참고
추가 네트워크
NACL(Network Access Control List)
NOTE
네트워크 입장에서 서브넷에 요청이 들어가기전에 거치는 단계
SG는 상태를 가지고, NACL은 상태를 가지지 않는다!
•
서브넷마다 존재하며 기본값으로 모든것이 들어오고 나올 수 있다.
•
Nacl의 경우
◦
무상태라 in,out 바운드 모두 통과해야한다
•
SG의 경우
◦
상태유지라 in,out 바운드 중 하나가 통과되면 남은 하나는 자동으로 통과된다.
•
1~32766의 규칙이 존재하며 낮을수록 우선순위가 높다
임시포트 (Ephemeral Ports)
•
OS에 따라 port의 범위가 달라진다.
◦
윈도우의 경우 49152 ~ 65535
◦
Mac의 경우 32768 ~ 60999
•
요청에 대해서 응답할때의 port를 임시로 만들어서 생성한다. (무작위 포트)
•
Web
◦
3306에 대한 Outbound을 허용한다.
◦
1024~65535 범위의 임시포트에 대해 Outbound를 허용한다.
•
DB
◦
3306에 대한 Inbound를 허용한다.
◦
1024~65535 범위의 임시포트에 대해 Inbound를 허용한다.
구분 | Security Group(SG) | Network ACL(NACL) |
서비스 범위 | 인스턴스 레벨에 적용 | 서브넷 레벨에 적용 |
적용 정책 | Allow 규칙만 적용 <SG 기본 정책>inbound : all denyoutbound : all allow | Allow, Deny 규칙 적용 |
구동 방식 | 규칙에 상관없이 반환 트래픽 허용 | 반환 트래픽이 별도로 허용되어야 함 |
Rule 검토/적용 | 해당 객체 내 모든 Rule 검토 | 해당 객체 내 Rule을 번호 순으로 처리 |
적용 방법 | 인스턴스에 Security Group 추가 필요 | 서브넷에 있는 모든 인스턴스에 자동 적용됨 |
실습
실습과정
VPC Peering
NOTE
2개의 VPC를 연결할 수 있다!
•
단 A와 B , B와 C가 연결되어있어도 A와 C가 통신하려면 따로 연결을 생성해주어야 한다.
•
다른 계정이나 지역으로도 연결할 수 있다.
•
2 VPC의 CIDR이 달라야 연결이 가능하다!
실습
실습 과정
VPC 엔드포인트
NOTE
인터넷 게이트웨이나 NatGateway없이 인터넷에 접근이 가능해짐
IGW를 거치지 않고 private한 통신으로 바로연결
•
모든 AWS 서비스는 퍼블릭에 노출되어 있고 퍼블릭 URL을 가진다.
•
AWS에 있는 모든 서비스에 엑세스할 때 퍼블릭 인터넷을 거치지 않고 프라이빗 네트워크를 사용할 수 있다.
•
대표적으로 Amazon SNS의 경우 IGW를 거치지않고 AWS 내부통신망에서 통신이 가능하도록 한다.
•
2가지 타입이 존재
◦
Interface EndPoint
▪
대다수 AWS 서비스에 지원된다.
▪
온프레미스에 연결하거나 다른 VPC에 연결하는 경우에도 사용이 가능하다
▪
비용이 든다.
◦
Gateway Endpoints
▪
비용이 들지 않고 확장성이 더 높으며, 더 권장되는 방법이다.
▪
route table을 사용한다.
▪
s3와 dynamoDB만 지원한다.
▪
공짜임
◦
2개의 타입에 대해서 어떤것이 더 좋은지 잘 생각해보자
실습
실습과정
VPC FLOW
NOTE
인터페이스로 향하는 IP트래픽 정보를 포착하는 것, VPC, 서브넷, ENI 3개의 로그가 있다.
•
srcaddr & dstaddr
◦
문제가 있는 IP식별
•
scrport & dstport
◦
문제가 있는 port식별
•
ACTION
◦
요청에 실패했는지 성공했는지 보여줌
VPC 로그 사용방법
실습
실습 과정
Site-to-Site VPN
NOTE
AWS Site-toSite VPN서비스에서 VPN 연결은 VPC와 자체 온프레미스 간 연결을 의미한다!
