02. VPC(Virtual Private Cloud)

VPC(Virtual Private Cloud) ?

 

말 그대로 사용자 정의로 구성된 가상의 프라이빗 클라우드 네트워크를 의미.

VPC 의 설정으로 네트워크를 제어한다.

클라우드 환경을 퍼블릭과 프라이빗의 논리적으로 독립된 네트워크 영역으로 분리할 수 있게 해준다.

VPC는 리전단위로 생성이 가능하다.

 

VPC의 구성 요

1.서브넷 (Subnet)

 

서브 네트워크(Subnetwork)의 준말로  IP 네트워크의 논리적인 영역을 부분적으로 나눈 하위 망을 의미한다.

AWS 의 VPC 도 서브넷을 이용하여 네트워크를 분리할 수 있다.

즉 , IP 주소범위를 세분화 하여 만든 네트워크 영역을  의미한다.

• 퍼블릭 서브넷 - Public subnet
  • 인터넷 연결이 가능하다. 외부 리소스 배치.
• 프라이빗 서브넷 - Private subne
  • 인터넷 연결이 불가하다. 내부 보안 리소스 배치.

 

2. 라우팅 테이블 

 

트래픽의 경로를 정의한다.

IP의 범위가 구체적일수록 먼저 적용된다는 특징을 지녔다.

Destination(목적지) 와 Target(트레픽 전달 대상) 으로 이루어져 있다.

인터넷과 연결하기 위해서는 인터넷 게이트웨이 (IGW) 가 필요하다.

 

3. Internet Gateway (IGW)

 

인터넷 게이트웨이(IGW)는 VPC 와 internet 간의 논리적 연결이다. 

간략하게 말해서는 VPC에서 인터넷으로 나가는 관문이다.

VPC 당 1개만 연결이 가능하다.

외부와 통신하려면 퍼블릭 서브넷에 IGW 설정이 필요하다.

 

 

4. NAT Gateway

 

Private Subnet에서 인터넷 연결이 필요한 경우에는 어떻게 해야할까?

 프라이빗 서브넷의 리소스가 인터넷에 접근할 수 있도록 지원한다.

네트워크 주소변환을 통해 프라이빗 서브넷에서 인터넷 또는 기타 AWS 서비스에 연결할수 있도록 하는 gateway 이다.

외부 서비스에서 private Subnet의 인스턴스로 접근할 수 없지만 private Subnet 내의 인스턴스에서는 NAT Gateway 를 통해 외부 서비스로 접근 할 수 있다.

NAT 게이트 웨이는 퍼블릭 서브넷에만 설치가 가능하다.

 

 

5. 네트워크 ACL (Network Access Control List)

 

서브넷 수준의 트레픽 제어 방화벽. 허용 또는 거부를 넣을 수 있다.

순서대로 규칙을 평가 하는데 (번호가 낮은 것 부터.) 포트 및 아이피를 직접 deny 할 수 있다.

순차적으로 적용되는데 , 맨 처음부터 전부 허용을 하게 되면 이후 허용 거부를 넣더라도 적용이 되지 않기 때문에 , 좁은 범위부터 번호를 낮게 넣어야하고.

규칙 범위도 추후에 더 추가될 수 도 있기 떄문에 번호대를 크게 사용하여 설정하게 된다.

네트워크 ACL은 통신 상태를 관리하지 않는 "Stateless" 방화벽이다. 통신의 관련성을 고려하지 않으므로, 인바운드/아웃바운드 모두에 허용 설정이 필요하다.

예시) 인바운드에서 특정 요청의 수락을 허용하더라도, 아웃바운드에서 응답의 송신을 허용하지 않으면 정상적으로 통신할 수 없다.

 

 

6. 보안그룹 (Security Group)

인스턴스 수준에서의 트레픽 제어 방화벽,

허용과 거부로 나눠지지 않고 허용 규칙만 존재한다.

하나의 인스턴스는 하나이상의 보안그룹으로 설정되어야 한다.

예를 들어 22, 443 보안그룹A 과 80 보안그룹 B 를 적용시키면 22,443,80이 모두 허용됨을 의미한다.

상태저장이라는 특징을 가지고 이어, 인바운드 규칙 허용시 아웃바운드로도 허용된다.

 

 

보안 그룹과 , 네트워크 ACL의 설계 차이

둘 다 보안을 위한 방화벽 기능을 갖고 있지만

Security Group 는 "인스턴스" 단위를 설정하는 Firewall(방화벽) 기능이다.

Network ACL 는 "서브넷" 단위의 전체 인스턴스에 적용하는 Firewall(방화벽) 기능이다.

Security Group → EC2 Instance
Network ACL → Subnet

 

---

VPC의 IP

private IP

프라이빗 IP 주소는 VPC 내에서 유효한 IP 주소로 VPC 내의 다른 인스턴스나 VPC와 연결된 네트워크와 통신하기 위해 사용된다.

VPC 내의 AWS 리소스(ex)EC2)에서는 퍼블릿 서브넷과 프라이빗 서브넷에 상관없이 모두 프라이빗 IP 주소가 자동으로 할당된다.

프라이빗 IP 주소는 AWS 리소스를 중지했다가 다시 시작한 훟에도 동일한 IP 주소를 계속헤서 사용할 수 있다.

 

public IP

퍼블릭 IP 주소는 인터넷 상의 고유한 IP 주소이다.

퍼블릭 IP 주소가 할당된 AWS 리소스는 인터넷 등 VPC 외부 네트워크와 통신할 수 있게 된다.

퍼블리 IP 주소는 인스턴스를 퍼블릭 서브넷에 생성될 때 자동으로 할당된다.

Elastic IP 주소와 달리 퍼블릭 IP 주소는 AWS 리소스가 중지될 때 IP 주소가 해제되어 AWS 에 반환되며 ,  AWS 리소스가 다시 시작될 때 새로운 IP 주소가 할당된다.

 

Elastic IP 

탄력적 IP 주소는 인터넷과 통신할 수 있는 고정된 퍼블릭 IP 주소이다.

탄력적 IP 주소는 AWS 계정과 연결되어 있으며 , AWS 리소스에 수동으로 할당된다.

할당된 탄력적 IP 주소는 AWS 리소스가 중지되거나 다시 시작하더라도 IP 주소가 변경되지 않는다.