[TIL.21.1.28 ~]AWS VPC(Virtual Private Cloud)

VPC(Virtual Private Cloud)

VPC란?

VPC를 사용하면 AWS클라우드에서 논리적으로 격리된 공간을 프로비저닝 하여 고객이 정의하는 가상 네트워크에서 AWS 리소스를 시작할 수 있다. IP주소범위 선택, 서브넷 생성, 라우팅 테이블 및 네트워크 게이트웨이 구성 등 가상 네트워킹 환경을 완벽하게 제어할 수 있다. VPC에서 IPv4,IPv6 모두 사용하여 리소스와 애플리케이션에 안전하고 쉽게 액세스할 수 있다

일종의 가상 네트워크 센터, 나만의 데이터 센터

• Default VPC
  • 계정 생성시 자동으로 셋업(모든 리전)
  • 모든 서브넷의 인터넷 접근이 가능함
  • EC2가 퍼블릭 IP와 프라이빗 IP 모두 가지고 있음
  • 삭제시 복구 불가
• Custom VPC
  • 새로 만들어야 함
  • Default VPC의 특징을 가지고 있지 않음

- VPC를 사용하여 할 수 있는 일들

• EC2 tlfgod rksmd
• 서브넷 구성 가능
• 보안설정(IP Block, 인터넷에 노출되지 않는 EC2 구성 등) 가능

- VPC peering : VPC간의 연결

• Transitive Peering 불가능 : 한 다리 건너 연결되어 있다고 해서 Peering이 된것이 아님
• A가 B와 peering되어 있고, B가 C와 peering 되어 있다고 해서 A와 C가 peering 된것이 아님

- VPC Flow Log

• VPC의 로그를 CloudWatch에 저장 가능

- IP대역 지정 가능- 리전에 하나 : 다른 리전으로 확장 불가능

VPC의 구성요소

1. Availability Zone
2. Subnet
3. IGW(Internet GateWay)
4. NACL(Network Access Control List)/ SG(Security Group)
5. Route Table
6. Nat Gateway(Network Address Traslation Instance)
7. Bastion Host
8. VPC Endpoint

• Availability Zone
  • 물리적으로 분리되어 있는 인프라가 모여 있는 데이터 센터
  • 고가용성을 위해서 항상 일정 거리 이상 떨어져 있음
  • 하나의 리전은 2개 이상의 AZ로 이루어져 있음
  • 각 계정의 AZ는 다른 계정의 AAZ와 다른 아이디를 부여받음
• Subnet
  • VPC의 하위 단위
  • 하나의 AZ에 여러 Subnet 생성 가능(서브넷이 AZ 2개에 속할수는 없다)
  • Public Subnet : 인터넷 접근 가능한 서브넷
  • Private Subnet : 인터넷 접근 불가능한 서브넷
  • CIDR Block range 설정가능
  • IGW(Internet Gateway)
    • 인터넷으로 나가는 통로
    • 고가용성이 확보되어 있음
    • Private Subnet은 IGW가 연결되어 있지 않음
    • Route Table에서 연결해줘야 함
  • NACL/SG
    • NACL : Stateless, SG : Stateful
    • 기본적으로 VPC 생성시 만들어 줌
    • Deny는 NACL에서만 가능
  • Route Table
    • 트래픽이 어디로 가야할지 알려주는 이정표
    • 기본적으로 VPC 생성 시 만들어 줌

*CIDR(Classless Inter Domain Routing)

IPv4는 총 32비트의 숫자로 구성 = 약 43억개

• 충분하지 않음
• 해결방법 : Privatre Network

사설망 (Private Network)

• 하나의 Public IP를여러 기기가 공유할 수 있는 방법
• 하나의 망에는 Private IP를 부여받은 기기들과 Gateway로 구성
• 각 기기는 인터넷과 통신시 Gateway를 통해 통신
• Private IP는 지정된 대역의 아이피만 사용 가능

 

* 사설망 내 어떤 컴퓨터가 61.123.44.1의 Public IP와 통신할 때 특정 포트를 통해, NAT의 Public IP로 변환되어 통신하고 응답은 NAT가 포트를 기억하고 있기 때문에 정상적으로 요청을 보냈던 컴퓨터가 응답을 받을 수 있다.

CIDR이란?

• Classless Inter Domain Routing : IP의 주소영역을 여러 네트워크 영역으로 나누기 위헤 IP를 묶는 방식
• 여러개의 사설망을 구축하기 위해 망을 나누는 방법
• Classless

* 28개의 앞자리가 네트워크 주 뒤에 4자리가 Host 주소이다. 즉 총 16개(-2 or -5)의 Private IP 할당 가능

CIDR Block

• 첫번째/마지막 IP는 예약되어 있어서 사용 불가능
• 첫번째IP는 네트워크 자체를 가르키는 IP
• 마지막IP는 BroadCast IP
• AWS는 총 5개의 Address를 예약
• 0 : Network Address
• 1 : VPC Router
• 2 : DNS
• 3 : Future use
• 마지막 : BroadCast

NAT Instance/ Nat Gateway

• Private Instance가 외부의 인터넷괴 통신하기 위한 통로
• NAT Instance 는 단일 Instance(EC2) / NAT Gateway는 AWS에서 제공하는 서비스
• NAT Instance를 사용할 때 Source/Destination Check를 해제해야 함
• NAT Instance는 Public Subnet에 있어야함

Bastion host

• Private Instance에 접근하기 위한 Instance
• Public Subnet에 위치해야 함

VPC Endpoint

VPC 엔드포인트를 통해 IGW,NAT device, VPN연결 또는 AWS Direct Connect연결을 필요로 하지 않고 AWS PrivateLink구동 지원AWS 서비스 및 VPC 엔드포인터 서비스에 비공개로 연결할 수 있다.

• Public IP adress를 필요로 하지 않음
• VPC와 기타 서비 간의 트래픽은 Amazon 네트워크를 벗어나지 않는다.
• 종류 :
  • Interface Endpoint : ENI(Elastic Network Interface) 기반
    • Private IP를 만들어 서비스로 연결시켜줌
    • 많은 서비스들을 지원(SQS,SNS,Kinesis,Segemaker 등)
  • Gateway Endpoint : 라우팅 테이블에서 경로의 대상으로 지정하여 사용
    • S3 및 DynamoDB 지원

•