[AWS] AWS 네트워킹

* AWS 네트워킹 서비스

- AWS 글로벌 인프라에서 생성된 다양한 자원의 워크로드를 수행하는 네트워킹 서비스

- AWS 네트워킹 서비스를 이용하여 최적의 안정성과 보안성, 성능을 보장받는 애플리케이션을 실행할 수 있음

 

 

* AWS 리전 네트워킹 디자인

1) Intra-AZ 연결

 - 리전 내부에는 논리적인 데이터 센터의 집합인 가용 영역이 여러 개 존재함

 - 가용 영역에 존재하는 데이터 센터들은 고밀도 광섬유 케이블을 사용하여 100GE(Gigabit Ethernet) 또는 400GE로 상호 연결되어 네트워킹 환경을 구성하는데, 이런 데이터 센터 간 연결을 뜻함

 

2) Inter-AZ 연결

 - 리전 내부에 위치하는 가용 영역은 실제 100km 이내로 떨어져 있는데,

   물리적으로 거리를 두는 이유는 정전이나 자연재해 같은 문제에 가용성을 유지하기 위함

- AWS 클라우드 자원을 다수의 가용 영역에서 실행하도록 설계하여 내결함성을 강화할 수 있으며 지리적으로 떨어져 있는 가용 영역끼리 연결되어 네트워킹 환경을 구성하고 있는데, 이러한 가용 영역 간 연결을 뜻함

 

3) 트랜짓 센터 연결

 - 리전에서 외부 인터넷 구간과 통신이 필요할 때는 트랜짓 센터를 통해 통신함

 - 내부에 있는 가용 영역들은 외부 인터넷 통신을 위해 트랜짓 센터와 연결되어 네트워킹 환경을 구성하는데, 이러한 가용 영역 간의 연결을 뜻함

 

 

* AWS 글로벌 네트워크와 엣지 POP

1) 엣지 POP(Edge Point Of Presence)

 - AWS 글로벌 네트워크라는 전용망을 활용하여 안정적으로 고성능 서비스를 제공하는 센터

 - 엣지 POP을 통해 사용자에게 글로벌 서비스 콘텐츠를 빠르게 제공할 수 있음

 - 엣지 POP은 엣지 로케이션(Edge Location)과 리전별 엣지 캐시(Regional Edge Cache)로 구성됨

 - 전세계 300개 이상의 엣지 로케이션과 13개의 리전별 엣지 캐시가 서로 연결된 AWS 글로벌 네트워크를 구성하고 있음

 

2) AWS 글로벌 네트워크

 - 다수의 100GE 케이블로 중국을 제외한 여섯 대륙을 상호 연결함

 - 전 세계에 고루 분포된 엣지 POP로 구성된 AWS 글로벌 네트워크라고 이해하면 됨

 - 이런 글로벌 네트워크를 활용하는 서비스는 짧은 지연 시간과 높은 처리량을 목적으로 함

 - 대표적으로 Amazon CloudFront, Amazon Route53, AWS Shield, AWS Global Accelerator 등 있음

 

 

* AWS 네트워킹 서비스 소개

- AWS의 다양한 자원이 서로 원활하게 통신할 수 있도록 도와주는 것

 

[네트워크 기반]

 1) VPC

   - 사용자 전용 가상의 프라이빗 클라우드 네트워크로, 네트워크 자원을 탄력적으로 활용하는 서비스를 제공

 

 2) Transit Gateway

   - 중앙 허브 개념처럼 VPC와 온프레미스 네트워크를 연결하는 게이트웨이 역할의 서비스를 제공

 

[엣지 네트워킹]

 1) Route 53

   - AWS에서 제공하는 관리형 DNS 서비스로 도메인 등록, 라우팅, 상태 확인 등 서비스를 제공

 

 2) Global Acclerator

   - AWS 글로벌 네트워크를 통해 애플리케이션을 빠르고 안정적으로 사용할 수 있도록

    가용성 및 성능을 보장하는 서비스를 제공함

 

[하이브리드 연결]

 1) Direct Connect

   - 온프레미스 환경에서 AWS와 전용 네트워크 연결 서비스를 제공

 

 2) Site-to-Site VPN

   - IPsec VPN 연결을 생성하여 암호화된 네트워크를 구성하는 서비스를 제공

 

 

* Amazon VPC(Virtual Private Cloud)

