가상 데이터 센터 만들기
VPC 기본 및 연결 옵션 - 양승도 솔루션즈 아키텍트(AWS 코리아)
aws 서비스를 시작하는데에 있어서 가장 중요한 서비스가 vpc 이다.
-> 서비스의 성격에 맞게끔 네트워크에 연결을 해야한다. 정확하게 연결을 해주지 않으면 고객에게 원하는 서비스를 제공하기 어렵다.
ec2 : 인터넷기반 가상머신 서비스
한 네트워크에 randomly하게 위치
vpc : 다른 고객들과 완벽하게 격리된 전용의 데이터센터처럼 사용이 가능
private ip address : 내부 통신을 위해 관리의 목적 / terminated되기전까지 절대로 변경X
subnet A - internet 외부에서 접속
subnet B - 외부접속X / 보안
인터넷에 연결된 vpc 설정(245, 235, 13)
ip 주소 선택 > subnet 단위로 boundary > routing table setting > 접속 허용 범위로 방화벽 설정
vpc 기본
step 1. CIDR(classless방식) notation review
-- RFC1918 range 권장 : 확장성(overwrapping 방지)
10.x.x.x
172.16.x.x-172.31.x.x
192.186.x.x
step 2. subnet
seoul region > ap-northeast-2a / ap-northeast-2c
region 안에 각각 만들어야함
step 3. 인터넷 경로
routing table은 서브넷별로 각각 설정가능
target=local : 내 vpc로 향하는 트래픽은 내 vpc내에 머물러야 한다.
internet gateway
0.0.0.0/0 == anywhere
-> vpc로 향하지 않는 모든것 : 인터넷으로 보내기
step 4. vpc의 네트워크 보안
모든 통신 허용X, 허용자에게만 나머지는 block하는 정책 만들기
Network ACLs: Stateless firewalls- subnet단위로 적용
- in/out-bound 모두 설정
Security groups: 애플리케이션 구조- stateful
- 각각의 인스턴스에 보안그룹 설정가능
- traffic 늘/줄 -> auto-scaling
- 보안그룹에 속한 instance만
- 들어올때 connection을 기억 / inbound rule만 설정
check-point- 최소 권한 원칙 준수 : 필요없는 port 번호는 열어놓지말자
- vpc는 egress/ingress에 대한 Security Group 생성가능
vpc 연결 옵션
-
인터넷 액세스 제한 : 서브넷 별로 각기 다른 라우팅
인터넷 게이트웨이 서브넷 별로 각각 다른 라우팅 설정을 통해 원하는 네트워크 구성가능
NAT gateway : 아웃바운드 전용 인터넷 허용
외부에서는 먼저 들어올수 없게 만듦
-
vpc 간 연결 : vpc peering
ex. 공유 서비스 vpc- 마스터 서버를 가운데에 위치 -> 공통모듈
- private한 라인을 연결해서 사용할 수 있게 한다.
establish a vpc peering : 각 vpc가 경로 생성을 요청하고 허용해야 생성됨
- 제약사항 : transit vpc 지원X
-
회사 네트워크에 연결 : vpn(vitual private network) & dx(direct connect)
1) vpn : vpn 장비끼리 연결 - (customer gateway+vitual gateway) with 2IPSec tunnels
2) dx :
3) hybrid network 구조vpn 연결을 하지만 경로는 인터넷. 전용망 사용X.
정리!!!!
- vpc안에 ec2 인스턴스 만드는데 subnet을 availablity 별로 만들고
security group 또는 network ACL로 방화벽 구축(정책만들기) - 특정 subnet =>
1. 인터넷 경로 지정
2. 데이터센터, vpn, dx로 연결
3. 다른 vpc나 s3 서비스와 연결
깔끔한 정리 최고!!🔥