반응형

VPC 생성

 Virtual Private Cloud
  • AWS 클라우드에서 이름과 IP 범위만 지정하여 나만의 격리된 네트워크를 만들어주는 서비스
  • 만약 2개의 VPC를 따로 만들게 되면 둘은 서로 교류가 안되며 별도의 자원을 사용
  • 각각의 VPC는 IP 주소 범위부터 서브넷 생성하고 라우팅 구성 등 네트워크 구성을 설정 가능
  • VPC는 사용자의 AWS 계전 전용 가상 네트워크
  • VPC를 생성할 때 VPC의 IP 주소 범위를 CIDR (/24 와같은) 형태로 지정
  • VPC는 리전의 모든 가용영역에 적용
    •  VPC를 만든 후 각 가용영역에 하나 이상의 Subnet을 추가할 수 있다. Subnet을 만들 때 해당 Subnet에 대한 CIDR 블록을 지정
    • 각 Subnet은 단일 가용영역 내에서만 존재해야 하며, 여러 영역으로 확장할 수 없다

 

1) Region 선택

기준

  • 지연 시간 최소화
  • 해당 리전에서 원하는 서비스 유무 확인
  • 비용(리전마다 다름)
    • aws 기준 서울리전, 도쿄리전 등등

2) 가용 영역(AZ)

가용 영역은 기본적으로 서로 격리되어 있지만, 한 리전의 가용 영역들은 낮은 수준의 지연 시간을 가진 링크를 통해 연결되어 있습니다. 인스턴스를 실행할 때 사용자가 직접 가용 영역을 선택하거나 AWS가 사용자를 위해 가용 영역을 선택하도록 할 수 있습니다. 복수의 가용 영역에 걸쳐 인스턴스를 배포했을 때 하나의 인스턴스에 장애가 발생한 경우를 대비하여, 다른 가용 영역의 인스턴스가 장애가 발생한 인스턴스 관련 요청을 처리할 수 있도록 애플리케이션을 설계할 수 있습니다. 또한 탄력적 IP 주소를 사용하여 한 가용 영역에서 인스턴스의 장애가 발생한 경우 다른 가용 영역의 인스턴스로 주소를 신속하게 매핑함으로써 인스턴스의 장애를 마스킹할 수 있습니다.

 

3) VPC

사용자가 만든 가상 네트워크 , 하나의 리전에 생성되는 네트워크 대역(서울에는 4개의 데이터 센터가 있으니 이 4개를 논리적으로 묶음) 여기에서 각각의 네트워크대역을 만드는 것이 서브넷 

 

 

서브넷

Public Subnet

  • Subnet에서 발생한 트래픽이 인터넷 게이트웨이로 라우팅되는 경우 해당 Subnet
  • Public Subnet의 인스턴스들이 IP를 사용해 인터넷과 통신할 수 있게 하려면 인스턴스에 Elastic IP 혹은 Public IP 가 있어야 함

Private Subnet

  • 인터넷 게이트웨이로 라우팅되지 않는 Subnet
  • Subnet이 인터넷 게이트웨이에 이르는 경로르 갖고있지는 않지만 그 트래픽이 Site-to-Stie VPN 연결을 위한 가상 Private 게이트웨이로 라우팅되는 경우, 이 Subnet을 VPN 전용 Subnet

 

계정에서 생성할 수 있는 VPC 및 Subnet 수는 할당량이 정해져 있다.

 

VPC 및 Subnet 크기 조정

VPC 는 IPv4 와 IPv6 를 지원하고 각각에 대해 다양한 CIDR 블록 크기를 할당할 수 있다. 기본적으로 생성하는 VPC와 Subnet에는 IPv4 CIDR 블록이 부여되어 있다.

IPv4에서 VPC 및 Subnet 크기 조정

VPC를 만들 때 VPC의 IPv4 CIDR 블록을 지정해야 한다. 허용된 블록 크기는 /16~/28이다. VPC 생성을 마쳤다면 보조 CIDR 블록을 VPC에 연결할 수 있다.

 

VPC를 생성할 경우 Private IPv4 주소의 범위를 사용하는 것이 좋다.

