LAB 1. NHN Cloud Console에서 조직 및 프로젝트 등록하기
조직 생성과 프로젝트 생성은 NHN Cloud 서비스를 사용하기 위해서 필수로 진행해야 하는 과정이다.
- 서비스 선택 탭에서 Instance 서비스를 활성화 시켜준다.
- 예산 관리를 통해 사용할 예산을 설정하고 임계치가 넘으면 알림이 오게 할 수 있다.
NHN Cloud회원과 IAM 계정
1. NHN 클라우드 회원은 IAM 멤버를 추가할 수 있다.
IAM 멤버는 클라우드 오너가 만들어 둔 도메인을 통해 로그인을 하여 프로젝트에 접근할 수 있다.
오너는 IAM 멤버에게 별개의 권한을 줄 수 있다.
권한 외의 페이지는 접근할 수 없다.
조직 내에 있더라도 특정 프로젝트에 대한 권한을 받아아 프로젝트에 접근 할 수 있다.
조직의 멤버가 아니더라도 프로젝트의 멤버가 될 수 있다.
조직은 작업 공간이 아닌 그룹 단위이다.
하나의 조직에 5개의 프로젝트까지 생성 가능하다.
IAM 계정
1. 조직에 등록되어 있어야 한다.
2. 조직 권한을 부여할 수도 안 할수도 있다.
3. 프로젝트 권한을 부여받아야 프로젝트에 접근 가능하다.
- 멤버권한을 가진 이는 프로젝트 생성 권한이 있다.
LAB 2. Cloud 서버를 생성해서 접속해보자
사설 IP와 공인 IP
사설 IP : 내부 네트워크 상에서 사용되는 주소 (ex 와이파이)공유기를 통해 만들어지는 하나의 네트워크 안에서 유일하다.
공인 IP : 공유기(라우터)가 가지는 전세계적으로 유일한 IP
인터넷 통신을 위해서는 이 공인 IP가 반드시 있어야 한다.
[사설 아이피와 공인 아이피의 구조를 이해할 수 있었던 이미지 - 출처 : 유튜버 동빈나 https://www.youtube.com/watch?v=pRWD7oTeuFw]
Cloud서버를 생성하고 VPC와 그 구성요소들로 네트워크 인프라 구축하기
VPC(Virtual Private Cloud) : 논리적으로 격리된 가상의 네트워크, 그 안에서 완전히 독립된 서브넷, 라우팅 테이블과 게이트웨이를 구성할 수 있고 제어할 수 있다.
[AWS로] VPC VPN 개념잡기
https://medium.com/harrythegreat/aws-%EA%B0%80%EC%9E%A5%EC%89%BD%EA%B2%8C-vpc-%EA%B0%9C%EB%85%90%EC%9E%A1%EA%B8%B0-71eef95a7098
- VPC(가상의 사설 네트워크 망)를 생성한다. -> 라우팅 테이블이 자동으로 생성된다.
- 라우팅을 통해 기본 라우팅 테이블을 확인한다. -> 게이트웨이가 local로 되어있다.
- 인터넷 게이트웨이를 public_network로 생성해준다.
- 생성한 인터넷 게이트웨이를 2의 라우팅과 연결해준다.
- 1에서 만든 VPC내에 서브넷을 생성한다.
인터넷 게이트웨이 : 양방향 통신이 가능하다.
클라우드 인스턴스 생성하기
가용성 영역 : 물리 하드웨어 문제로 생기는 장애에 대비하기 위해 전체 시스템을 나누어 둔 것
1. 가용성 영역을 선택한 후 인스턴스 이름과 타입을 정해준다
2. 키페어를 생성하고 블록 스토리지 타입도 정한다
3. 네트워크 설정 탭에서 인스턴스가 위치할 서브넷을 선택한다.
플로팅 IP : 인터넷에서 인스턴스를 직접 엑세스 하기위해 필요한 기능, 공인 IP역할을 한다.
서로 다른 가용성 영역에서 공유할 수 있다.
한 가용성 영역에 장애가 생겼을 때도 빠르게 가용성 영역으로 플로팅 IP를 이동해 장애 시간을 최소화 할 수 있다.
4. 플로팅 IP를 사용으로 변경한다
보안그룹 : 인스턴스의 송수신 트래픽을 제어하여 인스턴스를 보호할 목적으로 사용한다.
