MSNOTE

1. 개념 :

   a. Amazon Virtual Private Colud 로 사용자 정의 네트워크이며, AWS resource를 이용할 수 있다.

   b. 사용자의 AWS 계정 전용 가상 네트워크

   c. 다른 가상 네트워크과 논리적으로 분리되어있음.

   d. IP 주소범위와 VPC 범위 설정 -> 서브넷 추가 -> 보안그룹 연결 -> Route Table 구성 순으로 진행

2. VPC & Subnet
1. VPC의 IP 주소 범위
2. 인터넷 -> Public Subnet, 인터넷 연결 안함 -> private Sublic

3. 지원되는 플랫폼
1. Instance의 start/stop에 상관없이 유지되는 static IPv4 할당
2. IPv6 CIDR 블록을 VPC에 연결하고 IPv6 주소를 instance에 할당하는 옵션을 사용할 수 있음.
3. Instance에 mult-IP 할당 가능
4. 네트워크 인터페이스를 정의하고 하나이상의 네트워크인터페이스를 VPC 인스턴스에 설치가능
5. 인스턴스가 실행중이라도 상관없이 인스턴스의 보안 그룹 멤버십 변경 가능
6. Instance의 inbound & outbound traffic 제어가능
7. 단일 Tennant 하드웨어에서 instance 실행

4. Default VPC
1. EC2-VPC 플랫폼만 지원하는 계정일 경우 각 가용 영역에 기본 서브넷이 있는 기본 VPC가 제공됨.
2. 계정에서 지원하는 플랫폼과 상관없이 VPC를 직접 생성할 수 있으며, 필요에 따라 구성할 수 있다. --< No default VPC

5. Internet Access -- 내부에서 외부로 접근 하려면 internet gateway를 설치해야함.
1. Public IPv4, Private IPv4는 Internet Gateway를 통해 통신 할 수 있다.
2. Private IPv4만 존재 할 경우 인터넷에 액세스 할 수 없다.

6. PrivateLink를 통한 Service Access
1. VPC를 비공개로 연결할 수 있는 가용성과 확장성이 높은 기술
2. VPC에 서비스에 대한 인터페이스 VPC EndPoint를 생성, 후 사용가능

7. IP Range 결정시 고려사항
1. Network 확장 시나리오 고려
1. 서비스 확장 대비 충분히 큰 CIDR 지정
2. 향후 AWS내 Region간 확장
3. 향후 고객사 On-Premise Network과의 연동
2. VPC의 Network 범위는 /16~/28 까지 가능
3. VPC CIDR은 생성 후 변경 불가
1. Secondary CDIP은 4개 까지 추가가능.
4. RFC 1918 ( Private IP 표준 ) 권장
1. 10.0.0.0/8, 172.16.0.0/12 192.168.0.0/16

8. VPC 확장
1. Internet Gateway
1. Managed Service
1. 확장성, 가용성, 중복성, 보장 설계
2. VPC 인스턴트와 인터넷 간의 통신
3. 1:1 NAT
4. 인터넷 구간과 연결하려는 EC2 인스턴스는 Public ip 나 EIP를 가져야함
5. Public Subnet의 Routing Table 수정
2. NAT Gateway
1. AWS가 완전하게 관리하는 NAT Gateway
2. Internet Access 가 불가능한 Private Subnet에 있는 instance들이 Patch, Update Download 등을 위하여 구성
3. 고가용성 및 최대 10Gbps의 대역폭 제공
4. Internet facing Interface를 위해 NAT Gateway당 하나의 Elastic IP 필요.
5. VPC Flow Logs를 통하여 Traffic Monitoring
6. TCP, UDP, ICMP, Protocol지원
7. Network ACL을 통하여 Traffic 통제 ( 외부의 특정한 Server에서만 Download가능 )
8. CloudTrail 지원
3. EIP ( Elastic IP )
1. Account에 할당 되어 변경되지 않는 IP를 할당
2. EC2 Instance 장애시, 다른 EC2 Instance로 EIP를 Re-Associate
3. Region당 기본 5개의 EIP 할당 가능 ( Soft-Lmit )
4. Allocation /Release
1. Account 에 EIP 할당 또는 반납
5. Associate / Disassociate
1. EC2/NAT GW Instance에 EIP 연결 또는 분리
4. Gateway ( On-Premise )
1. IPSec을 통하여 고객사 Network과 암호화된 터널을 구성
2. Direct Connect -- 전용선 이런것도 있음. 별도의 AWS Direct Connect Location이있고 거기에 양쪽을 연결하여 전용 회선을 이용하는 방법
5. Peering
1. 동일 Region내 VPC간 완전히 격리된 전용의 연결 ) 동일 Account 및 다른 사용자 Account간 )
2. VPC간 하나의 VPC Peering만 제공되며, VPC간 IP Address가 중복 될 수 있음.
3. 고가용성 및 Traffic에 대한 수평적 확장 제공
4. Routing Table을 통하여 통제가 가능하고, Transit Routing은 제공되지 않음.
5. 구성 사례 : 인증, 디렉터리 서비스, 모니터링, 로깅, 공통 서비스
6. 전송 중 암호화. ( Inter Region VPC )
6. EndPoint ( S3, DynamoDB )
1. 인터넷을 경유하지 않고 VPC내 EC2 Instance와 S3, DynamoDB를 연결
2. VPC Endpoint 생성 시 Routing Policy가 추가
3. 다양한 접근 제어 정책 적용
1. Route Table
2. VPC Endpoint Policy
3. S3 Bucket Policy
4. Security Group with Prefix list
4. Gateway 타입
7. Private link
1. AWS 서비스, 다른 AWS 계정에서 호스팅 된 서비스 ( VPC Endpoint Service ), 지원 AWS Marketplace 파트너 서비스의 VPC를 비공개로 연결
2. VPC내 생성된 VPC endpoint network interface를 이용하므로 서비스 연결시 IGW, NAT Gateway, Public IP DX 불필요
3. 사용사례 : 중앙화된 Internal Services ( DB, 로깅, 모니터링 ) Microservices, SaaS

[ VPC 만들기 ]

 Service-> Networking & Content Delivery -> VPC -> Your VPCs -> Create VPC

1. 생성시 항목

2. 초기 생성 이후 (CIDR) 삭제 및 변경이 불가하며, 초기 설정한 대역을 기준으로 추가 CIDR 설정도 영향을 받으니 주의
1. 생성이 완료 되면 아래와 같이 Your VPCs에서 확인 가능

          3. Subnet 생성

1.  Subnet 매뉴에서 생성
2. /16~/28 까지 생성가능

4. internet gateway 생성

• Detached 인 원인으로 아직 연결이 되지 않았기 때문에 그럼.

  6. VPC Attach

• Actions - > Attach to VPC
• VPC 선택 

[ 인터넷 엑세스 ]

1. NAT
1. VPC -> NAT Gateway  설정
2. Create NAT Gateway -> 선택
1. Subnet 를 설택 -> Elastic IP Allocation ID를 선택 ( 새로 생성 해도됨)
3. Route Table 적용
4. 
   

** [ 인터넷 엑세스 ]

1. VPC 생성
2. Sebnet 생성
3. Internet Gateway 생성
4. Route Table 생성 -- 모든 영역에 대해 인터넷게이트웨이로 연결