VPC (Virtual Private Cloud)
다른 User 와 경리 된 Private 네트워크 공간 (EC2 instance) Subnet으로 공간들 만들 수 있으며 외부에서 들어오는 / 외부로 나가는 데이터 (통신)을 차단 할 수 있는 기능이 있어 보안 문제도 해결 할 수 있습니다.
인터넷에 연결된 VPC 연결 : 단계별
1. IP 주소 범위 선택
- RFC1918 + /16주소 사용 권장
2. 가용 영역 (AZ)벌 서브넷 설정
- one subnet per Availability Zone
3. 인터넷으로 향하는 경로 (Route) 만들기
- Route Table은 패킷이 이동하는 규칙을 포함
- VPC에 기본 route table이 존재 단 서브넷에 다른 route table을 할당할 수 있음
- Internet Gateway에 0.0.0.0/0은 VPC로 향하는 않는 모든 것 : 인터넷으로 보내기
4. VPC로 / 부터의 트래픽 설정
- VPC 의 네트워크 보안 : Network ACLs / Security groups
Network ACLs : Stateless firewall -> subnet 단위 설정 단 stateless 동작
Security Group : 애플리케이션 구조 -> 각 구조에 Security group 설정이 가능 (web server rule / backend server rule)
VPC의 연결 옵션
1. 인터넷 액세스 제한: 서브넷 별로 다른 라우팅
- 서브넷 별로 각기 다른 라우팅
- NAT gateway : 아웃바운드 전용 인터넷 허용 (인터넷 연결된 subnet은 Public / 안된 subnet은 Private)
2. 다른 VPC와 연결 (VPC peering)
- VPC peering 사용 예: 공유 서비스 VPC
- 공통/핵심 서비스 (인증/디렉토리, 모니터링, 로깅, 원격 관리, 스캐닝)
- Establish A VPC peering : 경로 생성 서버에서 요청 하고 다른 서버에서 승인해야합니다
3. 회사 네트워크에 연결 (Virtual Private Network(VPN) & Direct Connect (DX)
- 두가지 모두 온 프레미스 네트워크와 VPC 사이의 보안 연결을 지원
- VPC은 인터넷을 통한 IPSec 터널
- DX은 전용성
- 높은 가용성을 위해서 : 두가지 모두 사용
ref : https://youtu.be/R1UWYQYTPKo
VPC 관련 개념
IP Address class : 특정 네트워크를 가리키는 8비트의 네트워크 영역(Network Address)과 해당 네트워크 내에서 호스트의 주소(Host Address)를 가리키는 나머지 영역을 구분하기 위해서 클래스(Class)를 사용했습니다.
CIDR (Classless inter-domain routing) : 클래스 없는 도메인 간 라우팅 기법으로 1993년 도입되기 시작한 국제 표준의 IP주소 할당 방법이며, 앞서 설명한 IP 클래스 방식을 대체한 방식입니다.
기존에는 클래스에 따라 정해진 Network Address와 Host Address를 사용해야 했다면, CIDR은 원하는 블록만큼 Network Address를 지정하여 운용할 수 있습니다.
서브넷 (Subnet) : 서브넷은 서브네트워크(Subnetwork)의 줄임말로 IP 네트워크의 논리적인 하위 부분을 가리킵니다. 서브넷을 통해 하나의 네트워크를 여러 개로 나눌 수 있습니다.
- 퍼블릭 서브넷 : 인터넷을 통해 연결 할 수 있는 서브넷
- 프라이빗 서브넷 : 인터넷을 연결하지 않고, 보안을 유지하는 배타적인 서브넷
- VPN only 서브넷 : 기업 데이터 센터와 VPC를 연결하는 서브넷
라우팅 테이블 (Routing Table) : 라우팅 테이블은 트래픽의 전송 방향을 결정하는 라우트와 관련된 규칙을 담은 테이블로 목적지를 향한 최적의 경로로 데이터 패킷을 전송하기 위한 모든 정보를 담고 있습니다.
각각의 서브넷은 항상 라우팅 테이블을 가지고 있어야 하며, 하나의 라우팅 테이블 규칙을 여러 개의 서브넷에 연결하는 것도 가능합니다.
'AWS' 카테고리의 다른 글
| DevOps Day 31 (4.18) AWS_수평확장 (0) | 2023.04.20 |
|---|---|
| DevOps Day 30 (4.17) AWS_Sprint 3 Tier 아키텍처 배포 (2) | 2023.04.18 |
| DevOps Day 29 (4.14) AWS - RDS (0) | 2023.04.14 |
| DevOps Day 29 (4.14) AWS - Storage (0) | 2023.04.14 |
| DevOps Day 29 (4.14) AWS - EC2 (0) | 2023.04.14 |
