📌 VPC 주요 서비스
보안 그룹과 네트워크 액세스 제어 목록
VPC는
1) 보안 그룹 Security Group 과
2) 네트워크 액세스 제어 목록 Network ACL 서비스를 이용해서
네트워크 통신과 트래픽에 대해 IP와 포트를 기준으로 통신을 허용하거나 차단하기 위한 기능을 제공한다.
AWS 상에서 방화벽과 동일한 기능을 사용할 수 있게 한다.
보안 그룹과 네트워크 액세스 제어 목록 비교
| 구분 | Security Group | Network ACL |
|---|---|---|
| 서비스 범위 | 인스턴스 레벨에 적용 | 서브넷 레벨에 적용 |
| 적용 정책 | 허용 규칙만 적용 | 허용 및 거부 규칙 적용 |
| 구동 방식 | 규칙에 상관 없이 반환 트래픽 허용 | 반환 트래픽이 별도로 허용돼야 함 |
| 룰 검토/적용 | 해당 객체 내 모든 룰 검토 | 해당 객체 내 룰을 번호 순 처리 |
| 적용 방법 | 인스턴스에 보안 그룹 추가 필요 | 연결된 서브넷에 모든 인스턴스 자동 적용됨 |
VPC 피어링 연결
피어링 연결 Peering Connection
비공개적으로 두 VPC 간에 트래픽을 라우팅할 수 있게 하기 위한 서로 다른 VPC간의 네트워크 연결을 제공
동일한 네트워크에 속한 것처럼 서로 다른 VPC의 인스턴스 간 통신이 가능
NAT 게이트웨이
NAT Network Address Translation
외부 네트워크에 알려진 것과 다른 IP 주소를 사용하는 내부 네트워크에서, 내부 IP 주소를 외부 IP 주소로 변환하는 작업을 수행하는 서비스
NAT 게이트웨이는 프라이빗 서브넷 내에 있는 인스턴스를 인터넷 또는 다른 AWS 서비스에 연결하고 외부망 또는 인터넷에서 해당 인스턴스에 연결하지 못하도록 구성하는 데 사용한다.
1) 외부에 공개될 필요가 없거나
2) 보안 상 중요한 서비스이지만 보안/소프트웨어 업데이트를 인터넷을 통해 받아야 하는 경우 사용한다.
NAT 게이트를 구성하기 위해 필요한 조건
- NAT 게이트를 생성하기 위해
퍼블릭 서브넷을 지정 - NAT 게이트웨이와 연결할
Elastic IP주소 필요 - NAT 게이트웨이를 만든 후 인터넷 트래픽이 NAT 게이트웨이로 통신이 가능하도록
프라이빗 서브넷과 연결된 라우팅 테이블 업데이트
VPC Endpoint
Amazon S3는 인터넷 망에 연결된 서비스로 인터넷 기반의 IP 주소와 연결 정보를 가진다.
이러한 공용 리소스에 대해
퍼블릭 서브넷에 위치한 인스턴스는 인터넷을 통해 연결할 수 있다.
프라이빗 서브넷에 위치한 인스턴스는 S3와 같은 공용 리소스를 연결할 수 없다.
이 경우 S3에 연결하기 위해서는 NAT 게이트웨이 or NAT 인스턴스가 필요한데, VPC Endpoint를 이용하면 빠르고 쉽게 연결할 수 있다.
VPN 연결
기본적으로 Amazon VPC에서 서비스되는 인스턴스는 On-Premise에 있는 서버나 IDC 내 시스템과 통신할 수 없다.
1) VPC에 가상의 프라이빗 게이트웨이를 연결하고
2) 사용자 지정 라우팅 테이블을 생성하며
3) 보안 그룹의 규칙을 업데이트하고
4) AWS 관리형 VPN 연결을 생성하여
VPC에서 원격 네트워크에 접속하도록 하이브리드 클라우드 환경을 구성할 수 있다.
VPN 연결은 VPC 자체 네트워크 사이의 연결을 의미한다.
