티스토리 뷰
* AWS 네트워킹 서비스
- AWS 글로벌 인프라에서 생성된 다양한 자원의 워크로드를 수행하는 네트워킹 서비스
- AWS 네트워킹 서비스를 이용하여 최적의 안정성과 보안성, 성능을 보장받는 애플리케이션을 실행할 수 있음
* AWS 리전 네트워킹 디자인
1) Intra-AZ 연결
- 리전 내부에는 논리적인 데이터 센터의 집합인 가용 영역이 여러 개 존재함
- 가용 영역에 존재하는 데이터 센터들은 고밀도 광섬유 케이블을 사용하여 100GE(Gigabit Ethernet) 또는 400GE로 상호 연결되어 네트워킹 환경을 구성하는데, 이런 데이터 센터 간 연결을 뜻함
2) Inter-AZ 연결
- 리전 내부에 위치하는 가용 영역은 실제 100km 이내로 떨어져 있는데,
물리적으로 거리를 두는 이유는 정전이나 자연재해 같은 문제에 가용성을 유지하기 위함
- AWS 클라우드 자원을 다수의 가용 영역에서 실행하도록 설계하여 내결함성을 강화할 수 있으며 지리적으로 떨어져 있는 가용 영역끼리 연결되어 네트워킹 환경을 구성하고 있는데, 이러한 가용 영역 간 연결을 뜻함
3) 트랜짓 센터 연결
- 리전에서 외부 인터넷 구간과 통신이 필요할 때는 트랜짓 센터를 통해 통신함
- 내부에 있는 가용 영역들은 외부 인터넷 통신을 위해 트랜짓 센터와 연결되어 네트워킹 환경을 구성하는데, 이러한 가용 영역 간의 연결을 뜻함
* AWS 글로벌 네트워크와 엣지 POP
1) 엣지 POP(Edge Point Of Presence)
- AWS 글로벌 네트워크라는 전용망을 활용하여 안정적으로 고성능 서비스를 제공하는 센터
- 엣지 POP을 통해 사용자에게 글로벌 서비스 콘텐츠를 빠르게 제공할 수 있음
- 엣지 POP은 엣지 로케이션(Edge Location)과 리전별 엣지 캐시(Regional Edge Cache)로 구성됨
- 전세계 300개 이상의 엣지 로케이션과 13개의 리전별 엣지 캐시가 서로 연결된 AWS 글로벌 네트워크를 구성하고 있음
2) AWS 글로벌 네트워크
- 다수의 100GE 케이블로 중국을 제외한 여섯 대륙을 상호 연결함
- 전 세계에 고루 분포된 엣지 POP로 구성된 AWS 글로벌 네트워크라고 이해하면 됨
- 이런 글로벌 네트워크를 활용하는 서비스는 짧은 지연 시간과 높은 처리량을 목적으로 함
- 대표적으로 Amazon CloudFront, Amazon Route53, AWS Shield, AWS Global Accelerator 등 있음
* AWS 네트워킹 서비스 소개
- AWS의 다양한 자원이 서로 원활하게 통신할 수 있도록 도와주는 것
[네트워크 기반]
1) VPC
- 사용자 전용 가상의 프라이빗 클라우드 네트워크로, 네트워크 자원을 탄력적으로 활용하는 서비스를 제공
2) Transit Gateway
- 중앙 허브 개념처럼 VPC와 온프레미스 네트워크를 연결하는 게이트웨이 역할의 서비스를 제공
[엣지 네트워킹]
1) Route 53
- AWS에서 제공하는 관리형 DNS 서비스로 도메인 등록, 라우팅, 상태 확인 등 서비스를 제공
2) Global Acclerator
- AWS 글로벌 네트워크를 통해 애플리케이션을 빠르고 안정적으로 사용할 수 있도록
가용성 및 성능을 보장하는 서비스를 제공함
[하이브리드 연결]
1) Direct Connect
- 온프레미스 환경에서 AWS와 전용 네트워크 연결 서비스를 제공
2) Site-to-Site VPN
- IPsec VPN 연결을 생성하여 암호화된 네트워크를 구성하는 서비스를 제공
* Amazon VPC(Virtual Private Cloud)
- 사용자 정의로 구성된 가상의 프라이빗 클라우드 네트워크
