๊ตญ๋ฏผ๋ํ๊ต์์ "ํด๋ผ์ฐ๋ ์ปดํจํ " ๊ต๊ณผ๋ชฉ์ ์งํํ์๋
์ด๊ฒฝ์ฉ ๊ต์๋์ ๊ฐ์ ๊ต์์ ์ด์ฉํ์ฌ ์์ ๋ด์ฉ์ ์ ๋ฆฌํ์์ต๋๋ค
AWS์ Region๋ค
us-west-2, ap-southeast-1 ์ฒ๋ผ ๋์ด ์๋ ๊ฒ์ ๋ณผ ์ ์์
=> ๋ณดํต์ ์ซ์ 1๋ก ๊ฐ์๋ก ํฐ ๋์๋ฅผ ์๋ฏธํ๋ฉฐ ์ฃผ์ Region๋ถํฐ ๊ธฐ๋ฅ์ด ๋ฐฐํฌ๋จ
AWS์์ Region์ ์ ํํ ๋ ๊ณ ๋ ค ์ฌํญ๋ค
- ๋ฒ๋ฅ ์ ์ ์ฝ ์ฌํญ
=> ํน์ ๋ฐ์ดํฐ๋ ๋ณธ๊ตญ์ ๋ ๋์๋ ์๋จ ๋ฑ์ ์ ์ฝ ์ฌํญ ๊ณ ๋ ค - ์ฃผ์ ์ฌ์ฉ์์ ๊ฐ๊น์ด ๊ณณ์ ์์น
=> ์๋ต์๊ฐ ์ธก๋ฉด์์ ๋ฐ๋ผ๋ด์ผํจ - ์ง์ญ๋ณ๋ก ๊ฐ์ฉํ ์๋น์ค๊ฐ ๋ค๋ฆ
=> ์ฃผ๋ก ๋ฏธ๊ตญ ์๋ถ(us-west-2) ๋ฐ ๋๋ถ (us-east-1) Region ๋ถํฐ ์๋ก์ด ์๋น์ค๊ฐ ๊ฐ๋ฅํด์ง - Region ๋ณ๋ก ๊ฐ๊ฒฉ์ด ๋ค๋ฆ
=> ๋ฐ์ดํฐ์ผํฐ์ ์ฅ๋น ๊ฐ๊ฒฉ๋ฑ์ ๊ณ ๋ คํด๋ณด๋ฉด ๊ท๋ชจ์ ๊ฒฝ์ ํน์ฑ์ ๊ฐ๊ฒฉ์ด ๋ค๋ฅผ ์ ๋ฐ์ ์์
(ํ๊ตญ์ ๋น์ผํธ..)
Amazon Virtual Private Cloud (VPC)
์๋ง์กด VPC๋ ๊ฐ์์ private ๋คํธ์ํฌ๋ฅผ ๊ตฌ์ฑํ ์ ์๊ฒํด์ค
- ํ๋์ VPC๋ ๋ค๋ฅธ VPC์๋ ๋
ผ๋ฆฌ์ ์ผ๋ก ๋ถ๋ฆฌ๋ ๋คํธ์ํฌ ๊ตฌ์ฑ์ ๊ฐ์ง
- ๋ค์ํ AWS ์๋น์ค๋ค์ด VPC์์ ์์๋ ์ ์์ (ex. EC2)
- ๋ค์ํ ๋คํธ์ํฌ ์์์ ์ค์ ํ ์ ์๊ฒ ํด์ค
- IP ์ฃผ์ ๋์ญ
- ์๋ธ๋ท
- ๋ผ์ฐํธ ํ ์ด๋ธ
- ๋คํธ์ํฌ ๊ฒ์ดํธ์จ์ด
- ๋ณด์ ์ค์ ๋ฑ
์๋ง์กด VPC ํน์ฑ
AWS์ Region๊ณผ ์ฌ๋ฌ AZ์ ์์ ์ฑ์ ํ์ฉํ ์ ์์
=> ๊ฐ๊ฐ์ Amazon VPC๋ ํ๋์ Region์ ์กด์ฌ ํด์ผ ํจ
(Region์ ๋งคํ)
VPC ์๋ธ๋ท (AZ์ ๋งคํ)
- VPC๋ฅผ ์ฌ๋ฌ๊ฐ์ ๋ ผ๋ฆฌ์ ์งํฉ์ผ๋ก ๋๋์ด์ค
