[ AWS ] 아마존 웹 서비스 AWS Discovery Book 5편

아마존 웹 서비스 AWS Discovery Book의 책의 내용을 기반으로 정리한 내용으로 정확한 내용은 책을 참고하시기 바랍니다. 

 

4장. 독립적인 나만의 가상 네트워크 공간 만들기

1. Network

• Net + Work의 합성어로 연결해서 서로가 가지고 있는 정보를 결합하여 생산적인 가치 만드는 일
• 네트워킹을 한다 = 서로 통신을 한다.
• 통신을 위해서 지켜야 하는 약속들을 포토콜이라고 한다. 

 

2. VPN(Virtual Private Network)

• 인터넷을 활용하여 원격지 간에 네트워크를 서로 연결하고 암호화 기술을 적용하여 보다 안정적이며 보안성 높은 통신을 제공하는 서비스
• 인터넷을 통해 디바이스 간 사설 네트워크 연결을 생성. 데이터를 안전하게 익명으로 전송하는데 사용
• 사용자 IP 주소를 마스킹하고 데이터를 암호화하여 수신 권한이 없는 사람이 읽을 수 없도록 하는 기능
• 기존 IDC에서 서비스하던 모든 시스템을 클라우드로 인전하는 것으 어려움. IDC와 클라우드 네트워크 연결이 필요
• Amazon에서는 VPC와 VPC Gateway를 통해 On-premise의 VPN 장비와 Amazon의 VPN을 연결할 수 있으며 이를 통해 보안성 높은 하이브리르 클라우드 환경을 구현하여 원할한 클라우드 컴퓨팅 서비스를 지원

https://aws.amazon.com/ko/what-is/vpn/

VPN이란 무엇인가요? - 기업 VPN 초보자를 위한 가이드 - AWS

 

 

3. VPC(Virtual Private Cloud)

• AWS 클라우드에서 논리적으로 격리된 네트워크 공간을 할당하여 가상 네트워크에서 AWS 리소스를 이용할 수 있는 서비스 제공
• AWS VPC 자체 IP주소 범위, 서브넷 생성, 라우팅 데이블 및 네트워크 게이트웨이 구성 선택 등 가상 네트워킹 환경을 완벽하게 제어

 

4. VPC의 구성요소

4-1 프라이빗 IP 주소(Private IP), 퍼블릭 IP 주소(Public IP), 탄성 IP 주소(Elastic IP)

• 프라이빗 IP 
  • 인터넷을 통해 연결할 수 없는 VPC 내부에서 사용하는 주소
  • VPC에서 시작된 인스턴스 서브넷의 범위에서 자동할당
• 퍼블릭 IP
  • 인터넷을 통해 연결할 수 있는 IP 주소
  • EC2 생성시 옵션으로 퍼블릭 IP주소 사용 여부를 선택할 수 있음. 인스턴스에서 퍼블릭 IP 주소를 수동으로 연결, 해제할 수 없음
  • 인스턴스가 재부팅되면 새로운 퍼블릭 IP 주소 할당
• 탄성 IP
  • 동적 컴퓨팅을 위해 고안된 고정 퍼블릭 IP 주소
  • VPC의 모든 인스턴스와 네트워크 인터페이스에 탄성 IP를 할당
  • 탄력적 IP주소의 효율적인 활용을 위해 인스턴스와 연결되어 있지않거나, 중지된 인스턴스 또는 분리된 네트워크 인터페이스와 연결되어 있는 경우 요금 부과
  • 사용 가능한 탄력적 IP 주소는 5개로 제한되며 이를 절약하기 위해 NAT 디바이스를 사용할 수 있음.

4-2 VPC와 서브넷

• VPC는 AWS 클라우드에서 다른 가상 네트워크와 논리적으로 분리
• Amazon EC2인스턴스와 같은 AWS 리소스를 VPC에서 실행
• VPC 내부의 네트워크에서도 서비스 목적에 따라 IP Block으로 나누어 구분. IP Block의 모음을 서브넷이라고 표현(네트워크상 서비넷과 동일한 개념)
• VPC는 모든 가용 영역에 적용되며, 각 가용 영역에 하나 이상의 서브넷을 추가할 수 있음
• 서브넷은 단일 가용 영역에서 생성. 여러 가용영역으로 확장할 수 없음.

