[AWS] AWS VPC 사용설명서 정리(1) - What is VPC?

Amazon VPC란?

Amazon VPC는 Amazon EC2의 네트워크 계층이다.

 

Amazon VPC에서 사용되는 핵심 개념은 아래와 같다.

 

1. Virtual Private Cloud(VPC)

  - 사용자의 AWS 계정 전용 가상 네트워크이다.

2. Subnet

  - VPC에서 사용하는 IP주소의 범위를 나타낸다.

3. Routing Table

  - 네트워크 트래픽을 전달할 위치를 결정하는데 사용되는 규칙 집합이다.

4. Internet Gateway

  - VPC의 리소스와 인터넷 간의 통신을 활성화하기 위해 VPC에 연결하는 게이트웨이이다.

5. VPC Endpoint

  - Internet Gateway, NAT 장치, VPN 연결, AWS Direct Connect의 연결 없이도 PrivateLink로 구동되는 AWS 서비스 및 VPN Endpoint에 VPC를 개인적으로 연결할 수 있다. VPC의 인스턴스는 서비스의 리소스와 통신하기 위해 공용 IP 주소를 필요로하지 않는다. 또한 VPC와 다른 서비스간의 트래픽은 Amazon 네트워크를 벗어나지 않는다.

 

 

 

 

---

Amazon VPC 작동 방식

Amazon VPC를 사용하면 사용자가 정의한 가상 네트워크로 AWS 리소스를 시작할 수 있다.

 

VPC 및 Subnet

VPC는 사용자의 AWS 계정 전용 가상 네트워크이다. VPCㄹ는 AWS 클라우드에서 다른 가상 네트워크와 논리적으로 분리되어 있다. (Private 하다는 말이다.)

 

Amazon EC2 인스턴스와 같은 AWS 리소스를 VPC에서 속하여 실행시킬 수 있다.

IP 주소 범위와 VPC 범위를 설정하고 Subnet을 추가한 후, 보안그룹을 연결하고 라우팅 테이블을 구성한다.

 

Subnet은 VPC에서의 IP 주소 범위이다. 지정된 IP / Subnet으로 AWS 리소스를 시작할 수 있다. 각 Subnet의 AWS 리소스를 보호하기 위해 보안 그룹 및 ACL을 비롯한 여러 보안 계층을 사용할 수 있다.

 

기본 VPC

각 가용영역에 기본 Subnet이 부여되어있는 기본 VPC가 제공된다.

 

Routing Table

Routing Table에는 VPC의 네트워크 트래픽을 전달할 위치를 결정하는데 사용되는 규칙 집합이 포함되어 있다. Subnet을 특정 Routing Table과 명시적으로 연결할 수 있다. 그렇지 않으면 암시적으로 연결된다.

 

Routing Table의 각 Routing(항목)은 트래픽을 전달할 IP 주소 범위(or IP 주소)와 트래픽을 전송할 Gateway, 네트워크 인터페이스 또는 대상을 지정한다.

 

Internet Access

VPC에서 시작한 인스턴스가 VPC 외부의 리소스(인터넷)를 어떻게 액세스할지 제어할 수 있다.

 

기본 VPC에는 Internet Gateway가 포함되며, 각각의 기본 Subnet은 Public Subnet이다. 기본 Subnet에서 시작한 각 인스턴스에는 Private IPv4 주소와 Public IPv4 주소가 있다. 이러한 인스턴스는 Internet Gateway를 통해 인터넷과 통신할 수 있게된다. (Public IP가 부여되어 있기 때문에 이를 통해 외부로 나갈수있다.)

 

기본으로 주는 VPC가 아닌 Subnet에서 시작한 인스턴스에는 Private IPv4 주소가 있으며, 시작시 특별히 지정하거나 Subnet의 Public IP 주소 속성을 수정하지 않는한 Public IPv4 주소는 없다. 이러한 인스턴스는 서로 통신할수는 있지만 인터넷에 접근할 수는 없다.

 

 

이러한 구성에서 해당 VPC에 Internet Gateway를 추가하고, 인스턴스에 탄력적 IP 주소(공인 IP를 주는거)를 연결해 Internet에 접근하도록 할 수 있다.

 

 

 

또는 VPC의 인스턴스가 Internet으로 아웃바운드 연결을 할수 있도록 하되 Internet으로부터의 원치 않는 인바운드 연결을 차단하려면 IPv4 트래픽용 NAT 디바이스를 사용하면 된다.

 

NAT는 알다시피 여러 개의 Private IPv4 주소를 하나의 Public IPv4 주소에 매핑한다. NAT 디바이스는 탄력적 IP 주소를 가지며, Internet Gateway를 통해 Internet에 연결하게 된다.

 

Private Subnet에 포함된 인스턴스를 NAT 디바이스를 사용해 Internet에 연결하도록 구성할 수 있다. 이렇게 하면 인스턴스의 트래픽이 Internet Gateway로 라우팅되고 모든 응답은 인스턴스로 라우팅된다.

 

회사 혹은 홈 네트워크에 액세스

원한다면 IPsec AWS Site-to-Stie VPN 연결을 사용해 VPC를 회사의 데이터 센터에 연결해 회사 데이터 센터를 AWS 클라우드로 확장할 수 있다. (뭔말이야.... ㅠㅠ)

 

AWS PrivateLink를 통한 서비스 액세스

지원되는 AWS 서비스, 기타 AWS 계정에서 호스팅된 서비스 및 지원 AWS Marketplace 파트너 서비스에 VPC를 비공개로 연결할 수 있도록 하는 가용성과 확장성이 높은 기술이다.

 

Internet Gateway, NAT Device, Public IP 주소, AWS Direct Connect 연결 혹은 AWS Site-to-Stie VPNP 연결 없이도 서비스와 통신할 수 있다. VPC와 서비스간의 트래픽은 Amazon 네트워크를 벗어나지 않는다.

(한마디로 원래는 이러한 것들을 사용해 VPC 외부를 벗어나야 한다는 거지~)

 

 

VPC 및 네트워크 연결

두 VPC 간에 VPC 피어링 연결을 생성해 비공개적으로 두 VPC 간의 트래픽을 라우팅할 수 있다. (오....?)

동일한 네트워크에 속하는 경우와 동일한 환경처럼 두 VPC의 인스턴스가 서로 통신할 수 있다.

 

또한 전송 게이트웨이를 생성해 VPC와 온프레미스 네트워크를 상호 연결할 수 있다. (오....................?)

전송 게이트웨이는 VPC, VPN 연결, AWS Dircet Connect 게이트웨이, 전송 게이트웨이 피어링 연결 등 연결 간에 이동하는 트래픽에 대해 리전 가상 라우터 역할을 수행한다.