VPC(Virtual Private Cloud)
: AWS 클라우드에 있는 사설 네트워크
- Amazon S2 & DynamoDB에는 VPC 게이트웨이 엔드포인트(기억해야 함)가 있고 다른 모든 서비스에는 인터페이스 엔드포인트(프라이빗 링크로 구동됨 - 프라이빗 IP를 의미함)가 있다.
Internet Gateway & NAT Gateway
- Internet Gateway: VPC 인스턴스가 인터넷에 연결될 수 있도록 도와준다.
- NAT Gateway: 인터넷에서 사설 서브넷에 있는 웹사이트의 접근을 막는다.
- 둘 다 사설 서브넷을 위해 NAT를 제공하지만, NAT Gateway는 AWS에서 관리하기 때문에 프로비저닝과 스케일링 관련해서 신경 쓸 필요가 없다.
Network ACL & Security Groups
보안 그룹은 EC2 인스턴 수준에서 작동하는 반면 NACL은 서브넷 수준에서 작동한다.
NACL(Network ACL)
: 서브넷에 들어오고 나가는 트래픽을 제어하는 방화벽
Security Groups
: ENI 또는 이더넷 네트워킹 인터페이스 또는 EC2 인스턴스에서 들어오고 나가는 트래픽을 제어하는 방화벽
- 인터넷 트래픽이 EC2 인스턴스에 도달하기 전에 방화벽 열할을 하는 네트워크 ACL을 통과한다.
- 보안 그룹은 상태를 추적할 수 있으며 트래픽이 나갈 수 있으면 다시 들어갈 수 있다.
VPC Flow Logs
: 트래픽 흐름에 대한 정보(로그)를 얻음
- 인터페이스로 가는 모든 IP 주소 관련 정보를 캡쳐한다.
- VPC Flow Logs
- Subnet Flow Logs
- Elastic Network Interface Flow Logs
- 네트워크가 VPC를 통과할 때마다 플로우 로그에 기록 -> 연결 문제를 모니터링하고 해결할 때 도움
VPC Peering
: 각각의 VPC가 같은 네트워크에 있는 것처럼 행동하게 만들어 준다.
VPC Endpoints
: 사설 네트워크를 이용하여 AWS 서비스를 연결하게 해준다.
- VPC에서 AWS 서비스로의 비공개 접속을 원할 때 도움이 된다.
Site to Site VPN & Direct Connect
- VPC 엔트포인트에 접근할 수 없다. 여기서 VPC 엔트포인트는 VPC에 있는 AWS 서비스로 비공개로 접근하게 하지 온프레미스 데이터 센터로 접근하게 하는 것이 아니다.
Site to Site VPN
: 온프레미스 VPN 장치를 AWS에 연결한다.
- 자동으로 암호화하여 공개 인터넷에 연결한다.
Direct Connect(DX)
: 온프레미스와 물리적 연결
- 공개된 인터넷을 통하지 않아 안전하고 빠르다.
Summary
110강 참고
Typical 3 tier solution architecture
111강 참고
