언트의 구현을 통제하는 것도 어려움
  • 서버 측 (Server Side)
  • 미들 웨어 (Middleware)
    • 처리율 제한 장치를 API 서버에 두는 대신, 처리율 제한 미들웨어를 만들어 통제
    • HTTP 상태코드 429 (Too many requests)를 반환
  • 클라우드 마이크로서비스의 경우
    • 처리율 제한 장치는 보통 API 게이트웨이라 불리는 컴포너트에 구현
    • API 게이트웨이는 처리율 제한, SSL 종단 (Termination), 사용자 인증 (Authentication), IP 허용 (Whitelist) 관리 등을 지원하는 완전 위탁관리형 서비스 (Fully Managed), 즉 클라우드 업체가 유지 보수를 담당하는 서비스
    • 하지만 일단 API 게이트웨이가 처리율 제한을 지원하는 미들웨어라는 점만 기억하자.
  • 정답은 없다. 회사의 기술 스택이나 엔지니어링 인력, 우선 순위, 목표에 따라 달라질 수 있다.
    • 프로그래밍 언어, 캐시 서비스 등 현재 사용하고 있는 기술 스택을 점검하라
      • 현재 사용하는 프로그래밍 언어가 서버 측 구현을 지원하기 충분한 효율을 가졌는지 확인하라.
    • 사업 필요에 맞는 처리율 제한 알고리즘을 찾아라.
      • 서버 측에서 모든 것을 구현하기로 했다면 알고리즘은 자유롭게 선택할 수 있다.
      • 하지만 제 3 사업자가 제공하는 게이트웨이를 사용하기로 했다면 선택지는 제한된다.
• 처리율 제한 장치를 구현하는 데에는 비용이 많이 든다. 충분한 인력이 없다면 상용 API 게이트웨이를 쓰는 것이 바람직한 방법일 것이다.

• 처리율 제한 알고리즘
  • 토큰 버킷 (Token Bucket)
    • 간단하고 이해도도 높고, 보편적으로 사용됨
      • API 엔드포인트마다 별도의 버킷을 두고 버킷의 용량을 넘어서는 요청을 제한하는 방법
      • 장점
        • 구현이 쉬움
        • 메모리 사용 측면에서도 효율적
        • 짧은 시간에 집중되는 트래픽도 처리 가능
        • 버킷에 남은 토큰이 있기만 하면 요청은 시스템에 전달
      • 단점
        • 버킷 크기와 토큰 공급률이라는 두 개 인자를 적절히 튜닝하는 것이 어려움

    ---

    • 누출 버킷 (Leaky Bucket)
      • 토큰 버킷 알고리즘과 유사하지만, 요청 처리율이 고정되어 있음
      • FIFO (First In First Out) 큐로 구현
      • 동작 원리
        • 요청이 도착하면 큐가 가득 차 있는지 확인
        • 빈 자리가 있는 경우 큐에 요청을 추가
        • 큐가 가득 차 있는 경우 새 요청은 버림
        • 지정된 시간마다 큐에서 요청을 꺼내 처리
      • 장점
        • 큐의 크기가 제한되어 있어 메모리 사용량 측면 효율적
        • 고정 처리율을 가지고 있어 안정적 출력이 필요한 경우 적합
      • 단점
        • 단시간에 많은 트래픽이 몰리는 경우 큐에 오래된 요청들이 쌓이게 됨
        • 오래된 요청들을 제 때 처리하지 못하면 최신 요청들이 버려지게 됨
        • 두 개 인자를 가조 있는데, 인자 튜닝이 까다로움

    ---

    • 고정 윈도 카운터 (Fixed Window Counter)
      • 타임라인을 고정된 간격의 윈도우로 나누어 윈도우마다 카운터를 붙이는 방식
      • 요청이 접수될 때 마다 카운터의 값이 1씩 증가
      • 카운터의 값이 사전에 설정된 임계치에 도달하면 새로운 요청은 새 윈도가 열릴 때 까지 버려짐
      • 장점
        • 높은 메모리 효율
        • 러닝 커브 낮음
        • 윈도가 닫히는 시점에 카운터를 초기화하는 방식은 특정 트래픽 패턴을 처리하기 적합
      • 단점
        • 윈도 경계 부근에서 일시적으로 많은 트래픽이 몰려드는 경우 기대했던 시스템 처리 한도보다 많은 양의 요청을 처리해야 함

    ---

    • 이동 윈도 로그 (Sliding Window Log)
      • 고정 윈도 카운터 알고리즘의 문제점 (경계 부근에 트래픽이 몰릴 경우 과다 요청 처리)을 해결하기 위한 알고리즘
      • 요청의 타임스탬프를 추적, 새 요청이 오면 만료된 타임스탬프를 제거하고, 새 요청의 타임스탬프를 로그에 추가한다.
      • 로그의 크기가 허용치보다 같거나 작으면 요청을 시스템에 전달하고, 그렇지 않은 경우에는 처리를 거부한다.
      • 장점
        • 아주 정교한 처리율 제한 메커니즘
        • 허용되는 요청의 개수는 시스템 처리율 한도를 넘지 않는다.
      • 단점
        • 다량의 메모리를 사용 (거부된 요청의 타임스탬프도 보관하기 때문)

