[AWS] VPC 알아보기

아래 내용은 경기인력개발원의 [클라우드 구축 및 운영] 과정을 수료하면서 정리한 것입니다

 

 

 

 

네트워크

- net + work = 연결되어 있는 일

- 서로 정보를 주고받아 새로운 가치를 생산

- 네트워크를 구성하기 위한 규칙 : 프로토콜

 

 

VPN

- Virtual private network

- 큰 규모의 조직의 네트워크가 분간되어 있을 경우 각 네트워크를 연결

- 가상 시설망

- 암호화 기술을 적용하여 보안을 강화

- 클라우드와 온프레믹스간 연결을 통해 보안을 강화 한 하이브리드 클라우드 구축

 

 

 

Amazon VPC

- virtual private cloud

- 직접 정의 가능한 가상 네트워크에서 AWS리소스를 구동할 수 있는 논리적으로 격리된 네트워크

 

주요 설정

- ip주소 범위

- 서브넷

- 라우팅 테이블

- 네트워크 게이트웨이

- IPv4 및 IPv6

 

 

구성요소

- private ip 주소

인터넷을 통해 연결항 수 없는 vpc내부에서만 사용할 수 있는 주소

vpc에서 시작된 인스턴스 서브넷 범위에서 자동으로 할당

동일 네트워크의 인스턴스 간 통신 가능

보조 private ip할당 가능

 

- public ip 주소

인터넷을 통해 연결할 수 있는 ip주소

EC2 생성 시 옵션으로 public ip 사용 여부를 선택

EC2 인스턴스에서 수동으로 연결 및 해제 불가

EC2 인스턴스 재부팅 시 새로운 ip주소 할당 (고정되지 않음)

 

- Elastic ip 주소

동적 컴퓨팅을 위해 사용되는 고정 퍼블릭 ip주소

VPC의 인스턴스 및 네트워크 인터페이스에 Elastic ip 할당 가능

다른 인스턴스로 매칭 변경 가능

효율적 활용을 위해 실행중인 인스턴스와 연결돼있지 않거나 중지된 인스턴스, 분리된 인터페이스에 연결 시 요금이 부과되며 5개로 제한됨

 

 

 

---

 

 

VPC와 서브넷

- vpc는 전용 가상 네트워크를 의미하며, 리전의 모든 가용영역에 적용됨

- vpc 서비스 목적에 따라 ip block을 나누어 구분 : 서브넷

- 가용영역에 하나 이상의 서브넷을 추가할 수 있으나 서브넷은 단일 사용영역에만  생성되며 여러 가용영역으로 확장 불가

- vpc와 서브넷의 크기 지정

일반적으로 CIDR(Classless Inter Domain Routing) 형태로 지정

 

 

퍼블릭 서브넷/ 프라이빗 서브넷

- 퍼블릭 서브넷 : 네트워크 트래픽이 게이트웨이로 라우팅되는 서브넷

인터넷망을 통해 서비스를 수행하는 인스턴스는 퍼블릭 서브넷에 생성

 

- 프라이빗 서브넷 : 네트워크 트래픽이 게이트웨이로 라우팅되지 않는 서브넷

인터넷에 직접 연결할 필요없고, 높은 보안이 요구되는 DB는 프라이빗 서브넷에 생성

 

 

라우팅 테이블

- 아웃바운드 트래픽에 대한 경로 지정. 서브넷 및 vpc 간 통신을 위하여 구성 

 

 

 

보안그룹 / 네크워크 ACL

- ip와 포트를 기준으로 통신을 허용 및 차단하기 위한 기능

- 보안 그룹

인스턴스 레벨의 접근 규칙 설정 : 인스턴스에 보안그룹을 적용하여 설정

허용만 설정 가능

반환 트래픽 허용

 

 

네트워크 ACL

서브넷 레벨의 접근 규칙 설정 :  연결된 서브넷의 모든 인스턴스에 자동 적용

허용 및 거부 규칙 설정 가능

반환 트레픽에 대한 허용 필요 

 

 

 

VPC 피어링 연결

- 서로 다른 VPC 간 트래픽 라우팅

 

 

 

NAT 게이트웨이

- Network Address Translation Gateway

- 외부 네트워크에 알려진 것과 다른 ip주소를 사용하는 내부 네트워크에서 내부 IP주소를 외부 IP주소로 변환하는 직업을 수행하는 서비스

- 프라이빗 서브넷 내에 있는 인스턴스를 인터넷이나 다른 AWS 서비스에 연결하기 위한 용도로 사용

- DB 등과 같이 외부에 직접 공개되어서는 안되는 중요한 서비스지만, 패치, 보안 업데이트, sw업데이트 등을 인터넷을 통해 연결해야 할 경유

 

- NAT 게이트웨이 사용요건

NAT 게이트웨이를 생성하기 위항 퍼블릭 서브넷 지정

NAT 게이트웨이와 연결할 Elastic IP 주소 팔요

NAT 게이트웨이를 만든 후 인터넷 트래픽이 NAT 게이트웨이로 통신이 가능하도록 프라이빗 서브넷과 연결된 라이팅 테이블 설정 수정

 

- NAT 인스턴스로 대체 가능

퍼블릭 서브넷에서 직접 관리하는 인스턴스

 

 

 

VPC Endpoint

- 퍼블릭 서브넷 사용 시 인터넷 기반 연결정보를 가지는 퍼블릭 서비스 (Amazon S3 등)에 접근이 가능하지만, 프라이빗 서브넷 사용 시 접근 불가

- 프라이빗 서브넷이 S3에 연결하기 위해서는 NAT 게이트웨이/인스턴스가 필요하나 VPC Endpoint를 사용하여 접근할 수 있음

 

- VPC Endpoint 유형

gateway Endpoint : S3, DymanoDB 등 연결 시 사용

interface Endpoint : S3, DymanoDB를 제외한 퍼블릭 서비스 연결 시 사용

 

 

 

VPN

–Virtual Private Network

–기본적으로 Amazon VPC 내 인스턴스와 온프레미스 서버 또는 데이터센터 내 서버와의 통신은 인터넷을 통한 일반적인 통신으로만 연결 가능

–하지만 이와 같은 방식은 보안을 필요로 하는 데이터 송수신시에는 취약

 

–VPN 연결을 통해 보안이 강화된 연결 구현

AWS VPC에 가상 프라이빗 게이트웨이를 연결

사용자 지정 라우팅 테이블 생성

보안 그룹 규칙 업데이트

AWS 관리형 VPN 연결 생성