[AWS] VPC와 Subent

해당 포스팅은 AWS 강의실(https://www.youtube.com/@AWSClassroom)를 보고 공부한 내용을 정리한 블로그입니다.

아직 많이 부족하고 배울게 너무나도 많습니다. 틀린내용이 있으면 언제나 가감없이 말씀해주시면 감사하겠습니다😁

네 자신의 불행을 생각하지 않게 되는 가장 좋은 방법은 일에 몰두하는 것이다.
Ludwig van Beethoven

AWS 서비스 구조

---

AWS 서비스 구조

• AWS의 서비스(DDB, S3, CloudWatch)는 public internet으로만 접근이 가능
• 하지만 VPC는 public internet으로 접근 불가
  • AWS 내부라 하더라도 public internet을 거쳐야 함.

VPC

---

Virtual Private Cloud(VPC)는 사용자의 AWS 계정 전용 가상 네트워크입니다. VPC는 AWS클라우드에서 다른 가상 네트워크와 논리적으로 분리되어 있습니다. Amazon EC2인스턴스와 같은 AWS 리소스를 VPC에서 실행할 수 있습니다. IP 주소 범위와 VPC 범위를 설정하고 서브넷을 추가하고 보안 그룹을 연결한 다음 라우팅 테이블을 구성합니다.
-AWS-

• 가상의 데이터 센터
• 외부에 격리된 네트워크 컨테이너 구성 가능
  • 원하는 대로 사설망 구축 가능 => 부여된 IP 대역을 분할하여 사용 가능
• 리전 단위

VPC 구조

VPC 구조

사용사례

• EC2, RDS, Lambda등의 AWS의 컴퓨팅 서비스 실행
• 다양한 서브넷 구성
• 보안 설정(IP Block, 인터넷에 노출되지 않는 EC2등 구성)

구성 요소

• 서브넷
  • VPC의 하위 단위로 VPC에 할당된 IP를 더 작은 단위로 분할한 개념
  • 하나의 서브넷은 하나의 가용영역 안에 위치
  • CIDR block range로 IP 주소 지정
  • ex) 10.0.0.0/24라면
    10.0.0.0: Network Address
    10.0.0.1: VPC router
    10.0.0.2: Dns Server
    10.0.0.3: 미래에 사용을 위해 남겨둠
    10.0.0.255: 네트워크 브로드 캐스트 어드레스(AWS에서는 브로드캐스트를 지원하지 않음)
  • 퍼블릭 서브넷: 외부에서 인터넷을 통해 연결할 수 있는 서브넷
    • 인터넷 게이트웨이를 통해 외부의 인터넷과 연결되어 있음.
    • 안에 위치한 인스턴스에 퍼블릭 IP 부여가능
    • 웹서버, 어플리케이션 서버 등 유저에게 노출되어야 하는 인프라.
  • 프라빗 서브넷: 외부에서 인터넷을 통해 연결할 수 없는 서브넷
    • 외부 인터넷으로 경로가 없음
    • 퍼블릭 ip부여 불가능
    • 데이터베이스, 로직 서버 등 외부에 노출될 필요가 없는 인프라.
• 인터넷 게이트웨이
  • VPC가 외부의 인터넷과 통신할 수 있도록 경로를 만들어주는 리소스
  • 기본적으로 확장성과 고가용성이 확보되어있음
  • IPv4(NAT 역할), IPv6 지원
  • Route Table에서 경로 설정 후에 접근 가능
  • 무료
• NACL/보안그룹
  보안 그룹은 인스턴스에 대한 인바운드 및 아운바운드 트래픽을 제어하는 가상 방화벽 역할을 합니다.
  • Network Access Control List(NACL)와 함께 방화벽의 역할을 하는 서비스
  • Port 허용
    • 기본적으로 모든 포트는 비활성화
    • 선택적으로 트래픽이 지나갈 수 있는 Port와 Source 설정 가능
    • Deny불가능 → NACL로 가능
  • 인스턴스 단위
    • 하나의 인스턴스에 하나 이상의 SG 설정 가능
    • NACL의 경우 서브넷 단위
    • 설정된 인스턴스는 설정한 모든 SG의 룰을 적용받음
    • 기본 5개 최대 16개
  • 보안 그룹의 stateful
    • inbound로 들어온 트래픽이 별다른 outbound 설정 없이 나갈 수 있음
    • NACL은 stateless
  • 네트워크 ACL(NACL)

Network Access Control List 규칙 순서

• 보안 그룹처럼 방화벽 역할을 담당
• 서브넷 단위
• 포트 및 아이피를 직접 Deny 가능
  • 외부 공격을 받는 상황 등 특정 아이피를 블록 하고 싶을 때 사용
• 순서대로 규칙 평가(낮은 숫자부터)
• 규칙
  • 규칙 번호
    • 규칙에 부여되는 고유 숫자이며 규칙이 평가되는 순서(낮은 숫자부터)
      • AWS 추천은 100단위 증가
    • 유형: 미리 지정된 프로토콜. 선택시 AWS에서 잘 알려진 포트가 규칙에 지정됨
    • 프로토콜: 통신 프로토콜(TCP, UDP, SMTP…)
    • 포트 범위: 허용 혹은 거부할 포트 범위
    • 소스 IP 주소의 CIDR 블록
    • 허용/거부: 허용 혹은 거부 여부
• 라우팅 테이블
  • 트래픽이 어디로 가야할지 알려주는 이정표
  • VPC 생성시 기본으로 하나 제공

NAT Instance

• NAT Instance/ NAT Gateway
  NAT 게이트웨이는 Amazon Virtual Private Cloud(Amazon VPC)의 프라이빗 서브넷에 있는 인스턴스에서 인터넷에 쉽게 연결할 수 있도록 지원하는 가용성이 높은 AWS 관리형 서비스입니다.
  
  • private 인스턴스가 외부의 인터넷과 통신하기 위한 경로
  • NAT Instance는 단일 EC2인스턴스 / NAT Gateway는 AWS에서 제공하는 서비스
  • NAT Gateway/Instance는 모두 서브넷 단위
    • Public Subnet에 있어야함.

• Bastion Host
  외부에서 사설 네트워크에 접속할 수 있도록 경로를 확보해주는 서버 
  • private 인스턴스에 접근하기 위한 EC2 인스턴스
  • public 서브넷에 위치해야함.
• VPC Endpoint