    ---

    • 이동 윈도 카운터 (Sliding Window Counter)
      • 고정 윈도 카운터 + 이동 윈도 로그 알고리즘 결합
      • 장점
        • 이전 시간대의 평균 처리율에 따라 현재 윈도 상태를 계산 → 짧은 시간에 몰리는 트래픽에 잘 대응
        • 메모리 효율 좋음
      • 단점
        • 직전 시간대에 도착한 요청이 균등하게 분포되어 있다고 가정한 상태에서 추정치를 계산하기에 다소 느슨함 (치명적인 단점은 아님, CloudFlare 실험 결과 0.003%의 오차범위)

    ---

    • 정리
      • 이번 장에서는 처리율 제한을 구현하는 여러 알고리즘과, 그 장단점을 살펴보았다.
      • 알고리즘 이외에도 해당 알고리즘을 구현하는 아키텍처, 분산환경에서의 처리율 제한 장치, 성능 최적화와 모니터링 등의 주제를 살펴보았다.
      • 시간이 허락된다면 다음과 같은 방법도 고려해볼만 하다
        • 경성 (Hard) 또는 연성 (Soft) 처리율 제한
          • 경성 처리율 제한 : 요청의 개수는 임계치를 절대 넘어설 수 없다.
          • 연성 처리율 제한 : 요청 개수는 잠시 동안은 임계치를 넘어설 수 있다
        • 다양한 계층에서의 처리율 제한
          • 이번 장에서는 애플리케이션 계층에서의 처리율 제한에 대해서만 살펴보았다.
          • OSI 7계층 중 네트워크 계층
            • Iptables를 사용하여 IP 주소에 처리율 제한을 적용할 수 잇다.
        • 처리율 제한 회피
          • 클라이언트 측 캐시를 사용하여 API 호출 횟수를 줄인다.
          • 처리율 제한의 임계치를 이해하고, 짧은 시간 동안 너무 많은 메시지를 보내지 않도록 한다.
          • 예외나 에러를 처리하는 코드를 도입하여 클라이언트가 예외적 상황으로부터 우아하게 복구될 수 있도록 한다.
          • 재시도 로직을 구현할 때는 충분한 백오프 시간을 둔다.

    ---

    느낀 점
    • 처리율 제한이 없다면 DDos 공격이나 무차별적인 공격 기법에 저항할 수 없겠다고 생각했다.
    • 꼭 악의적 공격이 아니더라도, 사용자가 짧은 시간에 수많은 새로고침을 진행하거나 (선착순 예약 시스템, 수강 신청 등), 네트워크 오류로 인해 다량의 요청이 주어졌을 경우 등등 다양한 경우를 고려했을 때 처리율 제한은 선택이 아닌 필수적인 요소인 것 같다.
    • 결국 네트워크 트래픽을 원만하게 조절하여 서비스 성능을 개선할 수 있고, 고의든 실수든 무의미한 대량의 트래픽을 방어하여 예산적으로도 방어할 수 있다는건 큰 장점이다.
    • 분산 환경에서 처리율 제한을 위해 사용자의 고정 세션(Sticky Session)을 활용하기보다 Redis와 같은 중앙 집중형 캐시 데이터 저장소를 사용한다는 점을 주의깊게 보았다.
    • 최근 Redis에 대해 많은 관심과 공부를 하고 있다. 다양한 분야에서 Redis가 어떻게 쓰이는지 조금 더 세밀하게 알아볼 수 있는 기회여서 좋았다.

개요

• 레이어 (Layer) = 계층
• 가장 흔히 사용되는 패턴으로, Multi-Tier 아키텍처 패턴이라고도 한다.
• 시스템을 계층화하고 하위 레이어가 제공하는 기능을 상위 레이어가 이용함으로써 각 레이어의 구조를 단순화한다는 발상에서 시작
• 코드를 논리적인 부분 혹은 역할에 따라 독립된 모듈로 나누어 구성
• 각 모듈이 서로의 의존도에 따라 층층히 쌓듯이 연결되어 전체의 시스템을 구현하는 구조 (레이어 형태)
• 각 레이어는 해당 레이어가 의존하는 직접적인 하위 레이어만 알면 됨

장점

• 하나의 모듈을 업데이트 할 때 다른 모듈이 받는 영향을 최소화할 수 있다.
• 각 레이어의 책임을 명확히 할 수 있다.
• 관심사의 분리
  • 각 개별 구성 요소의 단일 책임을 보장 (종속성 저하)
• 개발의 용이성
  • 잘 알려져 있고, 구현하기 어려운 패턴이 아님
• 테스트가 쉬움
  • 모든 Layer가 개별적으로 단위 테스트로 커버될 수 있고 특정 Layer에 속한 구성요소도 분리되어 있어 개별적 테스트가 가능
• 격리
  • 각 Layer가 다른 Layer와 독립적이어서 변경 사항이 다른 Layer로 영향을 끼치지 않는다.

단점

• 확장성
  • 애플리케이션 복잡도가 증가하고, 프로젝트에 더 많은 기능을 추가해야 하는 경우 확장 비용이 크다 (모놀리식 구현 경향)
• 상호 의존성
  • 하나의 계층이 데이터 수신을 위해 상위 Layer에 의존하기에 상호 의존성 존재
• 배포
  • 특정 Layer에 대한 변경은 전체 시스템을 재배포해야 함을 의미
  • 큰 애플리케이션의 경우 더 문제
• 성능
  • 비즈니스 요청을 이행하기 위해 아키텍처의 여러 레이어를 거쳐야 하는 비효율성
  • 고성능 애플리케이션에 적합하지 않음
  • 병렬처리가 불가능

