🧐 Today I Learned (TIL)

• AWS VPC 기능
• AWS VPC 실습

---

AWS VPC 기능

AWS VPC 기능 특징

• 계정 생성 시 default VPC 생성됨
• EC2, RDS, S3 등의 서비스에서 활용 가능
• 서브넷 구성
• 보안 설정 (IP block, inbound / outbound 설정)
• VPC Peering
• IP 대역 지정
• VPC는 하나의 리전에만 종속

AWS VPC 구성 요소

• Availability Zone
• Subnet (CIDR)
• Internet Gateway
• NACL (Network Access Control List), Security Group
• Route Table
• NAT Instance (Network Address Translation), Nat Gateway
• VPC Endpoint

[출처: https://crishantha.medium.com/handling-vpc-endpoints-ac192b0361a5]

Availability Zone

각 리전별로 여러 AZ가 존재하는데 이는 물리적으로 분리되어 잇는 인프라가 모여 있는 데이터 센터를 의미한다. 각 AZ는 일정 거리 이상 떨어져 있으며 하나의 리전은 2개 이상의 AZ로 구성되어있다. 각 계정의 AZ는 다른 계정의 AZ와 다른 아이디를 부여받는다.

Subnet (CIDR)

VPC의 하위 단위로 하나의 AZ에서만 생성이 가능하다. 하나의 AZ는 여러 개의 Subnet을 생성할 수 있다. 주로 Public Subnet과 Private Subnet으로 나뉘는데 이는 인터넷에 접근 가능 여부에 따라 나뉜다.

Private Subnet 내에는 주로 데이터베이스와 같은 보안적으로 중요한 격리된 서비스들이 위치한다. 하지만 이러한 서비스들은 외부에서 소프트웨어를 다운받거나 업데이트를 하는 경우가 있기 때문에 인터넷과의 통신이 반드시 필요해지게 된다. 따라서 Private Subnet이 외부와 통신이 필요할 경우 Public Subnet을 통해 우회하는 방법으로 해결이 가능하다. (하나의 VPC 내부의 서브넷 간의 통신이 가능하기 때문)

Internet Gateway (IGW)

쉽게 말해 인터넷으로 나가는 통로라고 생각하면 된다. 단, Private Subnet은 IGW로 이동하지 않는다.

NACL, Security Group

보안에 해당하는 기능이며 NACL은 Stateless, Security Group은 Stateful하게 동작한다. Access Block은 NACL에서만 가능하다.

Route Table

트래픽을 안내해주는 테이블이라고 생각하면 된다. (VPC를 생성하면 자동으로 생성됨)

NAT Instance, NAT Gateway

위에서 언급했듯이 Private Subnet이 Public Subnet을 우회하여 외부와 통신이 필요할 경우 NAT 인스턴스 혹은 NAT Gateway를 통해서 가능하다. 단, Public Subnet에 위치해야 사용이 가능하다.

NAT 인스턴스는 하나의 EC2라고 생각하면 되며 NAT Gateway는 AWS에서 제공하는 특화된 서비스로 사용방법은 굉장히 간단하다.

Bastion Host는 외부에 있는 사용자(주로 개발자 혹은 관리자)가 Private Subnet에 접근하기 위해 사용하는 내용으로 NAT 인스턴스와 NAT Gateway와 유사한 개념이다. Public Subnet에 위치하는 EC2라고 생각하면 된다.

NAT 인스턴스와 NAT Gateway는 Private Subnet에서 외부로 가는 방향이라면 Bastion Host는 외부에서 Private Subnet으로 가는 방향의 개념이다.

VPC Endpoint

VPC Endpoint는 서비스에 비공개로 연결할 때 사용한다. Public IP 주소가 필요없다는 특징을 가지고 있다.

VPC Endpoint는 AWS의 여러 서비스들과 VPC를 연결해주는 중간 매개체이다. AWS에서 VPC 외부로 트래픽이 나가지 않고 AWS의 여러 서비스를 사용하게끔 만들어주는 서비스이다. Private Subnet은 격리된 공간임에도 불구하고 Private Subnet에 위치한 S3, DynamoDB, Athena, RDS 등을 연결할 수 있도록 지원해주는 서비스이다.

• Interface Endpoint
  Private Subnet 내에서 Private IP를 만들어 서비스로 연결해준다. (SQS, SNS, Kinesis, Sagemaker 등 지원)

[출처: https://medium.com/@netscylla/aws-and-vpc-endpoints-privatelinks-faad1e2290ca]

• Gateway Endpoint
  Route Table에서 경로의 대상으로 지정하여 사용한다. (S3, DynamoDB 지원)

---

📚 참고

• 없음