가상 네트워크 공간 만들기

김성현·2021년 1월 14일

aws공부

목록 보기

3/10

VPN

큰 규모의 조직이 여러 곳에 분산되어 있는 컴퓨터들을 연결하는 보안성이 높은 사설 네트워크(Private Network)를 만들거나, 인터넷을 활용하여 원격지 간에 네트워크를 서로 연결하고 암호화 기술을 적용하여 보다 안정적이며, 보안성 높은 통신 서비스를 제공하는 서비스
Amazon Web Services는 VPC(Virtual Private Cloud)와 VPC Gateway를 통해 On-Premise의 VPN장비와 Amzon Web Services 간의 VPN을 연결할 수 있으며, 이를 통해 보안성 높은 하이브리드 클라우드(Hybrid Cloud) 환경을 구현하여, 원활한 클라우드 컴퓨팅 서비스를 지원한다.

VPC

AWS 클라우드에서 논리적으로 격리된 네트워크 공간을 할당하여 가상 네트워크에서 AWS 리소스를 이용할 수 있는 서비스를 제공한다
자체 IP 주소 범위, 서브넷(Subnet) 생성, 라우팅 테이블(Routing Table) 및 네트워크 게이트웨이 구성 선택 등 가상 네트워킹 환경을 완벽하게 제어하며, VPC에서 IPv4와 IPv6를 모두 사용하여 리소스와 애플리케이션에 안전하고 쉽게 액세스할 수 있다.
보안 그룹(Security Group) 및 네트워크 제어 목록(Network Access Control List)을 포함한 다중 보안 계층을 활용하여 각 서브넷(Subnet)에서 EC2 인스턴스에 대한 액세스를 제어 할 수 있다.

퍼블릭 서브넷(Public Subnet)과 프라이빗 서브넷(Private Subnet)

인터넷 게이트웨이(Internet Gateway)로 라우팅이 되는 서브넷을 퍼블릭 서브넷(Public Subnet)이라 하고, 인터넷 게이트웨이로 라우팅 되지 않는 서브넷을 프라이빗 서브넷(Private Subnet)이라 한다.

라우팅 테이블(Routing Table)

각 서브넷은 서브넷 외부로 나가는 아웃바운드(Outbound) 트래픽에 대해 허용된 경로를 지정하는 라우팅 테이블(Routing Table)이 연결되어 있어야 한다.
라우팅 테이블은 VPC의 서브넷 내에서 생성된 네트워크 패킷이 목적지 주소로 이용하기 위해 어떤 경로로 이동되어야 하는지를 알려주는 나침반과 비슷한 개념

보안그룹(Security Group)과 네트워크 액세스 제어 목록(Network ACL)

VPC는 네트워크 통신과 트래픽에 대해 IP와 Port를 기준으로 통신을 허용하거나 차단하기 위한 기능을 제공하는데 그 서비스를 보안 그룹(Security Group)과 네트워크 ACL(Network ACL)이다.

구분	보안 그룹(Security Group)	네트워크 ACL(Network Access Control List)
서비스 범위	인스턴스 레벨(Instance Level)에 적용	서브넷 레벨(Subnet Level)에 적용
적용 정책	허용(Allow) 규칙만 적용	허용(Allow) 및 거부(Deny) 규칙 적용
구동 방식	규칙에 상관없이 반환 트래픽 허용	반환 트래픽이 별도로 허용되어야함
룰(Rule) 검토/적용	해당 객체 내 모든 룰(Rule) 검토	해당 객체 내 룰(Rule)을 번호 순으로 처리
적용 방법	인스턴스에 보안 그룹 추가 필요	연결된 서브넷에 모든 인스턴스 자동 적용됨

VPC 피어링 연결(VPC Peering Connection)

비공개적으로 두 VPC 간에 트래픽을 라우팅할 수 있게 하기 위한 서로 다른 VPC 간의 네트워크 연결을 제공한다.
VPC Peering을 통해 서로 다른 VPC의 인스턴스 간에 통신이 가능하게 만든다.

NAT(Network Address Translation)게이트웨이

외부 네트워크에 알려진 것과 다른 IP주소를 사용하는 내부 네트워크에서, 내부 IP주소를 외부 IP주소로 변환하는 작업을 수행하는 서비스
프라이빗 서브넷(Subnet)내에 있는 인스턴스를 인터넷 또는 다른 AWS 서비스에 연결하고, 외부망 또는 인터넷에서 해당 인스턴스에 연결하지 못하도록 구성하는데 사용한다.
NAT 게이트웨이를 구성하기 위한 세 가지 조건으로
NAT 게이트웨이를 생성하기 위해 퍼블릭 서브넷(Public Subnet)을 지정
NAT 게이트웨이와 연결할 탄력적 IP(Elastic IP)주소 필요
NAT 게이트웨이를 만든 후 인터넷 트래픽 NAT 게이트웨이로 통신이 가능하도록 프라이빗 서브넷(Subnet)과 연결된 라우팅 테이블(Routing Table)업데이트

