Agency
▪ Amazon VPC 사용
– 서비스 이용방법
– VPC를 설정하는 데 필요한 기본 구성 요소
– 각 구성요소별 구성
▪ 네트워크 관리
VPC를 생성할 때 VPC에 대해 IPv4 CIDR 블록을 지정해야 함
VPC의 넷마스크는 네트워크에서 필요한 서브넷 IP 주소를 모두 포함할 수 있을 정도로 커야 함
Again, 나중에 CIDR 블록을 변경할 수 없기 때문에 미리 계획하는 것이 중요
서로 통신할 VPC는 네트워킹 문제를 일으킬 수 있으므로 동일한 CIDR 블록을 가질 수 없음
VPC를 생성하면 main route table, network ACL, security group이 자동으로 생성
VPC ID, tag는 VPC components를 올바른 VPC에 연결하는 데 사용
VPC ID
VPC tags
AWS subnets: VPC 내에서 AWS 리소스를 배치할 수 있는 소규모 네트워크
서브넷 수준에서 Routing 구성 가능
VPC 서브넷이 특정 Availability Zones에 매핑됨
서브넷을 두 개 이상의 서로 다른 AZ에 생성하면 네트워크 가용성 유지 가능
서브넷을 생성할 때 자체 CIDR 블록이 필요한데, 이는 VPC CIDR 블록의 하위 집합(subset)
AWS는 블록 내에 5개의 IP 주소를 이미 정해둠. 이 주소는 사용할 수 없음:
10.0.0.0 → VPC CIDR block
10.0.0.1 → VPC local router
10.0.0.2 → DNA reaolution
10.0.0.3 → Future use
10.0.0.255 → Network broadcast address
setting up 한 다음엔 바꿀 수 없음
서브넷이 생성되는 즉시 subnet ID가 제공되며, 이는 구성 요소를 연결하는 VPC ID처럼 작동
network gateway: 네트워크에 액세스할 트래픽을 결정하는 통로
internet gateway
virtual private gateway
Amazon side의 site-to-site VPN connection의 VPN connector
Route tables: VPC에서 traffic를 지시하는 매커니즘
route: 서브넷에서 네트워크 트래픽을 지시하는 규칙 집합
VPC의 각 subnet은 route table과 연결되야 함
subnet만들 때, main route table과 연결됨
subnet이랑 route tables는 다대일 many-to-one rule
- 하나의 서브넷에 하나의 route table, 하나의 route table엔 많은 서브넷 연결 가능
Security Group은 VPC에 있는 두 개의 방화벽 중 하나
인스턴스에 허용되는 인바운드 및 아웃바운드 트래픽을 필터링할 수 있는 방법
Security Group에 인바운드 및 아웃바운드 트래픽을 제어하는 rule 존재
Security Group에 allow rules(허용규칙) 지정, deny rules(거부 규칙) 지정 X
Inbound rules
Outbound rules
Security Group는 stateful(서버가 클라이언트의 상태를 보존)
시작하는 모든 EC2 및 RDS 인스턴스에는 Security Group이 필요
network ACL: VPC를 보호하기 위해 사용할 수 있는 다른 방화벽
VPC의 각 서브넷을 네트워크 ACL과 연결해야 함
network ACL을 여러 서브넷과 연결 가능
Network ACL은 stateless (서버가 클라이언트의 상태를 보존하지 않음)
deny rules을 설정하여 network ACL을 사용하여 규칙을 세분화 가능
네트워크 ACL은 가장 낮은 번호의 규칙부터 순서대로 고려되는 규칙의 numbered list을 포함
Default network ACL
Custom network ACL
Security groups과 network ACLs이 협력하여 VPC 보호
network ACL은 외부 방화벽(outer firewall)
VPC를 삭제하려면 먼저 VPC에 생성된 일부 리소스를 수동으로 종료하거나 삭제해야 함
일부 VPC 구성 요소가 자동으로 삭제됨
VPC를 생성하면 해당 VPC에서 시작되는 모든 인스턴스에 private IP address 가 자동으로 할당됨
Elastic IP address: 동적 클라우드 컴퓨팅을 위해 설계된 정적 퍼블릭 IPv4 주소
탄력적인 IP 주소는 Region level에서 작동
NAT gateway를 사용하면 private subnet의 인스턴스를 인터넷이나 다른 AWS 서비스에 연결 가능
NAT 게이트웨이를 생성하려면 NAT 게이트웨이가 위치할 public subnet을 지정해야 함
VPN 연결을 통해 VPC를 remote network에 연결하려면 VPC를 설정해야 함
VPN 접속의 challenges는 network performance(성능)
Direct Connect를 사용하면 네트워크 트래픽이 AWS global network에 남아 있고 public internet에 전혀 닿지 않음
VPC endpoint: VPC와 supported services 간의 연결을 제공
Interface VPC endpoints
Gateway endpoints
참고하기: 엔드포인트
VPC peering connection: 두 VPC 간에 트래픽을 개인적으로 라우팅하는 데 사용할 수 있는 네트워킹 연결
IP address rages 중복X
Transitive peering 지원X
- VPC2와 VPC3은 연결안됨. 새로운 peering connection 필요
AWS Transit Gateway를 사용해 네트워킹 모델 simplify 가능
- 네트워크 전체에서 single connection만 생성하고 관리해야 함
- 연결된 모든 네트워크 간에 트래픽이 라우팅되는 방식을 제어하는 허브 역할
간편한 connectivity을 통해 네트워크를 보다 간편하게 확장 가능
Amazon Route 53
Amazon CloudFront
Amazon API Gateway
▪ 우리는 아마존 VPC를 설정하는 방법을 배웠다
– VPC의 기본 구성 요소의 다양한 구성
▪ VPC의 각 구성 요소는 특정 요구사항에 맞게 네트워크 환경을 구성할 수 있는 다양한 옵션을 제공합니다
▪ Amazon VPC를 어떻게 사용할 것인지 이해하는 것이 좋은 구성을 선택하는 데 도움이 될 것입니다
▪ Amazon VPC에는 네트워크 관리를 지원하는 VPC 피어링 및 NAT 게이트웨이와 같은 추가 기능이 있습니다
▪ AWS는 사내 리소스를 VPC에 연결할 수 있도록 AWS VPN 및 AWS Direct Connect를 제공합니다
어려워