aws(2)VPC(Virtual Private Cloud)

1.VPN(Virtual Private Network)

인터넷을 활용하여 원격지 간에 암호화 기술을 적용하여 보다 안정적이게 네트워크를 서로 연결하여 데이터를 공유하는 시스템 -> 예로, 재택근무간 컴퓨터를 원격접속할때도 바로 이 VPN이 활용됨

 

2.amazon vpc(Virtual Private Cloud)

aws 클라우드의 네트워크 공간을 할당하여 가상 네트워크에서 aws 리소스를 이용할 수 있는 서비스

 

특징

-격리된 자신만의 네트워크를 구성할 수 있다.

-격리된 네트워크는 subnet 관리가 가능하며, 관리자는 인터넷에 노출될 public subnet과 그렇지 않은 private subnet을 나눌 수 있다. 웹 서버등은 public subnet에 두고, 외부로 부터 격리가 필요한 데이터베이스, WAS등은 private subnet에 두는 등의 자오로운 구성이 가능하다.

-라우터를 만들고 설정 할 수 있다. 라우터를 이용해서 패킷의 경로를 재 조정할 수 있다. public subnet에 NAT를 만들고 private subnet의 패킷을 NAT를 경유하게 해서 인터넷 접근이 가능하게 하는 등의 구성이 가능하다.

-VPN을 구성해서 기업의 데이터 센터를 AWS로 확장할 수 있다.

-모든 리전에서 사용 가능하다.

 

구성요소

-프라이빗 IP: 인터넷으로 접근x, VPC내부에서만 사용가능한 IP

-퍼블릭 IP: 인터넷으로 접근o, 인스턴스 재부팅시 퍼블릭 IP 자동 변경

-탄력적 IP: IP할당후 인스턴스에 연결시 인터넷으로 접근o, 고정된 IP값

-VPC: 개인 사용자 내부의 가상 네트워크망

-서브넷: VPC내부의 더많은 네트워크망을 만들기위해 VPC를 쪼개는 개념

-퍼블릭 서브넷: 인터넷 게이트웨이로 라우팅 되는 서브넷(ex.EC2)

-프라이빗 서브넷: 인터넷 게이트웨이로 라우팅 되지 않는 비교적 보안성을 필요로하는 서브넷(ex.RDS)

-라우터: 네트워크 요청이 발생했을때 데이터가 우선적으로 향하는 곳(목적지)

-라우팅 테이블: 네트워크 요청은 라우팅 테이블에 따라 목적지로 향함(이정표) -> 서브넷의 인스턴스로 연결

 

주요 서비스

-보안 그룹과 네트워크 액세스 제어 목록(Network ACL)

	보안그룹	네트워크 ACL
서비스 범위	인스턴스 레벨에 적용	서브넷 레벨에 적용
적용 정책	허용 규칙만 적용	허용과 거부 규칙 적용
구동 방식	규칙에 상관없이 반환 트래픽 허용	반환 트래픽이 별도로 허용되어야 함
룰(Rule) 검토/적용	해당 객체 내 모든 룰 검토	해당 객체내 룰을 번호순으로 처리
적용 방법	인스턴스 보안그룹에 추가	연결된 서브넷의 모든인스턴스 적용

-VPC 피어링 연결: 서로 다른 두 VPC간에 트래픽을 라우팅할수 있게 하는 서비스

-NAT 게이트웨이: 인터넷 게이트웨이가 연결되지 않은 인스턴스들이 특정 CIDR에 대해서 인터넷 액세스 할수 있도록 변환해주는 서비스(for.소스 IP)

-VPC Endpoint: NAT 게이트웨이를 사용하지 않고도 인터넷 액세스에 대해 S3,rds와 같은 프라이빗 서브넷에 연결 가능하게끔 만들어주는 서비스 -> 내부에서 통신을 허용하게끔 VPC Endpoint를 만들어줌

 

참고 블로그

AWS VPC 구성

 

NAT 게이트웨이 기능 소개 : NHN Cloud Meetup

 

Virtual Private Cloud(VPC) 쉽게 이해하기 #5