본문 바로가기
Cloud/AWS

AWS 네트워크 정리 - VPC(1)

engineer-collie 2022. 4. 14. 01:02

AWS 네트워킹 서비스 

 

거의 클라우드 업계에서 암묵적인 표준이라고 할 수 있는 AWS 에 대해서 하나 씩 차근 차근 학습을 진행해보고자 한다. 그 첫 번째로 AWS 의 네트워킹 서비스에 대한 학습으로 AWS VPC에 대해 정리해보고자 한다.

 

AWS 네트워킹 서비스

AWS 네트워킹 서비스는 크게 5개의 분류로 나눌 수 있다.

  1. VPC  - AWS 클라우드에 만드는 가상의 데이터 센터 ( 논리적 격리 )
  2. VPN - 온프레미스 DC와 VPC의 IPSEC VPN[IP프로토콜 + Security 강화(인증)] 연결
  3. Direct Connect - 온프레미스 DC와 VPC의 전용선 연결
  4. ELB - 관리형 LB(Load Balancer) 서비스
  5. Route53 - 관리형 DNS 서비스

VPC

VPC(Virtual Private Cloud)

  • 사용자가 정의한 가상의 네트워크 환경 (논리적 격리)
  • 사용자 별 네트워크 제어 가능
    • IP 범위 지정
    • 용도에 맞는 Subnet 분리
    • Routing Tables
    • 보안 : Security Group , Network ACL 
    • Gateway : Internet Gateway, NAT Gateway, Virtual Gateway
  • 온프레미스 DC와 연결 옵션 ( VPN, DirectConnect )

 

생성 순서

  1. Region 결정, IP 대역 결정
  2. 가용영역(Availability Zone[AZ])에 Subnet 생성
  3. Routing 생성
  4. Traffic 통제 (IN/OUT)

 

VPC 확장 (VPN 때 추가 설명 진행 예정)

  1. 인터넷 확장
  2. 온프레미스 확장
  3. 다른 VPC 확장

 

세부 내용

1. IP 대역 선택 시 고려 사항

  • VPC 확장 시나리오를 고려 필요
    • 서비스 확장을 고려하여 충분히 큰 CIDR 지정
    • 향후 AWS 내 동일 리적/ 다른 리전의 VPC 확장
    • 향후 고객사 온프레미스 네트워크와의 연동
  • VPC 네트워크 범위는 /16~/28 까지 가능
  • VPC CIDR은 생성 후 변경 불가
    • Secondary CIDR은 4개 까지 추가 가능
  • RFC 1918 (Private IP 표준) 권장
    • 10.0.0.0/8, 172.16.0.0/12, 192. 168.0.0/16

 

2. 서브넷 생성시 고려 사항

  • 최소 /24 subnet 지정 (가용 IP : 251개)
  • 예약된 IP 주소 (Subnet CIDR이 10.0.0.0/24 인 경우)
    • 10.0.0.0 : 네트워크 주소
    • 10.0.0.1 : VPC 라우터용으로 예약된 주소
    • 10.0.0.2 : AWS에서 예약한 DNS 주소
    • 10.0.0.3 : AWS에서 향후 사용을 위하여 예약
    • 10.0.0.255 : 브로드 캐스트 주소 
  • 서브넷의 CIDR은 생성 후 변경할 수 없음
  • Application의 고가용성을 위해 복수개의 가용영역에 Subnet 생성 (Multi-AZ 아키텍처)

 

3. 라우팅

  • Main Route Table
    • 동일 VPC 내 다른 서브넷 간 통신을 위해 Main Route Table 이 존재
    • MainRoute Table은 VPC 생성 시 자동으로 생성
    • VPC 내 모든 Subnet에 암시적으로 적용
    • Subnet : Route Table = 1 : 1
    • 삭제 불가
  • Custom Route Table
    • VPC 외부 리소스 ( Ex : 인터넷, 온프레미스 데이터 ) 와 통신을 위한 Route Rule 추가
    • 명시적으로 Subnet에 연결 되어 진다.

 

4. 네트워크 트레픽 통제 ( 총 3 가지 방법 )

  • Route Table
    • Subnet 단위 라우팅 통제
  • Network ACL
    • Subnet 단위
    • Stateless 방화벽
    • Allow/Deny
    • Rule # ordering
  • Security Group
    • 인스턴스 단위
    • Stateful 방화벽
    • Allow Only

용어 정리

  • Region(리전) : AWS 를 이루는 가장 큰 단위 대부분 국가 단위
  • AZ(가용영역) : 리전에 속해 있는 데이터센터, 각 리전은 가용성을 위해 최소 2개 이상의 AZ 즉 데이터 센터를 가지며 각 가용 영역들은 지연 시간이 낮은 연결을 유지한다
  • CIDR(사이더) : 도메인 간 라우팅 기법으로 최신 IP 할당 방법, 간단한 방법은 192.168.0.15/24 일 경우에는 IP 주소의 첫 24 비트를 네트워크 라우팅을 위한 주소로 사용한다는 의미 (즉 HOST 개수 254개)

결론

 

VPC는 AWS에서 가상으로 IP 격벽을 만들어 각자의 독립성을 보장하고, 여러 AZ를 묶는 것을 가능하게 함으로써 가용성도 만족 시킬 수 있다고 생각한다. 무엇보다 이러한 VPC에 대한 심도 있는 이해를 위해서는 라우팅과 CIDR에 대한 이해도를 높일 필요가 있다고 생각한다.

 

참고자료&출처

 

 

 

728x90
반응형
저작자표시 비영리 동일조건

'Cloud > AWS' 카테고리의 다른 글

[AWS] amazon linux 2022란  (0) 2023.01.27

'Cloud/AWS' Related Articles

티스토리툴바