참고
AWS 네트워크 요약!
NOTE
간단하게 한줄 요약하자!
•
CIDR
◦
IP 범위
•
VPC
◦
Virtual Private Cloud(가상 사설 클라우드)
◦
IPv4와 IPv6으로 작동
•
서브넷
◦
CIDR이 정의된 AZ에 연결된다
◦
프라이빗 및 퍼블릭 서브넷이 존재한다
•
인터넷 게이트웨이
◦
VPC레벨에서 IPv4와 IPv6 인터넷 접근을 제공
•
라우팅 테이블
◦
대체 게이트웨이나 VPC 피어링 연결, VPC 엔드포인트로 향하는 라우트를 갖도록 편집됨
◦
네트워크가 VPC 내부에서 흐르도록 돕는 중요한 기능을 제공한다.
•
Bastion Host
◦
퍼블릭 EC2 인스턴스
◦
SSH로 프라이빗 서브네의 EC2로 연결
•
Nat Instance
◦
EC2 인스턴스
◦
퍼블릭 및 프라이빗 서브넷에 배포되어 프라이빗 서브넷의 EC2인스턴스에 인터넷 접근 제공
◦
이제는 사용하지 않음.. (Nat Gateway사용)
◦
보안 그룹 규칙 수정 필요
•
Nat Gateway
◦
AWS에서 관리
◦
프라이빗 EC2인스턴스에 확장 가능한 인터넷 엑세스를 제공하고 IPv4에서만 동작
•
보안 그룹(SG)
◦
상태가 유지
◦
인바운드 허용 시 아웃바운드도 허용된다.
◦
EC2 인스턴스 레벨에서 적용
•
NACL
◦
Network Access Control List, 방화벽 규칙
◦
인바운드 아웃바운드 접근을 서브넷 레벨에서 정의
◦
휘발성 포트 NACL이 무상태이므로 인바운드 아웃바운드가 항상 평가됨!
•
VPC 피어링
◦
두 VPC를 연결할 떄 유용하다
◦
CIDR이 겹치지 않는 경우에만 가능하다
◦
1대1 연결만 가능하다! A,B,C를 모두 연결하려면 A-B, B-C, A-C로 연결해야함
•
VPC 엔드포인트
◦
VPC가 보호받아야 하는 경우, 공용 인터넷보다 직접 연결되어 있는 전용 터널로 가는것이 좋다는 개념!
◦
S3, DynamoDB, SSM등 VPC내 모든 서비스에 가능
◦
S3, DynamoDB는 게이트웨이 엔드포인트, 나머지는 인터페이스 엔드포인트
•
VPC 흐름 로그
◦
VPC내 모든 패킷과 관련해 메타데이터를 얻는 방법
◦
허용 및 거절 트래픽 정보가 존재한다
◦
VPC 흐름 로그는 VPC 서브넷이나 ENI레벨에서 생성된다.
◦
Athena 분석 과정 후 S3로 전송
•
Site-to-Site VPN
◦
온프레미스(우리집)을 AWS(별장)의 가상 클라우드(VPC)에 연결하는 지하터널로 생각하자!
◦
퍼블릭 인터넷을 지나는 VPN 연결
◦
AWS에는 VGW, 온프레미스에는 CGW를 구축하고 연결한다.
•
AWS VPN CloudHub
◦
하나의 큰 원형교차로를 건설해서 연결하는 집에는 로타리까지만 도로를 건설하는 방식(중앙 허브개념)
◦
VGW를 사용해 VPC 연결을 여러 개 생성하기 위해 활용
◦
허브와 스포크 간 VPN 모델로 사이트에 연결
•
Direct Connect
◦
데이터 센터를 비공개로 연결하는 방법
◦
퍼블릭 인터넷을 사용하지 않고 지하터널 뚫는 개념이라 생각하자
•
Direct Connect Gateway
◦
다양한 AWS 리전의 수 많은 VPC에 연결
•
VPW PrivateLink
◦
고객 VPC에 만든 자체 VPC의 내부 서비스에 비공개로 연결
◦
네트워크 로드 밸런서와 ENI만 주로 함께 사용
•
AWS Transit Gateway
◦
VPC와 VPN, Direct Connect를 위한 전이적 피어링 연결
•
VPC 트래픽 미러링
◦
추가 분석을 위해 ENI등에서 네트워크 트래픽 복사
•
송신 전용 인터넷 게이트웨이
◦
NAT Gateway와 비슷하지만 IPv6 전용