- ํ๋์ AZ์ ํ๋์ ์๋ธ๋ท์ด ์กด์ฌํ ์ ์์ผ๋ฉฐ, ์ฌ๋ฌ AZ์ ํ๋์ VPC๊ฐ ์กด์ฌํ๊ฒ ํด์ค
IP ์ฃผ์์ Classless Inter Domain Routing (CIDR)
IP ์ฃผ์์์ ์ (.) ์ผ๋ก ๊ตฌ๋ถ๋๋ 3์๋ฆฌ ์๋ 8๋นํธ๋ก ํํ๋๋ฉฐ 0~255 ๊ฐ์ ๊ฐ์ง
(2^8 = 256)
CIDR ํ๊ธฐ์์ /16์ ์ฒซ ์์ ๋นํธ๋ถํฐ ๋ฐ๋์ง ์๋ ์๋ฆฟ์๋ฅผ ํํํจ
(์ด ๋ถ๋ถ์ด ์ผ์นํ๋ฉด ๊ฐ์ ๋คํธ์ํฌ๋ก ๊ฐ์ฃผ)
VPC ์์์ IP ๋์ญ
Amazon VPC๋ /16 ~ /28 ์ฌ์ด์ CIDR ํญ์ ๊ฐ์ง ์ ์์
=> CIDR ๋ฒ์ ๊ฐ์ด 1์ฉ ์ฆ๊ฐํจ์ ๋ฐ๋ผ์ ์ฌ์ฉ ๊ฐ๋ฅํ IP ๊ฐฏ์๋ ์ ๋ฐ์ฉ ์ค์ด๋ฌ
Amazon VPC ์ธ๋ถ ๋ด์ฉ
๊ฐ๊ฐ์ VPC๋ CIDR ๊ธฐ๋ฐ์ IP ์ฃผ์ ๋์ญ์ ํ ๋น ๋ฐ์์ผ ํจ
- VPC ์์ฑ ํ IP ๋์ญ์ ๋ณํ ์ ์์
- IP ๋์ญ์ /16 (65536๊ฐ ์ฃผ์ ๊ฐ๋ฅ) ์ ์ต๋๋ก ํ๊ณ , /28์ ์ต์๋ก ์ค์ ํ ์ ์์ (16๊ฐ ์ฃผ์ ๊ฐ๋ฅ)
Internet gateway (IGW)
- VPC์์ ์ธ๋ถ ์ธํฐ๋ท์ ์ ๊ทผ ๊ฐ๋ฅํ๊ฒ ํด์ค
๋ผ์ฐํธ ํ ์ด๋ธ
- VPC ์ธ๋ถ๋ก ํฅํ๋ ํธ๋ํฝ์ ์ค์ ํ๊ฒํด์ค
์๋ธ๋ท์ VPC ๋ด๋ถ์์ ์ธ๋ถํ๋ IP๋ฅผ ํ ๋นํ๊ฒ ํด์ค
- ํ๋์ ์๋ธ๋ท์ ํ๋์ AZ์ ํ ๋น ๋์ด์ผํจ
- Public ๋๋ Private ์๋ธ๋ท์ผ๋ก ์์ฑ ๊ฐ๋ฅ
- ํผ๋ธ๋ฆญ ์๋ธ๋ท์ ๋ผ์ฐํธํ ์ด๋ธ์์ IGW๋ก ์ ๊ทผ์ด ๊ฐ๋ฅํจ
Amazon VPC ์ธ๋ถ ๋ด์ฉ
Elastic IP ์ฃผ์
- IPv4 ์ฃผ์ ํ์์ ํ ๋น ๋ฐ์ IP๋ก ์ฌ๋ฌ ์ธ์คํด์ค ๊ฐ์์ ๊ต์ฐจ๋ก ํ์ฉํ๊ฒ ํด์ค
(ELB๋ฅผ ํตํด ํ๋์ Elastic IP๋ก ์ฌ๋ฌ ์ธ์คํด์ค์ ํธ๋ํฝ ๋ถ์ฐํด์ฃผ๋ ๊ฒ์ ์๊ฐํด๋ณผ ์ ์์) - EC2 ์ธ์คํด์ค๋ฅผ ์๋กญ๊ฒ ์์ฑํ ๊ฒฝ์ฐ ์๋ก์ด IP๊ฐ ํ ๋น ๋๋๋ฐ, ๊ฐ์ IP๋ฅผ ํ์ฉํ๊ณ ์ ํ ๊ฒฝ์ฐ Elastic IP ํ์ฉ ๊ฐ๋ฅ!
