brunch

You can make anything
by writing

C.S.Lewis

by Master Seo May 30. 2022

6탄-2.AWS 네트워크 서비스 업데이트-2022

AWS Summit Korea-2022

<1>  AWS VPC 서비스

<2> 최근 지원된 네트워크  서비스 

<3> Network Firewall 라우팅 ,  AWS Network Firewall 디자인

<4> 리전 내에서 트랜짓 게이트웨이 피어링 구성 가능해짐

<5> DirectConnet 서비스 신규 기능

<6> 중앙 집중화된 관리 신규 기능

<10> AWS Summit Korea - 20022



<1>  AWS VPC 서비스

 


1

VPC는 5개까지  할당 가능하다.


2

VPC에 있지 않고  별도 안전한  AWS네트워크에 위치한 서비스?

S3 , DynamoDB , Lambda , SQS , SNS. IoT Core  등

출처 : AWS


3

VPC  안의 EC2들은 라우팅 테이블에 따라 통신하게 된다.

각 서브넷들은 자신의 CIDR 주소 대역(VPC)이 자동으로 선언되어 있다.

10.0.0.0/16 이 모든 서브넷에 기본적으로 설정 된다. 

따라서, 각 서브넷들은 기본 라우팅으로 서로 통신이 된다.


4

외부로 EC2 가 접근해야 한다면?

 Public subet ec2는   인터넷 게이트웨이로 통신.

0.0.0.0/0 인터넷 게이트웨이.

공인 IP와 1:1 매칭 되어 있어야 한다.


 Private subnet ec2는 public에 있는 NATGW를 통해 통신한다.

 0.0.0.0/0  NATGW

 PAT이다.

NATGW 가  Elastic IP 1 개를 대표로 받아 모든 EC2 가 해당 NATGW를 통해 외부로 접근한다.


5

VPC내에서 S3, Dynamodb로 내부 통신하기 위해서는 VPC Endpoint Gateway를  구성할 수 있다.

각 서브넷 라우팅 테이블에 VPCE로 가도록  설정이 된다.

S3 Prefix list   VPCE로 가도록 라우팅.

DDB Prefix list   VPCE로 가도록 라우팅.


6

온프라미스와 AWS연결은?

온프레미스의 전용선이나 VPN을 연결할 수 있다.

라우팅 테이블 추가해야 한다.


7

여러 개의 VPC를 사용 중이고 VPC 간 연결이 필요하다면?

VPC Peering  설정을 한다.  

VPC 간 연결하는 것이다.

상대 IP 블록에 대한 라우팅 테이블 설정이 필요하다.


8

온프레미스 연결을 위한 전용선과 VPN, 많은 VPC연결을 위한 많은 피어링이 필요하면?

트랜짓 게이트웨이로 연결한다.

특정 서브넷에 연결한다.

온 프라메스 전용선도 연결 가능

 VPN 도 연결 가능


9

VPC에서 일어나는 이벤트 확인하는 법?

VPC Flow-logs 활성화한다.

S3나   Cloud Watch logs로 저장

아테나로 조회,  퀵 사이트로 시각화할 수 있다.

1분 주기


10

VPC에서 특정 기능, 서비스를 지원하는 다른 VPC의 워크로드를 안전하게?

VPC EndPoint의 Private Link를 사용하라.


11

글로벌 서비스로 확장하고 글로벌 사용자가  빠르게  접속하게 하려면?

CloudFront Pop 인프라를 활용한  Gobal Aelerator 사용

고정된 공인 IP를 기반으로  VPC EC2나 ELB로 빠르게 접속 가능.



12

실시간으로 EC2와  EC2간의 트래픽 모두 보기를 원한다면?

VPC 트래픽 미러링 서비스

EC2에서 유입되거나 나가는 트래픽을  다른 EC2나 NLB로 보낼 수 있다.


13

외부에서 유입되는 트래픽은 특정 경로로 보내서 검사를 하고 내부로 접근하도록 하려면?

VPC 인그레스 라우팅을 사용하면 된다.

게이트웨이 로드 밸런서를 사용해  AWS 네트워크 파이어월을 사용 , 상용 보안 제품도  사용할 수 있다.


14

인터넷 환경이나 온프라미스에서 VPC자원을 관리하려면?

Client  VPN


15

클라우드를 온프라미스에 구축하고 싶다면?

AWS Outposts 사용

리전의 VPC  가용 영역을 확장해 서브넷을 할당할 수도 있다.


전체 구성도

출처 : AWS





<2> 최근 지원된 네트워크  서비스 


1

문제점?

VPC 내에서 CIDR 라우팅이 디폴트이고  우선이 된다.


개선 방향?