레이어 구조

• 3계층 Layered Pattern
  • Presentation Layer
    • 해당 시스템을 사용하는 사용자 혹은 클라이언트 시스템과 직접적으로 연결
    • 백엔드 API에서 엔드포인트에 해당
    • API의 엔드포인트들을 정의하고, 전송된 HTTP Repuese를 읽어 들이는 로직 구현
    • 실제 시스템이 구현하는 비즈니스 로직은 다음 레이어로 넘김 (본인의 역할만 수행)
    • 응용프로그램에서 사용자와 상호작용하는 인터페이스(UI)로 데이터를 표시
    • 서버와의 통신을 처리
  • Application Layer
    • 사용자와 상호작용하면서 수집된 데이터를 처리
    • API를 통해 Data Layer와 통신
  • Data Layer
    • Application Layer에서 처리된 데이터를 저장하고 관리

• 4계층 Layered Pattern
  • Application Layer를 Business/Persistence Layer로 세분화
  • Presentation Layer
  • Business Layer (= Service Layer)
    • 실제 시스템이 구현해야 하는 비즈니스 로직 구현
    • 회사의 비즈니스 운영하기 위해 필요한 로직
    • 핵심 로직 구현, 데이터 적합성 검증 (비밀번호 Validation 등)
  • Persistence Layer
    • 데이터베이스와 관련된 로직을 구현
    • Business Layer에서 필요한 데이터 생성, 수정, 읽기 등을 처리
    • 실제로 DB에서 데이터를 저장, 수정, 읽기를 하는 역할
  • Database Layer

레이어 사용 규칙

• 모듈은 반드시 하나의 레이어에만 존재해야 한다.
• 상위 레이어는 하위 레이어를 이용 가능해야 한다.
• 의존 방향은 한 방향으로 흘러야 한다. (상→하)

MVC 패턴과의 차이점

• Layered 패턴은 관심사를 분리해서 Layer들로 나누고, Layer 내부에 관련되거나 유사한 구성 요소들ㅇ르 배치함으로써 Layer간의 종속성을 저하시켜 격리를 통한 이점을 만들어내는 아키텍처이다.
• Layer의 내부 구성 요소가 되는 것이 MVC 패턴이다.

• Model
  • 데이터와 관련된 부분
  • 데이터와 비즈니스 로직을 관리
  • = 데이터를 처리하는 Business Layer
• View
  • 사용자에게 보여지는 부분
  • = 사용자와의 상호작용을 통해 정보를 표시하고 가져오는 Presentation Layer
• Controller
  • 사용자의 입력된 Domain을 DTO로 변환, 처리
  • Model과 View를 이어주는 역할
  • = Presentation Layer

References

[패턴] 자주 사용되는 아키텍처패턴 4가지

[Architecture] Layered Architecture(feat. MVC 패턴)

[Architecture] Layered Architecture(feat. MVC 패턴)

Layered Pattern

3장, 시스템 설계 면접 공략법

• 시스템 설계 면접은 당황스러울 때가 많다.
• “널리 알려진 제품 X를 설계해보라”는 식으로 막연한 문제가 나올 때도 있다.
• 이런 질문들은 모호하고, 범위도 지나치게 넓다. 그렇다면, 대체 시스템 설계 면접이 있는 이유는 무엇인가?
• 시스템 설계 면접은 두 명의 동료가 모호한 문제를 풀기 위해 협력하여 그 해결책을 찾아내는 과정에 대한 시뮬레이션이다. 이 문제에는 정해진 결말도 없고, 정답도 없다. 최종적으로 도출될 설계안은 여러분이 설계 과정에 들인 노력에 비하면 그다지 중요하지 않다.
• 이 면접은 여러분의 설계 기술을 시연하는 자리이고, 설계 과정에서 내린 결정들에 대한 방어 능력을 보이는 자리이며, 면접관의 피드백을 건설적인 방식으로 처리할 자질이 있음을 보이는 자리이다.
• 훌륭한 면접관은 부정적 신호도 놓치지 않는다. 설계의 순수성에 집착한 나머지 타협적 결정을 도외시하고 과도한 엔지니어링 (Over-Engineering)을 하고 마는 엔지니어들이 현업에도 많다. 그런엔지니어들은 과도한 엔지니어링의 결과로 시스템 전반의 비용이 올라간다는 사실을 알아채지 못하는 일이 많다.

• 문제 이해 및 설계 범위 확정
  1. 시스템 설계 면접을 볼 때 생각 없이 바로 답을 내서는 좋은 점수를 받기 어렵다.
  2. 요구 사항을 완전히 이해하지 않고 답을 내놓은 행위는 아주 엄청난 부정적 신호이다.
  3. 면접은 퀴즈 쇼가 아니며, 정답 따위는 없다는 걸 상기하자.
  4. 답부터 들이밀지 말고, 속도를 늦춰라. 깊이 생각하고 질문하여 요구사항과 가정들을 분명히 하라.
  5. 온전한 질문과 가정을 통해 시스템 구축에 필요한 정보를 모으는 ‘엔지니어적 사고’를 보여라.
  6. 아래와 같은 질문들을 생각해볼 수 있다.
     1. 구체적으로 어떤 기능들을 만들어야 하는가?
     2. 제품 사용자 수는 얼마나 되는가?
     3. 회사의 규모는 얼마나 빨리 커지리라 예상되는가?
     4. 석 달, 여섯 달, 일년 뒤의 규모는 얼마가 되리라 예상하는가?
     5. 회사가 주로 사용하는 기술 스택은 무엇인가?
     6. 설계를 단순화하기 위해 활용할 수 있는 기존 서비스는 어떤 것이 있는가?

