VPN(Virtual Private Network)과 VPC(Virtual Private Cloud) 개념
VPN이란?
VPN (Virtual Private Network) 서비스의 약자로, public(인터넷) 망을 통해서 회사의 private network 망에 연결하게 해주는 서비스
VPN은 실제 사설망이 아닌 가상의 사설망
회사의 네트워크 구성에서 직원 간 네트워크를 분리하고 싶다면 가상의 망 VPN을 사용하면 됨
VPC란?
VPC는 Virtual Private Cloud의 약자로 아마존 클라우드 내에서 private ip를 사용하는 일종의 가상 private network 망을 만들어줄 수 있게 해주는 서비스
하나의 VPC는 하나의 Region내에서만 생성이 가능
즉 VPC를 두개 이상의 region에 걸쳐서 사용이 불가능
VPC가 없다면 인스턴스들이 거미줄처럼 연결되어 복잡한 형태로 되지만
만약 VPC가 적용되면 VPC별 네트워크 구성할 수 있고 설정을 줄 수 있다.
VPC 구축을 위해 사설아이피대역에 맞추어 구축해야 함
VPC에서 사용하는 사설 아이피 대역
-
10.0.0.0 ~ 10.255.255.255(10/8 prefix)
-
172.16.0.0 ~ 172.31.255.255(182.16/12 prefix)
-
192.168.0.0 ~ 192.168.255.255(192.168/16 prefix)
Subnet이란?
하나의 region 내에서 여러개의 AZ에 걸쳐서 생성이 가능
VPC안에 여러개의 subnet을 생성할 수 있는데, 하나의 subnet은 VPC안에서 하나의 AZ에만 생성이 가능
서브넷은 VPC를 잘게 쪼개는 과정
VPC 안에 있는 VPC보다 더 작은 단위이므로 아이피 범위가 더 작게됨
Route Table이란?
각 subnet에는 default로 subnet과 밖을 연결해주는 router가 생성되고, 이 router는 route table을 가짐. 대상 ip address에 routing 경로를 정의하는 것으로 subnet에서 밖으로 나가는 outbound traffic에 대한 routing 경로를 의미
이 route table은 AWS 콘솔에서 설정이 가능하고, routing 경로는 target의 타입에 따라서, 크게 세가지로 분리 가능
-
Local : VPC 내의 다른 subnet으로 traffic을 routing
-
Internet gateway : internet gateway를 통해서, 외부 인터넷으로 traffic을 routing
-
Virtual private gateway : 관리자가 임의로 정의한 destination으로 traffic을 routing
네트워크 요청이 발생하면 데이터가 라우터로 감
라우터란, 목적지이고 라우팅데이블이란 목적지에 대한 이정표
인터넷게이트웨이는 VPC와 인터넷을 연결해주는 하나의 관문
Security Group이란?
Security Group은 VPC 안에서 일종의 방화벽 처럼 사용
VPC 가 아니더라도 Security Group은 AWS에서 필수적으로 사용되는데, Security 그룹은 inboud 또는 outbound traffic에 대해서 port 별로 접근을 제어할 수 있는 기능을 제공 마치 방화벽과 같은 기능을 하는 서비스
NAT 게이트웨이는 프라이빗 서브넷이 인터넷과 통신하기 위한 아웃바운드 인스턴스
퍼블릭 서브넷사 동작하는 NAT 게이트웨이는 프라이빗 서브넷에
외부로 요청하는 아웃바운드 트래픽을 받아 인터넷게이트웨이와 연결
NAT(Network Address Translation)란?
NAT 게이트웨이는 NAT(Network Address Translation, 네트워크 주소 변환) 서비스
프라이빗 서브넷의 인스턴스가 VPC 외부의 서비스에 연결할 수 있지만 외부 서비스에서 이러한 인스턴스와의 연결을 시작할 수 없도록 NAT 게이트웨이를 사용
즉, 외부 서비스에서 프라이빗 서브넷의 인스턴스로 접근할 수 없게 하되, 프라이빗 서브넷의 인스턴스에서는 외부 서비스로 접근할 수 있게 해주는 서비스
CIDR(사이더)란?
CIDR(Classless Inter-Domain Routing)는 클래스 없는 도메인 간 라우팅 기법으로 1993부터 도입되기 시작한 IP 주소 할당법이다. 사이더는 기존의 IP 주소 할당 방식이었던 네트워크 클래스를 대체하였고 사이더를 사용함으로써 IP주소의 영역을 여러 네트워크로 나눌 때 기존방식에 비해 유연성이 증가하게 되었다. 사이더의 표기법은 서브넷 마스크의 표기법과 동일하다.
