1004 AWS 복습: VPC, 나만의 가상 네트워크 구축
✅ 1. VPC (Virtual Private Cloud)의 기본 개념
- VPC는 AWS 클라우드 내에서 논리적으로 완벽히 격리된 나만의 가상 네트워크 공간을 만드는 서비스입니다. 실제 데이터 센터의 네트워크 환경을 클라우드에서 직접 설계하고 제어할 수 있는 기반이 됩니다.
- CIDR (사이더): VPC가 사용할 전체 IP 주소 범위를
10.0.0.0/16과 같은 형식으로 정의합니다.
✅ 2. 서브넷 (Subnet): 네트워크의 역할 분리
- VPC라는 큰 네트워크 공간을 특정 목적에 맞게 더 작은 단위로 나눈 것입니다. 각 서브넷은 특정 가용 영역(AZ)에 속합니다.
-
퍼블릭 서브넷 (Public Subnet):
- 인터넷 게이트웨이(IGW)로의 라우팅 경로가 설정되어 있어, 외부 인터넷과 직접 양방향 통신이 가능한 서브넷입니다.
- 주요 용도: 웹 서버, 로드 밸런서 등 외부 사용자의 접근이 필요한 리소스를 배치합니다.
-
프라이빗 서브넷 (Private Subnet):
- 인터넷 게이트웨이로의 경로가 없어 외부에서 직접 접근할 수 없는, 격리된 서브넷입니다.
- 주요 용도: 데이터베이스 서버(RDS), 내부 API 서버 등 보안이 중요한 리소스를 배치합니다.
✅ 3. 인터넷 연결을 위한 게이트웨이
-
인터넷 게이트웨이 (IGW):
- VPC와 인터넷 간의 통신을 가능하게 하는 양방향 관문입니다. 퍼블릭 서브넷에 연결됩니다.
-
NAT 게이트웨이 (NAT Gateway):
- 프라이빗 서브넷에 있는 인스턴스가 외부 인터넷으로 나가는(Outbound) 통신은 가능하게 하면서, 외부에서 직접 들어오는(Inbound) 연결은 차단하는 단방향 인터넷 출구입니다.
- 주요 용도: 프라이빗 서브넷의 DB 서버가 OS 보안 패치를 다운로드하거나, 외부 API를 호출해야 할 때 사용됩니다.
✅ 4. VPC 보안 계층: NACL vs Security Group
- VPC는 두 계층의 가상 방화벽을 통해 리소스를 보호합니다.
| 구분 | NACL (Network ACL) | Security Group (보안 그룹) |
|---|---|---|
| 적용 수준 | 서브넷 수준 | 인스턴스 수준 |
| 상태 | Stateless (상태 비저장) | Stateful (상태 저장) |
| 규칙 | 허용(Allow) 및 거부(Deny) 규칙 모두 설정 | 허용(Allow) 규칙만 설정 |
| 동작 방식 | 요청과 응답 트래픽에 대해 각각의 규칙을 설정해야 함 | 허용된 요청에 대한 응답 트래픽은 자동으로 허용됨 |
📌 요약
- VPC는 AWS 인프라의 가장 기본적인 네트워크 경계를 설정합니다.
- 서브넷을 퍼블릭과 프라이빗으로 나누어 리소스의 역할을 분리하고 보안을 강화합니다.
- IGW는 양방향, NAT 게이트웨이는 단방향 인터넷 통신을 담당합니다.
- NACL과 Security Group이라는 두 계층의 방화벽을 통해 네트워크 접근을 정교하게 제어해야 합니다.