• 해야할 것
  • 질문을 통해 확인하라. 스스로 내린 가정이 옳다 믿고 진행하지 말라.
  • 문제의 요구사항을 완벽히 이해하라.
  • 정답이나 최선의 답안 같은 것은 없다는 점을 명심하라.
  • 면접관이 여러분의 사고 흐름을 이해할 수 있도록 하라. 소통하라.
  • 가능하다면 여러 해법을 함께 제시하라.
  • 개략적 설계에 면접관이 동의하면 각 컴포넌트의 세부 사항을 설명하기 시작하라.
  • 가장 중요한 컴포넌트부러 진행하라.
  • 면접관의 아이디어를 이끌어 내라. 좋은 면접관은 여러분과 같은 팀원처럼 협력한다.
  • 포기하지 말라.

• 하지 말아야 할 것
  • 전형적인 면접 문제들에도 대비하지 않은 상태에서 면접장에 가지 말라.
  • 요구사항이나 가정들을 분명히 하지 않은 상태에서 설계를 제시하지 말라.
  • 처음부터 특정 컴포넌트의 세부사항을 너무 깊이 설명하지 말라.
  • 개략적 설계를 마친 뒤에 세부사항으로 나아가라.
  • 진행 중에 막혔다면, 힌트를 청하기를 주저하지 말라.
  • 다시 말하지만, 소통을 주저하지 말라. 침묵 속에 설계를 진행하지 말라.
  • 설계안을 내놓는 순간 면접이 끝났다고 생각하지 말라. 면접관이 끝났다고 이야기 하기 전 까지는 끝난 것이 아니다. 의견을 일찍, 그리고 자주 구하라

• 시간 배분
  1. 문제 이해 및 설계 범위 확정 - 3분에서 10분
  2. 개략적 설계안 제시 및 동의 구하기 - 10분에서 15분
  3. 상세 설계 - 10분에서 25분
  4. 마무리 - 3분에서 5분

느낀 점

• 시스템 설계 면접은 혼자서 독단적으로 완벽한 결과물을 내는 것이 아니다.
• 결국 면접관도 나와 함께 일할 동료이자, 의견을 나눌 수 있는 한 명의 개발자이다.
• 주어진 문제를 독단적으로 확신에 차 해결하기보다는 면접관과 소통하며 가능한 많은 요구사항과 아키텍처의 신뢰도를 올릴 수 있는 힌트들을 얻어보자.
• 다시 말하지만 완벽한 아키텍처는 없다.

1장, 사용자 수에 따른 규모 확장성

• 한 명의 사용자를 지원하는 시스템에서 시작하여, 몇백만 사용자를 지원하는 시스템을 설계하는 과정을 담은 책
• 단일 서버
  • 모든 컴포넌트가 단 한 대의 서버에서 실행
  • 웹 앱, 데이터베이스, 캐시 등이 전부 서버 한 대에서 실행

• 데이터베이스 분리
  • 웹 서버와 데이터베이스 서버로 분리
  • 어떤 데이터베이스를 사용할 것인가?
    • RDBMS
      • 관계형 데이터베이스 관리 시스템 (Relational Data-base Management System)
      • MySQL, Oracle, PostgreSQL 등
      • 자료를 테이블과 열, 칼럼으로 표현
      • 여러 테이블에 있는 데이터를 그 관계(Relation)에 따라 조인(Join)하여 합칠 수 있다.
    • NoSQL
      • 비 관계형 데이터베이스 (Not only SQL)
      • CouchDB, Neo4j, Cassandra, HBase, Amazon DynamoDB, MongoDB 등
      • NoSQL은 다시 네 부류로 나눌 수 있다.
        • 키-값 저장소 (Key-Value Store)
        • 그래프 저장소 (Graph Store)
        • 칼럼 저장소 (Column Store)
        • 문서 저장소 (Document Store)
      • NoSQL은 일반적으로 조인 연산은 지원하지 않는다.
    • NoSQL이 사용되는 경우
      • 아주 낮은 응답 지연시간 (Latency)가 요구되는 경우
      • 다루는 데이터가 비정형 (Unstructured)이라 관계형 데이터가 아닌 경우
      • 데이터 (JSON, YAML, XML 등)를 직렬화하거나 (Serialize) 역질렬화 (Deserialize) 할 수 있기만 하면 되는 경우
      • 아주 많은 양의 데이터를 저장할 필요가 있는 경우

• 수직적 규모 확장과 수평적 규모 확장
  • 수직적 규모 확장 (Vertical Scaling) == 스케일 업 (Scale Up)
    • 서버에 고사양 자원 (더 좋은 CPU, 더 많은 RAM)을 추가하는 행위
    • 즉 서버 스펙을 올리는 행위를 수직적 규모 확장 / 스케일 업이라 함
    • 장점
      • 서버로 유입되는 트래픽의 양이 적을 때 좋음
      • 단순함
    • 단점
      • 한 대의 서버에 CPU나 메모리를 무한대로 증설할 수 없는 한계가 존재
      • 자동 복구 (Failover) 방안이나 다중화 (Redundancy) 방안 X
      • 즉 한 대의 서버만으로 운용되기에 서버 장애 발생시 서비스는 완전히 중단
      • 이런 단점 때문에, 대규모 애플리케이션 서비스에서는 수평적 규모 확장법 / 스케일 아웃이 적절
  • 수평적 규모 확장 (Horizontal Scaling) == 스케일 아웃 (Scale Out)
    • 더 많은 서버를 추가하여 성능을 개선하는 행위