Amazon VPC ์์
VPC ์์์ IP ์ค์
VPC๋ฅผ ์์ฑ์์ ์ฌ์ฉํ๊ฒ๋ IP ๋์ญ์ ์ค์ ํจ (์ถฉ๋ ์๋๊ฒ๋ ์ค์ ํด์ผํจ)
=> Classless Inter Domain Routing(CIDR)์ ํน์ ๋์ญ์ IP๋ฅผ ์ค์ ํ๊ฒ ํด์ค
(10.0.0.0/16 => 10.0.0.0 ~ 10.0.255.255 ๊น์ง์ ๋์ญ์ ํํ)
Amazon VPC์์ ์๋ธ๋ท์ด๋
VPC๋ก ๊ตฌ์ฑ๋ ๋คํธ์ํฌ์์ CIDR์ ์ํด ๊ตฌ๋ถ๋ ์ธ๊ทธ๋จผํธ๋ก ๋๋์ด ๋ ๊ฒ
ex. CIDR /22๋ก ๊ตฌ์ฑ๋ VPC ๋คํธ์ํฌ๋ 2^10 = 1024๊ฐ์ IP์ฃผ์๋ฅผ ๊ฐ์ง ์ ์์
์๋ธ๋ท ๊ตฌ์ฑ์ ์ฒซ 4๊ฐ IP ์ฃผ์์ ๋ง์ง๋ง 1๊ฐ IP ์ฃผ์๋ AWS์ ์ํด์ ์์ฝ๋์ด ์์ด์ ์ฌ์ฉํ ์ ์์
(10.0.0.0/24 ์ ๊ฒฝ์ฐ)
- 10.0.0.0 : ๋คํธ์ํฌ ์ฃผ์
- 10.0.0.1 : VPC ๋ผ์ฐํฐ
- 10.0.0.2 : DNS ์๋ฒ ๋งคํ
- 10.0.0.3 : future use
- 10.0.0.255 : broadcast ์ฃผ์
(์ด 5๊ฐ๊ฐ ๋ฏธ๋ฆฌ ์์ฝ๋์ด์ ธ ์์ด์ ์ฌ์ฉ ๋ถ๊ฐ)
VPC์ ํผ๋ธ๋ฆญ ์๋ธ๋ท๊ณผ ํ๋ผ์ด๋น ์๋ธ๋ท
ํผ๋ธ๋ฆญ ์๋ธ๋ท
- ์๋ธ๋ท์ ๋คํธ์ํฌ ํธ๋ํฝ์ด ์ธํฐ๋ท ๊ฒ์ดํธ์จ์ด๋ฅผ ํตํด์ ๋ผ์ฐํ
๋๋ ์๋ธ๋ท
- ํผ๋ธ๋ฆญ ์ธํฐ๋ท์ผ๋ก ๋ถํฐ์ inbound/outbound ํธ๋ํฝ ๋ชจ๋ ๊ฐ๋ฅ
ํ๋ผ์ด๋น ์๋ธ๋ท
- ์๋ธ๋ท์ ๋คํธ์ํฌ ํธ๋ํฝ์ด ์ธํฐ๋ท ๊ฒ์ดํธ์จ์ด๋ฅผ ํตํด์ ๋ผ์ฐํ
๋์ง ์์
- ํผ๋ธ๋ฆญ ์ธํฐ๋ท์ผ๋ก ๋ถํฐ์ inbound ํธ๋ํฝ์ด ํ์ฉ๋์ง ์์
- NAT ๊ฒ์ดํธ์จ์ด๋ฅผ ํตํด์ outbound ํธ๋ํฝ์ ๊ฐ๋ฅํจ
์ค์ EC2๊ฐ ์์ํ๋ ๊ณณ์ VPC ์์ ์๋ ์๋ธ๋ท์
(VPC ๋ด๋ถ์ ์๋ ์๋ธ๋ท ์์์ ์คํ => EC2๊ฐ ์ง์ VPC์ ๋ฐฐ์น)
์๋ธ๋ท ๊ตฌ์ฑ ์ถ์ฒ
1๊ฐ์ AZ ๋ง๋ค ํผ๋ธ๋ฆญ/ํ๋ผ์ด๋น ์๋ธ๋ท 1๊ฐ์ฉ
=> ํ๋ผ์ด๋น ์๋ธ๋ท์ ๋ ๋ง์ IP๋ฅผ ํ ๋น ํ๋ ๊ฒ์ด ์ข์
(๋๋ถ๋ถ์ ์๋น์ค๋ค์ด ํผ๋ธ๋ฆญ ์ธํฐ๋ท ์ ๊ทผ์ ํ์๋ก ํ์ง ์๋ ๊ฒฝ์ฐ๊ฐ ๋ง๊ธฐ ๋๋ฌธ)
์๋ธ๋ท ๊ตฌ์ฑ
์ผ๋ฐ์ ์ผ๋ก ์์ ๊ฐฏ์์ ์๋ธ๋ท์ ์์ฑ ํ ๊ฐ ์๋ธ๋ท์์ ๋ง์ IP๋ฅผ ํ์ฉํ๋๊ฒ ์ข์
(= ํฐ private subnet์ ๋ง๋ค์)
=> ์ด๋ ๊ฒ ํ๋ฉด ์ฌ๋ฌ ๊ฐ์ private ์๋ธ๋ท์ ๊ด๋ฆฌํ ํ์๊ฐ ์์ด์ ๋ฐฐํฌ ์์ ์ด ๊ฐํธํ๊ณ ์๋ธ๋ท ๋ด์์์ IP ๊ณ ๊ฐ์ ๋ง์ ์ ์์
์์ฉ ์์ ๋ณ ์ ์ ํ ์๋ธ๋ท์ ์ดํด๋ณด๋ฉด
