리전
특정 지역에 위치한 서비스 제공하는 데이터 센터의 집합을 의미한다
AWS에서 다수의 컴퓨팅 서비스를 제공하기 위해서 대규모 서버 컴퓨터가 필요한데, 한 곳에 전부 몰아서 만들게 된다면 2가지 단점이 부각됨
- 재해 발생시 모든 서비스 마비
ex) 카카오톡 데이터센터 화재 - 글로벌 서비스의 경우 모든 서버 컴퓨터가 한 대륙에만 위치 할 경우 다른 대륙은 비교적 느린 서비스를 제공 받음
가용영역
특정 지역에 위치한 서비스를 제공하는 데이터 센터의 집합에서 그 중 하나를 의미
VPC
Virtual Private Cloud의 약자로 가상의 네트워크 영역을 의미한다
AWS 리전 하나 당 최대 5개의 VPC가 가능하며, 각 리전에는 한 개의 default VPC가 존재함
유의점
-
VPC는 사설 리소스이기에 사설 IPv4만 할당이 가능하다
-
총 5개의 아이피 주소를 호스트에 할당 할 수 없음
2.1 서브넷의 네트워크 대역- 서브넷 네트워크 자체를 식별하는데 사용하기 때문
2.2 VPC 라우터에 할당
- VPC 라우터에 할당함으로써 서브넷 내의 인스턴스가 동일한 VPC 내의 다른 네트워크, 리소스, 인터넷과 통신 가능
2.3 Amazon이 제공하는 DNS에 할당
- 각 VPC에 대한 DNS 서비스를 제공함과 동시에 서브넷 범위 내의 미리 정해진 IP 주소에 서비스를 할당
2.4 추후를 대비한 예약
- 현재 사용하지 않지만, 향후 AWS가 새로운 기능을 추가함을 대비
2.5 브로드 캐스트 주소
- 전통적으로 IP 주소 범위의 마지막 주소는 사용하지 않음
- VPC에서 나눠진 서브넷은 다시 나눌 수 없음
VPC와 외부 네트워크 통신
일반적으로 사설 IP 대역은 공용 IP 대역과 통신이 불가한데 어떻게 통신을 할 수 있을까?
Public Subnet
외부와 통신이 원활한 VPC 서브넷
AWS에서는 Internet Gateway를 지정함으로써 서브넷을 퍼블릭 서브넷으로 사용할 수 있음
- 네트워크 패킷이 특정 방향으로 이동하게 만드는 방법을 라우팅이라고 한다
따라서 Internet Gateway를 지정한다고 해서 외부 네트워크가 통신이 가능한게 아닌, 라우팅 테이블을 설정해줘야 정상적으로 통신이 가능하다
Destination, Target
Destination : VPC 주소, VPC로 들어올 때의 주소
Target : Local, 내부VPC 라우터가 보낼 곳
ex)
Destination : 10.0.0.0/16
- 라우팅 테이블 내 규칙이 적용될 대상 네트워크의 IP 주소 범위를 ㅡ이미하며, VPC 내의 어떤 주소로 향하는 트래픽에 적용된다
Target : Local
- 어떤 주소로 향하던 트래픽을 어디로 전달할 것인지에 대한 정보이다
Private Subnet
외부와 통신되지 않는 VPC 서브넷
사설 아이피 대역의 장점
- 부족한 아이피 주소 문제 완화
- 높은 보안성
높은 보안성
포트포워딩 :하나의 공용 아이피 주소를 가진 공유기가 자신의 포트를 통해 자신의 사설 아이피 주소를 가진 디바이스에게 데이터를 주는 것
사설 아이피를 가진 디바이스에게 데이터를 직접 줄 수 없고 공유기를 거쳐야 하므로 보안성 측면에서 강점을 가지낟
예를 들어 데이터베이스의 사용을 생각해보자
-
Private Subnet은 외부와 통신이 안되면 데이터베이스를 사용할 수 없지 않나
-> DB를 사용하는 컴퓨팅 자원을 같은 VPC에 배치 -
데이터베이스에 원격으로 접속하는 방법은 뭔가
->Mysql Workbench, DataGrip으로 원격 접속하기
- Database가 Private Subnet에 존재할경우 DataGrip으로 원격 접속이 불가
->Bastion host를 사용함으로써 Private Subnet의 자원에 접속할 수 있도록 하기