내부 기본 라우팅보다 상세 라우팅이 우선 처리 가능해짐

MSR  (More Specific Route)  

예) 애플리케이션 서버 넷과 디비 서브넷  사이에 보안존을 경유하도록 라우팅 처리 가능 해짐

10.0.2.0/24   보안존 엔드포인트로 라우팅 설정


2

문제점?

온프레미스에서 손 쉬은 S3 접근 요청

VPC 내부에서 S3 접근을 위한 편리 요청


개선 방향?

Private Link  설정으로 제공

VPC interface Endpoint   제공한다.

라우팅 테이블 추가 없이 제공


3

필요성?

온프레미스와 연동 시 보안을 위한 고정 사설 IP  필요


개선방향

사설 NATGW 생성

IGW가 없는 서브넷에 NATGW  배치

NATGW 가  CIDR기반의  NAT 처리

온프라미스와 연동 시  사설 IP 기반도 접속해 보안 강화.

예) EKS 구성하고  동일한 CIDR IP 주소로 온프라미스와 통신하는 경우 유용.



4

라우트 53의 퍼블릭 DNS , 프라이빗 DNS  사용을 권장한다.


5

필요성

ALB  사용 시  고정  IP를 요구


개선방향?

NLB를 위한  ALB 타깃 그룹으로 지정한다.

NLB의 고정 IP를 기반으로 ALB와 연계한다.

ALB가 NLB의 타깃 그룹으로 동작




<3> Network Firewall 라우팅 ,  AWS Network Firewall 디자인


1

외부에서 ALB로 접속 시  인그레스 라우팅 설정으로 네트워크 파이어월 엔드포인트로 보낸다.

10.0.0.0/16  파이어월 엔드포인트

 ALB 접속해서 애플리케이션에 있는 EC2에 접속하려고 하면, 인그레스 라우팅 설정으로 네트워크 파이어월 엔드포인트로 보낸다.


2

네트워크 파이어월 서브넷은 디폴트 CIDR 이 설정되어 있으므로 애플리케이션 서브넷으로 간다.

네트워크 파이어월 서브넷은 라우팅 변경 없음


3

애플리케이션과 디비 서브넷은?

디폴트를  네트워크 파이어월 엔드포인트로 보낸다.

애플리케이션이 디비로 가려면  네트워크 파이어월로 가게 된다.

디비로 간 패킷도 응답을 준떄는 다시 네트워크 파이어월을 거진다.





<4> 리전 내에서 트랜짓 게이트웨이 피어링 구성 가능해짐


리전 내에서 트랜짓 게이트웨이 피어링 기존에는 불가능

리전 내에서  트랜짓 게이트웨이 피어링 최근 가능해짐



<5> DirectConnet 서비스 신규 기능


1

MACSec 기반 전용선 암호화  적용!!!


DX 네트워크 와  온프라미스 스위치, 라우터 간 암호화.

AWS Cloud -------------- DX  --------------(MACSec 암호화) ----------- 온프렘 라우터

L2 기반 암호화로 금융, 공공 데이터 전송 암호화.


2

DX SiteLink 기반의  AWS 글로벌 백본 연결!!!

DX 전용선 사용 고객들이 각 거점 오피스 간 해외 전용선을 사용하지 않고  AWS백본을 통해 연결

온프라미스----- DX 전용선 ----- AWS  글로벌 백본  프라이빗------- DX 전용선 ---- 미국 온프라미스 연결 가능


효과?

글로벌 전용선, MPLS비용 절감




<6> 중앙 집중화된 관리  신규 기능


1

 CloudWAN  서비스

 글로벌 백본을 관리.

연결 후 동작 라우팅 지원으로 바로 사용 가능


2

Network Manager

트랜짓 게이트웨이 관리

CloudWAN을 관리

3rd   SDN  연결 관리


3

IP 주소 관리  IPAM

VPC IP address Manager  (IPAM)

IP 관리 , 감사와 오류  찾아냄


4

VPC Network Access Analyzer

VPC 액세스 분석기

VPC내에 특정 자원으로 접근할 때 적절한 보안 규칙을 따르고 있는지 확인

네트워크 액세스 레벨에서의 분석과 리포팅을 제공한다.

요금 – 평가의 일부로 분석된 각 탄력적 네트워크 인터페이스(ENI)에 대해 0.002 USD를 지불합니다.


실행

VPC 콘솔을 열고 좌측 탐색 메뉴에서 [네트워크 분석] 섹션을 찾은 다음, [네트워크 액세스 분석기]를 클릭합니다.

https://aws.amazon.com/ko/blogs/korea/new-amazon-vpc-network-access-analyzer/




<10> AWS Summit Korea - 20022


https://brunch.co.kr/@topasvga/2439


감사합니다.

매거진의 이전글 6탄-1. EKS 보안
브런치는 최신 브라우저에 최적화 되어있습니다. IE chrome safari