Amazon VPC

---

VPC

사용자가 정의한 가상의 네트워크 환경 = Virtual Private Cloud (VPC)

논리적 독립 네트워크이다.

완전한 네트워크 제어가 가능하다.

- 자체 IP주소 범위 
- Subnet 
- Routing Tables
- Security : Security Group, Networking ACL

On-Permise 데이터센터와 연결 옵션 제공 (VPN, DirectConnect)

VPC내의 모든 EC2 인스턴스는 사설 IP를 가지나 개별 인스턴스에 공인 IP할당 가능

다른 사용자는 접근 불가능하다.

VPC 만들기

1. Region, IP 대역 결정

   • VPC 확장 시나리오를 미리 고려하여 중복되지 않는 IP Range 결정

     172.31.0.0/16

   • CIDR (Classless Inter-Domain Routing)

     	- IP범위를 지정하는 방식 
     	- 생성 후 변경 불가 

2. 가용 영역에 Subnet 생성

   • 이때 IP범위를 지정한다.
   • 공용, 사설 서브넷은 가용 영역에 함께 / 분리해서 구성 가능

3. Routing 설정

   • Routing Table 이용 ( 목적지 찾는 용도 )
   • VPC 생성 시 Default route table이 만들어지고 모든 Subnet에 적용
   • 사용자 정의 Route table을 만들어 Subnet 별로 적용할 수 있다.

4. Traffic 통제 (In/Out)

   • Route Table
     • Subnet 단위 라우팅 통제
   • Network ACL
     • Subnet 단위
     • Stateless 방화벽
     • 허용 / 거부 권한
     • 규칙은 순차적 적용
     • 인바운드, 아웃바운드 규칙 존재
   • Security Group
     • 인스턴스 단위
     • 인스턴스 트래픽 제어
     • stateful 방화벽
     • 허용 규칙만

VPC 확장 : Internet

직접 인터넷으로 연결하는 경우

1. VPC Internet Gateway

   • Manager Service
     • 확장성, 가용성, 중복성 보장 설계
   • VPC당 Attach 가능한 Internet Gateway
   • 1:1 NAT
     • 인터넷 구간과 연결하려는 EC2 인스턴스는 Public IP나 EIP(Elastic IP)를 가져야 함
   • Public Subnet의 Routing Table 수정
   • IPv4, IPv6 지원

2. EIP (Elastic IP)

   • 퍼블릭 고정 IPv4 주소
   • Account에 할당되어 변경되지 않는 EIP를 할당
   • EC2 Instance 장애 시, 다른 EC2 Instance로 EIP를 Re-Associate
   • Region당 기본 5개의 Elastic IP Address 할당 가능 (Soft-Limit)
   • Allocation/Release
     • Account에 EIP할당 또는 반납
   • Associate / Disassociate
     • EC2/NAT GW Instance에 EIP 연결 또는 분리

3. VPC Peering

   • 다른 AWS Region과의 Peering
   • 동일 Region 내 VPC 간 완전히 격리된 전용의 ㅇ녀결 (동일 Account 및 다른 사용자 Account 간)
   • VPC당 하나의 VPC PEering만 제공되며, VPC간 IP Address가 중복될 수 없음
   • 고가용성 및 Traffic에 대한 수평적 확장 제공
   • Routing Table을 통하여 통제가 가능하고, Transit Routing은 제공되지 않음
   • 구성 사례 : 인증, 디렉터리 서비스, 모니터링, 로깅, 공통 서비스
   • 전송 중 암호화