5. 보안그룹을 생성한다.
MobaXterm을 이용한 ssh접속에 완료하였다.
Floating IP로 웹사이트 작동 확인하기
http는 80번 포트로 접속하는 것으로 약속되어 있기 때문에 인스턴스의 보안그룹의 80번 포트로의 접근을 허용하는 규칙을 추가해야
웹사이트를 확인할 수 있다.
22번 포트는 ssh 연결을 위해 보안그룹에 추가해야 한다.
각 포트번호 의미 : https://sevendollars.tistory.com/43
ping을 날리기 위해서는 보안그룹에 ICMP 프로토콜을 추가해야 한다.
LAB3. Public Subnet과 Private Subnet 생성하고 NAT Gateway 할당하여 통신 체크하기
NAT 게이트웨이 : 인터넷 게이트웨이가 연결되지 않은 인스턴스들이 인터넷에 엑세스 할 수 있게 해준다.
DB 인스턴스와 같이 인터넷 게이트웨이와 직접적인 연결에 민감한 인스턴스들이 NAT 게이트웨이를 주로 사용한다.
Private Subnet을 생성하여 web-server(public-server)와 private-server 통신하기
1. private subnet을 하나 생성한다.
2. 라우터도 하나 더 생성해야 하는데 이렇게 생성한 라우터도 기본 라우팅 테이블에 자동으로 할당되기 때문에
라우팅을 새로 만들어서 private subnet에 할당해 줘야 한다.
3. private-server(인스턴스)를 만들어 준다. 그리고 보안그룹에 22번 포트와 public-server의 "사설"IP 주소를 추가해 준다.
-> 사설 망을 통하여 현재 서버에서 다른 서버와 통신할 수 있다.
4. pemkey를 활용하여 public 서버에서 private으로 접속해 본다,
ssh -i pemkey centos@IP
여기까지 해도 인터넷과 연결이 되어있지 않기 때문에
yum update가 되지 않는다.
private-server는 보안이 중요한 서버라는 설정이기 때문에 라우팅 테이블과 직접 연결이 되선 안된다.
그래서 이 라우팅 테이블을 인터넷 게이트웨이와 간접적으로 연결시켜 줄 수 있는
NAT 게이트웨이를 사용하는 것이다.
NAT 게이트웨이
단방향 통신 지원한다.
아웃바운드 통신만 가능하고 인바운드 통신은 불가능하다.
NAT 게이트웨이를 만들어 Private-server를 인터넷과 연결하기
0. NAT 게이트웨이는 항상 인터넷이 연결된 public subnet에서 생성할 수 있다.
1. NAT 게이트웨이를 생성할 때는 새로운 플로팅 IP도 생성한다.
2. 생성된 NAT 게이트웨이를 private-route와 연결한다.
Peering : 서로 다른 두 개의 VPC를 연결하는 기능
VPC는 네트워크 영역이 달라 서로 통신이 불가능하다.
플로팅 IP를 이용해 연결할 수 있으나 과금이 된다.
그래서 두 개의 VPC를 연결하는 기능을 제공하는데 이를 피어링이라고 한다.
- 2번째 VPC와 서브넷 그리고 인터넷 게이트웨이를 만든다.(만든 게이트웨이는 VPC를 만듦으로써 생겨난 라우팅 테이블에 연결한다.)
- 2번째 VPC에 인스턴스까지 만들고 난 후 VPC1과 VPC2에 서로 핑을 날리게 하면 핑이 날라가지 않는다.
각각의 VPC는 통신이 불가능하기 때문이다. - 피어 게이트웨이를 만든 후 게이트웨이 정보를 VPC1 VPC2의 라우팅 정보에 저장시켜준다.
- ICMP 프로토콜을 보안그룹에 추가해 주는데, wb-sg라고 이름 붙인 보안그룹 자체를 보안그룹에 추가시킬 수 있다.
-> 이것은 wb-sg를 사용하는 인스턴스 끼리 사설 통신을 허용시키겠다는 의미이다. - 서로 연결이 되면 핑을 서로에게 날리는 것을 볼 수 있다.
서비스 반납
인스턴스는 모두 삭제 한다.
그 후 프로젝트 관리탭에서 비활성화 버튼이 활성화 되어 있는 곳을 눌러 비활성화를 진행한다.