- 사용자 정의로 구성된 가상의 프라이빗 클라우드 네트워크

- 사용자는 Amazon VPC에서 제공하는 다양한 네트워킹 요소를 이용하여

  가상의 클라우드 네트워크를 구성할 수 있음

 

[기본 구성 요소]

1) 리전과 VPC

 - Amazon VPC는 리전마다 독립적으로 구성되어 있음

 - 리전 내에는 다수의 VPC를 생성할 수 있으며, 각 VPC는 서로 독립적으로 분리됨

 

2) 서브넷과 가용 영역

 - Amazon VPC라는 하나의 독립된 클라우드 네트워크에도 서브넷을 이용해 분리된 네트워크로 구성 가능

 - 서브넷은 VPC 내 별도로 나누어진 네트워크라고 생각할 수 있음

 - 서브넷은 반드시 하나의 가용 영역에 종속적으로 위치함

 - 서브넷은 VPC 네트워크 환경 구성에 따라 퍼블릭 서브넷과 프라이빗. 서브넷으로 분류할 수 있음

 - 퍼블릭 서브넷 : 인터넷 구간과 연결되어 있어 외부 인터넷 통신이 가능한 네트워크 영역 

 - 프라이빗 서브넷 : 인터넷 구간과 연결되지 않은 폐쇄적인 네트워크 영역

 

3) IP CIDR

 - 네트워크에 할당할 수 있는 IP 주소 범위를 표현하는 방법

 - Amazon VPC는 내부에 생성할 서브넷의 IP 주소 범위를 할당하기 위해 IP CIDR을 가지고 있음

 - VPC 내 생성된 서브넷도 VPC의 IP CIDR에서 분할된 IP CIDR을 가지고 있음

 - VPC라는 큰 네트워크의 IP CIDR에서 서브넷이라는 작은 네트워크의 IP CIDR이 분할되어 있으므로,

   서브넷에 생성되는 자원은 IP CIDR 범위 안에 있는 IP 주소를 할당받을 수 있음

 

4) 가상 라우터와 라우팅 테이블

 - Amazon VPC 생성하면 기본적으로 네트워크 경로를 확인해 트래픽을 전달하는 목적의 가상 라우터 생성

 - 생성된 가상 라우터는 기본 라우팅 테이블을 보유하고 있음

 - 가상 라우터는 라우팅 테이블을 통해 네트워크 경로를 식별할 수 있음

 - 기본 라우팅 테이블 외에 별도의 라우팅 테이블을 생성할 수 있고,

   생성된 라우팅 테이블은 서브넷과 연결하여 서브넷마다 라우팅 테이블을 가질 수도 있음

 - 라우팅 테이블은 목적지 대상의 IP CIDR 블록과 타깃 대상을 구성되어 있으며, 타깃 대상에서 로컬은 VPC 내부 간 통신을 의미하며 특수한 목적을 수행하는 인터넷 게이트웨이나 NAT 게이트웨이 등을 타깃 대상으로 지정할 수 있음

 

5) 보안 그룹(Security Group)과 네트워크 ACL(Network Access Control List)

 - Amazon VPC는 보안 그룹과 네트워크 ACL같은 가상의 방화벽 기능을 제공하여

   서브넷과 생성된 자원에 대한 트래픽을 보호함

 - 트래픽 접근을 통제하는 것이 주된 목적이며, IP CIDR 블록, 프로토콜, 포트 번호를 정의해

   허용과 거부를 결정하는 보안 규칙을 만듦

 - 보안 규칙에도 방향성이 있는데, 가상의 방화벽을 기준으로 들어오는 인바운드 규칙과 빠져나가는

   아웃바운드 규칙이 있어 트래픽 흐름을 고려해서 보안 규칙을 세워야 함

 

 

* 보안 그룹과 네트워크 ACL 차이점

1) 트래픽 접근 제어 대상

 - 보안 그룹과 네트워크 ACL의 가장 큰 차이점은 접근 제어 대상이 서로 다르다는 것

 - 보안 그룹은 인스턴스와 같은 자원 접근을 제어하며, 네트워크 ACL은 서브넷 접근을 제어

 

2) 스테이트풀(Stateful)과 스테이트리스(Stateless)