• 로드밸런서 (Load Balancer)
  • 부하 분산 집합 (Load Balancing Set)에 속한 웹 서버들에게 트래픽 부하를 고르게 분산하는 역할
  • 도로 위의 교통 경찰, 모범 운전 신호수로 비유 가능
  • 사용자는 로드밸런서의 공개 IP 주소로 접속
    • 웹 서버는 클라이언트의 직접 접속을 처리하지 않음
    • 로드 밸런서와 웹 서버간에는 보안을 위한 사설 IP 주소로 통신 (같은 네트워크에 속해있음)
  • 로드 밸런서를 사용하면 장애를 자동복구하지 못하는 문제 (Failover)는 해소되며, 웹 계층의 가용성 (Availability)는 향상된다.
  • 로드 밸런서의 자동 복구 과정
    1. 서버 1이 다운되면 모든 트래픽은 서버 2로 전송
       1. 따라서 웹 사이트 전체가 다운되는 일은 방지
       2. 부하를 나누기 위해 새로운 서버를 추가할 수도 있음
    2. 웹 사이트로 유입되는 트래픽이 가파르게 증가하면 두 대의 서버로 트래픽을 감당할 수 없는 시점이 옴
       1. 더 많은 웹 서버를 추가하여 로드밸런서를 통해 트래픽을 분산시켜 해결할 수 있음

• 데이터베이스 다중화 (Database Replication)
  • 데이터베이스 서버 사이에 Master-Slave 관계를 설정하고, 데이터 원본은 주 서버 (Master)에, 사본은 부 (Slave) 서버에 저장하는 방식
  • 쓰기 연산 (Write Operation)은 마스터에서만 지원한다. 부 데이터베이스는 주 데이터베이스로부터 그 사본을 전달받으며, 읽기 연산 (Read Operation)만을 지원한다.
  • DB를 변경하는 명령어 (Insert, Delete, Update 등)은 주 데이터베이스로만 전달된다.
  • 대부분의 애플리케이션은 읽기 연산의 비중이 쓰기 연산보다 훨씬 높기 때문에 통상 부 데이터베이스의 수가 주 데이터베이스의 수보다 많다.
  • 데이터베이스 다중화의 장점
    • 더 나은 성능 보장
    • 안정성
    • 가용성
  • 데이터베이스 서버 가운데 하나가 다운된다면?
    • 부 서버가 한 대 뿐인데 다운된 경우
      • 읽기 연산은 한시적으로 모두 주 데이터베이스에 전달
    • 주 데이터베이스 서버가 다운된 경우
      • 한 대의 부 데이터베이스가 있는 경우 해당 부 데이터베이스 서버가 새로운 주 서버가 됨
      • 모든 데이터베이스 연산은 일시적으로 새로운 주 서버상에서 수행
      • 프로덕션 환경에서는 훨씬 복잡한데, 부 서버에 보관된 데이터가 최신 상태가 아닐 가능성이 있기 때문.
        • 없는 데이터는 복구 스크립트를 돌려 추가해야 함.
        • 다중 마스터(Multi-Master)나 원형 다중화 (Circular Replication) 방식을 도입하여 이런 상황에 대처할 수 있지만, 해당 구성은 훨씬 복잡함

