AWS 6 : 가상 네트워크 서비스 Amazon VPC, 게이트웨이와 엔드포인트

여섯번째 AWS 포스팅 범위

Amazon VPC(가상 네트워크), 기본 VPC, 서브넷과 DHCP, 인터넷 게이트웨이와 NAT 게이트웨이,

보안 그룹과 네트워크 ACL, VPC 엔드포인트, VPC 연결

 

AWS 관련 가장 쉬운 책을 읽고 나중에 찾아볼 주요 용어들을 정리해 둡니다. "그림으로 이해하는 AWS 구조와 기술(오가사와라 시게타카 지음)" 을 읽고 중요하다고 생각하는 용어들을 정리합니다. 얇은 책이지만 모르는 용어가 많은 만큼 포스팅 양이 많아 몇 번에 걸쳐 업로드 예정입니다.

 

---

Amazon VPC(가상 네트워크)

Amazon VPC(Amazon Virtual Private Cloud, 이하 VPC)란 AWS가 제공하는 AWS 계정 전용 가상 네트워크로 '네트워크를 구축하기 위해 사용 된다. 네트워크와 서브넷 범위, 라우팅 테이블, 네트워크 게이트웨이 등 가상 네트워킹 환경을 설정할 수 있다. AWS 계정 전용 가상 네트워크 서비스로, AWS에서 제공하는 리소스만 설치 가능하다. 특히 EC2나 RDS는 VPC를 선택하지 않으면 서버 생성 불가하기에 리소스 사용위해 반드시 필요한 서비스이다. 

VPC 주요 기능, 출처 : 그림으로 이해하는 AWS 구조와 기술

클라우드 내 VPC 네트워크의 특징   - 소프트웨어가 라우팅한다. 라우터와 인터넷 게이트웨이는 명시적인 IP주소를 갖지 않는다.   - 라우팅 테이블 한 개에 서브넷 여러 개를 설정 가능하다.   -  VPC 한 개에 인터넷 게이트웨이는 한 개만 설정 가능하며, IP 주소를 갖지 않는다.   - 서브넷 사이 통신은 라우터 없이 직접 통신할 수 있다. (일반적 서브넷 사이 통신은 라우터로 통신)

VPC 설정 위해 꼭 필요한 사항

VPC 사용하려면 관리 콘솔에서 CIDR(Classless Inter-Domain Routing) 블록에 네트워크 범위 설정해 서브넷을 나눈다. VPC는 네트워크이기에 서버(인스턴스) 가 어떤 환경인지, 인터넷 연결 여부와 오토 스케일링이 특히 중요하다. 오토 스케일링 설정시엔 IP주소를 많이 확보해 둬야 한다.

VPC 사용 절차, 출처 :  그림으로 이해하는 AWS 구조와 기술

기본 VPC

AWS는 네트워크 지식 없어도 이용할 수 있도록 리전별로 서브넷과 인터넷 게이트웨이, Elastic Load Balancing(ELB)가 구성된 기본 VPC를 제공한다. 기본 VPC는 리전별로 구축된 VPC로, 기본 서브넷이란 서브넷이 가용 영역별로 한 개씩 생성되어 있다.

기본 VPC 네트워크 구성VPC 사용 절차, 출처 :  그림으로 이해하는 AWS 구조와 기술

서브넷과 DHCP

VPC 이용위해 서브넷 지식이 필요하고 구조에 대해 잘 이해해야 한다. 서브넷은 커다란 네트워크를 작게 나눈 네트워크를 말한다. AWS의 경우 어떤 가용 영역에 서브넷을 둘지 설정하면서 물리적인 장소를 특정한다. 네트워크와 서브넷 범위를 나누는데 CIDR(Classless Inter-Domain Routing)을 이용해 IP 주소 숫자를 나타낸다.

CIDR 표기와 IP 주소 개수 계산, 네트워크 범위 표헌법VPC 사용 절차, 출처 :  그림으로 이해하는 AWS 구조와 기술

AWS VPC는 EC2나 RDS 인스턴스 외에도 라우터나 인터넷 게이트웨이 IP 주소로도 예약 주소를 사용할 수 있다.

서브넷의 첫번째 ~ 네번째와 마지막 IP 주소는 AWS 예약 주소로 사용할 수 없다. IP 주소 범위는 관리자가 설정 가능하며, DHCP(Dynamic Host Configuration Protocol)에서 각 호스트(인스턴스)에 자동 할당한다.

