VPC
Virtual Private Cloud로 독립된 가상의 클라우드 네트워크
사용자의 관여에 따라 기본 VPC와 사용자 VPC로 나누어 질 수 있다.
기본 VPC는 리전 별로 1개씩 생성되어 있고, AWS 리소스가 미리 정해져 있음.
사용자 VPC는 사용자 정의에 의해 AWS 리소스를 정하고 제어할 수 있음. (최대 5개)
VPC 특징
- 확장성 : 쉬운 생성 및 삭제. 설정 및 관리에 편의성 제공
- 보안 : 인스턴스 레벨과 서브넷 레벨에서 인바운드 및 아웃바운드 필터링 수행할 수 있도록 보안 그룹과 네트워크 ACL을 제공하여 보안 강화
- 사용자 중심 : 사용자가 원하는 대로 손쉽게 제어, 네트워크 지표 및 모니터링 툴을 활용하여 높은 가시성 제공
서브넷과 서브넷 마스크
서브넷 : 부분적인 네트워크
서브넷 마스크 : IP 주소에 네트워크 ID와 호스트 ID를 구분하는 기준값
- 네트워크 ID : 서브넷 식별 영역
- 호스트 ID : 서브넷에서 대상을 식별하는 영역
TCP와 UDP, 포트번호
TCP와 UDP는 OSI 7 레이어 중 4계층에 사용되는 대표적인 전송 프로토콜
TCP : 종단 간의 연결 -> 신뢰성 있는 전송을 보장하는 프로토콜
UDP : 종단 간의 연결 X -> 신뢰성 있는 전송을 보장받을 수 없음
포트번호
- 잘 알려진 포트 (Well-Known Port) : 0 ~ 1023
- 등록된 포트 (Registered Port) : 1024 ~ 49151
- 동적 포트 (Dynamic Port) : 49152 ~ 65535
TCP의 포트 번호 80 -> HTTP 서비스
UDP의 포트 번호 53 -> DNS 서비스
DHCP (Dynamic Host Configuration Protocol)
- 동적으로 IPv4 주소를 일정 기간 임대하는 프로토콜.
- DHCP는 UDP 프로토콜 사용, 포트 번호 67/68 사용하여 동작.
- 호스트가 IPv4를 할당할 때 수동으로 지정할 수도 있고,
DHCP를 통해 자동으로 지정할 수도 있음. - 임대 시간 존재. 시간 만료시 반환 혹은 갱신 수행
- DHCP는 중앙집중형 서버/클라이언트 방식으로 동작.
- 즉, 서버가 존재하고 네트워크 호스트가 클라이언트가 되어 서버에게 IP 할당
Discover -> Offer -> Request -> Ack
클라이언트에서 서버를 찾기 위한 메세지
서버에서 IP 주소와 시간 알림
클라이언트에서 할당받은 IP 요청
서버에서 최종적으로 할당 IP 승인
DNS (Domain Name System)
도메인 네임을 제공하기 위한 기술
라우팅
네트워크 통신 수행시의 경로를 잡아주는 Network 계층의 핵심적인 기능 수행
최적의 경로를 찾아 통신하는 것, 네트워크 입장에서 가장 중요한 지향점
라우팅을 수행하는 장비 : 라우터
라우터가 경로를 파악하고 원하는 목적지 대상으로 데이터 전달 : 라우팅 테이블
VPC 리소스
서브넷
서브넷의 IP 대역은 VPC의 IP 대역에 속해 있어야 하며, 서브넷은 1개의 가용 영역에 속해야한다. AWS에서는 미리 예약되어 있는 IP 주소가 있는데, 이러한 주소들은 AWS 자원에게 할당하지 못한다. 이를 고려하여 생성해야 한다.
퍼블릭 서브넷 : 공인 네트워크 개념. 외부 인터넷 구간과 직접적으로 통신하는 공공 네트워크
프라이빗 서브넷 : 사설 네트워크 개념. 외부 인터넷과 직접적인 통신이 불가능한 폐쇄적인 네트워크. 원론적으로는 불가능하나 NAT 게이트웨이 ( 프라이빗 Ip -> 퍼블릭 Ip )가 있으면 가능.
가상 라우터와 라이팅 테이블
VPC를 생성하면 가상 라우터와 라우팅 테이블을 가지고 있다.
인터넷 게이트웨이
VPC와 인터넷 간의 논리적인 연결. VPC에서 인터넷 구간으로 나가는 관문.
VPC당 1개만 연결 가능. 통신 대상은 퍼블릭 IP를 사용하는 퍼블릭 서브넷 내의 자원.
퍼블릭 서브넷은 자신의 라우팅 테이블에 외부 인터넷 구간으로 나가는 타깃을
인터넷 게이트웨이로 지정해 주어야 함.
NAT 게이트웨이
인터넷 게이트웨이처럼 외부 인터넷 구간과 연결하는 관문 역할을 함.
NAT : Network Address Translation 으로 IP 주소를 변환하는 기술
인터넷 구간은 공공 네트워크 구간. 퍼블릭 IP를 통해 통신이 이루어짐.
프라이빗 IP의 경우 인터넷 구간으로 넘어올 수 있는데, NAT가 변환하여 통신을 도울 수 있음.
한 방향으로 동작한다.
프라이빗 서브넷 -> 외부 인터넷 O
외부 인터넷 -> 프라이빗 서브넷 X
보안 그룹과 네트워크 ACL
인스턴스 레벨에서의 보안 기술 : 보안 그룹
서브넷 레벨에서의 보안 기술 : 네트워크 ACL (Access Control List)
인바운드 및 아웃바운드되는 데이터에 대해 허용 규칙과 거부 규칙 수립
원하는 데이터만 수용할 수 있도록 필터링
실습에서 배운 것
ping [IP/도메인]
IP 네트워크를 통해 특정한 호스트가 도달할 수 있는지의 여부를 테스트하는 컴퓨터 네트워크 도구 중 하나
PING google.com (172.217.175.46) 56(84) bytes of data.
64 bytes from nrt20s19-in-f14.1e100.net (172.217.175.46): icmp_seq=1 ttl=105 time=32.8 ms
64 bytes from nrt20s19-in-f14.1e100.net (172.217.175.46): icmp_seq=2 ttl=105 time=32.9 ms
64 bytes from nrt20s19-in-f14.1e100.net (172.217.175.46): icmp_seq=3 ttl=105 time=32.8 ms
64 bytes from nrt20s19-in-f14.1e100.net (172.217.175.46): icmp_seq=4 ttl=105 time=32.8 ms
64 bytes from nrt20s19-in-f14.1e100.net (172.217.175.46): icmp_seq=5 ttl=105 time=32.8 ms