VPC
Virtual Private Cloud 가상 네트워크
Amazon VPC를 이용하면 사용자가 정의한 가상 네트워크로 AWS 리소스를 시작할 수 있다.
또한 기존의 네트워크와 매우 유사하다.
VPC의 특징
- 계정 생성 시 default로 VPC를 만들어줌
- EC2, RDS, S3 등의 서비스 활용 가능
- 서브넷 구성
- 보안 설정 (IP block, inbound outbound 설정)
- VPC Peering (VPC 간의 연결/소통)
- IP 대역 지정 가능
- VPC는 하나의 Region에만 속할 수 있다. ( 다른 Region으로 확장 불가능)
VPC의 구성요소
- Avaiability Zone (가용 영역)
- Subnet(CIDR)
- Internet Gateway
- Network Access Control List/security group
- Route Table
- NAT instance/NAT gateway
- VPC endpoint
subnet
- VPC의 하위 단위 (sub + network)
- 하나의 AZ에서만 생성 가능
- 하나의 AZ에는 여러 개의 subnet 생성 가능
- Private subnet은 인터넷에 접근 불가능 public subnet은 인터넷 접근 가능 즉, 외부와 통신 가능하다.
- CIDR 블록을 통해 Subnet을 구분
- CIDR: 하나의 VPC내에 있는 여러 IP 주소를 각각의 Subnet으로 분리/분배하는 방법
Region > VPC > AZ > Subnet
private subnet 이어도 서브넷 끼리는 통신 가능
Internet gateway(IGW)
- 인터넷으로 나가는 통로
- Private subnet 은 IGW로 연결되어 있지 않다.
NAT(Network Address Translation) Gateway
private subnet이라도 가끔은 인터넷을 써야 할 때가 있는데, 이때 퍼블릭 서브넷으로 우회를 하여 인터넷에 접근을 할 수 있다.
NAT gateway와 instance의 차이는 instance는 퍼블릭 서브넷에 있는 EC2다. 이 EC2를 활용하여 인터넷에 접근을 할 때 이게 NAT instance가 된다.
NAT gateway는 우회하는데에 특화된 aws서비스이다.
[정리]Private subnet 안에 있는 private instance가 외부의 인터넷과 통신하기 위한 방법
- NAT Instance는 단일 instance(EC2)
- NAT Gateway는 aws에서 제공하는 서비스(서비스)
- NAT Instance는 Public Subnet에 있어야 함.
Bastion host
- Private Instance에 접근하기 위한 수단
- Public subnet 내에 위치하는 EC2
VPC endpoint
VPC 엔드포인트를 통해 인터넷 게이트웨이, NAT 디바이스, VPN 연결 또는 AWS Direct Connect 연결을 필요로 하지 않고 AWS Private Link 구동 지원 AWS 서비스 및 VPC 엔드포인트 서비스에 비공개로 연결할 수 있다. VPC의 인스턴스는 서비스의 리소스와 통신하는데 퍼블릭 IP 주소를 필요로 하지 않다. VPC와 기타 서비스 간의 트래픽은 Amazon 네트워크를 벗어나지 않는다.
- AWS의 여러 서비스들과 VPC를 연결시켜주는 중간 매개체
- AWS에서 VPC 바깥으로 트래픽이 나가지 않고 AWS의 여러 서비스를 사용하게끔 만들어주는 서비스
- Private subnet같은 경우는 격리된 공간인데, 그 상황에서도 aws의 다양한 서비스들(S3, dynamodb,athena 등)연결할 수 있도록 지원하는 서비스
- Interface Endpoint : Private ip를 만들어 서비스로 연결해줌 (SQS, SNS, Kinesis 등)
- Gateway Endpoint : 라우팅 테이블에서 경로의 대상으로 지정하여 사용 (S3, Dynamodb 지원)
대학생