AWS VPC

VPC

• Virtual Privaet Cloud
• 리전당 최대 5개까지 가능한데, 엄격히 제한하지 않아서 늘릴 수 있다
• VPC마다 할당된 CIDR는 다섯개이다
  • 최소 크기는 /28로 IP 주소는 최소 16개있고 최대는 /16이다
  • Private IPv4만 허용한다
• VPC가 다른 VPC나 네트워크 혹은 기업 네트워크와 연결하고 싶을 때는 겹치지 않도록 해야한다

1. CIDR

• Classless Inter Domain Routing(클래스 없는 도메인 간 라우팅)
• 단순한 IP 범위를 정의하는데 도움이 된다
  • 모든 IP: 0.0.0.0/0
  • 192.168.0.0/26 => 192.168.0.0 - 192.168.0.63 (IP 주소 64개)
• 구성요소
  • 기본IP: 범위에 포함된 IP, 범위의 시작 또는 중간에 있다
    • 예를들어 10.0.0.0, 192.168.0.0을 말한다
  • 서브넷 마스크: IP에서 변경가능한 비트의 개수를 정의한다
    • /0, /24, /32등 IP주소뒤에 있는 숫자들을 말한다
    • /8 -> 255.0.0.0, /16 -> 255.255.0.0 등을 말한다

서브넷 마스크

• 192.168.0.0/32 즉 IP주소/32는 하나의 IP주소만 허용한다 `192.168.0.0
• 192.168.0.0/31는 2의 1승으로 두개의 IP주소를 나타낸다 192.168.0.0 ~ 192.168.0.3
• 이런듯 하나씩 내려갈수록 하나낼 수 있는 IP주소가 2의 제곱으로 늘어난다
  

2. 서브넷

• VPC 내부에 있는 IPv4 주소의 부분 범위이다
  • 이 범위 내에서 5개의 주소를 예약한다(처음 네 개, 마지막 한 개)
  • 예를들어 10.0.0.0/24가 있다면 예약된 IP주소 5개는 사용하지 못한다
    • 네트워크 주소: 10.0.0.0
    • AWS VPC 라우터용: 10.0.0.1
    • AWS DNS 매핑용: 10.0.0.2
    • 당장 쓰진 않지만 혹시 모르니 예약: 10.0.0.3
    • 브로드캐스트 전용: 10.0.0.255

3. Internet Gateway (IGW)

• 서브넷에 인터넷 액세스를 연결하는 방법이다
• VPC 리소스를 인터넷에 연결하도록 허용하는 Ec2 인스턴스나 람다 함수등이다
• 수평으로 확장되고 가용성과 중복성 보장이 된다
• VPC와 별개로 생성해야 하며, VPC는 하나의 인터넷 게이트웨이에 연결된다
• 인터넷 게이트웨이 자체로는 인터넷 허용이 안되고 라우팅 테이블이 필요하다
  

4. Bastion Hosts

• EC2 인스턴스인데 Public Subnet에 있다
  • Bastion Security Group이라는 자체 보안그룹이 있다
• BastionHost로 Private Subnet에 있는 EC2 인스턴스로 접근할 수 있다
• 즉 배스천 호스트를 통해 프라이빗 EC2 인스턴스에 접근할 수 있다
• 배스천 호스트는 보안 그룹이 반드시 인터넷 액세스에 허용해야 한다
• 프라이빗 서브넷의 EC2들은 반드시 SSH 액세스를 허용해야 한다
  

5. Nat Gateway

• 관리형 Nat 인스턴스로 높은 대역폭을 가지고 있다
  • 가용성이 높고 관리할 필요가 없다
• 특정 AZ에서 생성되고 탄력적 IP를 이어받는다
• EC2 인스턴스와 같은 서브넷에서 사용할 수 없어서 다른 서브넷에서 액세스할 때만 유용하다
• 경로가 Private Subnet -> Nat Gateway -> Internet Gateway이기 때문에 인터넷 게이트웨이가 있어야한다
• 대역폭은 초당 5GB이며 자동으로 최대 45GB까지 확장할 수 있다
• 보안그룹을 설정할 필요가 없다
  

고가용성

• 단일 AZ에서 복원 가능하다
• AZ가 중지될 경우 다중 AZ를 여러 AZ에 두면 에러가 나도 다른 곳에서 사용할 수 있게 해준다
• 라우팅 테이블을 쓸 필요없이 AZ가 고장나면 해당 AZ를 향한 접근을 불가능하게 된다