Amazon VPC

Amazon Virtual Private Cloud

 

개념: AWS 계정 전용의 가상 네트워크로, 사용자가 정의한 가상 네트워킹 환경을 제공

이를 통해 네트워크 범위, 서브넷, 라우팅 테이블, 네트워크 게이트웨이 등을 설정하여 AWS 리소스를 배치할 수 있다.

aws에서 제공하는 리소스만 설치 할 수 있다. 

 

EC2를 사용하는데 VPC를 설정안했는데? -> 기본 vpc가 할당되었기 때문이다.

잘 모른다면 기본 VPC를 사용하자

기본 vpc는 아래와 같다. -> 블로그 해당 부분 링크

 

 

기본 네트워크 용어 정리

VPC를 알아보기에 앞서, 이를 이해하기 위한 기본적인 네트워크 용어를 정리하고 넘어가겠다.

 

LAN (Local Area Network)

PC나 서버를 네트워크에 연결하여 소통할 수 있도록 하는 방식

유선 LAN, 무선 LAN

사내 네트워크 중 인터넷이 연결되지 않은 폐쇄 네트워크를 인트라넷이라 한다.

허브: 네트워크 배선을 분할하는 장치

DMZ (Demilitarized Zone): 외부 네트워크와 내부 네트워크의 중간에서 보안을 강화하는 영역

 

 

서브넷(Subnet)

우리가 알고있는 서브넷과 같다. 네트워크를 sub 하여 작게 나눈 것

네트워크를 더 작은 단위로 분할한 것으로, 각 서브넷은 특정 IP 범위를 가진다. 이를 통해 네트워크 트래픽을 효율적으로 관리하고 보안을 강화할 수 있다.

서브넷별로 역할도 다르게할수 있고, VPC는 일반 네트워크와 달리 라우팅 없이도 통신 가능하다.

 

CIDR(Classless Inter-Domain Routing)

IP 주소와 서브넷 마스크를 결합하여 네트워크를 효율적으로 할당하는 방법

 

IP 주소(Internet Protocol Address)

네트워크 상의 장치들을 식별하기 위한 고유 주소

IP주소는 PC, 서버, 라우터 등 모든 네트워크를 사용하는 호스트에 설정되어 있다.

AWS는 Elastic IP로 필요할 경우 고정IP를 할당할 수 있다.

 

DNS(Domain Name System)

호스트는 IP주소로 식별되는데, 이때 URL로 입력할 경우 이에 해당하는 서버의IP주소를 알려주는 방식

실제로는 DNS가 도메인에 해당하는 IP를 확인하고, 이 IP주소를 가진 서버에 접속한다.

 

 

DHCP(Dynamic Host Configuration Protocol)

네트워크 장치에 자동으로 IP 주소를 할당하는 프로토콜

 

라우팅(Routing)

 

네트워크 내에서 데이터 패킷의 경로를 결정하고 전달하는 과정

데이터를 라우터로 보내고, 라우터가 목적지로 보내는 방식을 하는데, 이게 라우팅

원래 PC는 1대1로 연결했었다. 이제는 인터넷을 연결하는데, 이를 라우터를 통한다.

1 대1 연결시 많은 연결이 필요하다.

목적지에 데이터를 보낼 때 목적지의 IP주소를 지정한다. 데이터를 네트워크 사이를 연결하는 라우터로 보낸다.

데이터를 받은 라우터는 자신의 네트워크 내 목적지가 잇는지 확인하고, 목적지가 있따면 데이터를 그 목적지로 전달한다.

목적지가 없다면 다른 라우터로 전송한다. 라우터에는 목적지로 가장 빠르게 전송할 경로가 정해져 있어 빠르게 전송가능

 

게이트웨이(Gateway)

다른 네트워크로의 출입구 역할을 하는 장치로, 네트워크 간의 통신을 가능하게 한다.

