Amazon VPC(Virtual Private Cloud)는 사용자 정의로 구성된 가상의 프라이빗 클라우드 네트워크이다.
Amazon VPC 기본 구성 요소
리전과 VPC
Amazon VPC는 리전마다 독립적으로 구성된다. 예를 들어, 서울 리전에 VPC를 생성했다면 생성한 VPC는 다른 리전에는 존재하지 않는다. 또한, 리전 내에는 다수의 VPC를 생성할 수 있고, 각 VPC는 서로 독립적으로 분리된다.
서브넷과 가용 영역
Amazon VPC라는 하나의 독립된 클라우드 네트워크에도 서브넷을 이용해 분리된 네트워크로 구성할 수 있다. 여기서, 서브넷은 반드시 하나의 가용 영역에 종속적으로 위치한다. 서브넷은 VPC 네트워크 환경 구성에 따라, 퍼블릿 서브넷과 프라이빗 서브넷으로 분류할 수 있다.
- 퍼블릿 서브넷: 인터넷 구간과 연결돼 있어 외부 인터넷 통신이 가능한 네트워크 영역
- 프라이빗 서브넷: 인터넷 구간과 연결돼있지 않은 폐쇄적인 네트워크 영역
IP CIDR(Classless Inter-Domain Routing)
네트워크에 할당할 수 있는 IP 주소 범위를 표현하는 방법이다. Amazon VPC는 내부에 생성할 서브넷의 IP 주소 범위를 할당하기 위해, IP CIDR을 가지고 있다. VPC 내 생성된 서브넷도 VPC의 IP CIDR에서 분할된 IP CIDR을 가지고 있다.
가상 라우터와 라우팅 테이블
가상 라우터는 물리적 라우터와 동일한 기능을 소프트웨어로 구현한 것이다.
Amazon VPC를 생성하면, 기본적으로 네트워크 경로를 확인해 트래픽을 전달하는 목적의 이 가상라우터가 생성된다.
물리적 장치 대신 소프트웨어 기반으로 동작하며, 가상화된 환경에서 네트워크 트래픽을 라우팅한다.
기본 라우팅 테이블을 보유하고 있으며, 라우팅 테이블을 통해 네트워크 경로를 식별할 수 있다.
보안 그룹과 네트워크 ACL
Amazon VPC는 보안 그룹(security group)과 네트워크 ACL(Acess Control List) 같은 가상의 방화벽 기능을 제공해 서브넷과 생성된 자원에 대한 트래픽을 보호한다. 트래픽 접근을 통제하는 것이 주된 목적이며, IP CIDR 블록, 프로토콜, 포트 번호 등을 정의해 허용(allow)과 거부(deny)를 결정하는 보안 규칙을 만든다. 보안그룹과 네트워크 ACL은 트래픽 접근을 통제한다는 공통점이 있지만, 다음의 세 가지 차이점이 있다.
1. 트래픽 접근 제어 대상
- 둘의 가장 큰 차이점으로 접근 제어 대상이 서로 다르다. 보안 그룹은 인스턴스와 같은 자원 접근을 제어하며, 네트워크 ACL은 서브넷 접근을 제어한다.
2. 스테이트풀(stateful)과 스테이트리스(stateless)
- 보안 그룹은 이전 상태 정보를 기억하고 다음에 그 상태를 활용하는 스테이트풀 접근 통제를 수행하며, 네트워크 ACL은 이전 상태 정보를 기억하지 않아, 다음에 그 상태를 활용하지 않는 스테이트리스 접근 통제를 수행한다.
3. 허용 및 거부 정책
- 보안 그룹의 정책 테이블은 허용 규칙만 나열하며, 허용 규칙에 해당하지 않으면 자동 거부한다. 반면, 네트워크 ACL의 정책 테이블은 허용 규칙과 거부 규칙이 모두 존재해 규칙을 순차적으로 확인하고 허용과 거부를 판단한다.
Amazon VPC와 다른 네트워크 연결
인터넷 게이트웨이
인터넷 게이트웨이(Internet Gateway)는 논리적 네트워크 장치로, VPC 내의 리소스가 인터넷과 통신할 수 있게 해준다. 인터넷 게이트웨이는 양뱡향 트래픽을 지원하며, 인터넷과 VPC간의 네트워크 연결을 관리한다.
NAT 게이트웨이
NAT 게이트웨이(Netrwork Address Translation Gateway)는 VPC 내에서 프라이빗 서브넷에 있는 리소스들이 인터넷이나 다른 AWS 서비스와 통신할 수 있도록 하는 서비스다. NAT 게이트웨이는 주로 보안과 프라이버시를 유지하면서 외부 네트워크와의 연결을 가능하게 하기 위해 사용된다. NAT는 IP 주소를 변환하는 기능을 제공하며, 프라이빗 IP 주소를 퍼블릭 IP주소로 변환하여 외부 인터넷 구간 통신 환경을 만든다.
'Cloud > AWS' 카테고리의 다른 글
Amazon EMR architecture Overview (0) | 2024.09.09 |
---|---|
Amazon EMR Overview (0) | 2024.09.09 |
AWSome Day 정리 (0) | 2024.07.19 |
AWS EC2 기초 (0) | 2024.06.01 |
AWS IAM(Identity and Access Mangement) (0) | 2024.05.31 |