AWS General Immersion Day 후기 : AWS Network(1)

AWS VPC (Virtual Private Cloud)

사용자가 정의하는 가상의 네트워크 공간입니다.

VPC내에서 사용자는 네트워크를 설정할 수 있습니다.

IP 범위, 서브넷, 라우팅, ACL 등

VPC 내에는 여러개의 EC2가 생성될 수 있으며 각각에 사설 IP가 부여됩니다.

공인 IP할당도 가능합니다.

 

VPC 생성 순서

리전 선택 및 IP 주소 범위 설정 -> 인터넷 게이트웨이 생성 -> 필요 서브넷 정의 -> 라우팅 구성 -> 트래픽 제어

위의 흐름에 따라 순차적으로 교육을 받았습니다.

 

VPC 생성 상세 내용

1. 리전 선택

어느 리전에 VPC를 생성할지 선택 합니다.

한국에서 선택할 경우 보통 '아시아 태평양(서울) ap-northeast-2'를 선택합니다.

 

2. 주소 범위 설정

CIDR(Classless Inter-Domain Routing)를 설정합니다. (사이더라고 읽습니다.)

사이더는 해당 VPC내에서 사용할 사설 IP 대역입니다.

사용자가 임의로 작성이 가능하지만 RFC 1918에 정의된 사설 IP대역 사용을 권고합니다.

IP 대역의 범위는 /16 부터 /28까지 사용가능합니다.

그리고 생성 후 변경이 불가능한 것을 염두해야 합니다.

 

3. 서브넷 정의 및 IPv4 주소 대역 할당

VPC내에서 사용할 사이더를 정의하였다면, 사이더 내에서 서브넷을 나누어 줍니다.

만약 172.31.0.0/16으로 사이더를 정의하였다면 아래와 같이 서브넷을 나눌 수 있습니다.

172.31.0.0/24

172.31.128.0/24

172.31.0/24

172.31.129.0/24

 

4.  라우팅 구성

위와 같이 서브넷을 나누었다면 아래 사항등을 고려하여야 합니다.

- 공인 IP 주소

- IGW와 VPC연결

- GW로 라우팅 구성

- NACL 구성

- 보안

 

어떤 서브넷을 외부와 통신하도록 설정할 것인지, 각 서브넷 간 통신은 어떻게 할 것인지, 보안정책은 어떻게 할것인지 등을 고려해야 합니다.

 

먼저 공인 IP주소는 인스턴스를 생성하면 자동으로 할당이 됩니다.

다만, 중요한 점은 인스턴스를 내렸다가 다시 올리는 경우 할당받았던 공인 IP는 변경이 됩니다.

 

변경되는 IP가 아닌 고정되는 IP를 사용하고 싶은 경우 EIP (Elastic IP)를 사용하면 됩니다.

계정에 직접 IP가 할당되며 리전당 기본 5개 사용이 가능합니다.

여기서 중요한 것은 EIP를 만들기만 해도 과금이 된다는 것입니다.

 

이제 3번에서 만들었던 사설 IP대역에 IGW를 연결하여 사설IP대역을 공인 IP대역으로 변경합니다.

라우팅 테이블 편집에서 0.0.0.0/0으로 가는 IGW를 추가하면 됩니다.

 

이후 보안 설정에서는 인바운드 규칙으로 외부에서 내부 인스턴스로 들어오는 규칙에 대해 설정합니다.

 

5. 트래픽 제어

VPC의 트래픽 제어는 2가지로 구분할 수 있습니다.

 

5-1. 네트워크ACL

- stateless 방화벽

- 서브넷 대상

 

5-2. 보안 그룹

- stateful 방화벽

- aws 리소스 대상

 

5-1. 네트워크ACL은 서브넷 대상으로 보안을 설정할 수 있습니다.

5-2. 보안 그룹은 AWS에서 서브넷 내 인스턴스를 생성하면 인스턴스를 대상으로 보안을 설정할 수 있습니다.

 

 

AWS에서 Network가 중요한 내용이다보니 내용이 길어져 나누어 작성하도록 하겠습니다.