AWS와 관련한 네트워크 기초 지식

AWS Korea의 AWS를 사용한다면 반드시 알아야 할 네트워크 기초 지식 을 보고 정리한 내용입니다.

 

1. Default VPC 구성

 

캡쳐본

여기서 처음 보는 건 NACL이었다. Network Access Control List니까 뭔가 방화벽 같은 느낌이라는 생각이 많이 들었는데, 실제로 네트워크 흐름을 제어하기 위해 사용한다고 한다.

 

상태를 저장하지 않는 방화벽의 역할을 수행한다고 하니, 예측이 맞은 셈이다. 그런데 상태를 저장하지 않는다는 건 또 무슨 뜻일까?

상태를 저장하지 않기 때문에 인바운드, 아웃바운드를 모두 설정해주어야 한다. 아하, 그러니까 저장이 되지 않기 때문에 들어오고 나서 아하, 얘가 들어왔지 하고 그래 그냥 나가~ 이게 아니라 까먹어버리니 누군지 다시 한 번 더 확인하고 내보내야 하는 것이다. 

 

룰 번호가 작을수록 먼저 평가되기 때문에 순서가 중요하다.

 

보안그룹은 NACL과 달리 저장을 하기 때문에 인바운드만 설정해줘도 아웃바운드는 따로 설정해줄 필요가 없다.

 

 

2. 보안 강화된 네트워크 위한 VPC 설계 전략

1) CIDR 복습

2) VPC 대역 정하기

VPC를 직접 생성하게 되면 대역을 정할 수 있는데, 이때 얼만큼 대역을 정하는게 맞는건지, 대역을 작게 하거나 크게 할 때의 차이가 있는지 궁금했는데 정확히 이 부분을 설명해주셨다. 

• IPv4는 ~/16(총 65,536개 IP)부터 ~/28(16개 IP) 까지 허용 가능
• RFC 1918에 정의된 사설 IP 대역 사용 권장 -> 1) public IP가 부족하기 때문에 2) 보안 때문에
• 한 번 결정되면 바꿀 수는 없지만, 대역을 추가할 수는 있다.
• 서브넷마다 예약된 IP가 있다는 것을 알고 있어야 함
  • 10.1.0.0(네트워크 주소), 10.1.0.1(VPC 라우터용), 10.1.0.2, 10.1.0.3, 10.1.0.255(브로드캐스트 주소

3) VPC Subnetting

4) VPC Routing 전략

subent을 private / public으로 나누어서 보안을 유지한다.

이때 public subnet의 인스턴스가 서버 내 업데이트 등을 위해 인터넷 연결이 필요하다면 라우팅 테이블에서 해당 VPC 내, 그리고 NAT Gateway로 향하는 규칙을 만들어준다. NAT Gateway는 퍼블릭 서브넷 내에 만들어야 하고, private에서 필요한 아웃바운드를 연결해준다.

Amazon RDS 은 외부 인터넷과 통신할 필요가 전혀 없기 때문에 NAT Gateway가 필요 없고, private에 위치 시키면 좋다. 

 

5) VPC Security Group 전략

 

3. Hybrid Networking 

- 인스턴스의 ip를 기억해서 가지고 인터넷 게이트웨이를 통해 S3에게 그 ip를 전달하면서 통신하는 방법

- 이건 VPC 밖, 즉 외부의 인터넷과 통신을 해야 하는데, 이 방법 말고 다른거 없을까? => Gateway Endpoint, Interface Endpoint

 

1) Gateway Endpoint(S3, DynamoDB와의 통신에 이용)

- NAT Gateway를 사용하는 것보다 보안, 비용 이점

- IAM 정책으로 S3 접근에 다양한 권한을 줄 수 있음

 

2) Interface Endpoint(S3, DynamoDB 외 거의 모든 서비스와 통신 가능)

 

- 하나 이상의 VPC 사용 => VPC Peering, Transit Gateway

3) VPC Peering

<다수의 VPC를 연결하기 위해서는>

1:1 Peering만 가능하기 때문에, 특정 VPC를 거쳐서 다른 VPC와 연결하는 것은 불가능하다.

 

4) Transit Gateway - 복잡한 Peering 관계 제거

1:1 로 다 연결해야 하는 문제를 해결할 수 있음. 간소화, 복잡한 문제 해결.

 

VPN? (https://dev.classmethod.jp/articles/what-is-the-aws-vpn-kr/)