[AWS] VPC, Subnet, Router

ggydo59·2023년 4월 5일

💡 AWS 서비스를 이용하면서 가상 컴퓨팅 환경을 이용하려면 VPC 생성이 필수인데, 정작 VPC가 무엇인지는 잘 모르는 것 같아 구글링과 코멘토의 클라우드 직무 부트캠프를 통해 개념을 정리하고 실습해봤습니다.
가장 많이 도움의 된 글은 이블로그 이며, 여러 자료를 보며 이해한 내용을 정리했습니다.

VPC(Virtual Private Cloud)

→ 교보정보통신 기술블로그

VPC의 개념

직역하면 가상 사설 클라우드로 논리적으로 격리된 가상 네트워크 공간을 구축해줍니다.
집에 비유하자면과 ‘방’과 비슷한 역할인 것 같습니다. 논리적으로 여기는 안방, 여기는 주방의 의미로 역할을 부여하는 것처럼 구획을 나눠서 네트워크의 구역을 지정해주고, 동일한 성격이나 역할의 EC2인스턴스들을 묶어서 그 만의 네트워크 설정을 적용해줄 수 있습니다. 그 방의 인테리어를 꾸며주는 것처럼요 의미적으로는 조금 차이가 있지만, 구역을 나누는 것으로 생각하면 될 것 같습니다.

구역을 나눴기 때문에 각 VPC는 독립된 네트워크처럼 작동하게 됩니다.

VPC의 구축

VPC의 구축에 있어서 VPC의 IP주소의 범위를 RFC1918에 근거한 사설IP대역에 맞추어 구축을 해야하는데요, 여기에 해당하는 IP는 다음과 같습니다.

10.0.0.0        -   10.255.255.255  (10/8 prefix)
172.16.0.0      -   172.31.255.255  (172.16/12 prefix)
192.168.0.0     -   192.168.255.255 (192.168/16 prefix)

동일한 VPC 네트워크 안에서 각 인스턴스는 다른 IP주소를 위의 목록의 대역 내에서 사용해야 합니다. 한 번 설정한 IP대역은 수정이 불가능하니, 잘 고려해서 설정해야합니다.

Subnet(SubNetwork)

Subnet의 개념

VPC를 CIDR블록을 가지는 단위로 나누어서 더 많은 네트워크 망을 만들 수 있습니다.
다시 말해서, 앞서 설정한 VPC의 IP대역을 물리적으로 쪼개주는 작업입니다.

💡 CIDR(Classless Inter-Domain Routing)이란? - 참고링크
클래스가 없는 도메인 간 라우팅 기법의 뜻으로 네트워크의 구분을 Class로 하지 않는다는 의미. Class체계 보다 IP 주소를 여러 네트워크 영역으로 유연하게 나눌 수 있다는 것이 장점. 더 깊이 알고 싶다면 위 링크를 참고해 주세요.

VPC를 하나의 방으로 생각한다면, Subnet은 그 방에서 각자의 자리를 구분짓는 파티션이라고 생각하면 될 것 같습니다. 인터넷과 연결되어 있다면 Public Subnet 그렇지 않다면 Private Subnet이라고 할 수 있습니다.

Subnet의 구축

VPC의 IP 대역을 쪼개서 공간을 분리합니다.

ex) VPC의 IP대역이 10.0.0.0/16 이라면,
Public subnet A : 10.0.1.0/24
Public subnet B : 10.0.2.0/24
Private subnet A : 10.0.3.0/24
Private subnet B : 10.0.4.0/24

이렇게 구성하여 Subnet을 이중화하여 서비스의 안정성을 높이는 구성을 멀티 AZ라고합니다.

💡 멀티 AZ(Multi Available Zone)란?
하나 이상의 물리적으로 분리된 가용영역에 동일 리소스를 동시에 배치하여 장애 발생 시에도 서비스를 문제 없이 공급하며, 추가 비용이 발생하지 않는다.

Routing Table(라우팅테이블)

Router는 한 VPC 내에 위치하며 Routing Table은 목적지가 적힌 목록표라고 생각하면 됩니다.

예를 들어, 한 subnet의 인스턴스가 다른 subnet의 인스턴스와 통신하고자 한다면 이 라우터를 거쳐서 적힌표를 보고 목적지에 맞게 이동해야 합니다. 후에 인스턴스가 통신할 목적지가 라우터를 통하여 VPC내 IP대역에 없다면 라우터에 연결된 인터넷 게이트웨이로 보내게 됩니다. 이러한 방식으로 VPC내의 인스턴스들이 실제로 우리가 사용하는 인터넷 망과 통신할 수 있게 됩니다.

NAT Gateway

NAT Gateway란?

위에서인터넷과 연결이 되면 Public, 안되면 Private이라고 했었습니다. 다만 Private한 경우에 라도 내부 웹서버로 활용하고 있거나, 운영체제의 업데이트가 필요한 등등의 경우에 외부에 접속을 허용하여 업데이트 Resource를 가져오는 작업이 필요합니다.

정리하면 Private은 인바운드 즉, 외부에서 인스턴스에 접근하는 것은 차단하지만, 아웃바운드 즉, 안에서 밖으로 나가는 것은 허용하는 것 인데요, 그러한 과정에서 사용하는 것이 NAT Gateway입니다.

NAT Gateway의 활용

Private Subnet에서 외부 자원을 끌어다 사용하고싶습니다. 외부 IP에 접속을 시도합니다.
라우터에 도달하여 이 Subnet에서 접근할 IP가 내부망에 있는지 확인합니다.
당연히 내부망에 해당하는 IP가 없고, 인터넷게이트웨이도 없으므로, Public subnet의 NAT Gateway로 이동합니다.
NAT Gateway에서 다시 Router로 이동합니다.
Public Subnet은 Internet Gateway가 연결되어 있으므로, 해당 IP주소로 접근하여 소스를 가져옵니다.

AWS에서 NAT Gateway서비스를 이용하는 것은 비용이 발생하므로, 하나의 인스턴스를 Basion Host(NAT instance)로 구성하여 대체할 수 있습니다.

Basion Host는 부득이하게 관리자가 private subnet에 접근이 필요할 경우, 접근할 수 있도록 중개하는 역할을 수행합니다.

결론

VPC는 사설 IP대역을 할당하여 하나의 가상 네트워크망을 구성하는 것이며 독립된 네트워크이다.
Subnet은 VPC내의 IP영역을 분리, 할당하여 서브네트워크를 구성한다.
Router는 목적지로 가려면 어디로 가야하는지 알려주는 역할을 한다.
NAT Gateway는 외부 인터넷과 연결되어 있지 않는 네트워크인 private subnet을 업데이트나, 기타 여러 설정을 위해 부득이하게 외부 연결이 요구될 경우에 중개역할을 하는 게이트웨이이다.
내부에서 외부로 접속하는 아웃바운드만 허용이되며, 여전히 인바운드는 접속을 할 수 없다.