서비스를 배포한다면 가장 중요한 것은 보안이다.
보안에 있어 핵심은 최대한 외부에 내부 서비스를 노출하지 않는 것이다.
보안 설정을 하지 않고, Cloud 환경을 구축하게 되면 외부의 공격에 DB가 털리는 경우도 있다.
가장 기초적이지만 가장 중요하다고 볼수 있는 VPC에 대해 알아 볼것이다.
VPC
VPC(Virtual Private Cloud)는 AWS에서 제공하는 가상 네트워크 환경이다.
하나의 리전에 여러개의 VPC를 생성할 수 있으며, 생성된 VPC는 논리적으로 분리된 네트워크 환경으로 일반적으로는 상호 간섭이 불가능 하다.
VPC 구성도
리전(Region)
리전은 AWS의 데이터 센터를 가지고 있는 지역을 뜻한다. 한국의 경우 ap-northeast-2라는 리전 이름을 가지고 있다.
가용 영역(Availibity Zone)
가용 영역은 논리적으로 격리된 AWS 리전의 섹션이다. 각 AWS 리전에는 독립적으로 운영되도록 설계된 여러 개의 가용 영역이 있으며, 각종 문제에 대응하기 위해 물리적으로 거리를 둔 상태로 동작한다.
가용 영역을 두개 이상 사용해 배포를 진행한다면, 하나의 가용 영역이 문제가 발생하더라도 나머지 하나의 가용 영역에서 정상적으로 서비스를 이용할 수 있다.
하지만, 가용 영역을 많이 사용한다는 건, 서비스 규모가 작은 회사 입장에선 비용적으로 부담이 될 수 있다.
서브넷(Subnet)
서브넷은 VPC내에 존재하는 IP의 주소 범위이다. 서브넷에 인스턴스가 존재할 경우 서브넷에 정한 IP주소 범위내에 한해 IP를 지정해 줄 수 있다.
서브넷은 하나의 가용 영역안에 존재해야 한다. 하나의 서브넷을 여러개의 가용 영역을 통해 생성할 수 없다.
서브넷은 크게 퍼블릭 서브넷과 프라이빗 서브넷으로 구분한다.
퍼블릭 서브넷(Public Subnet)
퍼블릿 서브넷은 VPC에서 외부 인터넷과 통신을 가능하게 해주는 인터넷 게이트웨이(Internet GateWay)가 존재한다.
인터넷 게이트웨이를 통해 외부 인터넷에 엑세스가 가능한 서브넷이다.
프라이빗 서브넷(Private Subnet)
프라이빗 서브넷은 인터넷 게이트웨이가 존재하지 않아 외부 인터넷에 직접적인 엑세스가 불가능 하다.
보통 DB와 같이 외부에서 접근하지 못하게 하는 인스턴스를 배치해두는 서브넷이다.
프라이빗 서브넷이 외부 인터넷에 엑세스하기 위해선 NAT GateWay와 같은 중간 지점을 거쳐야 통신이 가능하다.
라우팅 테이블(Routing Table)
라우팅 테이블은 네트워크의 트래픽이 전달될 위치를 제어해 준다. 라우팅 테이블에서는 서브넷에 대한 라우팅을 제어하고, 특정 서브넷을 연결해준다.
서브넷은 하나의 라우팅 테이블에만 연결할 수 있지만, 여러 서브넷을 동일한 서브넷 라우팅 테이블에 연결할 수 있다.
NAT 게이트웨이(NAT GateWay)
NAT 게이트웨이는 NAT(네트워크 주소 변환) 서비스이다. 프라이빗 서브넷에서 NAT 게이트웨이를 사용하면, 프라이빗 서브넷에선 외부 인터넷에 엑세스할 수 있지만, 외부 인터넷에서는 프라이빗 서브넷에 엑세스할 수 없다.
보안 그룹(Security Group)
보안 그룹은 AWS 리소스에 대한 인바운드와 아웃바운드 트래픽을 제어하는 가상의 방화벽 역할을 한다. 보안 그룹은 하나의 VPC에 추가로 생성할 수 있으며, 생성한 VPC내에서만 사용이 가능하다.
여기까지 Cloud환경에서 가장 기초적이자 중요하다고 생각되는 VPC에 대한 이론을 살펴 보았다. 다음 포스팅에선 직접 VPC의 설정을 진행해 볼것이다.