- 사용자는 Amazon VPC에서 제공하는 다양한 네트워킹 요소를 이용하여
가상의 클라우드 네트워크를 구성할 수 있음
[기본 구성 요소]
1) 리전과 VPC
- Amazon VPC는 리전마다 독립적으로 구성되어 있음
- 리전 내에는 다수의 VPC를 생성할 수 있으며, 각 VPC는 서로 독립적으로 분리됨
2) 서브넷과 가용 영역
- Amazon VPC라는 하나의 독립된 클라우드 네트워크에도 서브넷을 이용해 분리된 네트워크로 구성 가능
- 서브넷은 VPC 내 별도로 나누어진 네트워크라고 생각할 수 있음
- 서브넷은 반드시 하나의 가용 영역에 종속적으로 위치함
- 서브넷은 VPC 네트워크 환경 구성에 따라 퍼블릭 서브넷과 프라이빗. 서브넷으로 분류할 수 있음
- 퍼블릭 서브넷 : 인터넷 구간과 연결되어 있어 외부 인터넷 통신이 가능한 네트워크 영역
- 프라이빗 서브넷 : 인터넷 구간과 연결되지 않은 폐쇄적인 네트워크 영역
3) IP CIDR
- 네트워크에 할당할 수 있는 IP 주소 범위를 표현하는 방법
- Amazon VPC는 내부에 생성할 서브넷의 IP 주소 범위를 할당하기 위해 IP CIDR을 가지고 있음
- VPC 내 생성된 서브넷도 VPC의 IP CIDR에서 분할된 IP CIDR을 가지고 있음
- VPC라는 큰 네트워크의 IP CIDR에서 서브넷이라는 작은 네트워크의 IP CIDR이 분할되어 있으므로,
서브넷에 생성되는 자원은 IP CIDR 범위 안에 있는 IP 주소를 할당받을 수 있음
4) 가상 라우터와 라우팅 테이블
- Amazon VPC 생성하면 기본적으로 네트워크 경로를 확인해 트래픽을 전달하는 목적의 가상 라우터 생성
- 생성된 가상 라우터는 기본 라우팅 테이블을 보유하고 있음
- 가상 라우터는 라우팅 테이블을 통해 네트워크 경로를 식별할 수 있음
- 기본 라우팅 테이블 외에 별도의 라우팅 테이블을 생성할 수 있고,
생성된 라우팅 테이블은 서브넷과 연결하여 서브넷마다 라우팅 테이블을 가질 수도 있음
- 라우팅 테이블은 목적지 대상의 IP CIDR 블록과 타깃 대상을 구성되어 있으며, 타깃 대상에서 로컬은 VPC 내부 간 통신을 의미하며 특수한 목적을 수행하는 인터넷 게이트웨이나 NAT 게이트웨이 등을 타깃 대상으로 지정할 수 있음
5) 보안 그룹(Security Group)과 네트워크 ACL(Network Access Control List)
- Amazon VPC는 보안 그룹과 네트워크 ACL같은 가상의 방화벽 기능을 제공하여
서브넷과 생성된 자원에 대한 트래픽을 보호함
- 트래픽 접근을 통제하는 것이 주된 목적이며, IP CIDR 블록, 프로토콜, 포트 번호를 정의해
허용과 거부를 결정하는 보안 규칙을 만듦
- 보안 규칙에도 방향성이 있는데, 가상의 방화벽을 기준으로 들어오는 인바운드 규칙과 빠져나가는
아웃바운드 규칙이 있어 트래픽 흐름을 고려해서 보안 규칙을 세워야 함
* 보안 그룹과 네트워크 ACL 차이점
1) 트래픽 접근 제어 대상
- 보안 그룹과 네트워크 ACL의 가장 큰 차이점은 접근 제어 대상이 서로 다르다는 것
- 보안 그룹은 인스턴스와 같은 자원 접근을 제어하며, 네트워크 ACL은 서브넷 접근을 제어
2) 스테이트풀(Stateful)과 스테이트리스(Stateless)
- 보안 그룹은 이전 상태 정보를 기억하고 다음에 그 상태를 활용하는 스테이트풀 접근 통제를 수행
► 인바운드 규칙에서 허용했다면 아웃바운드 규칙 무시하고 허용
- 네트워크 ACL은 이전 상태 정보를 기억하지 않아서 다음 그 상태를 활용하지 않는 Stateless 접근 통제 수행
► 인바운드 규칙에서 허용했어도 아웃바운드 규칙 확인
3) 허용 및 거부 정책
