VPC

VPC란 Virtual Private Cloud의 약자로써 네트워크 영역에 속하는 서비스이다.
다른 가상 네트워크와 논리적으로 분리되어있다.

VPC를 생성할 때 당연하게도 네트워크상에 현재 VPC가 존재하는 IP주소가 있어야 한다.
이 IP주소는 CIDR블록 방식으로 설정한다. (IP주소 + subnet)
예를들면 192.168.0.0/24는 192.168.0.0 부터 2^(32-24)개의 범위를 가진 IP를 뜻한다.
즉 192.168.0.0 ~ 192.168.1.255까지의 IP를 의미하게 된다.

그리고 일반적으로 CIDR의 범위에 제약은 없다고 하지만 private IP대역을 주로 사용한다고 한다. 왜냐하면 public ip대역인 52.12.0.0/16를 갖고있는 경우에, 원칙적으로 52.12.0.0/16대역의 트래픽은 VPC내부로 들어오게되고 이 때문에 VPC에서 52.12.0.0/16에 속한 인터넷 주소로는 접근할 수 없기 때문이라고 한다.

VPC의 master는 어떤 사용자가 VPC내부의 resource를 사용하도록 허용할 것인지를 결정할 수 있다.
예를들면 페이스북의 내 이슈들이 나의 VPC에 생성된다고 생각하면 쉽다.
나와 친구라면 내가 올린 게시글들을 볼 수 있고, 그렇지 않다면 볼 수 없다.

Subnet

Subnet이란 VPC안에 구성된 IP주소를 잘게 나눈 것을 말한다. (Sub network)
잘게 IP주소를 나누어서 다양한 서비스들을 각각의 subnet에 위치시킨다.
예를들면 데이터베이스는 A라는 서브넷에, storage는 B라는 서브넷에 나눠서 위치시킬 수 있다!

Public Subnet

Public Subnet 인터넷 게이트웨이, ELB, Public IP/Elsatic IP를 가진 인스턴스를 내부에 지니고 있다. 그리고 Public Subnet안에 있는 NAT 인스턴스를 통해서 private subnet 내부에 있는 인스턴스들이 인터넷을 사용할 수 있도록 만들 수 있다고 한다.

Private Subnet

기본적으로 외부와 차단되어 있습니다. Private Subnet내의 인스턴스들은 private ip만을 가지고 있으며 internet inbound/outbound가 불가능 하고 오직 다른 서브넷과의 연결만이 가능하다.

NAT

NAT는 Private subnet이 인터넷과 통신을 하기위한 역할을 한다.
다만 Public subnet안에 NAT 게이트웨이를 생성한 후, Elastic ip도 연결해 주어야한다.

위의 그림을 보면 그 흐름을 알 수 있다.
만약 private subnet에서 인터넷으로의 요청이 들어오면 Main route table에서 그 요청을 nat-gateway로 보내고, nat-gateway는 그 요청을 받아서 인터넷 게이트웨이로 보내서 통신을 연결한다.

Security Groups

인스턴스 단에서 특정한 포트, IP대역에서의 트래픽을 허용할지, 거부할지를 설정한다.

Inbound rule을 통해서 인스턴스 내부로 들어오는 트래픽에 대해 설정하고,
Outbound rule을 통해서 인스턴스 외부로 나가는 트래픽에 대해서 설정한다.

출처 :
1. 초보자를 위한 AWS웹 구축
2. 만들면서 배우는 아마존 버추얼 프라이빗 클라우드(Amazon VPC)