VPC 와 네트워킹

VPC(Virtual Private Cloud) : 가상 사설 클라우드 

IPv4 와 IPv6 : 인터넷 프로토콜 버전 4와 6

IPv4 : AWS 에서는 EC2 인스턴스를 만들때 마다, 새로운 Public IPv4를 얻게 되고, 중지 후 다시 시작할 때에도 새로운 Public IPv4 주소를 얻게 된다.

 

IPv6 : 인터넷 프로토콜의 차세대 진화버전으로, 모든 IPv6는 public 이다.

----> 여기서 VPC 가 IPv6를 사용할 수 있게, 설정할 수 있다.

 

VPC

• 사설 네트워크를 사용하여 EC2 인스턴스에 리소스를 배포할 수 있는데, 특정 region과 연결되어 AWS 에 여러 region이 있으면, 여러 VPC 를 갖게 된다.
• VPC에는 서브넷이 있는데, 서브넷은 VPC 의 일부가 된다.
• (서브넷 : 네트워크의 파티션, 가용영역(AZ)와 연결된다.)

  

• 해당 그림처럼 Public 서브넷과 인터넷이 서로 바로 연결되어 있고, private 서브넷에서는 인터넷을 통해 액세스하지 않는 서브넷이어서, 직접적으로 연결되어 있지 않는다.

----> 여기서 인터넷으로의 액세스와 서브넷 간의 액세스를 정의해서 리소스와 통신하려면, '라우팅 테이블'을 사용한다.

• EC2 인스턴스를 생성할 때, Public 서브넷 안에서 생성하고, Public 서브넷 안에는 Load Balancer 가 포함되어 있다.
• Private 서브넷은 기본적으로 VPC가 있고, 인터넷 액세스가 필요없어서, DB를 배치할 수 있다.(더 안전)

해당 그림처럼 VPC 는 region 안에 있는데, VPC에서 허용하는 IP주소의 범위라고 보면 된다.

 

그렇다면 이 서브넷에 관한 인터넷 액세스는 어떻게 정의할까?

• VPC가 인터넷 게이트웨이를 가지게 되고, Public 서브넷은 인터넷에 액세스하는 인터넷 게이트웨이에 관한 라우트를 가진다.
  ---> 즉, 게이트웨이와 라우터가 있으면, Public 서브넷이 되는 것이다.
• 이 Public 서브넷은 인터넷에 연결할 수 는 없지만, 인터넷 액세스에 대한 권한을 부여할 수 있다. 
  -----> NAT 게이트웨이를 설치하여 권한 부여 가능. 

VPC 내 네트워크 보안

첫번째 방어선(ACL)  과 두번째 방어선 (Security Group)

• EC2 인스턴스의 첫번째 방어선은 네트워크 ACL 또는 NACL 이다.
• 서브넷이 들어오고 나가는 트래픽을 제어하는 방화벽으로 서브넷 수준에서 허용 또는 거부 규칙을 정의할 수 있고, 연결할 수 있다. 
• 두번째 방어선 Security Group 에서는 ENI(탄력적 네트워크 인터페이스) 와 EC2 인스턴스에 들어오고 나가는 트래픽을 제어하는 방화벽이다.

-----> NACL의 보안은 서브넷 수준이고, Security Group 은 EC2 인스턴스 수준이다.

 

VPC Flow Logs - IP 트래픽 기록

• VPC Flow Logs 는 인터페이스를 통과하는 모든 IP 트래픽에 대한 로그이다.
• VPC Flow Logs, Subnet Flow Logs, Elastic Network Interface Flow Logs를 통해 EC2 인스턴스로 들락날락하는 트래픽을 확인할 수 있다.
• Flow Logs를 활성화하면 연결 문제를 모니터링하고 해결할 수 있다.

• VPC Peering 은 AWS 의 네트워크를 사용하여 두 VPC를 private로 연결함으로써 마치 동일한 네트워크인 것처럼 동작하도록 하는 것이다.
• 이를 위해서는 IP 주소 범위가 겹치지 않는지 확인이 필요하고. VPC 피어링 연결은 전이적이지 않아서 VPC C 와의 피어링 연결을 만들어도 직접적으로 연결하지 않은 다른 VPC와는 서로 통신할수가 없다.

VPC Peering 을 통해 VPN 들을 연결할 수 있다. (IP 범위가 겹치지 않는 한에서)