 - 보안 그룹은 이전 상태 정보를 기억하고 다음에 그 상태를 활용하는 스테이트풀 접근 통제를 수행

   ► 인바운드 규칙에서 허용했다면 아웃바운드 규칙 무시하고 허용

 - 네트워크 ACL은 이전 상태 정보를 기억하지 않아서 다음 그 상태를 활용하지 않는 Stateless 접근 통제 수행

   ► 인바운드 규칙에서 허용했어도 아웃바운드 규칙 확인

 

3) 허용 및 거부 정책

 - 보안 그룹의 정책 테이블은 허용 규칙만 나영하며 허용 규칙에 해당하지 않으면 자동 거부됨

 - 네트워크 ACL의 정책 테이블은 허용 규칙과 거부 규칙이 모두 존재하여 규칙을 순차적으로 확인하고

   허용과 거부를 판단함

 - 네트워크 ACL에도 모든 규칙이 매칭되지 않으면 거부하는 규칙이 기본적으로 있음

 

 

* Amazon VPC와 다른 네트워크 연결

1) 인터넷 게이트웨이

 - Amazon VPC는 프라이빗 클라우드 네트워크 환경

 - 외부 인터넷 구간과 연결되지 않은 독립적인 네트워크

 - 외부 인터넷 구간과 연결 필요 시 인터넷 게이트웨이라는 네트워킹 자원을 생성한 후

    Amazon VPC와 연결하여 외부 인터넷과 통신

 - VPC와 인터넷 구간의 논리적인 연결이자 인터넷으로 나가는 관문이 되는 네트워킹 자원

 - 퍼블릭 서브넷은 외부 인터넷 통신이 가능한 네트워크로, 서브넷의 라우팅 테이블에서 외부 인터넷으로 나가는 타깃 대상을 인터넷 게이트웨이로 지정하여 퍼블릭 서브넷 환경을 만듦

 

2) NAT 게이트웨이

 - 프라이빗 서브넷에서 외부 인터넷으로 통신하는 관문 역할

 - NAT는 IP 주소를 변환하는 기능을 제공하며,

   프라이빗 IP 주소를 퍼블릭 IP 주소로 변환하여 외부 인터넷 구간 통신 환경을 만듦

 - 프라이빗 서브넷은 외부 인터넷 구간과 단절된 독립된 네트워크지만, 외부 인터넷 구간과 통신이 필요할 때는 NAT 게이트웨이를 통해 프라이빗 IP 주소를 퍼블릭 IP 주소로 변환하여 외부 인터넷 구간과 통신할 수 있음

 

[참고] 퍼블릭 서브넷과 프라이빗 서브넷의 외부 인터넷 구간 통신 차이

 1) 퍼블릭 서브넷에서 외부 인터넷 구간 통신

  - 퍼블릭 IP 주소를 가지고 인터넷 게이트웨이를 통해 외부 인터넷 구간과 데이터를 송수신 가능

  - 반대로 외부 인터넷 구간에서도 퍼블릭 서브넷의 퍼블릭 IP로 데이터를 송수신 가능

 

 2) 프라이빗 서브넷에서 외부 인터넷 구간 통신

  - 프라이빗 IP 주소를 NAT 게이트웨이로 전달해 퍼블릭 IP 주소로 변환함

  - 위 과정 진행 후 인터넷 게이트웨이를 통해 외부 인터넷 구간과 데이터를 송수신 가능

  - 반대로 외부 인터넷 구간에서 프라이빗 서브넷의 프라이빗 IP 주소로는 데이터를 송수신할 수 없음

 

3) VPC 피어링

 - 서로 다른 VPC를 연결하는 기능

 - 동일 리전뿐만 아니라 다른 리전에 위치한 VPC와 연결할 수도 있음

 - 다른 계정에 위치한 VPC까지 연결할 수 있음

 

4) 전송 게이트웨이(Transit Gateway)

 - 다수의 VPC나 온프레미스를 단일 지점으로 연결하는 중앙 집중형 라우터

 - 단일 지점 연결이라 네트워크 구성이 간소화되고 비용도 절감되는 효과가 있음

 

5) 가상 프라이빗 게이트웨이 (Virtual Private Gateway)

 - 관리형 AWS Site-to-Site VPN을 연결하거나 AWS Direct Connet로 온프레미스 환경을 연결함

 

 

* Amazon VPC 요금

 - Amazon VPC 사용하면서 요금은 발생하지 않지만, 일부 기능에서 요금이 발생할 수 있음

 - 대표적으로 NAT 게이트웨이가 요금 발생하며, 최초 프로비저닝한 후 시간에 따른 요금이 부과됨