[AWS] 생존을 위한 AWS : 용어정리(1) - Amazon VPC : 서브넷, 라우팅과 NAT, 보안그룹과 네트워크 ACL

라우팅 및 라우팅 테이블

라우팅 : 라우터가 IP 주소까지 경로를 설정하는 것

라우팅 테이블 : 소유한 경로 정보를 기반으로 목적지 IP 주소를 향해 이동해야 하는 네트워크 지도

 

도메인 이름과 IP 주소를 연결하는 DNS

---

Amazon VPC의 주요 기능 사용법

1) 라우팅 테이블 : 네트워크의 경로 정보 담은 테이블우팅 및 라우팅 테이블

 

- 라우팅 : 라우터가 IP 주소까지 경로를 설정하는 것

- 라우팅 테이블 : 소유한 경로 정보를 기반으로 목적지 IP 주소를 향해 이동해야 하는 네트워크 지도

 

기본상태에서는 VPC 내의 라우팅 정보가 있으므로 VPC 외부로는 통신할 수 없다

외부와 통신하려는 경우 외부 라우팅 정보를 추가해야 한다

인터넷 게이트웨이로 라우팅 테이블에 등록하면 인터넷 게이트웨이를 통해 인터넷과 통신할 수 있다 

 

 

2) 인터넷 게이트웨이

 

서브넷 안에 있는 EC2와 같은 자원이 인터넷과 통신할 수 있게 하기 위한 기능

인터넷 게이트웨이 생성하고 서브넷의 라우팅 테이블에 설정하면 인터넷과 VPC가 서로 통신할 수 있게 된다 

 

퍼블릿 서브넷 : 인터넷 게이트웨이로 가는 경로가 설정된 서브넷

EC2는 퍼블릭 IP 또는 Elastic IP를 부여해 인터넷과 EC2가 통신할 수 있다 

 

 

 

3) NAT 게이트웨이

 

프라이빗 서브넷에 있는 EC2와 같은 자원은 인터넷과 통신할 수 없다 

하지만, 인터넷에 있는 소프트웨어 패키지의 다운로드와 같이 VPC 내에서 인터넷과 통신해야 하는 경우 사용할 수 있는 것이 NAT 게이트웨이다. 인터넷 게이트웨이와 달리 인터넷에서 VPC로 통신할 수 없는 단방향 통신이므로 AWS 외부와 안전하게 통신할 수 있다 

 

NAT (Network Address Translation) : 프라이빗 IP주소를 퍼블릭 IP 주소로 변환하는 것

NAT게이트웨이 : 프라이빗 서브넷의 IP주소를 NAT 게이트웨이의 퍼블릭 IP로 변환해 인터넷과 통신할 수 있게 한다 

NAT 게이트웨이를 이용해 통신하기 위해서는 외부 통신을 수행하는 서브넷의 라우팅 테이블에 경로 정보를 등록해야 한다 

 

 

4) VPC 접근 제어 및 통신 로그 확인

 

VPC 에는 서브넷 단위로 접근 제어를 설정할 수 있는 네트워크 ACL 이 있다 

보안 그룹과 조합해 접근 제어 설정이 가능하다 

 

네트워크 ACL는 서브넷 단위로 설정하며, 허용 및 거부 설정이 가능하다. 

단일 패킷만 확인하므로 정보를 저장하지 않는 stateless 특징이 있다. 

규칙 우선 순위는 등록된 규칙의 번호순으로 트래픽을 허용하며 거부한다.

 

보안 그룹은 인스턴스 단위로 설정하며 허용만 설정할 수 있다. 

패킷과 관련된 세션까지 확인하므로 정보를 저장한다.

등록된 모든 규칙을 평가해 트래픽을 허용한다. 

 

VPC 흐름 로그 기능을 사용해 확인할 수 있으며 로그는 CloudWatch Logs 또는 S3에 저장할 수 있다. 

CloudWatch Logs에 저장하면 로그 내용에 따라 메일 알림을 보낼 수 있게 감시할 수 있다. 

 

EC2와 같은 VPC의 자원은 IP주소마다 네트워크 인터페이스(ENI, Elastic Network Interface)를 가진다. 

로그는 ENI 별로 출력되며 VPC에서 실행되는 모든 서비스 로그도 출력된다.

 

도착지/출발지의 IP주소와 포트, 전송 허용/거부 등의 정보가 포함된다. 

 

 

---

VPC에서 VPC, 외부 서비스, 온프레미스와의 연결

VPC와 외부 네트워크 연결

VPC 피어링 

두 개의 VPC를 연결해 통신

 

AWS Transit Gateway

AWS 네트워크 연결을 중앙에서 관리

 

 

VPC외부의 AWS 서비스와 프라이빗 통신을 하기 위한 기능 

S3등 VPC 외부에서 동작하는 AWS 서비스는 인터넷을 거쳐 통신하지만

VPC 엔드포인트를 이용하면 인터넷을 통하지 않고 프라이빗 네트워크로 통신하게 할 수 있다

 

게이트웨이 엔드포인트

S3, DynamoDB에서 사용하는 VPC 엔드포인트 

 

인터페이스 엔드포인트

AWS PrivateLink 기능을 사용해 서브넷에 서비스 접속용 ENI를 생성해 프라이빗 IP로 통신한다. 

 

---

VPC 구성 예시

글로벌 서비스 : 특정 리전에 의존하지 않고 실행되는 서비스 ex) IAM, CloudFront

리전 서비스 : 리전 내, VPC 외부에서 실행되는 서비스 ex) S3, DynamoDB

AZ 서비스 : VPC 내에서 실행되는 서비스 ex) EC2, RDS

 

노션 확인하기