AWS/AWS 기초

VPC 기초

SALEE 2023. 4. 7. 09:28
728x90

VPC

  • AWS 클라우드에서 논리적으로 격리된 공간을 프로비저닝하여 고객이 정의하는 가상 네트워크에서 AWS 리소스 시작 가능
  • IP 주소 범위 선택, 서브넷 생성, 라우팅 테이블 및 네트워크 게이트웨이 구성 등 가상 네트워킹 환경 완벽하게 제어 가능
  • VPC에서 IPv4와 IPv6를 모두 사용하여 리소스와 애플리케이션에 안전하고 쉽게 액세스 가능

 

Default VPC

  • 계정 생성 시 자동으로 셋업(모든 리전에)
  • 모든 서브넷의 인터넷 접근 가능
  • EC2가 퍼블릭 IP와 Private IP 모두 가지고 있음
  • 삭제시 복구 불가

 

Custom VPC

  • 새로 만들어야 함
  • Default VPC의 특징을 가지고 있지 않음

 

VPC를 사용하여 할 수 있는 일들

  • EC2 실행 가능
  • 서브넷 구성 가능
  • 보안 설정(Ip block, 인터넷에 노출되지 않은 EC2 구성 등) 가능

 

VPC Peering : VPC 간에 연결

  • TRansitive Peering 불가능 : 한 다리 건너 연결되어 있다고 해서 Peering 된 것이 아님

 

VPC FLow Log

  • VPC의 로그를 CloudWatch에 저장 가능

 

IP 대역 지정 가능

 

Region에 하나 : 다른 Region으로 확장 불가능

 

VPC 구성 요소

  1. Availability Zone
  2. Subnet
  3. Internet GateWay
  4. Network Access Control List/Security Group
  5. Route Table
  6. Network Access Translation Instance/NAT Gateway
  7. Bastion Host
  8. VPC Endpoint
    VPC 구성 요소

 

Availability Zone

  • 물리적으로 분리되어 있는 인프라가 모여 있는 데이터 센터
  • 고가용성을 위해서 항상 일정 거리 이상 떨어져 있음
  • 하나의 리전은 2개 이상의 AZ로 이루어져 있음
  • 각 계정의 AZ는 다른 계정의 AZ와 다른 아이디를 부여 받음
    • 계정 1의 AZ-A는 계정 2의 AZ-A와 다른 곳에 있음

 

Subnet

  • VPC의 하위 단위
  • 하나의 AZ에만 생성 가능 : 다른 AZ로 확장 불가
    • 하나의 AZ에는 여러 Subnet 생성 가능
  • Private Subnet : 인터넷에 접근 불가능한 Subnet
  • Public Subnet : 인터넷에 접근 가능한 Subnet
  • CIDR block range 설정 가능

 

Internet Gateway(IGW)

  • 인터넷으로 나가는 통로
  • 고가용성이 확보되어 있음
  • IGW로 연결되어 있지 않은 서브넷 = Private Subnet
  • Route Table에서 연결해줘야 함

 

NACL / Security Group

  • 검문소
  • NACL => Stateless, SG => Stateful
  • 기본적으로 VPC 생성 시 만들어줌
  • DenyNACL에서만 가능

 

Route Table

  • 트래픽이 어디로 가야 할지 알려주는 이정표
  • 기본적으로 VPC 생성시 만들어줌

 

Bastion Host와 NAT Gateway

NAT Instance / NAT Gateway

  • Private Instance가 외부의 인터넷과 통신하기 위한 통로
  • NAT Instance는 단일 Instance / NAT Gateway는 AWS에서 제공하는 서비스
  • NAT Instance를 사용할 때 Source / Destination Check을 해제해야 함
  • NAT Instance는 Public Subnet에 있어야 함

 

Bastion Host

  • Private Instance에 접근하기 위한 Instance
  • Public Subnet에 위치해야 함

 

VPC Endpoint

  • 인터넷 게이트웨이, NAT 디바이스, VPN 연결 또는 AWS Direct Connect 연결을 필요로 하지 않고 AWS PrivateLink 구동 지원 AWS 서비스 및 VPC 엔드포인트 서비스에 비공개로 연결 가능
  • VPC의 인스턴스는 서비스의 리소스와 통신하는데 퍼블릭 IP 주소를 필요로 하지 않음
  • VPC와 기타 서비스 간의 트래픽은 Amazon 네트워크를 벗어나지 않음
  • Interface Endpoint : ENI(Elastic Network Interface) 기반
    • Private ip를 만들어 서비스로 연결시켜줌
    • 많은 서비스들을 지원 (SQS, SNS, Kinesis, Sagemaker 등)
  • Gateway Endpoint : 라우팅 테이블에서 경로의 대상으로 지정하여 사용
    • S3 및 DynamoDB 지원

 

Transit Gateway

  • 다수의 VPC, On-premise를 연결하기 위한 AWS Hyperplane 기반의 Regional Virtual Router
  • 수많은 VPC를 쉽고 자유롭게 연결
  • 지점/지사/온프레미스를 단순하게 통합 (VPN, Direct Connect Gateway)
  • 라우팅 도메인을 이용한 다양한 구성 (Consolidation, lsolation)

기존 연결 형태
Transit Gateway를 통한 새로운 연결 구조
Transit Gateway 구성 요소

 

 

 

[출처] : AWS 강의실 - AWS강좌 (VPC)

https://www.youtube.com/watch?v=FeYagEibtPE 

https://www.youtube.com/watch?v=lqnncuQgz28 

https://www.youtube.com/watch?v=MPaxxOsjOos 

 

728x90