AWS PrivateLink
AWS PrivateLink는 VPC 엔드포인트 서비스 제품군에 속한다. PrivateLink는 VPC를 서비스에 비공개로 연결하여 서비스를 VPC에 있는 것처럼 이용할 수 있는 기술이다. 프라이빗 네트워크에 있기 때문에 VPC 피어링, 인터넷 게이트웨이, NAT 또는 라우트 테이블 등이 필요 없다.
예를 들어, AWS 마켓플레이스에서 애플리케이션 서비스를 운영하는 판매업자와 대화할 때 판매업체는 자체 VPC에서 사용하는 자체 서비스를 보유하고 있고, 사용자는 사용자의 VPC에서, 사용자의 애플리케이션으로 액세스하고 싶은 것이다.
이때 판매업체는 해당 서비스를 노출하기 위해 네트워크 로드 밸런서를 만들어야 하고, 사용자는 탄력적 네트워크 인터페이스를 만든다. 그리고 둘 사이에 프라이빗 링크를 설정하여, 네트워크 로드 밸런서, 즉 해당 서비스에 대한 프라이빗 액세스 권한을 갖는다.
그러면 모든 인터넷 트래픽은 공용 인터넷을 통과하는 것이 아니라 프라이빗 네트워크를 통과하게 되어 모든 통신이 프라이빗으로 유지된다.
Site-to-site VPN 및 Direct Connect
온프레미스 데이터 센터가 클라우드와 VPC에 연결하고자 할 경우 사용할 수 있는 방법으로 Site-to-site VPN과 Direct Connect가 있다.
Site-to-site VPN
Site-to-site VPN은 온프레미스 VPN을 AWS에 연결할 수 있다. 이때 VPN은 온프레미스 데이터 센터와 VPC 간의 암호화된 연결을 말하며 공용 인터넷을 통해 연결된다. 온프레미스 데이터 센터가 공용 인터넷으로 VPC와 연결되고 암호화되어 누구도 통신하기 위해 액세스할 수 없다.
빠르게 설정할 수 있다는 장점이 있지만 공용 인터넷을 사용하기 때문에 대역폭이 제한될 수 있고, 보안 문제가 발생할 수도 있다.
Direct Connect
Direct Connect는 온프레미스 데이터 센터와 AWS 간에 물리적 연결을 설정하는 것이다. 비공개로 연결되며 안전하고 빠르며 사설 네트워크를 사용한다.
AWS의 Direct Connect 파트너와 사용자 간의 물리적 연결이기 때문에 높은 비용이 발생하고, 설정하는데 약 한 달이 소요된다. 하지만 조금 더 프라이빗하고 빠르며 안정적이다.
시험에선?
시험에는 온프레미스 데이터 센터와 AWS를 연결할 때 Site-to-site VPN을 사용하는지 묻는다. 이때 두 가지 요소로 결정할 수 있다.
- 사설 네트워크
- 빠른 설정 필요 여부
Site-to-site VPN의 경우 기업 데이터 센터를 VPC의 연결하는 것으로 온프레미스에 CGW(Customer GateWay)가 필요하고, AWS 사이트에 VGW(Virtual GateWay)가 필요하다.
AWS Client VPN
내 컴퓨터를 AWS VPC에 프라이빗으로 연결하고 싶을 때 Client VPN을 사용하여 AWS 또는 온프레미스의 프라이빗 네트워크에 연결할 수 있다.
예를 들어, 프라이빗 VPC에 EC2 인스턴스를 배포했는데 사설 IP를 사용하여 액세스하고 싶을 경우 VPN이 있다면 매우 쉽다. VPN 연결이 설정되면 사설 IP를 사용하여 EC2 인스턴스에 액세스할 수 있다.
VPC가 있고, Client VPN은 컴퓨터에 설치된다. 공용 인터넷을 통해 VPN 연결을 설정하지만 마치 VPC에 프라이빗으로 연결된 것처럼 사용할 수 있다. VPC가 온프레미스 데이터 센터에 사이트 간 VPN 연결을 설정한 경우에는 컴퓨터에서도 온프레미스 데이터 센터의 서버에 프라이빗으로 액세스할 수 있다.
Transist Gateway
Transist Gateway 개요
Transist Gateway는 AWS에 방대한 인프라가 있는 경우 복잡해지는 네트워크 구조를 해결하기 위해서 생성된 서비스이다.
Transist Gateway는 허브 및 스포크(hub-and-spoke) 형태로 수천 개의 VPC와 온프레미스 시스템 간의 피어링 연결을 설정하는 것이다.
위 그림처럼, 중간에 VPC Transist Gateway가 있고, 모든 Amazon VPC와 Direct Connect Gateway 그리고 VPN 연결은 Transist Gateway를 통해 연결된다.
따라서 다른 VPC에 피어링할 필요가 없고 Direct Connection과 Site-to-site VPN 간에 서로 다른 연결과 루트가 필요하지 않다. 이 모든 것은 기능을 제공하는 단일 게이트웨이에서 실행된다.
그러므로 시험에 수백 또는 수천 개의 VPC를 온프레미스 인프라와 연결할 수 있는 방법이 출제되면 Transist Gateway만 생각하면 된다.
요약
- VPC(Virtual Private Cloud)
- VPC 안에는 Subnet이 있다
- Subnets
- 특정 가용 영역 안에 종속된다
- VPC 내의 네트워크 파티션을 나타낸다
- Internet Gateway
- VPC 수준에서 인터넷에 액세스하기 위함
- NAT Gateway
- 프라이빗 서브넷에 있는 프라이빗 인스턴스의 경우 관리되거나 관리하는 NAT Gateway를 사용해야 한다
- 프라이빗 서브넷에 인터넷 액세스 권한을 부여하기 위해
- 프라이빗 서브넷에 있는 프라이빗 인스턴스의 경우 관리되거나 관리하는 NAT Gateway를 사용해야 한다
- Network ACL
- 상태 비저장 방화벽 사용 시 필요
- 인바운드 및 아웃바운드 트래픽에 대한 서브넷 규칙을 나타냄
- Security Groups
- 상태 저장 규칙 사용 시 필요
- 인스턴스 또는 ENI 수준에서 작동
- VPC Peering
- 두 개의 VPC를 연결하려는 경우 IP 범위가 겹치지 않을 때 사용 가능
- 비전이적
- A ↔ B, A ↔ C 일 경우 B는 C와 통신할 수 없음
- Elastic IP
- 고정된 공용 IPv4
- 사용하지 않을 때에도 비용 청구
- VPC Endpoints
- VPC 내의 모든 AWS 서비스에 대한 프라이빗 액세스를 제공하기 위함
- PrivateLink
- 써드파티 VPC에 있는 써드파티 서비스에 대해 프라이빗 연결을 설정하고 싶을 경우 사용
- VPC Flow Logs
- 네트워크 트래픽 로그에 액세스하고 싶을 경우
- Site-to-site VPN
- 온프레미스 데이터 센터를 AWS에 프라이빗하게 연결하려면 공용 인터넷을 통해 Site-to-site VPN을 설정해야 함
- Client VPN
- 사용자의 컴퓨터를 VPC에 직접 연결할 때 Client VPN을 사용하여 VPC에 직접 개방형 VPN 연결을 설정할 수 있음
- Direct Connect
- AWS와 데이터 센터를 매우 프라이빗하게 직접 연결하고 싶을 경우 사용
- Transist Gateway
- 수천 개의 VPC, 온프레미스 네트워크 및 사이트 간 VPN, Direct Connect 등을 모두 연결해야 할 때 사용