LAN에서 인터넷으로 데이터를 전송할 때 LAN 내부에 출입구가 되는것이 게이트웨이

게이트웨이는 기기의 역할, 실제 기기는 라우터

lan에서 전송되는 데이터를 인터넷으로 보내고, 인터넷에서 들어오는 데이터를 목적지 PC로 전송

 

IP 마스커레이드(IP Masquerade) = NAPT

사설 IP 주소를 공인 IP 주소로 변환하여 여러 장치가 하나의 공인 IP를 통해 인터넷에 접속할 수 있게 하는 기술

NAPT: 사설IP주소를 공인 IP주소로 변환하고, 가정,회사내에서는 하나의 공인 IP사용.

웹에서 내부로 들어오는 것은 불가능, 일대다, 포트 변환 가능

NAT: 양방향으로 가능, 다대다, 포트 변환 불가

 

 

HTML과 웹 브라우저의 관계

웹 서버는 HTML 파일과 기타 웹 콘텐츠를 저장하고 있다가, 사용자가 웹 사이트를 요청하면 해당 파일을 웹 브라우저로 전송한다.

웹 서버의 대표적인 소프트웨어: Apache, Nginx

 

 

Amazon VPC의 주요 구성 요소

• CIDR 블록: VPC의 IP 주소 범위를 정의하며, 이를 기반으로 서브넷을 생성 
• •서브넷: VPC 내에서 특정 가용 영역에 배치되는 IP 주소 범위 
• 인터넷 게이트웨이(IGW): VPC를 인터넷과 연결하기 위한 구성 요소로, 이를 통해 VPC 내 리소스가 인터넷과 통신가능
• 라우팅 테이블: 네트워크 트래픽의 경로를 정의하는 테이블로, 각 서브넷은 하나의 라우팅 테이블과 연결 
• 보안 그룹: 인스턴스 단위의 가상 방화벽으로, 인바운드 및 아웃바운드 트래픽을 제어 
• 네트워크 ACL(Access Control List): 서브넷 단위의 방화벽으로, 추가적인 트래픽 제어를 제공

 

VPC의 특징

• 격리된 네트워크: VPC는 기본적으로 다른 네트워크와 격리되어 있으며, 외부와의 통신을 위해서는 인터넷 게이트웨이 등의 추가 설정이 필요하다.
• 유연한 네트워크 구성: 사용자는 VPC 내에서 서브넷, 라우팅 테이블, 보안 그룹 등을 자유롭게 설정하여 네트워크를 구성 
• 기본 VPC 제공: AWS는 각 리전에 기본 VPC를 제공하며, 이를 통해 별도의 설정 없이도 AWS 리소스를 사용 

VPC는 라우터 없이 직접 통신이 가능하다. =서브넷 사이 통신은 라우터 없이 직접 통신 가능

소프트웨어가 라우팅하며, 라우터는IP주소 필요없음

라우팅 테이블 한개에 서브넷 여러개 설정 가능

VPC한개에 인터넷 게이트웨이는 한개만 설정할 수 있고, IP주소를 갖지 않음

 

 

VPC 설정 방법

1. VPC 생성: 원하는 CIDR 블록을 지정하여 VPC를 생성 

2. 서브넷 생성: VPC 내에 가용 영역을 선택하고 서브넷을 생성 

3. 인터넷 게이트웨이 연결: 인터넷과의 통신이 필요한 경우, 인터넷 게이트웨이를 생성하고 VPC에 연결

4. 라우팅 테이블 설정: 인터넷 게이트웨이를 통해 외부와 통신하기 위해 라우팅 테이블에 경로를 추가

5. 보안 그룹 및 네트워크 ACL 설정: 인스턴스와 서브넷의 트래픽을 제어하기 위해 보안 그룹과 네트워크 ACL을 설정

VPC는 네트워크. 서버가 어떤 환경에 설치되어 있는지, 인터넷에 연결해야 하는지와같은 설정해야 한다.

