VPN
VPN: Virtual Private Network
VPN은 가상 사설망으로 실제로 같은 네트워크상에 있지만 다른 네트워크인것 처럼 동작하는 것을 말한다.
VPC
VPC: Virtual Private Cloud
VPC가 없다면 위와 같이 서로 거미줄처럼 연결되고 인터넷과 연결되며, 새로운 인스턴스가 추가될때 모든 인스턴스를 수정해야하는 불편함이 있다.
VPC를 적용하게 되면 위 그림처럼 VPC별로 네트워크를 구성할 수 있으며 각각의 VPC에 따라 다르게 네트워크 설정을 줄 수 있다.
또한 각각의 VPC는 완전히 독립된 네트워크처럼 작동하게 된다.
VPC 구성요소 및 구축 과정
VPC
VPC는 독립된 하나의 네트워크를 구성하기 위한 가장 큰 단위. 각 region에 종속되며 RFC1918 이라는 사설 IP 대역에 맞추어 설계해야한다.
사설 IP대역은 아래와 같다.
- 10.0.0.0 ~ 10.255.255.255 (10/8 prefix)
- 172.16.0.0 ~ 172.31.255.255(182.16/12 prefix)
- 192.168.0.0 ~ 192.168.255.255(192.168/16 prefix)
VPC에서 한번 설정된 IP 대역은 수정할 수 없으며 각각의 VPC는 독립적이기 때문에 서로 통신할 수 없다.
만일 통신을 원한다면 VPC 피어링을 통해 VPC간에 트래픽을 라우팅 할 수 있도록 설정 가능하다.
Subnet
서브넷은 VPC의 IP 주소를 나누어 리소스가 배치되는 물리적인 주소 범위를 뜻한다.
VPC를 잘게 나눈 것이 서브넷이기 때문에 VPC보다 대역폭이 낮으며 하나의 가용영역에 하나의 서브넷이 연결되기 때문에 region의 AZ 수를 미리 확인하고 설정해야 한다.
서브넷은 다시 public과 private로 나눌 수 있다.
- Public Subnet
- 인터넷과 연결되어 있는 서브넷
- 퍼블릭 서브넷에 존재하는 인스턴스는 인터넷에 연결되어 아웃바운드, 인바운드 트래픽을 주고받을 수 있다.
- Private Subnet
- 인터넷과 연결되어 있지 않은 서브넷.
- 외부에 노출되어 있지 않기 때문에 접근 할 수 없다.
Router
라우터는 VPC안에서 발생한 네트워크 요청을 처리하기 위해 어디로 트래픽을 전송해야 하는지 알려주는 표지판 역할을 수행한다.
각각의 서브넷은 네트워크 트래픽 전달 규칙에 해당하는 라우팅 테이블을 가지고있으며, 요청이 발생하면 가장 먼저 라우터로 트래픽을 전송한다.
Internet Gateway(igw)
인터넷 게이트웨이는 VPC 리소스와 인터넷 간 통신을 활성화하기 위해 VPC에 연결하는 게이트웨이이다.
앞서 설명했듯 Public subnet만 외부와 통신해야 하므로 Public subnet의 라우팅 테이블에만 인터넷 게이트웨이로 향하는 규칙을 포함한다.
NAT Gateway
private 역시 public subnet과 마찬가지로 인터넷과 통신 할 수 있지만 직접하는 것은 불가능하므로 트래픽을 public subnet에 속한 인스턴스에 전송해서 인터넷과 통신해야 한다. 이때 NAT Gateway가 이 역할을 수행한다.
private subnet에서 발생하는 네트워크 요청이 VPC 내부의 주소를 목적지로 하는 것이 아니라면 public subnet에 존재하는 NAT으로 트래픽을 전송한다. 트래픽을 받은 NAT은 public subnet의 라우팅 규칙에 따라 처리함으로써 private subnet이 인터넷과 통신할 수 있도록 한다.
VPC Endpoint
VPC엔트포인트는 인터넷 게이트웨이나 NAT 게이트웨이와 같은 다른 게이트웨이 없이 AWS 서비스와 연결하여 통신할 수 있는 private connection을 제공하는 서비스이다.
private link를 통해 AWS 서비스와 연결함으로써 데이터를 인터넷에 노출하지 않고 바로 접근할 수 있다. 또한 연결하는 서비스의 IP 주소를 바꾸는 등 네트워크 정보의 변경 등의 작업에서 불필요하게 발생하는 비용을 줄일 수 있다.
