개념 설명
VPN(Virtual Private Network)
먼저 VPC 를 알려면 VPN 을 알아야 한다.
만약 회사의 네트워크가 구성되어있고 보안상의 이유로 직원간 네트워크를 분리할려고 가정하면
기존 인터넷선 선공사도 다시해야하고 건물의 내부선을 다 뜯어고쳐야하며 다시 전용선을 깔아주어야할것이다.
VPN은 한국어로 가상사설망. 앞에 가상이라는 단어에서 알 수 있듯 실제 사설망이 아닌 직원간의 네트워크를 가상의 사설망으로 분리할수있는 기술이다.
그리고 이 VPN 을 Cloud 에 적용 시키면 VPC 가 된다.
VPC(Virtual Private Cloud)
중구난방으로 뿌려져 잇는 ec2(인스턴스)를 이렇게 vcp 내로 구획할수있다는 얘기다.
서브넷
VPC를 만들었다면 이제 서브넷을 만들자 서브넷은 부분망이라는 뜻이다. 말그대로 VPC 안에서의 부분망 즉 VPC 를 한차례 더 쪼개 겠다는 얘기다 위그림을 보면 알수잇다.
라우터 와 인터넷 게이트웨이
라우터는 라우팅 테이블을 이용하여 분기를 나타내어준다.
네트워크 요청이 발생하면 데이터는 우선 라우터로 향하게되고 서브넷의 라우팅테이블은 VPC안의 네트워크 범위를 갖는 네트워크 요청은 로컬에서 찾도록 되어있습니다. 하지만 그 이외 외부로 통하는 트래픽을 처리할 수 없습니다.이때 인터넷 게이트웨이를 사용합니다.
인터넷게이트웨이는 VPC와 인터넷을 연결해주는 하나의 관문이다. 말그대로 인터넷과 연결해주는 하나의 관문이며 이와 연결되어있는 서브넷을 퍼블릭 서브넷 아닌것을 프라이빗 서브넷이라 부른다.
보안그룹(Security Group)과 네트워크ACL(Network ACL)
이 두개의 공통점은 트래픽을 제어하는 방화벽이며 차이점은 보다시피 보안그룹은 인스턴스앞에서 ACL 은 서브넷 앞에서 트래픽을 제어한다.(두가지가 충돌할경우 보안그룹을 우선한다!)
NAT 게이트웨이
NAT 게이트웨이는 프라이빗서브넷이 인터넷과 통신하기위한 아웃바운드 인스턴스다.
프라이빗 네트워크가 외부에서 요청되는 인바운드는 필요없더라도 인스턴스의 펌웨어나 혹은 주기적인 업데이트가 필요하여 아웃바운드 트래픽만 허용되야할 경우가 있을수도 있다.
이때 퍼블릭 서브넷상에서 동작하는 NAT 게이트웨이는 프라이빗서브넷에서 외부로 요청하는 아웃바운드 트래픽을 받아 인터넷게이트웨이와 연결한다.
