VPC는
1) 보안 그룹 Security Group
과
2) 네트워크 액세스 제어 목록 Network ACL
서비스를 이용해서
네트워크 통신
과 트래픽
에 대해 IP
와 포트
를 기준으로 통신을 허용하거나 차단하기 위한 기능을 제공한다.
AWS 상에서 방화벽
과 동일한 기능을 사용할 수 있게 한다.
구분 | Security Group | Network ACL |
---|---|---|
서비스 범위 | 인스턴스 레벨에 적용 | 서브넷 레벨에 적용 |
적용 정책 | 허용 규칙만 적용 | 허용 및 거부 규칙 적용 |
구동 방식 | 규칙에 상관 없이 반환 트래픽 허용 | 반환 트래픽이 별도로 허용돼야 함 |
룰 검토/적용 | 해당 객체 내 모든 룰 검토 | 해당 객체 내 룰을 번호 순 처리 |
적용 방법 | 인스턴스에 보안 그룹 추가 필요 | 연결된 서브넷에 모든 인스턴스 자동 적용됨 |
피어링 연결 Peering Connection
비공개적으로 두 VPC 간에 트래픽을 라우팅할 수 있게 하기 위한 서로 다른 VPC간의 네트워크 연결을 제공
동일한 네트워크에 속한 것처럼
서로 다른 VPC의 인스턴스 간 통신
이 가능
NAT Network Address Translation
외부 네트워크에 알려진 것과 다른 IP 주소를 사용하는 내부 네트워크에서, 내부 IP 주소를 외부 IP 주소로 변환하는 작업을 수행하는 서비스
NAT 게이트웨이는 프라이빗 서브넷 내에 있는 인스턴스
를 인터넷 또는 다른 AWS 서비스에 연결
하고 외부망 또는 인터넷에서 해당 인스턴스에 연결하지 못하도록 구성하는 데 사용한다.
1) 외부에 공개될 필요가 없거나
2) 보안 상 중요한 서비스이지만 보안/소프트웨어 업데이트를 인터넷을 통해 받아야 하는 경우 사용한다.
퍼블릭 서브넷
을 지정Elastic IP
주소 필요프라이빗 서브넷과 연결된 라우팅 테이블 업데이트
Amazon S3
는 인터넷 망에 연결된 서비스로 인터넷 기반의 IP 주소와 연결 정보를 가진다.
이러한 공용 리소스에 대해
퍼블릭 서브넷
에 위치한 인스턴스는 인터넷을 통해 연결할 수 있다.
프라이빗 서브넷
에 위치한 인스턴스는 S3와 같은 공용 리소스를 연결할 수 없다.
이 경우 S3에 연결하기 위해서는 NAT 게이트웨이 or NAT 인스턴스가 필요한데, VPC Endpoint
를 이용하면 빠르고 쉽게 연결할 수 있다.
기본적으로 Amazon VPC에서 서비스되는 인스턴스는 On-Premise에 있는 서버나 IDC 내 시스템과 통신할 수 없다.
1) VPC에 가상의 프라이빗 게이트웨이를 연결하고
2) 사용자 지정 라우팅 테이블을 생성하며
3) 보안 그룹의 규칙을 업데이트하고
4) AWS 관리형 VPN 연결을 생성하여
VPC에서 원격 네트워크에 접속하도록 하이브리드 클라우드 환경을 구성할 수 있다.
VPN 연결은 VPC 자체 네트워크 사이의 연결
을 의미한다.