[AIVLE SCHOOL] 클라우드(3) - 네트워킹 서비스

춤추는 머쉬룸·2024년 12월 3일
aivle school

AIVLE SCHOOL 6기

목록 보기
74/80
post-thumbnail

2024.12.03 1, 2, 3세션

A. Amazon VPC

A-1. 클라우드 네트워크 용어

가용 영역

  • 하나 이상의 데이터센터로 구성된 인프라
  • 전용 선을 통해 다른 가용 영역과 상호 연결.

리전

  • 여러 개의 가용 영역으로 구성된 인프라
  • 아마존의 경우 서울 리전이 4개의 가용 영역으로 구성

엣지 로케이션

  • 최종 사용자에게 가까운 위치에서 더 짧은 지연 시간으로 콘텐츠를 전송하기 위해 구성
  • 아마존은 600여개의 엣지 로케이션 구축
  • CDN(Content Delievery Network), DNS 서비스 제공
  • 엣지 로케이션에 리전에 있는 컨텐츠를 캐싱해놓아서 서비스가 빠름

A-2. VPC : Virtual Private Cloud

  • 클라우드의 가상 프라이빗 네트워크 공간
  • VPC는 클라우드 내 다른 가상 네트워크와 논리적으로 분리되어 있음

CIDR 표기법 (Classless Inter-Domain Routing)

  • 클래스 없는 도메인 간 라우팅 기법. IP주소 할당 표기 방법임
  • 10.0.0.0/24 : 세 번째 .앞은 네트워크 주소, 뒤는 호스트 주소

VPC 생성

  • VPC 생성 시 Private IP 주소 범위내에서 활용할 IP 주소 범위 지정
  • VPC 생성 후 CIDR 은 변경 불가
  • IP 주소가 부족하지 않도록 범위를 넉넉하게 지정하는 것이 중요함
  • 웹서버만 public, WAS와 DB는 private이 보안상 안전함

예약된 IP

  • 항상 5개의 예약된 IP 가 있음. 가상머신의 주소로 사용 불가능.
  • 네트워크 주소
  • VPC 라우터 용도
  • DNS 서버 용도
  • AWS에서 차후 사용할 용도
  • 네트워크 브로드캐스트 주소

라우팅 테이블

  • 네트워크 트래픽이 향하는 방향 결정 (경로 규칙)
  • 기본 라우팅테이블은 Local 로 설정되기 때문에 사용자 정의 라우팅 테이블을 만들어야 함

A-3. 소프트웨어적 네트워크

인터넷 게이트웨이

  • VPC 와 인터넷 간에 통신을 위한 리소스
  • 내부 <-> 외부를 오고가는데 필요함

프라이빗 서브넷

  • 인터넷 구간으로 통신을 할 수 없도록 만든 리소스
  • 인터넷 게이트웨이로 향하는 경로가 없는 라우팅 테이블과 연결된 서브넷

퍼블릭 서브넷

  • 인터넷 구간으로 통신할 수 있는 리소스
  • 퍼블릭 라우팅 테이블 생성. Target 중 IGW-ID 가 필요함
  • Private IP, Public IP 모두 가져야 함

A-4. 탄력적 IP 주소

EIP

  • 퍼블릭 IP를 고정
  • AWS 계정에서는 리전 당 5개로 고정됨
  • 1개는 무료지만 그 이상은 유료임. 사용하지 않는 EIP는 릴리즈를 통해 제거해야 함.

ENI : 탄력적 네트워크 인터페이스

  • VPC에서 인스턴스에 연결할 수 있는 가상 네트워크 인터페이스
  • 물리적인 NIC (네트워크 인터페이스 카드) 를 구현한 것
  • 필요에 따라 추가해서 ENI 별로 트래픽을 관리할 수 있음

A-4. NAT

  • 네트워크 주소 변환 서비스
  • 프라이빗 IP를 퍼블릭 IP로 변경해주는 기능
  • Private IP만 보유한 인스턴스들이 업데이트나 패치 등을 이유로 인터넷에 접근해야 할 때 외부로 전송할 수 있도록 해줌

B. 클라우드 보안

B-1. 방화벽

  • 미리 저으이된 보안 규칙에 기반하여 네트워크 트래픽을 모니터링하고 제어하는 네트워크 보안 시스템

네트워크 ACL

  • 서브넷 경계에서 트래픽 제어
  • 상태 비저장 -> 인바운드 규칙에 대한 아웃바운드 규칙을 만들어줘야 함
  • 규칙을 번호가 작은 순서부터 평가. if else 느낌임

보안 그룹

  • 서브넷으로 트래픽이 들어간 후, 가상머신 같은 리소스에서 트래픽 제어
  • 사용자 정의 보안 그룹을 생성하면 기본 설정은 모든 인바운드 트래픽을 차단
  • 등록된 모든 규칙을 평가하며, 허용 규칙만 적용 가능
  • 상태 저장 특성을 가짐. 한 번 허용하면 허용했던 트래픽에 대해서는 자동으로 허용

계층적 보안 구성

WEB-SG : 모든 트래픽에 대해서 (0.0.0.0/0) TCP 443 인바운드 HTTPS 액세스 허용
APP-SG : WEB-SG 로 들어온 트래픽에 대해서 TCP 80 인바운드 HTTP 액세스 허용
DB-SG : APP-SG로 들어온 트래픽에 대해서TCP 3306 MYSQL 인바운드 허용

C. VPC 연결

C-1. VPC 피어링

  • 비공개적으로 VPC 간에 트래픽을 라우팅 할 수 있도록 함
  • 서로 다른 VPC 간에 프라이빗으로 연결함

C-2. Site To Site VPN

  • VPC와 온프레미스 네트워크 간 인터넷 망에 VPN 터널을 생성하고 전송 데이터를 암호화하여 통신
  • VPN 터널은 느림. 1.25Gbps 임

C-3. Direct Connect

  • 인터넷망을 거치지 않고 AWS 전용 네트워크를 통해 VPC와 온프레미스 네트워크를 연결
  • 전용 프라이빗 네트워크
  • 가격이 비싸고 속도가 빠르다
  • LG U+, KINX 에서 AWS의 라우터와 전용선으로 연결하도록 제공함
profile
춤추는 머쉬룸
이전 포스트

[AIVLE SCHOOL] 클라우드(2) - Access Control

다음 포스트

[AIVLE SCHOOL] 클라우드(4) - 컴퓨팅 서비스

0개의 댓글