- ๋ฐ์ดํฐ ์ ์ฅ ์ธ์คํด์ค : private
- ๋ฐฐ์น ํ๋ก์ธ์ฑ : private
- ๋ฐฑ์๋ ์ดํ๋ฆฌ์ผ์ด์
: private
- ์น ์๋ฒ : public ๋๋ ๋ก๋ ๋ฒจ๋ฐ์๋ฅผ ํ์ฉํ ๊ฒฝ์ฐ private
(์ธ๋ถ์์ ์ ๊ทผํด์ผํ๋ ํ์ด์ง๋ ์์ผ๋)
VPC์ ๋ณด์ - Internet Gateway
Internet Gateway๋ ํผ๋ธ๋ฆญ ์ธํฐ๋ท์์ VPC๋ก์ ์ ๊ทผ์ ๊ฐ๋ฅํ๊ฒ ํด์ค (์๋ฐฉํฅ)
Fully managed ์๋น์ค์ด๊ณ
์๋ธ๋ท์ ๋ผ์ฐํธ ํ ์ด๋ธ์ Internet Gateway ๋ฑ๋ก์ ํตํด์ ์ธ๋ถ์์ ํต์ ์ ๊ฐ๋ฅํ๊ฒํจ
- EC2 ์ธ์คํด์ค์ ๊ฒฝ์ฐ public IP๊ฐ ํ ๋น ๋์ด ์์ด์ผํจ (๊ธฐ๋ณธ์ ์ผ๋ก ํ ๋น)
- Elastic IP ํ์ฉ ๊ฐ๋ฅ
- NACL๊ณผ Security Group์์ ํธ๋ํฝ์ ํ์ฉํด์ผํจ
Default VPC
๊ฐ AWS ๊ณ์ ๋น ํ๋์ Region์ ํ๋์ VPC๊ฐ ๊ธฐ๋ณธ์ ์ผ๋ก ์์ฑ๋์ด ์์
Default VPC์ CIDR์ 172.31.0.0/16
(ํ Region์์ ๋ชจ๋ ๊ฐ์)
=> AWS ์์ ์์ ์์ฑ ์ VPC๋ฅผ ๋ณ๋๋ก ์ง์ ํ์ง ์์ผ๋ฉด default VPC๋ฅผ ์ด์ฉํจ
(Subnet, Internet Gateway, route table, NACL ๋ฑ๋ ๊ธฐ๋ณธ์ ์ผ๋ก ์์ฑ๋จ)
Default VPC ๋ด์ Default ์๋ธ๋ท์ ๊ฒฝ์ฐ
- Default VPC ๋ด์ ๊ฐ๊ฐ AZ ๋ง๋ค ํ๋์ฉ ์์ฑ
- CIDR /20 ์ ํผ๋ธ๋ฆญ ์๋ธ๋ท์ผ๋ก ์์ฑ
์ค์ ์๋น์ค ์์ฉ์์ ์ฌ์ฉ์ ์ถ์ฒ X => ์ํ์ฉ์ผ๋ก๋ง
VPC ๊ฐ์ ํต์
๋ผ์ฐํธ ํ ์ด๋ธ
- ๋คํธ์ํฌ ํธ๋ํฝ์ ๋ฃจํธ๋ฅผ ์ค์ ํ๊ฒ ํด์ค
- Main ํ
์ด๋ธ๊ณผ ์ฌ์ฉ์ ์ง์ ํ
์ด๋ธ ์์ฑ ๊ฐ๋ฅ
(๊ธฐ๋ณธ์ ์ผ๋ก VPC์ ๋ชจ๋ ์๋ธ๋ท์ Main ํ ์ด๋ธ์ ์ฌ์ฉํ์ง๋ง, ์๋ธ๋ท ๋ณ๋ก ์ฌ์ฉ์ ์ง์ ํ ์ด๋ธ์ ์ค์ ํ ์ ์์)
๋ชจ๋ ๋ผ์ฐํธ ํ ์ด๋ธ์ local ์ํธ๋ฆฌ๋ฅผ ํฌํจ
=> ์ด๊ฒ ์์ด์ VPC ๋ด๋ถ ์๋ธ๋ท๋ค์ ํต์ ์ด ๊ฐ๋ฅํจ
ํน์ VPC๊ฐ์ ํต์ ์ ๊ฐ๋ฅํ๊ฒ ํ๋ ค๋ฉด ๋ผ์ฐํธ ํ ์ด๋ธ์ ์ถ๊ฐ ๊ฐ๋ฅ
VPC ๋ด ์๋ธ๋ท์ ๋ผ์ฐํธ ํ
์ด๋ธ์ ์์ฑํ์ง ์์ ๊ฒฝ์ฐ VPC์ ๋ผ์ฐํธํ
์ด๋ธ์ ํ์ฉํจ
(๊ณต์ ๋๋๊ฑธ ํ์ฉ)
=> ํ๋์ ๋ผ์ฐํธ ํ ์ด๋ธ์ ์ฌ๋ฌ ์๋ธ๋ท์์ ํ์ฉ ๊ฐ๋ฅ
VPC ๋ด์์ ๋ณด์ ๊ฐํ
Security Group
- ์ธ์คํด์ค๋น inbound/outbound ํธ๋ํฝ์ ๋ฐฉํ๋ฒฝ ์ญํ ๋ด๋น
- ๊ธฐ๋ณธ์ ์ผ๋ก ๋ชจ๋ inbound ํธ๋ํฝ์ ํ์ฉํ์ง ์์
