VPC – Reachability Analyzer
- 네트워크 진단 도구이며 VPC에서 두 개의 엔드 포인트 간 네트워크 연결의 문제 해결에 도움을 줌
- 오류가 발생한 곳을 알아내는 대신 두 개의 엔드포인트 사이 네트워크 구성 모델을 만들어서
AWS 계정 내의 구성을 기반으로 도달 가능성을 확인하고 구축 - 즉, 실제로 소스에서 목적지로 패킷을 돌려보내는 것은 아니고 분석 및 구성을 통해 무슨 일인지를 알려주는 기능
- 예) 두 개의 EC2 인스턴스 A와 B가 있을 때, 서로 다른 VPC에 있고 다른 ENI를 가지며 보안 그룹도 서로 다를 때
인스턴스 A에서 ENI로 이동, 보안 그룹으로 이동, 네트워크 ACL로 이동, 보안 그룹으로 이동, ENI로 이동, 인스턴스 B까지 이동
이 경우 인스턴스 A가 인스턴스 B와 통신할 수 있는지를 알아보기 위해서 VPC 기능의 네트워크 연결성 분석기 도구는
모든 단일 지점이 올바르게 구성되었는지 그 여부를 확인하며, 두 개가 연결되고 통신이 가능한 경우인지,
보안 그룹 문제 등으로 연결되지 못했는지, 어떤 라우팅 테이블이 제대로 구성되지 않았는지 등을 알아낼 수 있으며
트래픽을 허용하지 않는 보안 그룹을 자동으로 감지하고 인스턴스 B가 인스턴스 A에 도달하지 못하게 할 수 있음
이러한 작업을 패킷을 보내지 않고도 네트워크 구성 분석만으로 가능하게 함
- 연결 문제를 해결하려는 경우나 네트워크 구성이 원하는 대로 만들어졌는지를 확인하기 위해 사용
<VPC 연결성 분석기 실습>
- VPC 연결성 분석기 생성
경로를 만들고 분석해야 하므로 경로에 소스와 목적지를 활성화
소스 유형으로는 Transit Gateways, VPN Gateways, Instances, Network Interfaces, Internet Interfaces,
VPC Endpoints, VPC Peering Cennections가 존재하며 이번 실습에서는 인스턴스를 선택하고 BastionHost IP 주소 지정
목적지 유형으로는 인스턴스를 설정하고 사설 인스턴스를 선택
다음으로는 목적지 포트를 443번 포트로 지정하고 TCP 프로토콜을 사용하도록 설정하고 생성하면 경로 생성 및 분석이 시작됨
이것은 실제로 네트워크 데이터를 전송하지는 않지만 경로만 분석하는 것임
분석이 보류 상태로 나올 경우 보안 그룹에서 443 포트를 활성화하지 않아서 그렇기 때문에
보안 그룹으로 이동해서 인바운드 규칙에 HTTPS를 추가하고 모든 곳에서 허용하도록 함
그후 분석을 재실행하면 분석이 실행되게 되며 인스턴스에 연결이 가능하게 됨
- 경로 분석
경로를 살펴보면 모든 과정이 나타나게 됨
인스턴스 - ENI - 보안 그룹 - 네트워크 ACL - 네트워크 ACL - 보안 그룹 - ENI - 인스턴스 이며
반대 경로도 확인이 가능함
- 네트워크 ACL 수정 후 경로 분석
기본 네트워크 ACL의 인바운드 규칙을 수정하도록 함
HTTPS의 모든 트래픽으로 설정하고 규칙 번호를 80이고 Deny로 설정하여 HTTPS를 명시적으로 거부하도록 함
이후 분석을 다시 하면 보류 중이며 연결 불가능한 상태로 나오게 되어 목적지 연결이 불가능함
즉, 네트워크 ACL이 서브넷에서 VPC로 인바운드 트래픽을 허용하지 않기 때문임
이를 해결하기 위해서는 다시 인바운드 규칙에서 방금 생성한 HTTPS를 지우게 되면 제대로 작동하게 되고
모든 인스턴스가 액세스할 수 있도록 분석하는 유용한 도구가 될 수 있음
'Cloud > AWS' 카테고리의 다른 글
| [SAA] VPC Endpoint (0) | 2022.04.27 |
|---|---|
| [SAA] VPC 피어링 (0) | 2022.04.27 |
| [SAA] DNS 확인 옵션 및 Route 53 프라이빗 영역 (0) | 2022.04.27 |
| [SAA] NAT Gateway (0) | 2022.04.27 |
| [SAA] NAT 인스턴스 (0) | 2022.04.26 |