인터넷 연결 여부와 오토 스케일링 중요

인터넷에 ㅇ녀결해야 한다면 인터넷 게이트웨이를 설정해ㅑ 하고, 오토스케일리응ㄹ 설정한다면 IP 주소를 많이 확보해야함

 

VPC-VPC를 생성하고, CIDR 블록 설정, 테넌시(하드웨어 점유 여부)를 선택

서브넷-서브넷 설정하고, VPC 연결하고, 가용영역과 CIDR블록(서브넷)을 설정

인터넷-인터넷게이트웨이를 생성하고, IGW와 VPC 연결, 라우팅을 설정한다.

 

 

 

기본 VPC의 네트워크 범위

AWS의 기본 VPC는 리전별로 제공되며, 일반적으로 172.31.0.0/16의 CIDR 블록을 가진다. 각 서브넷은 이 범위 내에서 /20 크기의 서브넷으로 구성되어 있다.

AWS에서 제공하는 기본 VPC는 리전별로 자동으로 생성되며, 다음과 같은 기본 네트워크 구성 요소들이 포함한다.

1. 기본 VPC의 네트워크 범위 (CIDR): 기본적으로 172.31.0.0/16 네트워크 범위가 할당된다. 이 범위 내에서 서브넷들이 생성되며, 172.31.x.x 주소를 가진 IP들이 할당된다.
2. 서브넷: 기본 VPC는 여러 개의 서브넷을 포함하며, 리전별로 서브넷이 기본적으로 생성된다. 보통 각 가용 영역에 하나의 서브넷이 생성되며, 기본 서브넷은 공인 IP를 할당할 수 있는 퍼블릭 서브넷으로 설정되어 있다.
   기본적으로 생성되는 서브넷은 아래와 같이 나누어진다.
   1. 서브넷 A (예: 172.31.0.0/20)
   2. 서브넷 B (예: 172.31.16.0/20)
   3. 서브넷 C (예: 172.31.32.0/20)
3. 인터넷 게이트웨이 (IGW):기본 VPC에는 이미 인터넷 게이트웨이가 연결되어 있어서 인터넷과의 연결이 기본적으로 가능. 이를 통해 공인 IP를 가진 EC2 인스턴스가 인터넷에 접근할 수 있다.

 

인터넷 게이트웨이와 NAT 게이트웨이

인터넷 게이트웨이 (IGW)

• 목적: VPC(Virtual Private Cloud) 내의 리소스를 인터넷과 연결하여, 인터넷과의 통신을 가능하게 한다.
• 작동 방식: VPC 내의 EC2 인스턴스는 사설 IP만 설정할 수 있다. 인터넷과의 통신을 위해서는 공인 IP가 필요. 인터넷 게이트웨이는 공인 IP 주소를 사설 IP 주소로 변환하여 EC2에 요청을 전달한다.
• 사용 예시: EC2 인스턴스가 웹 서버로 동작할 때, 외부에서 접근할 수 있도록 공인 IP를 제공하는 역할 
• 구성: AWS에서 물리적 라우터를 사용하지 않고 소프트웨어 기반으로 라우팅을 처리 

NAT 게이트웨이

• 목적: 사설 서브넷에 있는 리소스가 인터넷과 연결될 수 있도록 하며, 인터넷에서 해당 리소스로 직접적인 접근을 막는 역할 
• 작동 방식: 사설 서브넷의 리소스는 인터넷과 통신할 수 있지만, 외부에서 내부로의 직접적인 연결은 불가능. NAT 게이트웨이는 인터넷으로 나가는 트래픽을 처리하고, 응답을 다시 사설 IP로 전달 
• 사용 예시: 기업 네트워크처럼 외부와 연결되지만, 외부에서 내부 네트워크로 직접 접근하지 못하게 해야 할 때 사용
• ex)데이터베이스 서버가 외부와 연결되지 않도록 하면서, 소프트웨어 업데이트나 외부 서비스에 접속이 필요할 때 사용