[AWS] AWS VPC 사용설명서 정리(4) - 기본 VPC 및 서브넷

기본 VPC는 준비과정 없이 빠르게 시작해 블로그나 간단한 웹 사이트 같은 퍼블릭 인스턴스를 시작하는데 적합하다. 기본 VPC의 구성요소를 필요에 따라 수정할 수 있고, 필요에 따라서 VPC 자체를 새로 만들수도 있다.

 

기본 VPC 구성 요소

기본 VPC는 다음과 같이 생성된다.

• IPv4 CIDR 블록의 크기가 /16인 VPC를 만든다.
• 각 가용영역에 크기가 /20의 기본 Subnet을 생성한다.
• 인터넷 게이트웨이를 만들어 기본 VPC에 연결한다.
• 기본 보안그룹을 만들어 기본 VPC와 연결한다.
• 네트워크 ACL을 생성해 기본 VPC와 연결한다.
• AWS 계정에 설정된 기본 DHCP 옵션을 기본 VPC와 연결한다.

위 리소스는 사용자 대신 Amazon에서 생성하고, IAM 정책이 적용되지 않는다. 예를 들어 CreateInternetGateway를 호출하는 기능을 거부하는 IAM 정책이 있어도 CreateDefaultVpc를 호출하면 VPC의 인터넷 게이트웨이가 생성된다.

기본 VPC 사용을 막는게 좋아보인다..? CreateDefaultVpc 호출가능 여부라던가, 이미 사용중인 기본 VPC가 존재하는지 확인하는 방향에 대해서 고민.. → aws ec2 describte-account-attributes

 

기본 VPC에도 다른 일반 VPC와 동일하게 Subnet을 추가하거나 라우팅 테이블을 추가하거나, 보안그룹을 연결하는 등 동일한 작업을 수행할 수 있다.

 

기본 라우팅 테이블은 인터넷으로 대상 주소가 정해진 Subnet의 트래픽을 인터넷 게이트웨이로 전송하기 때문에 기본 Subnet은 Public Subnet이라 할 수 있다. 이를 Private Subnet으로 사용하고 싶다면 기본 라우팅 테이블에 적용되어 있는 0.0.0.0/0 규칙을 제거해야 한다. 하지만 이렇게 하면 해당 Subnet에서 실행하는 EC2 인스턴스는 인터넷에 접근할 수 없게 된다. (당연한 이야기)

 

기본 VPC와 기본 서브넷 보기

aws ec2 describe-vpcs

aws ec2 describe-subnets

 

이 명령어의 결과에서 기본 VPC / Subnet의 경우엔 "IsDefault" 항목이 true로 표시된다.

 

기본 서브넷과 기본 VPC 삭제

기본 Subnet이나 VPC는 다른 것들 처럼 삭제할 수 있다. 그러나 기본 Subnet이나 기본 VPC를 삭제하게 되면 반드시 다른 VPC에서 인스턴스를 시작할 Subnet을 명시적으로 지정해야 한다. 다른 VPC가 없으면 기본이 아닌 VPC와 기본이 아닌 Subnet을 생성해야 한다.

 

기본 VPC 만들기

기본 VPC를 삭제한경우 생성할 수 있지만, 삭제했던 것을 복구하거나 다른 VPC를 기본 VPC로 설정할 수 없다. 또한 기본  VPC를 생성할 때 표준 구성요소를 직접 지정할 수 없다. (aws ec2 create-default-vpc)

 

기본 서브넷 생성

CIDR 블록을 직접 지정할 수 없고, 삭제한 이전 기본 Subnet을 복원할 수 없다. 그리고 가용 영역당 기본 Subnet은 한 개만 가질 수 있고, 기본 VPC가 아닌 VPC에는 기본 Subnet을 생성할 수 없다.

 

CIDR 블록 크기 /20을 생성할 충분한 주소 공간이 기본 VPC에 없는 경우 요청은 실패한다.