• 캐시를 활용한 응답 시간 (Latency) 개선
  • 캐시 (Cahce)를 붙이고 정적 콘텐츠를 콘텐츠 전송 네트워크 (Content Delivery Network, CDN)로 옮겨 개선
  • 캐시란 (Cache)
    • 캐시는 값 비싼 연산 결과 또는 자주 참조되는 데이터를 메모리 안에 두고, 뒤이은 요청이 보다 빨리 처리될 수 있도록 하는 저장소
    • 웹 페이지를 새로고침 할 때마다 표시할 데이터를 가져오기 위해 한 번 이상의 데이터베이스 호출이 발생하는데, 캐시는 이런 문제를 완화할 수 있다.
  • 캐시 계층 (Cache Tier)
    • 데이터가 잠시 보관되는 공간, 데이터베이스보다 훨씬 빠르다.
    • 별도의 캐시 계층을 통해 성능 개선과 데이터베이스 부하 절감 가능
    • 캐시 계층의 규모를 독립적으로 확장시키는 것도 가능
  • 읽기 주도형 캐시 전략 (Read-Through Caching Strategy) 요청 과정
    • 요청을 받는 웹 서버는 캐시에 응답이 저장되어 있는지 확인
    • 저장되어 있다면 (Cache Hit)
      • 해당 데이터를 캐시에서 클라이언트에 반환
    • 저장되어 있지 않다면 (Cache Miss)
      • 데이터베이스 질의를 통해 데이터를 찾아 캐시에 저장한 후 클라이언트에 반환
  • 이외에도 캐시할 데이터 종류, 크기, 액세스 패턴에 맞는 다양한 캐시 전략이 있음
  • 캐시 서버를 사용할 때 유의할 점
    • 캐시는 어떤 상황에 바람직한가?
      • 데이터 갱신은 자주 일어나지 않지만 참조는 빈번하게 일어날 때
    • 어떤 데이터를 캐시에 두어야 하는가?
      • 캐시는 데이터를 휘발성 메모리에 두므려 영속적(Persistence)으로 보관할 데이터를 캐시에 두는 것은 바람직하지 않다.
        • 캐시 서버가 재시작 되면 캐시 내의 모든 데이터는 사라진다.
        • 중요 데이터는 여전히 지속적 저장소 (Persistent Data Store)에 두어야 안전
    • 캐시에 보관된 데이터는 어떻게 만료되는가?
      • 캐시 데이터 만료 정책을 마련하는 것은 좋은 습관
      • 만료된 데이터는 캐시에서 삭제되어야 한다.
      • 만료 정책이 없으면 데이터는 캐시에 계속 남게 됨.
      • 만료 기한이 너무 짧으면 데이터베이스를 너무 자주 읽게 되고, 만료 기한이 너무 길면 원본과 캐시가 가진 데이터의 차이가 날 가능성이 높다.
    • 일관성은 어떻게 유지되는가?
      • 일관성 : 데이터 저장소의 원본과 캐시 내의 사본이 같은지 여부
      • 저장소의 원본을 갱신하는 연산과 캐시를 갱신하는 연산이 단일 트랜잭션으로 처리되지 않는 경우 이 일관성은 깨질 수 있다.
      • 여러 지역에 걸쳐 시스템을 확장해 나가는 경우 캐시와 저장소 사이의 일관성을 유지하는 것은 어려운 문제가 된다.
    • 장애는 어떻게 대처할 것인가?
      • 캐시 서버를 한 대만 두는 경우 해당 서버는 단일 장애 지점 (Single Point of Failure, SPOF)이 되어버릴 가능성이 있다.
        • 단일 장애 지점 (SPOF)
          • 어떤 특정 지점에서의 장애가 전체 시스템의 동작을 중단시켜버릴 수 있는 경우, 해당 지점
      • SPOF를 피하기 위해 여러 지역에 걸쳐 캐시 서버를 분산해야 한다.
  • 캐시 메모리는 얼마나 크게 잡을 것인가?
    • 캐시 메모리가 너무 작으면 액세스 패턴에 따라 데이터가 너무 자주 캐시에서 밀려나(Eviction) 캐시 성능이 떨어지게 된다.
    • 캐시 메모리를 과할당 (OverProvision)하여 캐시에 보관될 데이터가 갑자기 늘어났을 때 생길 문제를 방지할 수 있다.
  • 데이터 방출 (Evction) 정책은 무엇인가?
    • 캐시가 꽉 차버리면 추가로 캐시에 데이터를 넣어야 할 경우 기존 데이터를 내보내야 한다.
    • 가장 널리 쓰이는 것은 LRU (Least Recently Used)
      • 마지막으로 사용된 시점이 가장 오래된 데이터를 내보내는 정책
    • 다른 정책으로는 LFU (Least Frequently Used)
      • 사용된 빈도가 가장 낮은 데이터를 내보내는 정책
    • FIFO (First In First Out)
      • 가장 먼저 캐시에 들어온 데이터를 가장 먼저 내보내는 정책
    • 경우에 맞게 적합한 정책을 채택해야 한다.

• 콘텐츠 전송 네트워크 (CDN)
  • CDN은 정적 콘텐츠를 전송하는 데 쓰이는, 지리적으로 분산된 서버의 네트워크
  • 이미지, 비디오, CSS, JavaScript 파일 등
  • CDN 동작 과정
    1. 웹 사이트 방문
    2. 사용자에게 지리적으로 가장 가까운 CDN 서버가 정적 콘텐츠를 전달
       1. 사용자가 CDN 서버로부터 멀 수록 웹 사이트는 천천히 로드
    3. CDN 서버에 해당 정적 콘텐츠가 없는 경우, 서버는 원본 (Origin) 서버에 요청하여 파일을 가져온다.
       1. 원본 서버는 웹 서버일 수도 있고, 아마존 S3와 같은 온라인 저장소일수도 있다.
       2. 원본 서버가 파일을 CDN 서버에 반환
       3. 응답의 HTTP 헤더에는 해당 파일이 얼마나 오래 캐시될 수 있는지를 설명하는 TTL(Time To Live) 값이 들어있음
    4. CDN 서버는 파일을 캐시하고 사용자 A에게 반환. 이미지는 TTL에 명시된 시간이 끝날 때 까지 캐시
    5. 사용자 B가 같은 이미지에 대한 요청을 CDN 서버에 전송
    6. 만료되지 않은 이미지에 대한 요청은 캐시를 통해 처리
  • CDN 사용시 고려해야 할 사항
    • 비용
      • 보통 제 3 사업자 (Third-Party Providers)에 의해 운영되며, CDN으로 들어가고 나가는 데이터 전송 양에 따라 요금이 부과
      • 자주 사용되지 않는 콘텐츠를 캐싱하는 것은 손해
    • 적절한 만료 시한 설정
      • 시의성(Time-Sensitive)이 중요한 콘텐츠의 경우 만료 시점을 잘 정해야 한다.
    • CDN 장애에 대한 대처 방안
      • CDN 자체가 죽었을 경우 웹사이트/애플리케이션이 어떻게 동작해야 할지 고려
      • 가령 일시적으로 CDN이 응답하지 않을 경우, 해당 문제를 감지하여 원본 서버로부터 직접 콘텐츠를 가져오도록 클라이언트를 구성해야 함
    • 콘텐츠 무효화 (Invalidation) 방법
      • 아직 만료되지 않은 콘텐츠라 하더라도 아래 방법 가운데 하나를 통해 CDN에서 제거 가능
        • CDN 서비스 사업자가 제공하는 API를 이용하여 콘텐츠 무효화
        • 콘텐츠의 다른 버전을 서비스하도록 오브젝트 버저닝 (Obejct Versioning)
          • 콘텐츠의 새로운 버전을 지정하기 위해 URL 마지막에 버전 번호를 인자로 줌
          • ex) image.png?v=2

