VPC 개념과 구성요소
VPC (Virtual Private Cloud) 개념
VPC 개념
- 사용자가 정의하는 AWS 전용 가상 네트워크
- 사용자가 직접 VPC 생성도 가능하며, default로 생성되는 VPC도 사용 가능
- VPC 이전
- EC2-클래식 네트워크 : 모든 인스턴스들이 연결돼 있어 복잡도가 높음
- VPC가 도입된 이후
- 인스턴스가 VPC에 속함으로써 네트워크를 구분
- VPC 별로 필요한 설정을 통해 인스턴스에 네트워크 설정 적용 가능
VPC 구성 요소
VPC
- 독립된 하나의 네트워크를 구성하기 위한 가장 큰 단위
서브넷
- 하나의 네트워크가 분할되어 나눠진 작은 네트워크
- 각 서브넷은 IP 주소 범위가 할당되며 네트워크 트래픽 제어를 위한 자체 정책이 있을 수 있음
- 각 서브넷은 하나의 가용 영역(Available Zone, AZ) 내에 존재해야 함
- VPC를 웹 서버 또는 데이터 베이스 서버 호스팅과 같은 목적을 가진 개별 섹션으로 나눌 수 있음
- Public Subnet : 외부와 자유로운 통신이 가능하고, 외부 인터넷 구간과 직접적으로 통신 가능
- Private Subnet : 외부에서 직접 접근할 수 없고, NAT 게이트웨이로 내부에서 외부로만 통신 가능
라우팅 테이블 (Routing Table)과 라우터 (Router)
- 라우팅 테이블은 서브넷 혹은 게이트웨이의 네트워크 전송 위치를 결정하는 라우팅이라는 규칙 세트 포함
- VPC의 각 서브넷은 라우팅 테이블과 연결돼야 하며, 지정하지 않으면 VPC의 기본 라우팅 테이블과 연결
인터넷 게이트웨이 및 NAT (Network Address Translation) 게이트웨이
- 인터넷 게이트웨이 : VPC와 인터넷 간에 통신이 가능하게 해주는 관문
- NAT 게이트웨이 : Private Subnet의 인스턴스가 인터넷이나 다른 AWS 서비스에 액세스 할 수 있도록 허용 및 외부 인터넷과 해당 인스턴스의 연결을 방지
네트워크 액세스 제어 목록 (ACL)과 보안 그룹
- 네트워크 액세스 제어 목록 (ACL)과 보안 그룹은 VPC에서 네트워크 보안의 중추
- 네트워크 ACL : 서브넷 수준에서 특정 인바운드 및 아웃바운드 트래픽을 허용하거나 거부
- 보안 그룹 : 개별 리소스 수준에서 작동하며, 인스턴스에 대한 인바운드 및 아웃바운드 트래픽을 제어하며 포트 및 프로토콜을 기반으로 허용할 수 있는 트래픽 지정 가능
VPC 구성 시 유의할 점
- VPC는 각 Region에 종속되며 RFC1918이라는 사설 IP 대역에 맞춰 설계해야 함
- 원래 규정된 사설 IP 범위와 다르게 AWS에서는 /16 ~ /28 비트의 서브넷 마스크를 허용
- VPC에서 사용하는 사설 IP 대역은 아래와 같음
10.0.0.0 - 10.255.255.255 (10/8 prefix)
172.16.0.0 - 172.31.255.255 (172.16/12 prefix)
192.168.0.0 - 192.168.255.255 (192.168/16 prefix)
- VPC에서 한 번 설정된 IP 대역은 수정할 수 없고, 각 VPC는 독립적이므로 서로 통신 불가
- VPC 피어링(peering) 서비스를 통해 VPC 간 트래픽을 라우팅 할 수 있도록 설정 가능
Reference
https://www.smileshark.kr/post/a_vpc_guide_understanding_private_cloud_
'Infra > AWS' 카테고리의 다른 글
[AWS] Amazon Linux 2023에서 Tableau Server 구축 (0) | 2024.11.16 |
---|---|
[AWS] AWS Glue의 개념과 구성 요소 (0) | 2024.07.17 |
[AWS] AWS 서비스 종료 후에도 VPC 비용 발생 문제 해결 (0) | 2024.05.21 |
[AWS] IAM 개념과 작동 방식 및 리소스 (0) | 2024.05.17 |
[AWS] Amazon Redshift 개념과 구조, 특징 (0) | 2024.05.16 |