VPC Endpoint

퍼블릿 서브넷(Public Subnet)에 위치한 인스턴스는 인터넷을 통해 문제 없이 연결이 가능하지만 프라이빗 서브넷(Private Subnet)에 위치한 인스턴스는 인터넷과 연결되어 있는 S3와 같은 공용 리소스를 연결할 수 없다.
연결을 위해 NAT 게이트웨이나 NAT 인스턴스가 필요하지만 VPC Endpoint를 이용하여 손쉽게 연결할 수 있다.

VPN(Virtual Private Network)연결

기본적으로 Amazon VPC에서 서비스되는 인스턴스는 On-Premise에 있는 서버나 IDC내의 시스템과 통신할 수 없다.
AWS VPC 내 인스턴스와 IDC 내 시스템 간의 데이터 통신을 위해 VPC에 가상의 프라이빗(Private) 게이트웨이를 연결하고 사용자 지정 라우팅 테이블을 생성하여 보안 그룹의 규칙을 업데이트하고, AWS 관리형 VPN 연결을 생성하여 VPC에서 원격의 네트워크에 접속 가능하도록 하이브리드 클라우드(Hybrid Cloud)환경을 구성할 수 있다.

VPC 마법사를 통해 퍼블릭 서브넷(Public Subnet)과 프라이빗 서브넷(Private Subnet)만들기

AWS에 로그인하여 좌측 상단 [서비스] -> [네트워킹 및 콘텐츠 전송] -> [VPC]로 이동한다.
좌측에서 [탄력적 IP]을 눌러 이동한 후 [탄력적 IP주소 할당]을 클릭하여 넘어간다.
바로 [할당]을 누른다.
좌측 메뉴 상단에 [VPC 대시보드]로 이동하고 [VPC 마법사 시작]을 해준다.
1단계: VPC 구성 선택에서 [퍼블릭 및 프라이빗 서브넷이 있는 VPC]를 선택하고 아래에 [선택]버튼을 눌러 다음으로 넘어간다.
사진과 같이 내용을 입력해주고 [VPC생성]을 누른다.

리전(Region)간 VPC Peering으로 글로벌 통합 네트워크 환경 구축하기

AWS에 로그인하고 오른쪽 상단의 리전을 EU(런던)으로 변경한다.
[서비스] -> [네트워킹 및 콘텐츠 전송] -> [VPC]로 이동한다.
[VPC 마법사 시작]을 해준다.
[단일 퍼블릭 서브넷이 있는 VPC]로 선택한다.
내용은 사진과 같이 입력한다.
피어링 구성을 위해 리전을 다시 서울로 바꾸고 VPC에서 [피어링 연결]을 눌러 이동하고 [피어링 연결 생성]을 한다.
사진과 같이 입력하고 맨 아래 우측에 [피어링 연결 생성] 클릭한다.
리전을 런던으로 변경한 후에 VPC에서 수락 대기 중인 VPC를 우클릭하여 요청 수락을 누른다.
라우팅 테이블을 수정해야하므로 [라우팅 테이블]로 이동하여 기본이 아닌 것을 선택한 후에 우클릭하여 [라우팅 편집]을 한다.
라우팅 편집에서 좌측 하단에 [라우팅 추가]를 눌러서 추가하고 내용은 서울 리전의 VPC 대역인 10.0.0.0/16을 추가하고 대상은 [Peering Connection]으로 하고 [라우팅 저장]을 한다.
서울 리전의 VPC에서도 똑같이 런던 리전의 VPC 대역 20.0.0.0/16 대상은 [Peering Connection]으로 설정하고 [라우팅 저장]을 한다.
런던 리전으로 변경하고 EC2에서 Amazon Linux 2 AMI (HVM)와 유형 t2.micro으로 설정하고 인스턴스 세부 정보 구성에서 [네트워크] 부분을 런던 리전에서 만든 VPC로 설정하고 [퍼블릭 IP자동 할당]을 활성화하고 [검토 및 시작]으로 넘어가서 인스턴스를 생성한다.
인스턴스 생성 후에 보안 그룹을 수정해야하므로 보안 그룹을 눌러서 이동한다.
인바운드 규칙 편집에서 [규칙 추가]를 통해서 유형은 "모든 트래픽", IP는 서울 리전의 대역대인 "10.0.0.0/16"으로 설정해서 저장한다.
서울 리전에도 런던 리전에서 인스턴스를 만든 것처럼 만들고 인바운드 규칙을 편집한다.
각각 Putty로 접속해서 상대방한테 Ping 날렸을 때 통신이됨을 확인