• 무상태 (Stateless) 웹 계층
  • 웹 계층을 수평적으로 확장하는 방법을 고민해보자.
  • 상태 정보 (사용자 세션 데이터 등)를 웹 계층에서 제거해보자
    • 상태 정보를 RDB나 NoSQL 같은 지속성 저장소에 보관하고, 필요할 때 가져오기
    • 이렇게 구성된 웹 계층을 무상태 웹 계층이라 부른다.
  • 상태 정보 의존적 아키텍처
    • 상태 정보를 보관하는 서버는 클라이언트 정보 (상태)를 유지하여 요청들 사이에 공유되도록 한다. 무상태 서버에는 이런 장치가 없다.
    • 상태 정보 의존적 아키텍처에서 같은 클라이언트로부터 요청은 항상 같은 서버로 전송되어야 한다.
      • 대부분의 로드밸런서가 이를 지원하기 위해 고정 세션 (Sticky Sesion)이라는 기능을 제공하고 있는데, 이는 로드밸런서에 부담을 준다.
      • 로드밸런서 뒷단에 서버를 추가하거나 제거하기도 까다로워진다.
      • 서버의 장애를 처리하기도 복잡해진다.
  • 무상태 아키텍처
    • 무상태 아키텍처에서 사용자로부터의 요청은 어떤 웹 서버로도 전달될 수 있다.
    • 웹 서버는 상태 정보가 필요할 경우 공유 저장소 (Shared Storage)로부터 데이터를 가져온다.
    • 상태 정보는 웹 서버로부터 물리적으로 분리되어 있고, 이런 구조는 단순하고, 안정적이며, 규모 확장이 쉽다.

• 데이터 센터
  • 두 개의 데이터 센터를 사용한다고 가정
  • 장애가 없는 상황에서 사용자는 가장 가까운 데이터 센터로 안내된다.
    • 이 절차를 지리적 라우팅 (geoDNS-Routing / geo-routing)이라 부른다.
    • 지리적 라우팅에서의 geoDNS는 사용자의 위치에 따라 도메인 이름을 어떤 IP 주소로 변환할지 결정해주는 DNS 서비스
    • 데이터 센터 중 하나에 심각한 장애가 발생하면 모든 트래픽은 장애가 없는 데이터 센터로 전송
    • 이 사례와 같은 다중 데이터센터 아키텍처를 만드려면 몇 가지 기술적 난제를 해결해야 함
      • 트래픽 우회
        • 올바른 데이터 센터로 트래픽을 보내는 효과적인 방법을 찾아야 함. GeoDNS는 사용자에게서 가장 가까운 데이터 센터로 트래픽을 보냄
      • 데이터 동기화
        • 데이터 센터마다 별도의 데이터베이스를 사용하고 있는 상황이라면, 장애가 자동으로 복구되어 트래픽이 다른 데이터베이스로 우회된다 해도, 해당 데이터센터에는 데이터가 없을 수 있음. 이런 상황을 막기 위해 데이터를 여러 데이터 센터에 걸쳐 다중화할 수 있다 (Netflix 사례)
      • 테스트와 배포
        • 웹 사이트 또는 애플리케이션을 여러 위치에서 테스트해 보는 것이 중요
        • 자동화된 배포 도구는 모든 데이터 센터에 동일한 서비스가 설치되도록 하는데 중요한 역할
    • 시스템을 더 큰 규모로 확장하기 위해서는 시스템의 컴포넌트를 분리하여 각기 독립적으로 확장될 수 있도록 하여야 한다.
    • 메시지 큐 (Message Queue)는 많은 실제 분산 시스템이 채택한 핵심 전략 중 하나이다.

• 메시지 큐 (Message Queue)
  • 메시지의 무손실을 보장하는 비동기 통신을 지원하는 컴포넌트
  • 메시지의 버퍼 역할을 하며 비동기적으로 전송한다.
  • 메시지 큐의 아키텍처
    • 생산자 또는 발행자 (Producer / Publisher)라 불리는 입력 서비스가 메시지를 만들어 메시지 큐에 발행 (Publish)한다.
    • 큐에는 보통 소비자 혹은 구독자 (Consumer / Subscriber)라고 불리는 서비스 혹은 서버가 연결되어 있는데, 메시지를 받아 그에 맞는 동작을 수행하는 역할을 한다.
  • 메시지 큐를 이용하면 서비스 또는 서버 간 결합이 느슨해져서, 규모 확장성이 보장되어야 하는 안정적 애플리케이션을 구성하기 좋다.
  • 생산자는 소비자 프로세스가 다운되어 있어도 메시지를 발행할 수 있고, 소비자는 생산자 서비스가 가용한 상태가 아니더라도 메시지를 수신할 수 있다.

