티스토리 뷰
- 개념 :
a. Amazon Virtual Private Colud 로 사용자 정의 네트워크이며, AWS resource를 이용할 수 있다.
b. 사용자의 AWS 계정 전용 가상 네트워크
c. 다른 가상 네트워크과 논리적으로 분리되어있음.
d. IP 주소범위와 VPC 범위 설정 -> 서브넷 추가 -> 보안그룹 연결 -> Route Table 구성 순으로 진행
- VPC & Subnet
- VPC의 IP 주소 범위
- 인터넷 -> Public Subnet, 인터넷 연결 안함 -> private Sublic
- 지원되는 플랫폼
- Instance의 start/stop에 상관없이 유지되는 static IPv4 할당
- IPv6 CIDR 블록을 VPC에 연결하고 IPv6 주소를 instance에 할당하는 옵션을 사용할 수 있음.
- Instance에 mult-IP 할당 가능
- 네트워크 인터페이스를 정의하고 하나이상의 네트워크인터페이스를 VPC 인스턴스에 설치가능
- 인스턴스가 실행중이라도 상관없이 인스턴스의 보안 그룹 멤버십 변경 가능
- Instance의 inbound & outbound traffic 제어가능
- 단일 Tennant 하드웨어에서 instance 실행
- Default VPC
- EC2-VPC 플랫폼만 지원하는 계정일 경우 각 가용 영역에 기본 서브넷이 있는 기본 VPC가 제공됨.
- 계정에서 지원하는 플랫폼과 상관없이 VPC를 직접 생성할 수 있으며, 필요에 따라 구성할 수 있다. --< No default VPC
- Internet Access -- 내부에서 외부로 접근 하려면 internet gateway를 설치해야함.
- Public IPv4, Private IPv4는 Internet Gateway를 통해 통신 할 수 있다.
- Private IPv4만 존재 할 경우 인터넷에 액세스 할 수 없다.
- PrivateLink를 통한 Service Access
- VPC를 비공개로 연결할 수 있는 가용성과 확장성이 높은 기술
- VPC에 서비스에 대한 인터페이스 VPC EndPoint를 생성, 후 사용가능
- IP Range 결정시 고려사항
- Network 확장 시나리오 고려
- 서비스 확장 대비 충분히 큰 CIDR 지정
- 향후 AWS내 Region간 확장
- 향후 고객사 On-Premise Network과의 연동
- VPC의 Network 범위는 /16~/28 까지 가능
- VPC CIDR은 생성 후 변경 불가
- Secondary CDIP은 4개 까지 추가가능.
- RFC 1918 ( Private IP 표준 ) 권장
- 10.0.0.0/8, 172.16.0.0/12 192.168.0.0/16
- VPC 확장
- Internet Gateway
- Managed Service
- 확장성, 가용성, 중복성, 보장 설계
- VPC 인스턴트와 인터넷 간의 통신
- 1:1 NAT
- 인터넷 구간과 연결하려는 EC2 인스턴스는 Public ip 나 EIP를 가져야함
- Public Subnet의 Routing Table 수정
- NAT Gateway
- AWS가 완전하게 관리하는 NAT Gateway
- Internet Access 가 불가능한 Private Subnet에 있는 instance들이 Patch, Update Download 등을 위하여 구성
- 고가용성 및 최대 10Gbps의 대역폭 제공
- Internet facing Interface를 위해 NAT Gateway당 하나의 Elastic IP 필요.
- VPC Flow Logs를 통하여 Traffic Monitoring
- TCP, UDP, ICMP, Protocol지원
- Network ACL을 통하여 Traffic 통제 ( 외부의 특정한 Server에서만 Download가능 )
- CloudTrail 지원
- EIP ( Elastic IP )
- Account에 할당 되어 변경되지 않는 IP를 할당
- EC2 Instance 장애시, 다른 EC2 Instance로 EIP를 Re-Associate
- Region당 기본 5개의 EIP 할당 가능 ( Soft-Lmit )
- Allocation /Release
- Account 에 EIP 할당 또는 반납
- Associate / Disassociate
- EC2/NAT GW Instance에 EIP 연결 또는 분리
- Gateway ( On-Premise )
- IPSec을 통하여 고객사 Network과 암호화된 터널을 구성
- Direct Connect -- 전용선 이런것도 있음. 별도의 AWS Direct Connect Location이있고 거기에 양쪽을 연결하여 전용 회선을 이용하는 방법
- Peering
- 동일 Region내 VPC간 완전히 격리된 전용의 연결 ) 동일 Account 및 다른 사용자 Account간 )
- VPC간 하나의 VPC Peering만 제공되며, VPC간 IP Address가 중복 될 수 있음.