기업의 온프레미스와 연결
VPG, CGW가 사용되는걸 보자!
•
Virtual Private Gateway
◦
단일 VPC에 연결할 수 있는 사이트 간 VPN 연결의 Amazon측 VPN 엔드포인트
•
Customer Gateway
◦
고객 게이트웨이 디바이스에 대한 정보를 AWS에 제공하는 AWS 리소스
◦
CGW가 퍼블릭이면 퍼블릭 IP로 VGW와 연결
◦
CGW가 프라이빗이면 NAT 장치의 공용 IP를 사용하여 연결!
•
서브넷의 VPC에서 라우팅 전파를 활성화해야 Site-to-SIte VPN연결이 작동
•
온프레미스에서 AWS로 EC인스턴스 상태를 진달할 때 보안 그룹 인바운드 ICMP프로토콜이 활성화 되었는지 확인
•
AWS VPN CloudHub
◦
VPN 연결을 통해 모든 사이트간 안전한 소통을 보장
◦
비용이 적게 드는 허브 및 스포크 모델로 VPN만을 활용해 서로 다른 지역 사이 기본 및 보조 네트워크 연결성에 사용한다.
실습
VPN연결을 위해 이미지의 3개를 생성해야함!
•
단 우리는 온프레미스환경이 없으므로 생성하는 과정을 보기만한다.
Direct Connect(DX)
NOTE
AWS와 AWS 인프라 사이의 전용 고속도로와 같다!
원래 사용하는 인터넷이 아닌, 퍼블릭 인터넷을 우회해서 네트워크와 AWS 네트워크 간에 전용 연결 프라이빗을 제공한다!
•
전용 회선이 생긴것이므로 더 높은 대역폭과 더 낮은 대기 시간으로 일관된 네트워크 성능을 얻을 수 있다!
•
개방되지 않은 전용 연결이므로 보안측에서도 좋다.
•
대용량 데이터를 처리할 때 전송 비용이 훨씬 낮다!
•
설치기간이 오래걸림
•
복원력
◦
2개의 DC가 있다면 하나가 망가져도 예비로 하나가 남아있어 복원력이 강해짐
◦
복원력을 최대로 보장하기 위해선, 독립적인 연결을 2개씩 수립하면된다.
Transit Gateway
NOTE
다수의 VPC를 VPC Peering(1대1) 연결해주기에는 너무 힘들다..
이를 위해 모든 VPC를 연결하는 중앙 시스템을 의미함!
복잡한 Network 구조 (모두 1대1로 연결중..)
Transit Gateway에 여러 VPC를 연결가능! (복잡성 감소)
•
지역 리소스, 지역 간 작업 가능
•
RAM(Resource Access Manager)을 사용하여 교차 계정 공유
•
IP 멀티캐스트 지원
ECMP 활용
Site-to-Site VPN ECMP
ECMP를 사용한 처리량
•
ECMP = 동일 비용 다중 경로 라우팅
•
여러 최상의 경로를 통해 패킷을 전달할 수 있는 라우팅 전략
VPC Traffic Mirroring
NOTE
VPC에서 네트워크 트래픽을 수집하고 검사하되 방해되지 않는 방식으로 실행하는 기능
•
수집하려는 트래픽이 있는 소스 ENI를 정의
•
ENI나 NLB중 어디로 트래픽을 보낼지 대상을 정의
•
동일한 VPC 상에 소스와 대상이 있어야 한다.
VPC 용 IPv6
NOTE
IPv4주소가 거의 소진이 되어가서 새롭게 등장한 IP주소형식
•
3.4 * 10^38개수만큼 존재
•
16진수 8자리로 나타낸다.
•
VPC에서 IPv6를 활성화해서 사용할 수 있다.
•
IPv4는 비활성화할 수 없지만 IPv6는 비활성화할 수 있다.
실습
실습 과정
Egress-only Internet Gateway (외부 전용 인터넷 게이트웨이)
NOTE
IPV6 트래픽에서만 사용하며, NatGateway와 비슷하다!
IPv6만 통신가능한 인터넷게이트웨이
실습
실습 과정