• 로그, 메트릭, 자동화
  • 웹 사이트와 함께 사업 규모가 커지고 나면, 필수적으로 로그, 메트릭, 자동화에 투자해야 함
  • 로그
    • 에러 로그를 모니터링
    • 시스템의 오류와 문제들을 보다 쉽게 찾아내기 위함
    • 서버 단위로 모니터링 할 수도 있지만, 로그를 단일 서비스로 모아주는 도구를 활용하여 편리하게 검색하고 조회할 수 있다.
  • 메트릭
    • 사업 현황에 관한 유용한 정보를 얻을 수 있고, 시스템의 현재 상태를 손쉽게 파악할 수 있다.
    • 유용한 몇 가지 메트릭
      • 호스트 단위 메트릭
        • CPU, 메모리, 디스크 I/O
      • 종합 (Aggregated) 메트릭
        • 데이터베이스 계층의 성능, 캐시 계층의 성능
      • 핵심 비즈니스 메트릭
        • 일별 능동 사용자, 수익, 재방문
  • 자동화
    • 지속적 통합 (CI), 빌드, 테스트, 배포 절차 자동화

• 데이터베이스 규모 확장
  1. 수직적 규모 확장법 (스케일 업)
     1. 데이터베이스 서버 하드웨어의 한계가 있어 한 대의 서버를 무한히 증설할 수는 없다.
     2. SPOF (Single Point of Failure) 위험
     3. 고비용
  2. 수평적 규모 확장법 (스케일 아웃)
     1. 데이터베이스의 수평적 확장 (스케일 아웃)은 샤딩(Shardign)이라고 부른다.
     2. 샤딩 (Sharding)
        1. 데이터베이스를 샤드 (Shard)라고 부르는 작은 단위로 분할
        2. 모든 샤드는 같은 스키마를 쓰지만 샤드에 보관되는 데이터 사이에는 중복이 없다
        3. 샤딩 전략을 구현할 때 샤딩 키(Sharding Key)를 어떻게 정할지 고려해야 한다.
           1. 샤딩 키 (Sharding Key)는 파티션 키(Partition Key)라고도 부른다.
           2. 데이터가 어떻게 분산될지 정하는 하나 이상의 칼럼으로 구성된다.
           3. 샤딩 키가 user_id, 분할할 DB가 4개일경우 user_id % 4로 중복 없이 데이터를 분할할 수 있다.
           4. 샤딩 키를 통해 올바른 데이터베이스에 질의를 보내어 데이터 조회나 변경을 처리하므로 효율을 높일 수 있다.
           5. 샤딩 키를 정할 때는 데이터를 고르게 분할 할 수 있도록 하는게 가장 중요하다.
        4. 샤딩은 데이터베이스 규모 확장을 실현하는 훌륭한 기술이지만 완벽하진 않다.
        5. 샤딩을 도입하면 시스템이 복잡해지고 풀어야 할 새로운 문제도 생긴다.
           1. 데이터의 재 샤딩 (Resharding)
              1. 데이터가 너무 많아져서 하나의 샤드로는 더 이상 감당하기 어려울 때
              2. 샤드 간 데이터의 분포가 균등하지 못하여 어떤 샤드에 할당된 공간 소모가 다른 샤드에 비해 빨리 진행될 때
              3. 샤드 소진(Shard Exhaustion)이라고도 불르는 현상이 발생되면 샤드 키를 계산하는 함수를 변경하고 데이터를 재배치하여야 한다.
                 1. 추후 기술할 안정 해시 (Consistent Hashing) 기법을 통해 해결 가능
           2. 유명 인사 (Celebrity) 문제
              1. 핫스팟 키 (Hotspot Key) 문제라고도 부르는데, 특정 샤드에 질의가 집중되어 서버에 과부하가 걸리는 문제
              2. 유명인사가 전부 같은 샤드에 저장되는 데이터베이스가 있다고 가정
                 1. 이 데이터로 SNS 서비스를 구축하게 되면 결국 해당 샤드에는 Read 연산으로 인한 과부하에 걸리게 될 것
                 2. 해결하기 위해 유명인사 각각에 샤드 하나씩을 할당해야 할 수도 있고, 심지어는 더 잘게 쪼개야 할 수도 있다.
           3. 조인과 비정규화 (Join and De-normalization)
              1. 일단 하나의 DB를 여러 샤드 서버로 쪼개고 나면, 여러 샤드에 걸친 데이터를 조인하기가 힘들어진다.
              2. 이를 위해 DB를 비정규화하여 하나의 테이블에서 질의가 수행될 수 있게 해야 한다.

• 백만 사용자, 그리고 그 이상
  • 시스템의 규모를 확장하는 것은 지속적으로 반복적인 과정이다.
  • 1장에서 다룬 내용을 반복하다 보면 우리는 원하는 규모의 시스템에 달성할 수 있다
  • 그러나 수백만 사용자 이상을 지원하려면 새로운 전략을 도입해야 하며, 지속적으로 시스템을 가다듬어야 한다.
    • 예를 들어, 시스템을 최적화 하고 더 작은 단위의 서비스로 분할해야 할 수도 있다.

• 정리
  • 웹 계층은 무상태 (Stateless) 계층으로
  • 모든 계층에 다중화 도입
  • 가능한 한 많은 데이터를 캐시할 것
  • 여러 데이터 센터를 지원할 것
  • 정적 콘텐츠는 CDN을 통해 서비스할 것
  • 데이터 계층은 샤딩을 통해 그 규모를 확장할 것
  • 각 계층은 독립적 서비스로 분할할 것
  • 시스템을 지속적으로 모니터링하고, 자동화 도구들을 활용할 것

느낀 점

• 대규모 트래픽을 감당할수 있는 안정적인 고가용성 서버를 구성하기 위한 기초 지식을 쌓기 위해 해당 책을 공부하기 시작했다.
• 지금껏 해왔던 프로젝트에서 어떤 부분이 미흡했고, 어떤 식의 확장 전략을 세울 수 있을지 고민해보며 책을 읽는다면 좋을 것 같다.