EC2를 생성하기에 앞서 VPC를 생성해주도록 하겠다.
VPC
VPC(Virtual Private Cloud)란 AWS에서 생성할 수 있는 프라이빗 가상 네트워크 공간이다. 이 공간 안에 EC2, RDS와 같은 AWS 자원을 배치해서 사용한다.
이름 자체가 '프라이빗' 가상 네트워크 이긴 하지만, 인터넷 공개용으로 퍼블릭 VPC 역시 구축할 수 있다.
VPC를 구축하면 AWS가 알아서 라우팅 테이블, 방화벽, 인터넷 게이트웨이, NTP, DNS 등을 갖춰준다.
CIDR
CIDR(Classless Inter-Domain Routing) 은 간단히 말해 IP 주소 할당 방법이다.
CIDR 블록이라 하면 IP 주소 범위를 의미한다.
VPC를 만들 때 CIDR 블록을 지정하고 그 블록으로 네트워크를 확보하게 된다.
우선 IP 주소는 크게 네트워크 주소와 호스트 주소로 구성이 된다.
다음과 같은 범위를 지정한다고 치자.
'/' 뒤의 숫자에 따라 확보할 수 있는 IP 주소의 개수가 달라진다.
우선 10.0.0.0 을 이진수로 변환한 다음 왼쪽에서부터 '/' 뒤의 숫자만큼의 수를 네트워크 주소로 생각하고, 나머지 수를 2의 N제곱한 것을 가용 IP 주소 개수라고 생각하면 된다.
위와 같은 경우는 앞에서부터 28개 까지가 네트워크 주소이고 남은 수가 4개이므로 2의 4제곱하여 16개가 가용 IP 주소 개수라고 생각하면 된다.
이렇게 하여 알 수 있는 것은 CIDR 블록 설정에 따라 확보할 수 있는 호스트 주소의 수가 달라진다는 것이다. 호스트 주소는 여유를 갖도록 가능한 많이 확보해 두는 것이 좋긴 하다.
AWS는 일반적으로 /16 이하 범위의 지정을 권장하고 있다.
10.0.0.0 ~ 10.255.255.255 (10.0.0.0/8)
172.16.0.0 ~ 172.31.255.255 (172.16.0.0/12)
192.168.0.0 ~ 192.168.255.255 (192.168.0.0/16)근데 VPC 하나만 있다고 EC2 등을 네트워크 내에 만들 수 있는 것은 아니다.
VPC 안에 서브넷(더 작은 네트워크 단위)을 만들어야 한다.
서브넷은 하나의 AZ에만 속할 수 있으며, 여러 AZ에 자원을 배치해야 할 경우 서브넷 역시 여러 개 만들어야 한다는 뜻이 된다. 반대로 하나의 AZ에 여러 서브넷 생성은 가능하다.
서브넷을 생성할 때 서브넷이 속한 VPC의 CIDR 블록 범위 내에서 CIDR 블록을 지정해주면 된다.
ex) VPC의 CIDR 블록: 10.0.0.0/16 일 경우 서브넷 CIDR 블록을 10.0.0.0/24 로 지정
구조도를 그리면 다음과 같을 것이다.
AWS VPC 생성
VPC를 검색해서 클릭하면 다음과 같은 화면이 나타난다.
VPC 외의 기타 리소스도 같이 생성하기 위해서는 'VPC 등'을 선택해준다.
위에서 IPv6나 테넌시를 설정할 수 있지만 일반적으로 잘 사용하진 않기 때문에 따로 설정해 주진 않았다.
옆에 생성될 VPC의 예시를 미리 볼 수 있게 해준다.
위와 같은 과정들을 모두 거치고 나면 마침내 VPC가 생성된다.
그런데 만들고 나면 Route53 방화벽 규칙 그룹 로드 실패 라고 떠 있다.
방화벽 관련 규칙을 설정해주지 않아서 그렇다.
옆의 사이드바에서 [DNS 방화벽]-[규칙 그룹] 을 선택해서 들어간다.
규칙 그룹을 추가해보도록 하겠다.
특정 도메인 목록과 관련된 규칙을 생성해주었다.
만든 규칙이 딱히 없어서 설정해줄 우선순위도 없긴 하다. 어쨌건 Next로 넘어간다. 그 뒤에 태그 생성도 그냥 생략하고 넘어가면
위와 같이 생성된다. 혹시 IAM 사용자가 DNS 방화벽 규칙 그룹을 생성하려면 반드시 AmazonRoute53ResolverFullAccess 권한이 있는 상태여야 한다. 이게 없어서 처음에 생성 실패했었다.
보다시피 VPC가 연결되지 않은 상태이므로 아까 만든 VPC와 연결해준다.
아래쪽의 [연결된 VPC] 탭에서 [VPC 연결]을 클릭하여
아까 만든 VPC를 선택해준다. DNS 방화벽과 VPC 연결엔 몇 분의 시간이 소요된다. 잠시 후에 다시 들어가보면
다음과 같이 연결이 된 걸 볼 수 있다.
서브넷은 내가 추가로 더 생성해줄 수 있긴 한데 VPC를 생성해주면서 같이 만들어진 것들이 있어서 지금은 굳이 하지 않을 생각이다.