DHCP에서 자동 할당하는 IP 주소, 출처 :  그림으로 이해하는 AWS 구조와 기술

인터넷 게이트웨이와 NAT 게이트웨이(VPC에서 인터넷 접속)

네트워크 간 데이터를 주고받으려면 라우팅이나 NAT(Network Address Translation) 방식을 사용해야 한다. 라우터는 LAN 내부 출입구가 되는 관문이라는 의미로 게이트웨이라고도 하며, '자신 이외 접속되어 있는 모든것-대부분의 경우 인터넷과의 연결점-을 기본 게이트웨이라고 한다. 

 

외부 요청에 응하기 위해 사설 IP 주소를 공인 IP주소로 변환 담당하는 두가지 방법

1. IP 마스커레이드(NAPT, Network Address Port Translation)

  - 서버만 양방향 통신토록 설정가능하나, 공인 IP 하나만 사용 가능함. 1:다수(일대다)

  - 포트 변환 가능

  - AWS NAT 게이트웨이에 해당

NAT 게이트웨이는 서브넷에서 인터넷으로(내부->외부) 접속가능하나 인터넷에서 서브넷으로(외부->내부) 접속하지 못하게 할 수 있다.

 

2. NAT(Network Address Translation)

  - 서버만 양방향 통신토록 설정가능하나, 공인 IP 다수 사용 가능함. 다수:다수(다대다)

  - 포트 변환 불가

  - AWS 인터넷 게이트웨이에 해당

EC2 정보 가지고 있는 인터넷 게이트웨이는 외부에서 공인 IP 주소로 내부 연결 요청시, 사설 IP로 변환해 해당 EC2에 연결을 요청한다.

 

NAT 게이트웨이와 인터넷 게이트웨이 둘 모두 EC2 인스턴스와 인터넷을 연결한다.

 

보안 그룹과 네트워크 ACL, VPC 엔드포인트

VPC의 가상 방화벽으로 보안 그룹(인스턴스에 설정)과 네트워크 ACL(서브넷에 설정)이 있다. 

보안 그룹과 네트워크 ACL 특징, 출처 :  그림으로 이해하는 AWS 구조와 기술

 

VPC 엔드포인트란 인터넷 게이트웨이를 통하지 않고, VPC 내부에서 VPC 외부로 접속하기 위한 연결점 제공하는 서비스. S3와 DynamoDB같이 AWS의 모든 서비스가 VPC 내 설치되어 있는게 아니기 때문이다. VPC 엔드포인트는 가상 서비스로, 확장성과 고가용성, 네트워크 트래픽 대비 자동 스케일링된다. 2가지 종류가 있다.

인터페이스 엔드포인트

  - 네트워크 인터페이스 사설 IP 주소 가진 ENI(Elastic Network Interface)로 구축하는 유형

  - 각 서비스와 연결하는 출입구로 AWS PrivateLink 방식 사용(타사 서비스가 지원시 사용 가능)

  - 무료이나, AWS PrivateLink 사용하기에 요금이 부과됨

    인터페이스 엔드포인트 요금 = VPC 엔드포인트 한 개당 사용료(PrivateLink 사용 시간) + 데이터 처리량

 

게이트웨이 엔드포인트

  - 라우팅 테이블에 설정된 내용을 라우팅하는 유형

  - 서비스 리전 단위로 라우팅 테이블 설정 방식

  - 한 번 설정시 해당 리전의 모든 서비스에 사용 가능(S3, DynamoDB 방식)

  - 사용료 무료이나, EC2와 마찬가지로 데이터 송신료 부과됨

 

VPC 연결

VPC와 다른 네트워크를 연결하는 방법.

VPC 피어링

회사 내 VPC를 포함한 다른 회사의 VPC 끼리 연결하는 기능으로 가용 영역 간 or 리전 간 요금에 준한다.

 

AWS Direct Connect

AWS 네트워크에 전용선을 물리적으로 연결하는 방법으로, 포트연결 요금+ 데이터 전송량으로 요금 산정한다.

 

AWS VPN

AWS 네트워크에 가상으로 전용선을 연결하는 가상 사설망 서비스이다.

요금은 AWS 사이트간 VPC + Clinet VPN + 데이터전송량 으로 산정한다.

 

전송 게이트웨이

VPC나 온프레미스 네트워크를 하나로 묶어 서로 연결하는 연결점을 제공한다.

요금은 전송 게이트웨이로 연결 요금 + 데이터 처리로 산정하며, 트래픽 요금은 트래픽 전송자에게 청구한다.

 

끝.