AWS- 공부(네트워크)

---

아마존 웹 서비스(AWS Discovery Book) 책을 참고하여 공부 (정보문화사)

---

네트워크

Network

네트워크는 서로 가지고 있는 정보를 결합해서 생산적인 가치를 만드는 일입니다.

네트워킹은 즉 서로 통신한다고 말할 수 있습니다.

이때 통신을 하기위해 지켜야하는 약속들을 "프로토콜" 이라고 부릅니다.

 

VPN

VPN은 가상 사설 네트워크로 큰 규모의 조직이 여러 곳에 분산되어 있는 컴퓨터를 연결하는 보안성 높은 사설 네트워크를 만들거나 원격지 간에 서로 암호화하고 안정적, 보안성 높은 통신서비스입니다.

IDC-클라우드 간 네트워크 연결을 통해서 기존 시스템과 클라우드 시스템간의 통신이 필요합니다.

VPC와 VPC GateWay를 통해 온프로미스의 VPN 장비와 아마존의 VPN을 연결하고 하이브리드 클라우드 환경을 구현합니다.

 

VPC

• VPC: Virtual Private Cloud로 AWS 클라우드에서 논리적으로 격리된 네트워크 공간을 할당해서 가상 네트워크에서 AWS 리소스를 이용할 수 있는 서비스. IP, 서브넷, 라우팅 테이블, 가상 네트워킹 환경을 완벽하게 구성 제어 가능
• VPC는 Ipv4와 Ipv6를 모두 사용
• AWS에 사설 네트워크를 구축
• 회사와 AWS간 VPN을 연결
• AWS를 회사 인프라처럼 사용 가능
• 세심한 네트워크 설정 가능
• 모든 리전에서 이용가능

 

즉 VPC와 VPC GateWay를 통해서 온프로미스의 VPN장비, 아마존의 VPN을 연결할 수 있습니다. 즉 격리된 네트워크 공간을 할당합니다.

이것을 이용하게 된다면 네트워크 구성을 손쉽게 할 수 있고, 보안 그룹, 네트워크 제어 목록을 통해 각 서브넷 에서 EC2 인스턴스에 대한 엑세스를 제어할 수 있습니다. 그리고 기업의 데이터 센터를 확장처럼 사용할 수 있습니다.

 

VPC 구성 요소

• 프라이빗 주소, 퍼블릭 주소, 탄성 주소
  • 프라이빗 주소: 인터넷을 통해 연결할 수 없는 VPC 내부에서만 사용 가능. 자동 할당, 동일 네트워크에서 인스턴스간에 통신 가능
  • 퍼블릿 주소: 인터넷을 통해 연결할 수 있는 IP주소. 인스턴스와 인터넷 간의 통신을 위해 사용. EC2 생성 시 옵션으로 퍼블릭 IP 주소 사용 여부 가능. 부팅시 새로운 주소로 할당
  • 탄성 주소: 동적 컴퓨팅을 위해 고안된 고정 퍼블릭 IP 주소. VPC 모든 인스턴스와 네트워크 인터페이스에 할당 가능. 다른 인스턴스에 주소를 신속하게 다시 매칭해서 장애조치 수행 가능
• VPC와 서브넷
  • VPC: 사용자의 AWS 계정을 위한 전용 가상 네트워크. 논리적으로 분리되어있음. EC2 인스턴스를 VPC에서 수행 가능. VPC 내부에서 IP block으로 나누어 구분 가능. 이를 서브넷이라 불림
• VPC와 서브넷 사이즈
  • 범위를 사이다 블록 형태로 지정해야합니다. 즉 10.0.0.0/24로 VPC를 생성하면 256개의 주소를 지원하고 CIDR 블록을 각각 128개의 IP주소를 지원하는 2개의 서브넷으로 나눌 수 있습니다. 즉 10.0.0.0~127/25 과 10.0.0.128~255/25를 사용하도록 합니다.
• 퍼블릭 서브넷, 프라이빗 서브넷
  • 서브넷 네트워크 트래픽이 인터넷 게이트웨이로 라우팅 되면 이를 퍼블릭 서브넷, 그렇지 않은 경우 프라이빗 서브넷. 웹 서버는 보통 퍼블릭 서브넷에 생성. DB서버 같은 경우는 프라이빗 서브넷에 생성
• 라우팅 테이블
  • 서브넷 외부로나가는 아웃바운드에 대해 허용 경로를 지정하는 라우팅 테이블이 연결되어 있어야 함.
  • 수정 가능
  • 서브넷 간의 통신, VPC간의 통신을 원할하게 하기 위함

VPC 주요 서비스

• 보안 그룹과 네트워크 엑세스 제어 목록
  • VPC는 IP와 PORT를 기준으로 통신 허용 차단 이것이 바로 보안 그룹 , 네트워크 엑세스 제어 목록
  • 방화벽과 동일한 기능 
  •  

구분	보안 그룹	네트워크 제어 목록
서비스 범위	인스턴스 래밸	서브넷 래밸
적용 정책	허용 규칙만	허용 거부 둘다
구동 방식	규칙 상관없이 트래픽 허용	반환 트래픽이 별도로 허용
룰 검토.적용	해당 객체 내 모든 룰 검토	해당 객체 내 룰을 번호 순으로 처리
적용 방법	인스턴스에 보안 그룹 추가	연결된 서브넷에 모든 인스턴스 자동 적용

 

• VPC 피어링 연결
  • 비공개적으로 두 VPC간에 트래픽을 라우팅 하도록 서로 다른 VPC간의 네트워크 연결을 제공
• NAT 게이트웨이
  • 외부 네트워크에 알려진 것과 다른 IP주소를 사용하는 네트웤에서 내부 IP주소를 외부 IP주소로 변환
  • 프라이빗 서브넷에 있는 인스턴스를 인터넷 또는 다른 AWS 에 연결하고 외부에서 인스턴스에 연결못하도록 함
  • 조건: 퍼블릭 서브넷을 지정해야 함, 탄력적 주소 필요, 인터넷 트래픽이 NAT 게이트웨이로 통신이 가능하도록 프라이빗 서브넷과 연결된 라우팅 테이블 업데이트
• VPC Endpoint
  • S3는 인터넷 망과 연결된 서비스로 인터넷 기반 IP주소와 연결 정보를 가지고 있다.
  • 그러나 프라이빗 서브넷에 위치한 인스턴스는 인터넷 없이 S3에 접근 할 수없다.
  • 따라서 NAT이 필요한데 이는 EndPoint를 이용하면 접근 가능하다.
• VPN 연결
  • 보통 VPC 에서 의 인스턴스는 온프로미스와 통신이 불가능. (인터넷으로 강제 연결은 가능)=> 보안 취약
  • 따라서 VPN을 통해 보안을 철저히하고 연결