AWS 계정
계정은 5개 공간 요소에서 나머지 4개를 담는 공간이며 철저한 관리가 필요함
5개 공간 요소
계정, 리전, 가용 영역, VPC, 서브넷
루트 사용자와 비슷하다고 볼 수 있다. 왜냐하면 IAM도 계정이기 때문에 동일하다고는 볼 수 없다.
글로벌 리전
특정 리전에 종속되지 않은 계정 직속 서비스를 의미
IAM 서비스로 가면 노출된다.
S3같은 일부 서비스는 글로벌에서 전체 버킷을 관리하기도 함
글로벌 영역은 데이터센터의 영역이 아님
(물리적으로는 어느 리전의 데이터센터에 위치)
가용 영역
가용 영역은 1개 이상의 데이터센터로 구성(클러스트링), 가용 영역 사이는 다중 광 네트워크로 연결돼 있어, 최소 지연 시간 이내 트래픽 처리가 가능
VPC는 물리적 리전위에 동작하며 리전에 존재하는 모든 가용 영역을 활용 할 수 있음
VPC
리전에 생성하는 논리적 네트워크 공간
최적의 VPC 설계는 운영 효율과 비용 절감으로 이어진다.
VPC는 Virtual Private Cloud의 약어, Virtual은 논리적이란 뜻을 수반한다.
= 물리적이진 않지만 물리적인 것처럼 동작하는 네트워크
Private은 분리된 공간 즉 분리된 가상 클라우드 공간을 말한다.
VPC Networking은 VPC환경을 사용하는 리소스가 통신할 수 있도록 네트워크 구성을 설정하는 행위
AWS 서비스가 네트워크 인터페이스를 사용하면 자동으로 보안그룹, 네트워크 ACL, 라우팅 테이블의 통제를 받음
이를 두고 서비스가 VPC 네트워킹을 사용한다고 말한다.
= 네트워크 인터페이스 존재만으로 VPC 네트워킹을 사용한다고 할 수 있다.
웹 서비스는 보통 3-Tier 구조를 사용한다.
사용자 요청을 받은 WAS는 DB에 저장된 데이터를 호출, 가공해 다시 웹으로 전달한다.
=> 중요한 데이터가 저장된 DB와 그 데이터를 다루는 WAS는 보호 대상이므로 private network로 구성해야함
VPC, Subnet, CIDR
VPC Network 규모는 CIDR(Classless Inter-Domain Routing)가 결정한다.
class 방식 - 2의 8, 16, 24승 만큼 사설 IP영역을 가질 수 있다.
class 방식처럼 고정된 값이 아니라 Mask Bit로 좀 더 자유롭게 네트워크 범위를 표현할 수 있음
AWS에서는 VPC의 CIDR 블록 범위를 16~28(14~65,534)로 제한한다.
참고로 첫 4개 IP주소와 마지막 IP주소는 예약 주소이므로 사용이 불가능
x.x.x.0~3과 x.x.x.255
aws의 모든 인스턴스는 생성 시점에 프라이빗 IP가 자동 할당
접속을 위해 퍼블릭 IP를 설정해야 한다면 인스턴스 생성 시점에 퍼블릭 IP를 할당하거나 생성 이후에 탄력적 IP를 할당하는 방법이 있다.
VPC 기본 세팅
AWS에서는 서비스를 즉각 사용할 수 있도록 VPC 환경(Default VPC)을 제공한다.
VPC, Subnet, Routing Table, Network ACL, Internet Gateway, Security Group
모두 요금 청구 대상이 아니여서 비용 납부 의무는 없다.
그러나 인터넷 게이트웨이를 지나는 트래픽이 발생하는 경우 요금이 부과된다.
VPC는 자신이 기본으로 사용하는 라우팅 테이블과 네트워크 ACL이 존재한다.
명시적 변경이 없는 한 이 요소들은 한 VPC의 모든 서브넷을 통제한다.
보안 그룹의 경우 기본(default)으로 생성해주는 것을 조심하자
모든 형태의 트래픽을 어느 곳으로도 전송할 수 있다.(위험)
기본 보안 그룹은 삭제할 수 없기 때문에 규칙을 삭제한다.
서브넷
VPC 내부에 생성하는 논리적 네트워크 공간이다.
서브넷들은 VPC의 CIDR 공간을 일정 크기로 나눠 점유한다.
서브넷은 VPC와 가용 영역에 모두 포함되는 공간이며(서브넷 생성 시 VPC, 가용 영역 모두 지정)
서브넷을 패런트로 가진 네트워크 리소스는 2개 있다.
네트워크 인터페이스와 NAT 게이트웨이(NAT 게이트웨이도 NI의 일종)
다른 네트워크로 접속할 땐 네트워크 인터페이스가 아닌 라우팅에 의존해야 한다.
