- AWS와 VPC 네트워킹
- AWS는 근본적으로 회사 또는 개인의 서비스의 운영 환경(on-premise)을 AWS 데이터 센터로 옮기는 사업을 영위함. 따라서 대부분의 기존 운영 환경 보다 편리하고, 안전한 클라우드 환경을 제공하기 위해 노력함.
- 이 과정에서 가장 중요한 개념이 VPC(Virtual Private Cloud)인데, 이를 통해 사용자들이 기존 운영 환경에서 마이그레이션을 할 때, 보다 편리하고 쉽게 작업할 수 있도록 만들어 놓은 논리적 네트워크 망이다.
- VPC(Virtual Private Cloud)
- VPC란?
: VPC는 사용자에게 자신만의 네트워크 영역을 만들기 위한 개인 고유의 영토를 AWS에서 주는 것에 비유할 수 있음.
: VPC가 생성이 됐을 지라도, 이것만으론 어떠한 것도 할 수 없기 때문에 VPC 네트워킹을 통해 VPC 내/외로 여러 서비스 및 리소스들을 만들고 서로 네트워크 연결을 설정함으로써, 하나의 완성형 인프라를 구축해 나갈 수 있음. 이렇게 각 서비스와 리소스들에 대한 연결을 이어주는 작업을 VPC 네트워킹이라 함.
-
VPC 네트워킹
: VPC 네트워킹을 위해선 인스턴스(EC2, RDS 등)에 네트워크 인터페이스를 다른 곳과 연결에 통신이 필요함, VPC 내에 운영중인 모든 인스턴스들은 네트워크 인터페이스가 필수적으로 연결되어 있어야 함.
: 네트워크 인터페이스
-> 네트워크 인터페이스는 보안 그룹이 할당되어야 함
-> 네트워크 인터페이스는 서브넷이 생성되어야 그 안에 인스턴스가 만들어 지면서 네트워크 인터페이스가 같이 생성될 수 있음
-> 네트워크 인터페이스는 서브넷에 매핑된 NACL과 라우팅 테이블과 연결되어 통신함 -
VPC 네트워킹의 구성 요소
: 공간, 연결, 컴퓨팅
: 공간
-> VPC에서 공간은 다른 무언가를 포함하는 영역을 의미
-> 계정, 리전, VPC, 가용 영역, 서브넷
-> 계정: AWS 계정, AWS Cloud의 모든 리전에 접근하여 환경 구축 가능, 기본적으로 계정간에 서비스들은 통신이 불가능함
-> 리전: 전세계적으로 위치한 지역별 AWS 데이터센터를 의미
-> VPC: 논리적인 사설 네트워크 망
-> 가용 영역: 실제 AWS 데이터센터에서 할당된 물리적 공간
-> 서브넷: VPC 내에서 실제 인스턴스가 실행되는 논리적인 영역, VPC와 가용영역의 공통 부분
: 연결
-> 공간 사이를 잇는 요소를 의미, VPC의 트래픽에 관련된 연결 및 통제 기능을 하는 역할을 함
-> NACL: NACL은 서브넷으로 유입되는 트래픽을 통제함. 화이트리스트 기반 결합 방식으로 유입 IP를 통제함, 예를 들어 CIDR 범위에 속하는 특정 IP를 차단하고 싶을 때 CIDR 범위를 지정하는 시퀀스 보다 앞에 특정 IP를 위치시키는 형태임. 마지막 시퀀스엔 화이트 방식과 동일하게 All Deny가 적용. NACL은 source IP에 대해 Stateless하기 때문에, inbound 뿐만 아니라, outbound도 미리 오픈해야 함.(ip/port 포함)
-> Secuiry Group: Security Group은 서비스의 ENI에 유입되는 트래픽 접근일 제어함. 화이트 리스트 방식으로 허용하고자 하는 IP 또는 CIDR 범위를 지정할 수 있음. Inbound, Outbound 적용 시, SG그룹을 반영할 수 있음.