- ๊ธฐ๋ณธ์ ์ผ๋ก ๋ชจ๋ outbound ํธ๋ํฝ์ ํ์ฉ
- ์ฃผ์ ์๋น์ค (SSH, HTTP ๋ฑ) ๋ณ๋ก ํ์ํ ์๋น์ค๋ฅผ ๋ณ๋๋ก ํ์ฉ
- Incoming ์์ฒญ์ ๊ฒฝ์ฐ CIDR๋ก ํํ๋ ํน์ ์์ค ๊ธฐ๊ธฐ๋ก ๋ถํฐ์ ์ ๊ทผ ํ์ฉ ๊ฐ๋ฅ
Tier๋ฅผ ๊ณ ๋ คํ Security Group ๊ตฌ์ฑ ์์
๊ฐ tier ์์๋ ํ์ํ ์ต์ํ์ IP์ฃผ์์ ํฌํธ ๋ฒํธ๋ง ํ์ฉํด์ฃผ๋ ๊ฒ์ด ์ข์
Web์ ์ธ๋ถ์ ์ธ์คํด์ค๋ค๋ก๋ถํฐ ์ ๊ทผํ ์๋ ์์
ํ์ง๋ง, application์ Web๋ง, DB๋ application๋ง ํ์ฉ
VPC์ ๋ณด์ ๊ฐํ ๋ฐฉ์ -NACL
Network Access Control List (NACL)
- ๊ฐ ์๋ธ๋ท ๋จ์์ incoming, outgoing์ ์ค์ ํด์ฃผ๋ ๊ธฐ๋ฅ์ ์ ๊ณตํจ
- ๊ธฐ๋ณธ์ ์ผ๋ก ์์ฑ๋ NACL์ ๋ชจ๋ ํฌํธ์ incoming๊ณผ outgoing ํธ๋ํฝ์ด ํ์ฉ๋จ
( <-> SG๋ ๋๊ฐ๋ ๊ฒ๋ง ์ ๋ถ ํ์ฉ์ด์์) - CIDR ์ฃผ์, ํฌํธ๋ฑ์ ๊ธฐ์ค์ผ๋ก ํ์ฉ ๊ฐ๋ฅ
Security Group๊ณผ ๋ฌ๋ฆฌ Allow ์ Deny ๋ชจ๋ ์ค์ ๊ฐ๋ฅ
=> SG๋ ๊ธฐ๋ณธ์ด ๋ชจ๋ Deny์ด๊ณ Allow๋ง ๋ช
์์ ์ผ๋ก ํ์
(NACL์ ๊ธฐ๋ณธ ์ค์ ์ด Allow๋๊น ํ์ํ๊ฑด Deny => IP Black Listing ๊ฐ๋ฅ)
์ฌ๋ฌ ๊ท์น์ด ์์ ๋ ์ฐ์ ์์๋ฅผ ๋ช
์ํด์ค์ผํจ
(allow, deny๊ฐ ์์ฌ์์ผ๋ฏ๋ก ๋ช
์ํด์ฃผ๊ณ , ๋ฎ์ ๋ฒํธ์ ๊ท์น์ด ๋์ ์ฐ์ ์์์)
Stateless
- Inbound์ ์ค์ ์ด ๋ ๊ท์น์ด outbound์ ์๋์ผ๋ก ์ค์ ๋์ง๋ ์์
- Outbound๋ก ๋๊ฐ ์์ฒญ์ ๋ํ inbound ์๋ต์ด ๋ฌด์กฐ๊ฑด ํ์ฉ๋์ง ์์
(SG๋ stateful์ด๋ผ ์์์ ํ์ฉ) - 80๋ฒ ํฌํธ๋ก ๋ค์ด์จ ์์ฒญ์ ๋ํ ์๋ต์ ephemeral port(20000๋ฒ ์ดํ ํฌํธ) ๋ฒํธ๋ฅผ ํ์ฉํด์ค์ผํจ
(์์๋ก ํ ๋น๋๊ธฐ ๋๋ฌธ์ 20000๋ฒ ์ด์ ํฌํธ๋ฅผ ๋ค ์ด์ด๋์ผํจ)
=> ํ ๋น์ ์ด์ ์ฒด์ ์ TCP/IP ์คํ์์ ๊ด๋ฆฌ๋๋ค๊ณ ํจ
Amazon VPC Security Groups and NACL
Security Group ์ ํตํด์ ์ฌ๋ฌ ์ธ์คํด์ค๋ค์ ๋ํด์ ์ ๊ทผ ๊ฐ๋ฅํ ์๋น์ค๋ฅผ ์ค์ ํ ์ ์์
=> EC2 ์๋ฒ์ ๋ฐฉํ๋ฒฝ
Network Access Control List (NACL)์ ํตํด์ ์๋ธ๋ท์ ์ ๊ทผ ๊ฐ๋ฅํ ์๋น์ค๋ฅผ ํน์ ํ ์ ์์
=> ์๋ธ๋ท์ ๋ฐฉํ๋ฒฝ
VPC์ ๋ณด์ - NAT๋ฅผ ํตํ ๊ณต๊ฐ ์ธํฐ๋ท ์ ๊ทผ
