Amazon VPC 서비스 개념정리

Amazon VPC

AWS에서 제공하는 독립된 가상 프라이빗 클라우드 네트워크로 사용자만의 네트워크 구성 가능

나만의 네트워크 구성을 구성한다고 보면 된다

 

필요에 따라 인터넷 게이트웨이를 설정하여 인터넷을 사용할 수 있으며, NAT 설정도 가능하다.

내부에서 보안그룹과 네트워크 ACL을 설정하는 것도 가능하다.

 

Amazon VPC와 서브넷

VPC 에서도 서브넷을 통해 네트워크를 분리할 수 있다.

아래는 VPC 내에 3개의 서브넷이 존재하는 예시이다.

 

그리고 이때, 서브넷의 IP CIDR는 VPC IP CIDR에 속해 있으며, 1개의 가용영역에 종속된다.

아래와 같은 예시가 있다고 하자.

VPC의 IP CIDR은 10.0.0.0에 16비트로 네트워크 ID 영역이 두번째 옥텟까지이다. 따라서 그 안에 존재하는 대상들은 10.0.으로 시작하는 ip대역이여야 한다. 속해있는 subnet을 보면 모두 10.0 으로 시작하는 것을 알 수있다. 

 

내부 서브넷들은 네트워크 ID 영역이 3번째 옥텟 까지이므로 내부에 있는 서버들은 각각 10.0.1, 10.0.2,10.0.3으로 시작해야 한다.

 

서브넷의 종류

VPC 서브넷은 퍼블릭 서브넷과 프라이빗 서브넷으로 분리된다.

 

퍼블릭 서브넷(Public subnet)

외부 인터넷 구간과 직접적으로 통신할 수 있는 공공 네트워크

 

프라이빗 서브넷(Private subnet)

외부 부간과 직접적으로 통신할 수 없는 폐쇄적 네트워크

프라이빗 서브넷을 외부와 연결해야하는 경우가 있을수 있는데, 그 방법은 아래에서 설명하겠다.

 

Amazon VPC 와 가상라우터와 라우팅 테이블

VPC를 생성하면 가상 라우터가 생성되고 라우팅 테이블에 의해 라우팅을 수행하게 된다.

 

가상 라우터는 기본 라우팅 테이블에 의해 라우팅을 수행할 수 있지만, 각각의 서브넷의 용도에 따라 사용자가 수정하여 사용자 라우팅 테이블을 사용할 수 있다. 

 

Amazon VPC 와 인터넷 게이트웨이

VPC 에서 인터넷을 사용하려면 인터넷 게이트웨이가 필요하다. 프라이빗 서브넷과 퍼블릭 서브넷의 인터넷 연결 방식은 다르다.

 

퍼블릭 서브넷의 인터넷 연결 방법

- 인터넷 게이트웨이를 통해 인터넷 사용이 가능

- 공인 IP를 사용하므로 외부에서도 서버에 직접 접근 및 통신이 가능하다. (NAT 필요없음)

 

프라이빗 서브넷의 인터넷 연결 방법

- 직접 인터넷 게이트웨이를 통해 인터넷을 사용할 수 없음

- 사설 IP를 사용하고 있으므로 NAT 를 거쳐서 인터넷을 사용할 수 있음

- 사설 IP를 사용하고 있으므로 외부에서 접근이 불가능함

 

먼저 퍼블릭 서브넷의 인터넷 연결 방식이다. 파란색 선은 인터넷 연결 경로다

여기서 0.0.0.0/0 은 모든 네트워크 대상을 의미한다. 위 그림에서는 0.0.0.0에 대해서 인터넷 게이트웨이로 향하게 라우팅 테이블을 작성했으므로, 모든 접속은 외부 인터넷으로 향하게 된다. 퍼블릭 서브넷은 별도의 NAT를 거치지 않아도 공인 IP를 가지고 외부와 통신이 가능하다.

 

프라이빗 서브넷의 경우 NAT 게이트웨이를 사용해야하는데, 아래에서 설명하도록 하겠다.

 

Amazon VPC 와 NAT 게이트웨이

NAT
Network Address Translation. IP 주소를 변환하는 기능이다. 일반적으로 프라이빗 IP 주소를 가지고 외부와 통신할때 프라이빗IP 주소를  퍼블릭IP 주소로 변환할 때 사용한다. 

예를들어 공유기에 연결되는 PC나 스마트폰, 등 다양한 단말에 대해 프라이빗 IP를 할당한다. 이 연결된 단말기들이 인터넷 구간을 통과할때 퍼블릭 IP주소가 필요한데,  이때 NAT 를 통해 퍼블릭 IP로 주소 변환을 수행하게 된다.

 

아래는 프라이빗 서브넷이 NAT를 통해 외부인터넷과 연결되는 과정을 나타낸 그림이다.

프라이빗 서브넷에서 외부 인터넷을 사용하는 순서는 아래와 같다.

 

1. NAT 게이트웨이를 퍼블릭 서브넷에 생성한다.

2. 프라이빗 서브넷 라우팅 테이블에 NAT 게이트웨이를 등록한다.

 

위와 같이 설정했을때, 프라이빗 서브넷에서 외부 인터넷으로 패킷이 전달되는 순서는 아래와 같다,

 

프라이빗 서브넷 > 라우터 > 퍼블릭 서브넷 > 퍼블릭 서브넷 내 NAT 게이트웨이 > 라우터 > 인터넷 게이트웨이 > 인터넷

 

그니까 사실상 프라이빗 서브넷으로 외부 인터넷을 사용하려면 퍼블릭 서브넷이 무조건 있어야 한다는 말이 된다. 참으로 귀찮은 짓이다.. 하지만 보안상 좋다

 

Amazon VPC 와 보안그룹과 네트워크 ACL

보안그룹과 ACL은 트래픽 접근 제어를 수행하는 기능을 가지고 있으며, 가상의 방화벽이라고 보면 된다.

 

보안그룹은 서브넷 내에 존재하며, 네트워크 ACL은 서브넷 밖에 위치한다는 차이점이 있다.