- 보안 그룹의 정책 테이블은 허용 규칙만 나영하며 허용 규칙에 해당하지 않으면 자동 거부됨
- 네트워크 ACL의 정책 테이블은 허용 규칙과 거부 규칙이 모두 존재하여 규칙을 순차적으로 확인하고
허용과 거부를 판단함
- 네트워크 ACL에도 모든 규칙이 매칭되지 않으면 거부하는 규칙이 기본적으로 있음
* Amazon VPC와 다른 네트워크 연결
1) 인터넷 게이트웨이
- Amazon VPC는 프라이빗 클라우드 네트워크 환경
- 외부 인터넷 구간과 연결되지 않은 독립적인 네트워크
- 외부 인터넷 구간과 연결 필요 시 인터넷 게이트웨이라는 네트워킹 자원을 생성한 후
Amazon VPC와 연결하여 외부 인터넷과 통신
- VPC와 인터넷 구간의 논리적인 연결이자 인터넷으로 나가는 관문이 되는 네트워킹 자원
- 퍼블릭 서브넷은 외부 인터넷 통신이 가능한 네트워크로, 서브넷의 라우팅 테이블에서 외부 인터넷으로 나가는 타깃 대상을 인터넷 게이트웨이로 지정하여 퍼블릭 서브넷 환경을 만듦
2) NAT 게이트웨이
- 프라이빗 서브넷에서 외부 인터넷으로 통신하는 관문 역할
- NAT는 IP 주소를 변환하는 기능을 제공하며,
프라이빗 IP 주소를 퍼블릭 IP 주소로 변환하여 외부 인터넷 구간 통신 환경을 만듦
- 프라이빗 서브넷은 외부 인터넷 구간과 단절된 독립된 네트워크지만, 외부 인터넷 구간과 통신이 필요할 때는 NAT 게이트웨이를 통해 프라이빗 IP 주소를 퍼블릭 IP 주소로 변환하여 외부 인터넷 구간과 통신할 수 있음
[참고] 퍼블릭 서브넷과 프라이빗 서브넷의 외부 인터넷 구간 통신 차이
1) 퍼블릭 서브넷에서 외부 인터넷 구간 통신
- 퍼블릭 IP 주소를 가지고 인터넷 게이트웨이를 통해 외부 인터넷 구간과 데이터를 송수신 가능
- 반대로 외부 인터넷 구간에서도 퍼블릭 서브넷의 퍼블릭 IP로 데이터를 송수신 가능
2) 프라이빗 서브넷에서 외부 인터넷 구간 통신
- 프라이빗 IP 주소를 NAT 게이트웨이로 전달해 퍼블릭 IP 주소로 변환함
- 위 과정 진행 후 인터넷 게이트웨이를 통해 외부 인터넷 구간과 데이터를 송수신 가능
- 반대로 외부 인터넷 구간에서 프라이빗 서브넷의 프라이빗 IP 주소로는 데이터를 송수신할 수 없음
3) VPC 피어링
- 서로 다른 VPC를 연결하는 기능
- 동일 리전뿐만 아니라 다른 리전에 위치한 VPC와 연결할 수도 있음
- 다른 계정에 위치한 VPC까지 연결할 수 있음
4) 전송 게이트웨이(Transit Gateway)
- 다수의 VPC나 온프레미스를 단일 지점으로 연결하는 중앙 집중형 라우터
- 단일 지점 연결이라 네트워크 구성이 간소화되고 비용도 절감되는 효과가 있음
5) 가상 프라이빗 게이트웨이 (Virtual Private Gateway)
- 관리형 AWS Site-to-Site VPN을 연결하거나 AWS Direct Connet로 온프레미스 환경을 연결함
* Amazon VPC 요금
- Amazon VPC 사용하면서 요금은 발생하지 않지만, 일부 기능에서 요금이 발생할 수 있음
- 대표적으로 NAT 게이트웨이가 요금 발생하며, 최초 프로비저닝한 후 시간에 따른 요금이 부과됨
'개인공부 > AWS' 카테고리의 다른 글
[AWS] 스토리지 서비스 (0) | 2024.01.25 |
---|---|
[AWS] 부하분산 서비스 - ELB 기능 (0) | 2024.01.21 |
[AWS] 네트워킹 기초 정리 (0) | 2024.01.21 |
[AWS] Amazon CloudWatch 이메일 경보 설정 방법 (0) | 2024.01.20 |
[AWS] Amazon EC2 배포 및 접속 방법 (0) | 2024.01.20 |