Network Address Translation (NAT) ์๋น์ค in Amazon VPC
(private IP <-> public IP ๋ก ๋ณํํด์ฃผ๋๋ฐ ์ด ๋ ํฌํธ๋ ๋ณ๊ฒฝ๋จ)
- private subnet์ ์๋ ์๋น์ค์์ ํผ๋ธ๋ฆญ ์ธํฐ๋ท์ ์ ๊ทผ ํ๊ฒ ํด์ค (outbound only ์)
- ํผ๋ธ๋ฆญ ์ธํฐ๋ท์์ incoming ํธ๋ํฝ์ ์ ๊ทผ ๋ถ๊ฐ (Internet Gateway์์ ํฐ ์ฐจ์ด์ - ์๋ฐฉํฅ)
NAT Instance์ NAT Gateway์ 2๊ฐ์ง ์ต์ ์ด ์์
NAT Instance ์ NAT Gateway
NAT Instance ์ NAT Gateway์ ์ฐจ์ด์
VPC, NAT Instance, Internet Gateway, Route Table
๋๊ฐ์ AZ, private subnet์ ์ธ์คํด์ค๋ NAT ์ธ์คํด์ค๋ฅผ ํตํด์ ์ธํฐ๋ท์ ์ ๊ทผ, NAT ์ธ์คํด์ค๋ Internet Gateway๋ก ๋ผ์ฐํ
VPC EndPoint๋ฅผ ์ด์ฉํ AWS ์๋น์ค ์ ๊ทผ
Private subnet์ ์กด์ฌํ๋ EC2์์ ํผ๋ธ๋ฆญ S3 ์๋ํฌ์ธํธ๋ฅผ ํตํ์ฌ S3 ์ ๊ทผ
- NAT Gateway/Instance ํ์
- ๊ณต๊ฐ ์ธํฐ๋ท ๋ง์ ํตํด์ ์ ๊ทผ๋จ
Private ๋ง์์ ํน์ AWS ์๋น์ค ๋ง์ ์ฌ์ฉํ๊ฒ ๋๋ค๋ฉด EndPoint ์ฌ์ฉ
- EndPoint ์์ฑ ํ RouteTable์ ํด๋น EndPoint ๊ฐ ๋ฑ๋ก๋จ
- NAT Gateway ์ญ์ ๊ฐ๋ฅ
๊ณผ๊ธ ์ธก๋ฉด์์
EndPoint : $0.01/hour
NAT Gateway : $0.059/hour
์ด๋ฏ๋ก ํน์ ์๋น์ค ๋ฐ์ ์ฌ์ฉ ํ์ง ์์๊ฑฐ๋ผ๋ฉด EndPoint๋ฅผ ์ด์ฉํด ๊ฐ๊ฒฉ์ ์ ๋ ดํ๊ฒ ํํ ์ ์์
VPC FlowLogs
VPC ๋ด๋ถ์์ ์ฃผ๊ณ ๋ฐ๋ IP ํธ๋ํฝ์ ์ ๋ณด๋ฅผ ์ ์ฅํ์ฌ ๊ฒ์ํ ์ ์๊ฒ ํด์ฃผ๋ ๊ธฐ๋ฅ
=> FlowLogs์์ ๋ฐ์ํ๋ ๋ฐ์ดํฐ๋ Amazon CloudWatch (๋ชจ๋ํฐ๋ง ๊ณต๊ฐ) Logs์ ์ ์ฅ๋จ
๋ก๊ทธ๊ฐ ์บก์ณ๋๋ ๋ ๋ฒจ
- VPC
- ์๋ธ๋ท
- Network Interface (VPC์ ๋
ผ๋ฆฌ์ ๊ตฌ์ฑ ์์์ด๋ฉฐ ๊ฐ์ ๋คํธ์ํฌ ์นด๋๋ฅผ ๋ํ๋)
=> EC2 ์ธ์คํด์ค๊ฐ ๋คํธ์ํฌ์ ์ก์ธ์คํ ์ ์๋๋ก ๋์์ฃผ๋ฉฐ EC2 ์ธ์คํด์ค๋ฅผ ์์ฑํ๋ฉด ๊ธฐ๋ณธ ENI๊ฐ eth0์ ์ฐ๊ฒฐ๋์ด ๋คํธ์ํฌ ์ฐ๊ฒฐ์ด ๊ฐ๋ฅํด์ง
๋ชจ๋ IP ํธ๋ํฝ์ด ๋ชจ๋ํฐ๋ง ๋์ง๋ ์์
- DNS ์ ์ ํธ๋ํฝ
- Window license activation
- 169.254.169.254๋ฅผ ํตํ instance metadata
