AWS Summit Korea-2022
VPC는 5개까지 할당 가능하다.
S3 , DynamoDB , Lambda , SQS , SNS. IoT Core 등
각 서브넷들은 자신의 CIDR 주소 대역(VPC)이 자동으로 선언되어 있다.
10.0.0.0/16 이 모든 서브넷에 기본적으로 설정 된다.
따라서, 각 서브넷들은 기본 라우팅으로 서로 통신이 된다.
Public subet ec2는 인터넷 게이트웨이로 통신.
0.0.0.0/0 인터넷 게이트웨이.
공인 IP와 1:1 매칭 되어 있어야 한다.
Private subnet ec2는 public에 있는 NATGW를 통해 통신한다.
0.0.0.0/0 NATGW
PAT이다.
NATGW 가 Elastic IP 1 개를 대표로 받아 모든 EC2 가 해당 NATGW를 통해 외부로 접근한다.
각 서브넷 라우팅 테이블에 VPCE로 가도록 설정이 된다.
S3 Prefix list VPCE로 가도록 라우팅.
DDB Prefix list VPCE로 가도록 라우팅.
온프레미스의 전용선이나 VPN을 연결할 수 있다.
라우팅 테이블 추가해야 한다.
VPC Peering 설정을 한다.
VPC 간 연결하는 것이다.
상대 IP 블록에 대한 라우팅 테이블 설정이 필요하다.
트랜짓 게이트웨이로 연결한다.
특정 서브넷에 연결한다.
온 프라메스 전용선도 연결 가능
VPN 도 연결 가능
VPC Flow-logs 활성화한다.
S3나 Cloud Watch logs로 저장
아테나로 조회, 퀵 사이트로 시각화할 수 있다.
1분 주기
VPC EndPoint의 Private Link를 사용하라.
CloudFront Pop 인프라를 활용한 Gobal Aelerator 사용
고정된 공인 IP를 기반으로 VPC EC2나 ELB로 빠르게 접속 가능.
VPC 트래픽 미러링 서비스
EC2에서 유입되거나 나가는 트래픽을 다른 EC2나 NLB로 보낼 수 있다.
VPC 인그레스 라우팅을 사용하면 된다.
게이트웨이 로드 밸런서를 사용해 AWS 네트워크 파이어월을 사용 , 상용 보안 제품도 사용할 수 있다.
Client VPN
AWS Outposts 사용
리전의 VPC 가용 영역을 확장해 서브넷을 할당할 수도 있다.
내부 기본 라우팅보다 상세 라우팅이 우선 처리 가능해짐
MSR (More Specific Route)
예) 애플리케이션 서버 넷과 디비 서브넷 사이에 보안존을 경유하도록 라우팅 처리 가능 해짐
10.0.2.0/24 보안존 엔드포인트로 라우팅 설정
온프레미스에서 손 쉬은 S3 접근 요청
VPC 내부에서 S3 접근을 위한 편리 요청
Private Link 설정으로 제공
VPC interface Endpoint 제공한다.
라우팅 테이블 추가 없이 제공
온프레미스와 연동 시 보안을 위한 고정 사설 IP 필요
사설 NATGW 생성
IGW가 없는 서브넷에 NATGW 배치
NATGW 가 CIDR기반의 NAT 처리
온프라미스와 연동 시 사설 IP 기반도 접속해 보안 강화.
예) EKS 구성하고 동일한 CIDR IP 주소로 온프라미스와 통신하는 경우 유용.
라우트 53의 퍼블릭 DNS , 프라이빗 DNS 사용을 권장한다.
NLB를 위한 ALB 타깃 그룹으로 지정한다.
NLB의 고정 IP를 기반으로 ALB와 연계한다.
ALB가 NLB의 타깃 그룹으로 동작
10.0.0.0/16 파이어월 엔드포인트
ALB 접속해서 애플리케이션에 있는 EC2에 접속하려고 하면, 인그레스 라우팅 설정으로 네트워크 파이어월 엔드포인트로 보낸다.
네트워크 파이어월 서브넷은 라우팅 변경 없음
디폴트를 네트워크 파이어월 엔드포인트로 보낸다.
애플리케이션이 디비로 가려면 네트워크 파이어월로 가게 된다.
디비로 간 패킷도 응답을 준떄는 다시 네트워크 파이어월을 거진다.
리전 내에서 트랜짓 게이트웨이 피어링 기존에는 불가능
리전 내에서 트랜짓 게이트웨이 피어링 최근 가능해짐
DX 네트워크 와 온프라미스 스위치, 라우터 간 암호화.
AWS Cloud -------------- DX --------------(MACSec 암호화) ----------- 온프렘 라우터
L2 기반 암호화로 금융, 공공 데이터 전송 암호화.
DX 전용선 사용 고객들이 각 거점 오피스 간 해외 전용선을 사용하지 않고 AWS백본을 통해 연결
온프라미스----- DX 전용선 ----- AWS 글로벌 백본 프라이빗------- DX 전용선 ---- 미국 온프라미스 연결 가능
글로벌 전용선, MPLS비용 절감
글로벌 백본을 관리.
연결 후 동작 라우팅 지원으로 바로 사용 가능
트랜짓 게이트웨이 관리
CloudWAN을 관리
3rd SDN 연결 관리
VPC IP address Manager (IPAM)
IP 관리 , 감사와 오류 찾아냄
VPC내에 특정 자원으로 접근할 때 적절한 보안 규칙을 따르고 있는지 확인
네트워크 액세스 레벨에서의 분석과 리포팅을 제공한다.
요금 – 평가의 일부로 분석된 각 탄력적 네트워크 인터페이스(ENI)에 대해 0.002 USD를 지불합니다.
실행
VPC 콘솔을 열고 좌측 탐색 메뉴에서 [네트워크 분석] 섹션을 찾은 다음, [네트워크 액세스 분석기]를 클릭합니다.
https://aws.amazon.com/ko/blogs/korea/new-amazon-vpc-network-access-analyzer/