54. (ISMS-P)AWS에서 네트워크 구축하기2

<3> 구성3

전자금융거래법에 맞는  개발 환경 구축 

내년부터 '금융 클라우드' 완전 허용…전자금융감독규정 개정안 통과

http://www.ddaily.co.kr/news/article.html?no=175712

1. 요건

Web/WAS/DB가 나눠져야 하는 전자금융거래법 구성.

외부에서 직접 접속하는 서버는 DB와 직접 연결하면 안된다는  전자금융거래법 규정에 의한 구성임.

1) WEB은 WAS로만 접속가능해야 한다.

2) WEB에서 DB로 접속되지 않도록, DB Zone은 보안그룹을 별도로 만들어 차단해야 한다.

3) DB Zone은 WAS Zone SG그룹을 소스로 보안그룹을 만들면 추가작업이 줄어든다.

2. 전자거래 금융법을 준수하는 개발 네트워크 환경.

1) Public  서브넷 1개  (web)

2) Private 서브넷 2개  (was/db)

1) Public네트워크에 NAT 구성

   - Private WAS에서  NAT를 통해 외부인터넷을 하기 위함

    - EIP가 필요함.

2. Private DB네트워크에서는 NAT사용하지 않음.

   - 외부로 데이터 유출될수 있어 인터넷 안되도록 함.

3. AWS 설정 순서

1) 설치 지역을 선택한다.

2) EIP할당 받는다. Public에 NAT를 만들어 해당 NAT를 통해 WAS존에서 인터넷이 되도록 한다.

3)  VPC마법사로 기본 구성한다.

4) 개별로 Private DB Zone하나 만들자.

5) 서버를 생성해 확인한다.

6) 삭제

1) 설치 지역을 선택한다.

Singapore 에 만들어 보자.

http://console.aws.amazon.com

지역을  싱가포르로 변경

2) EIP할당 받는다. Public에 NAT를 만들어 해당 NAT를 통해 WAS존에서 인터넷이 되도록 한다.

EIP를 먼저 할당 받아야 VPC마법사로 구성이 가능하다.

EC2 - Elastic IPs  - Allocate new address

3)  VPC마법사로 기본 구성한다.

VPC마법사 (Launch VPC Wizard)

 VPC with Public and Private Subnets  로 만들어본다. 

VPC name : GAMEsi-web-was-db-dev-vpc 

Elastic IP Allocation ID : 에  할당 받은 EIP를 매칭 시킨다.

[Creare VPC]

NAT Gateway를 만드는데  3분정도 걸린다.

4) 개별로 Private DB Zone하나 만들자.

Private  DB subnet을  추가로 새로 1개 만들자.

10.0.2.0/24 추가하자.

[VPC] - [Subnets] - [Create  subnet]  -  Private  DB subnet - 10.0.2.0/24

Private  DB  subnet 은 인터넷이 되면 안된다.

따라서 local만 통신하는 네트워크를 하나 만들고  Route Table을 변경해 주어야 한다.

(Route Table에서 0.0.0.0/0 네트워크가 없어야 한다.)

[Route Tables] - [Create  Route Tables]  -  Private  DB subnet route

[Subnets] -  [Private  DB subnet] - [Route Table] - Edit route table -  Route tabled을  10.0.0.0/16 local 만 있는것으로 변경한다.

DB 서버는 외부로 통신되면 안된다.

외부로 데이터 유출이 되기 때문이다.

5) 서버를 생성해 확인한다.

EC2 생성

1) Private에  서버 1대를 만들어 NAT로 외부 통신이 되는지 확인해보자.

Step 3: Configure Instance Details

Auto-assign Public IP 은 기본 Disable 이다 (공인IP는 할당 된지 않는다.)

Subnet에서 Private로 변경하여 생성한다. 

Step 6: Configure Security Group (보안그룹)

보안그룹은 새로 생성한다.

Security group name:    GAMEsi-web-was-db-dev-sg 

SSH 는  MyIP 로 해서  나의 집 네트워크에서만 접속가능하도록  변경한다.

개발용이므로 HTTP와 HTTPS도  My IP에서만 접속되도록 한다.  

icmp도 허용한다.

Key Pair는 새로 생성한다. GAMEsi-web-was-db-dev-key

Private에 만들어진 서버는 공인IP가 없으니,  Public에 만들어진 서버를 통해 로그온해야 한다.

Private서버를 접속해 외부로 ping test해본다.

 Private에 만들어진 서버는 외부로 인터넷을 사용할때 NAT를 통해 인터넷을 써야 한다.

Public 서브넷에 서버 1대를 만들자.

EC2 생성시,Auto-assign Public IP 를 Enable로 변경해 공인IP를 하나 받는다.

보안그룹 : GAMEsi-web-was-db-dev-sg   

 Key Pair  :   GAMEsi-web-was-db-dev-key  

보안그룹에 10.0.0 /16에서 ssh 허용되도록 해야 접속서버를 통해

Private서버 접속이 가능하다.  

확인

Public서버로 접속해서, Private서버 접속.

Private서버에서 외부로 ping test.

성공  

6) 삭제

서버와 네트워크를 모두  삭제해야 비용이 나오지  않는다.

VPC삭제는 해당 VPC내에 서버가 모두 종료되어야 한다.

STOP된 서버가 있어도 VPC 삭제는 안된다.

 VPC에서 NAT gateway 삭제해야 한다.

EC2에서 Elastic IPs도 지워야 한다.

감사합니다.