- DHCP traffic
์ฌ๋ฐ๋ฅธ VPC ์ฌ์ฉ์ ์ํด์ ์ ๋ ํ ๋ด์ฉ๋ค
1. CIDR ๋ฒ์์ ์ฌ๋ฐ๋ฅธ ์ค์
2. ํ์ํ ์ก์ธ์ค ๋ฒ์์ ๋ฐ๋ฅธ ์๋ธ๋ท ๊ตฌ์ฑ (Public / Private)
3. ๊ณ ๊ฐ์ฉ์ฑ์ ์ํด VPC ๋ด์์ Multi-AZ๋ก ๊ตฌ์ฑ
4. Security Group์ ์ค์ ์ ํตํ ์ ํ์ ์ธ ์ ๊ทผ ํ์ฉ ( + NACL)
5. VPC ๋ด์ ํจํท ์ ๊ทผ ํ์คํ ๋ฆฌ๋ฅผ ํ์ธํ๊ธฐ ์ํด์ VPC FlowLogs ์ฌ์ฉ ๊ฐ๋ฅ
VPC ์์์ ๋ณด์ ๊ฐํ ๋ฐฉ๋ฒ ์์ฝ
Security Group์ ํ์ฉ
=> Stateful ํ ์๋น์ค์ด๋ฉฐ EC2 ์ธ์คํด์ค๋ฅผ ๋ณดํธ
Network ACL์ ํ์ฉํ์ฌ ์์ ๋ณดํธ
=> Stateless ์๋น์ค์ด๋ฉฐ, ์ธ์คํด์ค ์ฐจ์์ด ์๋ ์๋ธ๋ท ์ฐจ์์์ ๊ด๋ฆฌ
์๋ธ๋ท, SG, NACL ๋ฑ์ ํ์ฉํ์ฌ layer๋ก ๋๋์ด์ ๊ด๋ฆฌ
=> ์ธ์คํด์ค ๋จ์ด๋ ์๋ธ๋ท ๋จ์์ ๊ด๋ฆฌํ์
+ VPC FlowLogs๋ฅผ ํตํด VPC์ ๋คํธ์ํฌ ์ธํฐํ์ด์ค๋ฅผ ํตํ IP ํธ๋ํฝ์ ๋ชจ๋ํฐ๋ง
VPC ๊ตฌ์กฐ ๊ฐ์
Azure Virtual Network (Vnet)
Azure Vnet์ AWS VPC์ ๋์๋๋ ๊ฐ์ ๋คํธ์ํฌ ์๋น์ค์
Azure Network Interface (NIC)
Azure NIC๋?
- VM๊ณผ Vnet์ ์ฐ๊ฒฐํ๋ ๊ธฐ๋ฅ
- ๊ฐ VM์๋ ํ๋ ์ด์์ NIC๊ฐ ์์ด์ผํจ
- VM ํฌ๊ธฐ์ ๋ฐ๋ผ ์ฐ๊ฒฐํ ์ ์๋ NIC์๊ฐ ๋ฌ๋ผ์ง
NIC ์ถ๊ฐ
- VM ์๋ช
์ฃผ๊ธฐ ๋์ NIC๋ฅผ ์ถ๊ฐํ๊ฑฐ๋ ์ญ์ ํ ์ ์์
- ์ฌ๋ฌ NIC๋ฅผ ์ฌ์ฉํ๋ฉด VM์ด ๋ค๋ฅธ ์๋ธ๋ท์ ์ ๊ทผ ๊ฐ๋ฅ
Azure Vnet Subnet
์๋ธ๋ท ๊ฐ์๋ ๋ณด์ ๊ฒฝ๊ณ๊ฐ ์์, ์ด๋ฌํ ๊ฐ ๋ฒ์ค๋ท์ ํต์ ํ ์ ์์
(์ธ๋ถ ํต์ ๋ง ๋ง์)
=> ์๋ธ๋ท ๊ฐ ๋ณด์ ๊ฒฝ๊ณ๊ฐ ํ์ํ ๊ฒฝ์ฐ NSG (Network Security Group) ์ฌ์ฉํ์ฌ ์ ํ
Azure Vnet ๊ฐ ํต์
Route Table (๋คํธ์ํฌ ํจํท์ด ์ด๋ค IP ๋์ญ์ผ๋ก ๋๊ฐ ๋ ํจํท์ ์ด๋๋ก ๋ณด๋ผ์ง ์ ๋ณด)
- Azure Route Table์ ์๋ธ๋ท ๋ฐ ์จ-ํ๋ ๋ฏธ์ค ๋คํธ์ํฌ ๊ฐ์ ํธ๋ํฝ์ ์๋์ผ๋ก ๋ผ์ฐํ
- Azure๋ Vnet์ Route Table์ ์๋ ๊ฒฝ๋ก๋ฅผ ๋ฐ๋ผ Vnet์์ ์์๋ฐ์ด๋ ํธ๋ํฝ์ ๋ผ์ฐํ
- ๊ธฐ๋ณธ๊ฒฝ๋ก์ ์ฌ์ฉ์ ์ง์ ๊ฒฝ๋ก ์ค์ ๊ฐ๋ฅ
Peering (์๋ก ๋ค๋ฅธ VPC๊ฐ์ ๋คํธ์ํฌ ํธ๋ํฝ์ ์ฐ๊ฒฐ)
๋ ๊ฐ ์ด์์ ๊ฐ์ ๋คํธ์ํฌ๋ฅผ ์ํํ๊ฒ ์ฐ๊ฒฐํ ์ ์์
