brunch

You can make anything
by writing

C.S.Lewis

by Master Seo Sep 04. 2022

16탄-5. AWS VPC와 외부 네트워크 연결


<1> Virtual Private Cloud 

<2> 디폴트 VPC

<3> 보안 강화된 VPC

<4> 다른  VPC와 연결하기

<5> 온프라미스와 연결하기




<1> Virtual Private Cloud 


1

VPC는 리전 레벨의 서비스이다.

VPC에  여러 개의 가용 영역이 구성될 수 있다.    AZ-a , AZ-b, AZ-c, AZ-d


2

리전 레벨의 서비스로 S3가 있다.

VPC 안에 있지 않다.


3

글로벌 레벨의 서비스?

Route53 , CloudFront (CDN) 


4

용어?

VPC

AZ

public Subnet

Private subnet

라우팅 테이블

NACL(Network Access control list)

보안 그룹(Security Group)



5

CIDR별 사용 가능 호스트수?

/20 4096

/22 1022

/23 510

/24 254

:

/28 (16개) 허용


6

사설 IP대역?

10.0.0.0/8?

10.0.0.0~10.255.255.255


172.16.0.0/12

172.16.0.0~172.31.255.255


192.168.0.0/26

192.168.0.0 ~ 192.168.255.255


7

서브넷마다 예약된  IP는?  10.1.0.0/24 경우

10.1.0.0  네트워크 주소

10.1.0.1 : vpc  라우팅용

10.1.0.2  : aws에서 dns

10.1.0.3 : aws에서 예약

10.1.0.255 : 네트워크 브로드 캐스트



<2> 디폴트 VPC


1

172.31.0.0/16  


2

리전마다 동일하게  가지고 있다.


172.31.0.0/20    - 4096개

172.31.16.0/20 - 4096개

172.31.32.0/20 - 4096개

172.31.48.0/20 - 4096개


3

서브넷 단위 제어  NACL

서버 단위 제어 보안 그룹


4

사설 ip - vpc 내 인스턴스 간 통신

public ip -  공인 IP  ,  자동 할당  , 서버 중지 시 변경된다.

Elastic ip-  공인 IP  ,  수동 할당  ,   변경되지 않는다.   EC2나  NATGW에 할당해 사용한다.


5

라우팅 테이블?

0.0.0.0/0 IGW

172.31.0.0/16  Local  - 서브넷 간 기본적으로 통신이 된다.


6

인터넷 게이트웨이?

사설 ip를 공인으로 변환,  공인을 사설로 변환해준다.


7

인바운드?

VPC 외부에서  내부로 들어가는 것


NACL은  인바운드 , 바웃 바운드 모두 열어야 한다.

서브넷 형태 제어

상태를 저장하지 않는다.

기본은 모두 허용이라 따로 제어하지 않으면 그냥 디폴트를 사용한다.


보안 그룹은 상태를 저장한다.

인바운드 제어의 경우 인바운드만 열면 된다.



<3> 보안 강화된 VPC


1

Public Subnet -  외부에서 접속 가능한 공인 IP나  EIP를 매칭해 접속 가능한 서브넷이다.

Private Subnet -  외부 인터넷으로부터 안전한 네트워크

Private Subnet -  DB 서버도 Private Subnet에 위치한다.


2

Private Subnet에 서버가 외부에 접속하거나 패치를 위해 인터넷 사용이 필요한 경우  NATGW를 구성해야 한다.

Public Subnet에 NATGW를 구성한다.

Private Subnet에 라우팅 테이블을 추가한다. 0.0.0.0/0 NATGW


3

보안 그룹?

Public Subnet   ELB에 443 허용

Private Subnet  소스를   ELB 보안 그룹으로 해서 설정 가능하다.




<4> 다른  VPC와 연결하기


1

VPC Peering

연결 요청 후 수락하면 된다.

상대 라우팅 추가 필요

보안 그룹 추기 필요.


트랫짓 라우팅은 제공되지 않음.   

VPC A ------- VPC B 연결함

VPC B ------- VPC C 연결함

VPC A ------- VPC C 연결 안 됨.

VPC A ------- VPC C 가 통신을 하기 위해서는    A , C  간 VPC Peering 가 되어야 한다.


2

Transit Gateway 

다수의 VPC 및 온프라미스 네트워크를 연결.  리즈널 가상 라우터.

ECMP, 멀티 케스트 기능 제공.



<5> 온프라미스와 연결하기


1

VPN 연결  = SITE to SITE  VPN 연결


2

디렉트 커넥트 = 전용선


3

VPN 연결 2가지 옵션?

온프라미스와 VPC와 직접 연결  - 1.25 Gbps

TGW를 이용해 연결 -  KINX(가산) , LG U+ (평촌)을 통해 연결. 최대 51개 가상 인터페이스 지원, 파트너사를 통해 연결도 가능





다음 과정


https://brunch.co.kr/@topasvga/2686



https://brunch.co.kr/@topasvga/2678


감사합니다.


브런치는 최신 브라우저에 최적화 되어있습니다. IE chrome safari