아마존 웹 서비스(AWS Discovery Book) 책을 참고하여 공부 (정보문화사)
네트워크
Network
네트워크는 서로 가지고 있는 정보를 결합해서 생산적인 가치를 만드는 일입니다.
네트워킹은 즉 서로 통신한다고 말할 수 있습니다.
이때 통신을 하기위해 지켜야하는 약속들을 "프로토콜" 이라고 부릅니다.
VPN
VPN은 가상 사설 네트워크로 큰 규모의 조직이 여러 곳에 분산되어 있는 컴퓨터를 연결하는 보안성 높은 사설 네트워크를 만들거나 원격지 간에 서로 암호화하고 안정적, 보안성 높은 통신서비스입니다.
IDC-클라우드 간 네트워크 연결을 통해서 기존 시스템과 클라우드 시스템간의 통신이 필요합니다.
VPC와 VPC GateWay를 통해 온프로미스의 VPN 장비와 아마존의 VPN을 연결하고 하이브리드 클라우드 환경을 구현합니다.
VPC
- VPC: Virtual Private Cloud로 AWS 클라우드에서 논리적으로 격리된 네트워크 공간을 할당해서 가상 네트워크에서 AWS 리소스를 이용할 수 있는 서비스. IP, 서브넷, 라우팅 테이블, 가상 네트워킹 환경을 완벽하게 구성 제어 가능
- VPC는 Ipv4와 Ipv6를 모두 사용
- AWS에 사설 네트워크를 구축
- 회사와 AWS간 VPN을 연결
- AWS를 회사 인프라처럼 사용 가능
- 세심한 네트워크 설정 가능
- 모든 리전에서 이용가능
즉 VPC와 VPC GateWay를 통해서 온프로미스의 VPN장비, 아마존의 VPN을 연결할 수 있습니다. 즉 격리된 네트워크 공간을 할당합니다.
이것을 이용하게 된다면 네트워크 구성을 손쉽게 할 수 있고, 보안 그룹, 네트워크 제어 목록을 통해 각 서브넷 에서 EC2 인스턴스에 대한 엑세스를 제어할 수 있습니다. 그리고 기업의 데이터 센터를 확장처럼 사용할 수 있습니다.
VPC 구성 요소
- 프라이빗 주소, 퍼블릭 주소, 탄성 주소
- 프라이빗 주소: 인터넷을 통해 연결할 수 없는 VPC 내부에서만 사용 가능. 자동 할당, 동일 네트워크에서 인스턴스간에 통신 가능
- 퍼블릿 주소: 인터넷을 통해 연결할 수 있는 IP주소. 인스턴스와 인터넷 간의 통신을 위해 사용. EC2 생성 시 옵션으로 퍼블릭 IP 주소 사용 여부 가능. 부팅시 새로운 주소로 할당
- 탄성 주소: 동적 컴퓨팅을 위해 고안된 고정 퍼블릭 IP 주소. VPC 모든 인스턴스와 네트워크 인터페이스에 할당 가능. 다른 인스턴스에 주소를 신속하게 다시 매칭해서 장애조치 수행 가능
- VPC와 서브넷
- VPC: 사용자의 AWS 계정을 위한 전용 가상 네트워크. 논리적으로 분리되어있음. EC2 인스턴스를 VPC에서 수행 가능. VPC 내부에서 IP block으로 나누어 구분 가능. 이를 서브넷이라 불림
- VPC와 서브넷 사이즈
- 범위를 사이다 블록 형태로 지정해야합니다. 즉 10.0.0.0/24로 VPC를 생성하면 256개의 주소를 지원하고 CIDR 블록을 각각 128개의 IP주소를 지원하는 2개의 서브넷으로 나눌 수 있습니다. 즉 10.0.0.0~127/25 과 10.0.0.128~255/25를 사용하도록 합니다.
- 퍼블릭 서브넷, 프라이빗 서브넷
- 서브넷 네트워크 트래픽이 인터넷 게이트웨이로 라우팅 되면 이를 퍼블릭 서브넷, 그렇지 않은 경우 프라이빗 서브넷. 웹 서버는 보통 퍼블릭 서브넷에 생성. DB서버 같은 경우는 프라이빗 서브넷에 생성
- 라우팅 테이블
- 서브넷 외부로나가는 아웃바운드에 대해 허용 경로를 지정하는 라우팅 테이블이 연결되어 있어야 함.
- 수정 가능
- 서브넷 간의 통신, VPC간의 통신을 원할하게 하기 위함
VPC 주요 서비스
- 보안 그룹과 네트워크 엑세스 제어 목록
- VPC는 IP와 PORT를 기준으로 통신 허용 차단 이것이 바로 보안 그룹 , 네트워크 엑세스 제어 목록
- 방화벽과 동일한 기능
구분 | 보안 그룹 | 네트워크 제어 목록 |
서비스 범위 | 인스턴스 래밸 | 서브넷 래밸 |
적용 정책 | 허용 규칙만 | 허용 거부 둘다 |
구동 방식 | 규칙 상관없이 트래픽 허용 | 반환 트래픽이 별도로 허용 |
룰 검토.적용 | 해당 객체 내 모든 룰 검토 | 해당 객체 내 룰을 번호 순으로 처리 |
적용 방법 | 인스턴스에 보안 그룹 추가 | 연결된 서브넷에 모든 인스턴스 자동 적용 |
- VPC 피어링 연결
- 비공개적으로 두 VPC간에 트래픽을 라우팅 하도록 서로 다른 VPC간의 네트워크 연결을 제공
- NAT 게이트웨이
- 외부 네트워크에 알려진 것과 다른 IP주소를 사용하는 네트웤에서 내부 IP주소를 외부 IP주소로 변환
- 프라이빗 서브넷에 있는 인스턴스를 인터넷 또는 다른 AWS 에 연결하고 외부에서 인스턴스에 연결못하도록 함
- 조건: 퍼블릭 서브넷을 지정해야 함, 탄력적 주소 필요, 인터넷 트래픽이 NAT 게이트웨이로 통신이 가능하도록 프라이빗 서브넷과 연결된 라우팅 테이블 업데이트
- VPC Endpoint
- S3는 인터넷 망과 연결된 서비스로 인터넷 기반 IP주소와 연결 정보를 가지고 있다.
- 그러나 프라이빗 서브넷에 위치한 인스턴스는 인터넷 없이 S3에 접근 할 수없다.
- 따라서 NAT이 필요한데 이는 EndPoint를 이용하면 접근 가능하다.
- VPN 연결
- 보통 VPC 에서 의 인스턴스는 온프로미스와 통신이 불가능. (인터넷으로 강제 연결은 가능)=> 보안 취약
- 따라서 VPN을 통해 보안을 철저히하고 연결
'AWS' 카테고리의 다른 글
AWS-공부(데이터베이스) (0) | 2019.08.01 |
---|---|
AWS- 공부(서버) (0) | 2019.07.22 |
AWS 공부(클라우드 컴퓨팅의 소개) (0) | 2019.07.22 |