- 고가용성 및 Traffic에 대한 수평적 확장 제공
- Routing Table을 통하여 통제가 가능하고, Transit Routing은 제공되지 않음.
- 구성 사례 : 인증, 디렉터리 서비스, 모니터링, 로깅, 공통 서비스
- 전송 중 암호화. ( Inter Region VPC )
- EndPoint ( S3, DynamoDB )
- 인터넷을 경유하지 않고 VPC내 EC2 Instance와 S3, DynamoDB를 연결
- VPC Endpoint 생성 시 Routing Policy가 추가
- 다양한 접근 제어 정책 적용
- Route Table
- VPC Endpoint Policy
- S3 Bucket Policy
- Security Group with Prefix list
- Gateway 타입
- Private link
- AWS 서비스, 다른 AWS 계정에서 호스팅 된 서비스 ( VPC Endpoint Service ), 지원 AWS Marketplace 파트너 서비스의 VPC를 비공개로 연결
- VPC내 생성된 VPC endpoint network interface를 이용하므로 서비스 연결시 IGW, NAT Gateway, Public IP DX 불필요
- 사용사례 : 중앙화된 Internal Services ( DB, 로깅, 모니터링 ) Microservices, SaaS
[ VPC 만들기 ]
Service-> Networking & Content Delivery -> VPC -> Your VPCs -> Create VPC
- 생성시 항목
|
이름 |
IPv4 CIDR block* |
IPv4 범위 지정 CIDR 형식으로 ex ) 192.168.9.0/24 |
IPv6 CIDR block |
IPv6 사용여부 기본이 사용하지 않음 ( No IPv6 CIDR Block ) |
Tenancy |
물리적 연결을 할지 여부 Default or Dedicated |
- 초기 생성 이후 (CIDR) 삭제 및 변경이 불가하며, 초기 설정한 대역을 기준으로 추가 CIDR 설정도 영향을 받으니 주의
- 생성이 완료 되면 아래와 같이 Your VPCs에서 확인 가능
3. Subnet 생성
- Subnet 매뉴에서 생성
- /16~/28 까지 생성가능
4. internet gateway 생성
- Detached 인 원인으로 아직 연결이 되지 않았기 때문에 그럼.
6. VPC Attach
- Actions - > Attach to VPC
- VPC 선택
[ 인터넷 엑세스 ]
- NAT
- VPC -> NAT Gateway 설정
- Create NAT Gateway -> 선택
- Subnet 를 설택 -> Elastic IP Allocation ID를 선택 ( 새로 생성 해도됨)
- Route Table 적용
** [ 인터넷 엑세스 ]
- VPC 생성
- Sebnet 생성
- Internet Gateway 생성
- Route Table 생성 -- 모든 영역에 대해 인터넷게이트웨이로 연결
'서버 > AWS 이야기' 카테고리의 다른 글
EBS ( Elactic Block Store )에 관하여 (0) | 2019.02.11 |
---|---|
ElasticCache에 관하여 (0) | 2019.02.11 |
ELB 엑세스로그 포맷 (0) | 2019.02.11 |
VPC에 관하여 (0) | 2019.02.11 |
CloudFront 에 관하여 (0) | 2019.02.11 |
S3에 관하여 (0) | 2019.02.11 |
댓글
공지사항
- Total
- 11,270
- Today
- 0
- Yesterday
- 23
링크
TAG
- bar muscle up
- k8s dashboard
- k8s prometheus
- mysql5.7
- kubespray install
- kubespray
- 18point3
- kubernetes dashboard
- ssd linux check
- snatch
- kubernetes install
- kubernetes install - kubespray
- kubernetes 1.10.0 dashboard
- Cressfit
- squat clean
- crossfit open 18.2
- 크로스핏 천하
- zmfhtmvlt
- crossfit
- smartmontools
- Thruster
- Kubernetes
- ssd health check
- prometheus install
- kubernetes HA
- kubernetes-dashboard
- Dice Game
- kubernetes Monitoring
- dashboard 권한
- 크로스핏