 

Subnet의 CIDR 블록은 VPC와 동일하게 사용된다. 단, VPC에 두 개 이상의 Subnet을 만들 경우, Subnet의 범위가 겹치지 않아야 한다. 예를 들어 CIDR 블록이 10.0.0.0/24인 VPC를 만들 경우 256개의 IP 주소를 지원한다. 이 블록을 각각 128개의 IP 주소를 지원하는 2개의 Subnet으로 나눌 수 있다. (/25)

 

하나의 Subnet에서 예약되어 있는 5개의 IP 주소를 살펴보자.

  • 10.0.0.0: 네트워크 주소
  • 10.0.0.1: AWS에서 VPC 라우터용으로 예약
  • 10.0.0.2: AWS에서 예약 (DNS 서버의 IP 주소)
  • 10.0.0.3: AWS에서 나중에 사용하려고 예약
  • 10.0.0.255: 네트워크 브로드캐스트 주소

 

VPC에 IPv4 CIDR 블록 추가

보조 IPv4 CIDR 블록을 VPC와 연결할 수 있다. CIDR 블록을 VPC에 연결하면 VPC 라우팅 테이블에 경로가 자동으로 추가되면서 VPC 내에서 라우팅 기능이 가능해진다.

 

VPC에 CIDR 블록을 추가할 경우 다음 규칙이 적용된다.

  • 허용된 블록의 크기는 /28 ~ /16 Subnet Mask 이다.
  • CIDR 블록은 VPC에 연결된 기존 CIDR 블록들과 겹치면 안된다.
  • 기존 CIDR 블록의 크기를 늘리거나 줄일  수 없다.
  • VPC에 연결할 수 있는 CIDR 블록의 수와 라우팅 테이블에 추가할 수 있는 경로의 수는 할당량으로써 제한이 되어있다.
  • CIDR 블록은 모든 VPC 라우팅 테이블에서 경로의 대상 CIDR 범위보다 작아야 한다.
    예를 들어, 기본 CIDR 블록이 10.2.0.0/16인 VPC에서 가상 프라이빗 게이트웨이에 대해 대상이 라우팅 테이블에 10.0.0.0/24로 라우팅 되어 있다. 10.0.0.0/16 범위의 보조 CIDR 블록을 연결하려고 한다면 할 수 없다. 10.0.0.0/25와 같이 세분화는 할 수 있지만 더 큰 범위는 안된다는 것이다.

 

Subnet 라우팅

각 Subnet은 Subnet 외부로 나가는 아웃바운드 트래픽에 대해서 허용된 경로를 지정하는 라우팅 테이블이 연결되어 있어야 한다. 생성된 각 Subnet은 자동으로 VPC의 기본 라우팅 테이블에 연결되고, 이 내용을 변경할 수 있다.

 

NAT 게이트웨이 혹은 인스턴스를 활용해 VPC의 인스턴스가 IPv4 를 통해 인터넷으로 아웃바운드 연결을 시작하고 인터넷으로부터의 원치 않은 인바운드 연결은 차단하도록 할 수 있다. 할당 가능한 Elastic IP 주소의 수가 제한되어 있으므로 고정 Public IP 주소가 필요한 인스턴스가 많을 경우 NAT 디바이스를 사용하는 것이 좋다.

 

Subnet 보안

각 Subnet에는 네트워크 ACL이 연결되어 있어야 한다. 생성된 각 Subnet에는 자동으로 VPC의 기본 네트워크 ACL이 연결되고 이후에 이 내용은 변경할 수 있다.

 

VPC 또는 Subnet에 흐름 로그를 만들어 VPC 또는 Subnet의 네트워크 인터페이스를 들어오고 나가는 모든 트래픽을 캡쳐할 수 있다. 또한 개별 네트워크 인터페이스에 흐름 로그를 만들 수도 있다.

 

EC2(Elastic Compute Cloud)

AWS에서 제공하는 클라우드 컴퓨팅 서비스

아마존이 각 세계에 구축한 데이터 센터의 서버용 컴퓨터들의 자원을 원격으로 사용

  • 아마존으로 부터 한 대의 컴퓨터를 임대하는 것

AWS가 제공하는 URL(Public DNS)를 통해 이 컴퓨터에 접근

반응형
저작자표시 비영리 변경금지 (새창열림)

'AWS' 카테고리의 다른 글

AWS 사용하기 전 base 지식(1)  (0) 2023.02.23

+ Recent posts

티스토리툴바