시스템 아키텍쳐
이번 실습을 통해 구성할 수 있는 아키텍쳐입니다!
CIDR블록은 10.0.0.0/16으로 설정해주었다..
가용영역은 두 개를 설정하였고, 각각 프라이빗, 퍼블릭 서브넷 한 개씩을 두었다.
NAT 게이트웨이는 한 개만 생성하였다.
Nat Gateway
- IP 패킷의 TCP/UDP 포트숫자, 소스 및 목적지의 IP주소 등을 재기록
- 사설 IP를 외부 인터넷과 통신하기 위해 사용
- 사설 네트워크에 속한 여러 개의 호스트가 하나의 공인 IP 주소를 사용해서 인터넷에 접속하기 위함
private subnet과 public subnet은 같은 vpc내부에 있으면 통신이 가능
- Nat Gateway를 붙이면 public subnet이 외부 인터넷 데이터를 private subnet으로 전달
내부에서 외부로의 접속만 가능(단방향)
- 외부에서 NAT Gateway를 이용해서 접속하는 것은 불가능
라우팅 테이블
- 네트워크 트래픽이 전달되는 위치를 결정하는 데 사용되는 규칙세트를 포함
- vpc내의 각 서브넷은 라우팅 테이블과 연결되어야 한다.
igw : 인터넷 게이트웨이
인터넷 게이트웨이
- vpc 라우팅 테이블에서 인터넷으로 라우팅 가능한 트래픽의 대상을 제공
- 공인 IPv4주소가 할당된 인스턴스에 NAT(Network Address Translation)를 실행
ALB
- 둘 이상의 가용영역에서 EC2와 같은 여러 대상에 걸쳐 수신되는 애플리케이션 트래픽을 자동으로 분산
- 리스너 : 구성한 프로토콜 및 포트를 사용하여 클라이언트의 연결 요청을 확인
Bastion instance
- Private Subnet 내부의 인스턴스에 접속하기 위한 수단
- ssh를 통해 해당 인스턴스에 접속한 뒤 해당 인스턴스 내부에서 ssh를 통해 Private Subnet 내부의 인스턴스에 접속
보안그룹
- 보안그룹은 인스턴스에 대한 인바운드 빛 아웃바운드 트래픽을 제어하는 가상방화벽 역할을 수행
- 서브넷 수준이 아니라 인스턴스 수준에서 작동하며 허용 규칙만 지원
ssh -i idiot.pem ubuntu@[Private IP]
명령어를 통해 Bastion Server에서 Private Instance로 접속이 가능하다.