VPC
Virtual Private Cloud
AWS리소스를 구동할 수 있는 논리적으로 격리된 네트워크
특징
- AWS에 사설 네트워크 구축
- 기존 네트워크 환경과 VPN 연결
- 온프렘과 AWS간 하이브리드 환경구성
- 모든 리전 지원 가능
- VPC 자체로는 비용이 발생하지 않지만, 네트워크 송수신에 따른 비용 발생
Private IP 주소
- 인터넷을 통해 연결할 수 없는 VPC 내부에서만 사용할 수 있는 주소
- VPC에서 시작된 인스턴스 서브넷 버무이에서 자동으로 할당
- 동일 네트워크의 신스턴스 간 통신 가능
- 보조 Private IP 할당 가능
Public IP 주소
- 인터넷을 통해 연결할 수 있는 IP 주소
- EC2 생성 시 옵션으로 PUblic IP 사용여부를 선택
- EC2 인스턴스에서 수동으로 연결 및 해제 불가
- EC2 인스턴스 재부팅 시 새로운 IP 주소 할당 (고정되지 않음)
Elastic IP 주소
- 동적 컴퓨팅ㅇ을 위해 사용되는 고정 퍼블릭 IP주소
- VPC의 인스턴스 및 네트워크 인터페이스에 Elastic IP 할당 가능
- 다른 인스턴스로 매칭 변경 가능
- 효율적 활용을 위해 실행중인 인스턴스와 연결되어 있지 않거나 중지된 인스턴스, 분리된 인터페이스에 연결 시 요금이 부과되며 5개로 제한
서브넷
- VPC 내부에서 서비스 목적에 따라 IP Block를 나누어 구분
- 가용 영역에 하나 이상의 서브넷을 추가할 수 있으나 서브넷은 단일 가용영역에만 생성되며 여러 가용영역으로 확장 불가
퍼블릭 서브넷
네트워크 트래픽이 게이트웨이로 라우팅되는 서브넷
인터넷을 통해 서비스 수행하는 인스턴스를 퍼블릭 서브넷에 생성
프라이빗 서브넷
네트워크 트래픽이 게이트웨이로 라우팅되지 않는 서브넷
인터넷에 직접 연결할 필요 없고, 높은 보안이 요구되는 DB는 프라이빗 서브넷에 생성
라우팅 테이블
아웃바인드 트래픽에 대한 경로 지정, 서브넷 및 VPC 간 통신을 위하여 구성
보안그룹 / 네트워크 ACL
IP와 포트를 기준으로 통신을 허용 및 차단하기 위한 기능
보안 그룹
허용만 설정 가능
네트워크 ACL
허용 및 거부 규칙 설정 가능
NAT 게이트웨이
Network Address Translation Gateway
- 외부 네트워크에서 알려진 것과 다른 IP 주소를 사용하는 내부 네트워크에서 네부 IP 주소를 외부 IP주소로 변환하는 작업을 수행하는 서비스
- 프라이빗 서브넷 내에 있는 인스턴스를 인터넷이나 다른 AWS 서비스에 연결하기 위한 용도로 사용
- DB등과 같이 외부에 직접 공개되어서는 안되는 중요한 서비스이지만, 패치, 보안 업데이트, 소포트웨어 업데이트 등을 인터넷을 통해 연결하여야 할 경우
사용조건
- NAT 게이트웨이를 생성하기 위한 퍼블릭 서브넷 지정
- NAT 게이트웨이와 연결할 Elastic IP 주소 필요
- NAT 게이트웨이를 만든 후 인터넷 트래픽이 NAT 게이트웨이로 통신이 가능하도록 프라이빗 서브넷과 연결된 라우팅 테이블 설정 수정
VPC 엔드포인트
- 퍼블릭 서브넷 사용 시 인터넷 기반 연결정보를 가지는 퍼블릭 서비스(S3 등)에 접근이 가능하지만, 프라이빗 서브넷 사용시 접근 불가
- 프라이빗 서브넷이 S3에 연결하기 위해서 VPC 엔드포인트를 사용하여 접근할 수 있음
Gateway 엔드포인트
S3, DynamoDB 등 연결 시 사용
Interface 엔드포인트
위 2개를 제외한 퍼블릭 서비스 연결시 사용
VPN
Virtual Private Network
VPC 내 인스턴스와 온프레미스 서버 또는 데이터센터 내 서버와의 통신은 인터넷을 통한 일반적인 통신으로만 연결이 가능한데, VPN연결을 통해 보안이 강화된 연결구현 가능