AWS VPC(Virtual Private Cloud) 2탄.

VPC Recap

VPC 정의

Amazon Virtual Private Cloud(VPC)를 사용하면 AWS 클라우드에서 논리적으로 격리된 공간을 프로비저닝하여 고객이 정의하는 가상 네트워크에서 AWS 리소스를 시작할 수 있다.

• Public Cloud 환경 위에서 Private Cloud Computing environment 제공.
• 높은 수준까지 구성할 수 있는 네트워크 환경이며 EC2나 RDS 인스턴스를 호스팅하기 위해 설계
• InBound 및 OutBound Network Access나 Instance간 Network Access를 세밀하게 제어
• 논리적으로 격리된 공간을 Provisioning 하기에 다른 사람들은 접근하는 것은 물론 보는 것도 불가능

---

일반적 VPC Diagram

VPC Resource

VPC Subnet

Public Subnet

• '공인 네트워크 개념'으로 인터넷 구간과 직접적으로 통신할 수 있는 공공 네트워크 (i.e 외부에서 접근가능한 네트워크)
• "send all outbound traffic" Route Table 내재 (CIDR block 0.0.0.0/0)

Private Subnet

• '사설 네트워크' 개념으로 외부 인터넷 구간과 직접적인 통신을 할 수 없는 폐쇄적인 네트워크
• 인터넷 통신을 하기 위해서는 NAT instance 혹은 NAT Gateway를 이용해야함

AWS 문서에서는 Public/Private 구분을 IGW(Internet Gateway) 라우팅 테이블 유무에 따라 구분한다라고 기재되어 있다.
https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html)

---

Public Subnet 통신 흐름

출처: ANOS 2기 스터디 자료
① 퍼블릭 서브넷의 퍼블릭 EC2 인스턴스가 외부 인터넷 구간과 통신하기 위해 데이터를 가상 라우터로 전달한다. (퍼블릭 IP 사용)

② 가상 라우터는 퍼블릭 라우팅 테이블을 참고하여 인터넷 게이트웨이로 향하는 라우팅 경로를 확인한다.

③ 가상 라우터는 인터넷 게이트웨이로 데이터를 전달하고 인터넷 구간으로 넘어간다.

④ 인터넷 구간을 통해 결국 사용자에게 전달한다.

Private Subnet 통신 흐름

출처: ANOS 2기 스터디 자료
① 프라이빗 서브넷의 프라이빗 EC2 인스턴스가 외부 인터넷 구간과 통신하기 위해 데이터를 가상 라우터로 전달한다. (프라이빗 IP 사용)

② 가상 라우터는 프라이빗 라우팅 테이블을 참고하여 NAT 게이트웨이로 향하는 라우팅 경로를 확인한다.

③ 가상 라우터는 NAT 게이트웨이로 데이터를 전달하고, NAT 게이트웨이에서 프라이빗 IP를 퍼블릭 IP로 전환한다.

④ NAT 게이트웨이에서 인터넷 구간을 넘어가기 위해 인터넷 게이트웨이를 거쳐 사용자에게 전달이 됩니다. 이때 사용자는 NAT 게이트웨이에서 변환한 퍼블릭 IP로 전달받는다.

---

NAT(Network Address Translation)

• Private Subnet에서 인터넷 통신을 하기 위해서는 NAT(Network Address Translation) 역할이 필요하다.
• NAT는 Private IP를 Public IP로 변환하여 통신을 돕는다.
• 이러한 기능을 제공하기 위해 AWS에서는 NAT Gateway와 NAT Instance의 서비스를 제공한다.

출처: ANOS 2기 스터디 자료

NAT Gateway vs NAT Instance

요즘은 거의 NAT Gateway를 이용한다고 한다.

NAT Gateway

• AWS에서 제공하는 서비스
• Highly Available & Scalable
• SPOF(Single Point of Failure;단일 장애점) 요인이 적다.
• Bastian Server에 사용될 수 없다.
• Uniform Offering; type와 size에 대하여 고려할 필요 없다.

NAT Instance

• NAT기능이 탑재된 EC2 인스턴스라고 생각하면 된다.
• Customizable, 사용자가 생성하고 관리한다.
  (업데이트 경우도 사용자의 몫이다.)
• SPOF(Single Point of Failure;단일 장애점) 요인이 될 수 있다.
• Bastian Server에 사용될 수 있다.
• Flexibility: Type 와 Size에 대하여 선택할 수 있다.

---

참조

• ANOS 2기 Study Material
• AWS Online Course 강의노트
• https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html
• https://serverfault.com/questions/556363/what-is-the-difference-between-a-public-and-private-subnet-in-a-amazon-vpc