=> Peering๋ VM๊ฐ ํธ๋ํฝ์ Microsoft ๋ฐฑ๋ณธ ์ธํ๋ผ๋ฅผ ์ฌ์ฉํ๊ธฐ์ ๋๊ธฐ ์๊ฐ์ด ์งง์ ๊ณ ๋์ญํญ ์ฐ๊ฒฐ์ด ๊ฐ๋ฅ
Azure Network Security Group (NSG)
Azure Vnet์ NSG๋ฅผ ์ ๊ณตํ๋ฉฐ AWS SG ๋ฐ NACL์ ๋์ํจ
(OSI 3, 4๊ณ์ธต์์ ์๋)
๋คํธ์ํฌ ๋ณด์ ๊ธฐ๋ณธ ๊ท์น์
- ์์๋ฐ์ด๋ ์์ธ์ค ํ์ฉ
- ์ธ๋ฐ์ด๋ ์์ธ์ค ๊ฑฐ๋ถ
- Vnet ๋ด ์์ธ์ค ํ์ฉ
NSG๋ ์ํ ์ ์ฅ์ ํ๊ธฐ์ ๋ค์ด์ค๋ ํฌํธ๋ฅผ ์ด๋ฉด ํธ๋ํฝ์ ํ์ฉํ๊ธฐ ์ํด ๋๊ฐ๋ ํฌํธ๊ฐ ์๋์ผ๋ก ์ด๋ฆผ
(Stateful)
Azure NAT Gateway
AWS NAT Gateway์ ๋์๋๋ ์๋น์ค์
=> Vnet์ ๋ํ ์์๋ฐ์ด๋ ์ธํฐ๋ท ์ฐ๊ฒฐ์ ์ ์
Google Cloud VPC Network
GCP VPC๋ AWS VPC์ ๋์๋๋ ๊ฐ์ ๋คํธ์ํฌ ์๋น์ค์
=> AWS์ ๋ฌ๋ฆฌ ์ฌ๋ฌ Region์ ํ๋์ VPC ๊ฐ๋ฅ
(์ฌ๋ฌ Region์ ๊ฑธ์ณ ์๋ ์๋น์ค์ ๋ํ ๊ณ ๊ฐ์ฉ์ฑ)
Google Cloud VPC Firewall Rules
AWS SG, NACL๊ณผ ๋์๋๋ ์๋น์ค๋ก Stateful ํจ (AWS์ SG์ ๋์)
=> ์ด๋ค ๋ฐฉํฅ์ผ๋ก๋ Firewall์ ํตํด ์ฐ๊ฒฐ์ด ํ์ฉ๋๋ ๊ฒฝ์ฐ ์ด ์ฐ๊ฒฐ๊ณผ ์ผ์นํ๋ ๋ฐํ ํธ๋ํฝ๋ ํ์ฉ
Network Tag์ ์ฌ์ฉํ์ฌ ํน์ VM์ Firewall Rule๊ณผ Route ์ ์ฉ ๊ฐ๋ฅ
(VM ๋๋ VM ํ
ํ๋ฆฟ๊ณผ ๊ฐ์ด ๋ฆฌ์์ค ํ๊ทธ ํ๋์ ์ถ๊ฐ๋๋ ๋ฌธ์์ด์)
GCP Cloud NAT
Clud NAT์ AWS NAT์ ๋์ํ๋ ์๋น์ค์
(Private๋ง์์ ์ธ๋ถ๋ง์ ์ธ ์ ์๊ฒ ํด์ค)
=> Public IP์ฃผ์๊ฐ ์๋ ํน์ ๋ฆฌ์์ค๊ฐ ์ธ๋ถ ์ธํฐ๋ท์ ๋ํ ์์ ๋ฐ์ด๋ ์ฐ๊ฒฐ์ ๋ง๋ค ์ ์์
Cloud NAT๋ VM์ ๋คํธ์ํฌ ๋์ญํญ์ ์ค์ด์ง ์์
=> Cloud NAT ์์ฒด๊ฐ ๋คํธ์ํฌ ์ฑ๋ฅ์ ๋ณ๋ชฉ์ ์ผ์ผํค๊ฑฐ๋ ์ํฅ์ ์ฃผ์ง ์๊ธฐ์ ์ต๋ ์ฑ๋ฅ์ ๋ณด์ฅํ๋ฉด์ NAT๋ฅผ ํตํ ์ธ๋ถ ํต์ ์ด ๊ฐ๋ฅ
'๐ Infra > AWS' ์นดํ ๊ณ ๋ฆฌ์ ๋ค๋ฅธ ๊ธ
| Cloud Deployment Automation (4) | 2024.10.19 |
|---|---|
| Cloud High Availability (1) | 2024.10.17 |
| Cloud Basic Service (13) | 2024.10.14 |
| Distributed System (5) | 2024.10.06 |
| AWS EC2 ๋ฉ๋ชจ๋ฆฌ ๋ถ์กฑ ํ์ ํด๊ฒฐ (Swap Memory) (1) | 2024.09.12 |
