VPC
AWS 클라우드에서 다른 고객과 완벽히 논리적으로 격리된 가상 네트워크이다.
VPC의 아이피범위를 사설 아이피 범위에 맞추어 구축해야 한다.
가용영역
각 리전은 가용영역이라 알려진 격리된 위치를 여러 개의 IDC 센터를 가지고 있으며, 인스턴스 실행시 사용자가 직접 가용 영역을 선택하거나 AWS가 사용자를 위해 가용영역을 선택할 수 있다.
CIDR
AWS에서 IP Address를 표현할 때 CIDR라는 국제 표준을 사용합니다.
IP 주소 + / + 넷마스크로 구성되어 있다
ex ) 192.123.0.0/n
뒤에 붙은 n이라는 숫자는 현재 IP로부터 2^(32 - n)개만큼의 IP를 사용할 수 있다는 뜻이다.
만약 192.123.0.0/24라면 2^(32 - 24) = 2^8 = 256으로
192.123.0.0 ~ 192.123.0.255범위의 IP를 사용할 수 있다
Subnets
서브넷은 VPC를 잘개 쪼개는 과정으로 더 많은 네트워크 망을 만들기 위해 나눈다.
각각의 서브넷은 가용영역 안에 존재하며 서브넷 안에 RDS, EC2와 같은 리소스 들을 위치시킬 수 있다.
하나의 서브넷은 하나의 가용영역과 연결되며 2개 이상의 가용존을 사용하는 것이 일반적이다.
Public Subnet
내부에 Internet Gateway, ELB, PublicIP/ElasticIP를 가진 인스턴스를 내부에 생성할 수 있으며 Internet Gateway를 통하여 외부와 통신이 가능하다.
Private Subnet
외부와 차단되어있다. 오직 다른 서브넷과 연결만이 가능하다.
Route Tables & Routers
라우터는 목적지, 라우팅테이블은 각 목적지에 대한 이정표
네트워크 요청이 발생하면 데이터는 우선 라우터로 향하게 되고 네트워크 요청은 각각 정의된 라우팅 테이블에 따라 작동된다.
예를들어 172.31.0.0/16범위의 Local Target을 가진 라우팅 테이블은 VPC안의 네트워크 범위를 가지는 네트워크 요청에 대해 로컬에서 찾도록 지시한다
Internet Gateways
VPC와 인터넷을 연결해주는 관문
라우팅 테이블을 인터넷 게이트웨이로 향하게 하는 규칙을 추가하면 서브넷이 인터넷과 연결된다.
NetworkACLs & 보안그룹
방화벽과 같은 역할을 한다.
보안그룹은 Stateful한 방식으로 동작하며 네트워크 ACLs와 다르게 각각의 보안 그룹별로 별도의 트래픽을 설정해줄 수 있다.
인스턴스 앞단에서 작동한다.
ACLs 는 Stateless하게 작동되며 모든 트래픽을 기본 설정 되어있어 불필요한 트래픽을 막도록 적용해아 한다.
서브넷 앞단에서 작동한다.
네트워크ACL과 보안그룹이 충돌한다면 보안그룹이 더 높은 우선순위를 가진다.
NAT 게이트웨이
프라이빗 서브넷이 인터넷과 연결하기 위한 아웃바운드 인스턴스
인바운드는 필요 없더라도 여러 이유로 아웃바운드 트래픽이 필요할 때가 있다.