4-3 VPC(Virtual Private Cloud)와 서브넷의 사이즈

• VPC에서 사용하게 될 IP 주소의 범위 (ex. 1.1.1.1/26)를 CIDR(Classless Inter-Domain Routing) 블록 형태로 지정해야 함
• CIDR 블록 계산법은 네이버나 구글을 통해 검색 및 확인 가능

4-4 퍼블릭 서브넷과 프라이빗 서브넷

• 퍼블링 서브넷 : 서브넷 네트워크 트래픽이 인터넷 게이트웨이로 라우팅 되는 서브넷
• 프라이빗 서브넷 : 인터넷 게이트웨이로 라우팅 되지 않는 서브넷
• EC2 인스턴스가 IP를 통해 인터넷과 통신을 할 수 있게 하려면, 퍼블릭 IP 또는 탄성 IP주소 필요

4-5 라우팅 테이블

• 서브넷은 외부로 나가는 아웃바운드 트래픽에 대해 허용된 경로를 지정하는 라우팅테이블과 연결되어 있어야 함
• 생성된 서브넷은 자동으로 VPC의 라우팅 테이블과 연결되며 테이블 내용을 변경할 수 있음.

 

5. VPC의 주요 서비스

5-1 보안 그룹과 네트워크 액세스 제어 목록(Network ACL)

• VPC는 IP와 Port를 기준으로 통신을 허용하거나 차단 기능 제공. 이와 같은 서비스를 보안 그룹과 네트워크 ACL이라 함
• VPC의 보안그룹과 네트워크 ACL을 통해 AWS 상에서 방화벽과 동일한 기능 사용
• 보안 그룹
  • 서비스 범위 : 인스턴스 레벨
  • 적용 정책 : 허용 규칙만 적용
  • 구동방식 : 규칙에 상관없이 반환 트래픽 허용
  • 룰 검토/적용 : 해당 객체 내 모든 룰 검토
  • 적용 방법 : 인스턴스에 보안 그룹 추가 필요
• 네트워크 ACL
  • 서비스 범위 : tjqmspt fpqpf
  • 적용 정책 : 허용 및 거부 규칙 적용
  • 구동방식 : 반환 트래픽이 별도로 허용해야 함
  • 룰 검토/적용 : 해당 객체 내 룰을 번호 순으로 처리
  • 적용 방법 : 연결된 서브넷에 모든 인스턴스 자동 적용

5.2 VPC 피어링 연결 (VPC Peering Connection)

• 서로 다른 VPC 간의 네트워크 연결을 제공
• 2017년 11월 다른 리전 간 VPC Peering 지원 발표. 2018년 7월부터 대다수 리전간 Peering 지원

5.-3 NAT(Network Address Translation) 게이트웨이

• 외부 네트워크에 알려진 것 과 다른 IP주소를 사용하는 내부 내크워크에서 내부 IP 주소를 외부 IP 주소로 변환하는 작업을 수행하는 서비스
• NAT 게이트웨어는 프라이빗 서브넷 내에 있는 인스턴스를 인터넷 또는 다른 AWS 서비스에 연결하고, 외부망 또는 인테넷에서 해당 인스턴스에 연결하지 못하도록 구성할 때 사용
• NAT 게이트웨이 구성 조건
  • 퍼블릭 서브넷을 지정
  • NAT 게이트웨이와 연결할 탄력적 IP 주소 필요
  • NAT 게이트웨이를 만든 후 인터넷 트래픽이 NAT 게이트웨이로 통신이 가능하도록 프라이빗 서브넷과 연결된 라우팅 테이블 업데이트

5-4 VPC Endpoint

• Amazon S3는 인터넷망에 연결된 서비스로 인터넷 기반의 IP주소와 연결 정보를 가지고 있음
• 프라이빗 서브넷에 위치한 인스턴스는 인터넷과 연결되어 있는 S3와 공용 리소스를 연결할 수 없음. 이와 같은 경우 NAT 게이트웨이나 NAT 인스턴스 필요.
• VPC Endpoint를 이용하면 빠르고 손쉽게 S3 연결할 수 있음

5-5 VPN(Virtual Private Network) 연결

 

 

 

https://docs.aws.amazon.com/ko_kr/vpc/latest/userguide/what-is-amazon-vpc.html

Amazon VPC란 무엇인가? - Amazon Virtual Private Cloud

 

6. 실습 : VPC 생성

aws 로그인 이후 콘솔 화면에서 VPC 메뉴로 들어가게 되면 아래와 같이 메뉴들이 보이게 된다. 

 

1. 퍼블릭 서브넷

2. 프라이빗 서브넷

3. NAT 게이트웨이

https://docs.aws.amazon.com/ko_kr/vpc/latest/userguide/VPC_Scenario2.html

퍼블릭 및 프라이빗 서브넷이 있는 VPC(NAT) - Amazon Virtual Private Cloud

https://docs.aws.amazon.com/ko_kr/vpc/latest/userguide/vpc-nat-gateway.html

NAT 게이트웨이 - Amazon Virtual Private Cloud