Amazon VPC(Amazon Virtual Private Cloud)
: AWS가 제공하는 AWS 계정 전용 가상 네트워크로 네트워크와 서브넷 범위, 라우팅 테이블, 네트워크 게이트웨이 등 가상 네트워킹 환경을 설정할 수 있다.
| CIDR 블록 | 서브넷, VPC를 생성할 때 네트워크 범위를 CIDR로 정하고 이를 더 작은 서브넷으로 나누어 사용한다. |
| 서브넷 마스크 | CIDR은 서브넷 마스크의 표기법 중 하나이다. |
| 가용영역 | 서브넷이 구축된 물리적 장소 |
| 인터넷 게이트웨이 | 인터넷에 접속하기 위한 출입구 |
| 보안 그룹 | 가상 방화벽, 인스턴스 단위로 설정 |
| 네트워크 ACL | 가상 방화벽, 서브넷 단위로 설정 |
- VPC는 물리적 라우터가 아닌 소프트웨어가 라우터 역할을 수행한다.
이때 일반적인 서브넷 사이의 통신은 라우터로 이루어지지만, VPC의 경우 라우터 없이 직접 통신할 수 있다.
- VPC 하나에 인터넷 게이트웨이 하나만 설정할 수 있다.
- 라우터와 인터넷 게이트웨이는 IP 주소를 갖지 않는다.
- VPC를 구축하지 않고 리전별로 구축되어 있는 기본 VPC를 사용해도 무방하다.
- VPC에는 DHCP 서버가 동작하고 있어서 인스턴스가 추가되면 해당 서브넷 범위의 IP 주소 중 하나가 할당된다.
네트워크 기초 지식
- 게이트웨이는 기기의 역할, 실제 기기는 라우터
- IP 마스커레이드(masquerade)(NAPT, Network addresss Port, Translation)
: 사설 IP 주소를 공인 IP 주소로 변환을 담당하는 것으로 내부에서 외부로 나가는 것은 가능하지만, 외부에서 내부로 들어오는 것은 불가능하다.
- NAT(Network Address Translation) : 공인 IP 주소 여러 개를 설정해서 내부와 외부를 양방향으로 통신할 수 있게 한다.
🐥 IP 마스커레이드 vs NAT
- IP 마스커레이드는 일대다, NAT은 다대다이다.
- IP 마스커레이드는 port를 변환할 수 있지만 NAT은 포트를 변환할 수 없다.
- 서브넷을 통해 네트워크를 분할하여 직접 통신할 수 있는 범위를 좁히고 방화벽을 설정해 보안을 강화한다.
CIDR(Classless Inter-Domain Routing)은 프리픽스 표기라고도 한다. ex. /16, /24...
인터넷 게이트웨이와 NAT 게이트웨이
인터넷 게이트웨이는 인터넷 연결을 담당한다. EC2 인스턴스의 연결 정보를 가지고 있는 인터넷 게이트웨이는 공인 IP 주소를 사설 IP 주소로 변환하여 EC2 인스턴스(서버)에 요청을 보낸다.
NAT 게이트웨이는 서브넷에서 인터넷으로 접속할 수 있지만, 인터넷에서 서브넷으로 접속하지 못하게 한다.
보안그룹과 네트워크 ACL
방화벽 : 네트워크 통신, 인바운드 트래픽(데이터 유입)과 아웃바운드 트래픽(데이터 유출)을 제어한다.
| 보안 그룹 | 네트워크 ACL | |
| 설정 범위 | 인스턴스 설정 | 서브넷 설정 |
| 규칙 | 규칙 허용 가능 | 규칙 허용과 거부 가능 |
| 설정 | stateful 규칙과 상관없이 반환된 트래픽을 자동으로 허용 |
stateless 반환된 트래픽을 규칙에 따라 명시적으로 허용 |
| 규칙 적용 순서 | 모든 규칙을 확인하여 트래픽의 허가 여부를 정한다 |
순서대로 규칙을 처리하면서 트래픽의 허가 여부를 정한다 |
daemon
: PC의 전원이 켜져 있는 동안 계속해서 동작하고 있는 소프트웨어
VPC 엔드포인트
: VPC 내부에서 VPC 외부로 접속하기 위한 연결점을 제공하는 서비스
ex. 인터넷 게이트웨이를 통하지 않고 S3와 VPC를 연결
| 인터페이스 엔드포인트 | 게이트웨이 엔드포인트 |
| 네트워크 인터페이스(ENI, Elastic Network Interface)로 구축 |
라우팅 테이블에 설정된 내용을 라우팅하는 유형 |
| - 사설 IP 주소를 가진 ENI가 존재하며 ENI는 각 서비스와 연결하는 출입구 역할을 함 - AWS PrivateLink 방식을 사용 |
- 서비스 리전 단위로 라우팅 테이블을 설정하는 방식을 사용 - S3와 DynamoDB는 이러한 형식을 취하고 ㅣㅇㅆ |
VPC와 다른 네트워크를 연결하는 방법
1. VPC peering
2. transit gateway : VPC나 온프레미스 네트워크 등을 하나로 집약하여 통신 경로를 통합적으로 처리
3. AWS Direct Connect : 전용선으로 연결
4. AWS VPN : 인터넷 VPN을 사용
WAN(Wide Area Network)을 구축하는 방법
1. 전용선 - KT와 같은 통신 사업자가 직접 연결할 수 있는 회선인 전용선을 임대하여 구축
2. 가상 사설망 - 보유하고 있는 회선과 공용 회선을 사용하여 거점끼리 통신을 암호화하여 연결
'Cloud' 카테고리의 다른 글
| 8장] 알아두면 좋은 AWS 서비스 (0) | 2024.07.10 |
|---|---|
| 7장] 데이터베이스 서비스 Amazon RDS, DynamoDB 등 (0) | 2024.07.10 |
| 5장] 스토리지 서비스 Amazon S3 (0) | 2024.07.09 |
| 4장] 서버 서비스 Amazon EC2 (0) | 2024.07.09 |
| 3장] AWS를 사용하기 위한 도구 (0) | 2024.07.09 |
