VPC Section Summary
- CIDR
IP 범위 - VPC
가상 사설 클라우드로 IPv4와 IPv6 범위용으로 작동 - Subnets
CIDR가 정의된 AZ에 연결되며 공용 및 사설 서브넷이 존재 - Internet Gateway
공용 서브넷을 구축하려면 인터넷 게이트웨이를 연결해서 공용 서브넷에서 인터넷 게이트웨이로 경로를 만들면 됨
인터넷 게이트웨이가 활성화되면 IPv4 및 IPv6에 인터넷 액세스를 제공 - Route Tables
인터넷 게이트웨이나 VPC 피어링 연결, VPC 엔드 포인트로 향하는 라우트를 갖도록 편집되고
네트워크가 VPC 내부에서 흐르도록 돕는 중요한 기능 - Bastion Host
공용 EC2 인스턴스로 SSH를 수행하며 사설 서브넷의 다른 EC2로 SSH 연결을 사용할 수 있음 - NAT Instances
EC2 인스턴스이며 사설 및 공용 인터넷에 배포되어 사설 서브넷의 EC2 인스턴스에 인터넷 액세스를 제공
오래돼서 더는 사용하지 않으며, 소스/목적지 검사 플래그를 비활성화해야 작동하며 보안 그룹 규칙을 수정해야 함 - NAT Gateway
현재는 NAT 인스턴스 대신 NAT 게이트웨이를 사용하며 성능이 훨씬 좋고 AWS에 관리
사설 EC2 인스턴스에 확장 가능한 인터넷 액세스를 제공하고 IPv4에서만 작동 - Private DNS + Route 53
사설 DNS를 사용하려면 DNS 변환과 DNS 호스트 이름 설정을 VPC에서 활성화해야 함 - NACL
네트워크 ACL은 방화벽 규칙으로 인바운드와 아웃바운드 액세스를 서브넷 레벨에서 정의하며
임시 포트 NACL이 무상태(stateless)이므로 인바운드와 아웃바운드 규칙이 항상 평가됨 - Security Groups
보안 그룹 규칙은 상태가 유지(stateful)되므로 인바운드 허용 시 아웃바운드로 바로 허용되며 EC2 인스턴스 레벨에서 적용됨 - Reachability Analyzer
여러 AWS 리소스 사이에서 네트워크 연결을 시험하고 디버깅을 수행 - VPC Peering
두 VPC를 연결할 때 유용하며 CIDR이 겹치치 않는 경우에만 가능하고
비전이적이므로 VPC 세 개를 연결하려면 VPC 피어링 연결도 세 개가 필요 - VPC Endpoints
AWS 서비스에 사설 액세스를 제공하며 S3, DynamoDB, CloudFormation, SSM 등 VPC 내 모든 서비스에서 가능하며
S3와 DynamoDB를 위한 게이트웨이 엔드 포인트로 사용되고 나머지는 모두 인터페이스 엔드 포인트 - VPC Flow Logs
VPC 내 모든 패킷과 관련해 일정 레벨의 메타데이터를 얻는 방법으로 ACCEPT 및 REJECT 트래픽 정보가 존재
VPC 서브넷이나 ENI 레벨에서 생성할 수 있으며 분석 과정 후 S3로 전송되고
이어서 Ahtena로 분석하거나 CloudWatch Logs로 보내 CloudWatch Logs Insights로 분석하기도 함 - Site-to-Site VPN
VPC를 데이터 센터에 연결하려면 두 가지 옵션이 존재하는데 그 중 하나가 Site-to-Site VPN
공용 인터넷을 지나는 VPN 연결로 AWS에는 가상 프라이빗 게이트웨이를, 데이터 센터에는 고객 게이트웨이를 생성하고 난 후
VPN 연결을 구축 - AWS VPN CloudHub
VPC 연결을 여러 개 생성하려면 VPN CloudHub를 활용해서 허브와 스포크(hub-and-spoke) VPN 모델로 사이트에 연결 - Direct Connect
VPC를 데이터 센터에 연결하려면 두 가지 옵션이 존재하는데 또 다른 방법은 Direct Connect를 사용해 완전히 비공개로 연결
공용 인터넷을 통과하지 않으며 연결이 안정적이나 데이터 센터를 Direct Connect 로케이션과 연결해줘야 작동하므로
구축하는데 시간이 오래 걸림 - Direct Connect Gateway
다양한 AWS 리전의 수많은 VPC에 Direct Connect를 설정 - AWS PrivateLink / VPC Endpoint Services
- 고객 VPC에 만든 자체 VPC의 내부 서비스에 비공개로 연결됨
- VPC 피어링, 공용 인터넷 NAT Gateway, 라우팅 테이블이 필요 없으며 네트워크 로드 밸런서와 ENI 주로 함께 사용됨
- 네트워크를 드러내지 않은 채로 VPC가 있는 수백, 수천 고객 VPC에 노출될 수 있음 - ClassicLink
EC2-Classic 인스턴스를 VPC에 비공개로 연결 - Transit Gateway
VPC와 VPN, Direct Connect를 위한 전이적 피어링 연결로 모두 이곳을 지나게 됨 - Traffic Mirroring
추가 분석을 위해 ENI 등에서 네트워크 트래픽을 복사하는 것 - Egress-only Internet Gateway
NAT Gateway와 비슷하지만 IPv6 트래픽을 인터넷으로 내보내는 송신 전용 게이트웨이
'Cloud > AWS' 카테고리의 다른 글
| [SAA] AWS의 재해 복구 (0) | 2022.05.02 |
|---|---|
| [SAA] AWS의 네트워킹 비용 (0) | 2022.05.01 |
| [SAA] 이그레스 전용 인터넷 Gateway (0) | 2022.04.30 |
| [SAA] VPC용 IPv6 (0) | 2022.04.30 |
| [SAA] VPC 트래픽 미러링 (0) | 2022.04.30 |
