티스토리 뷰

서버/AWS 이야기

VPC에 관하여

크롱_k 2019.02.11 11:00

  1. 개념 :

   a. Amazon Virtual Private Colud 사용자 정의 네트워크이며, AWS resource 이용할 있다.

   b. 사용자의 AWS 계정 전용 가상 네트워크

   c. 다른 가상 네트워크과 논리적으로 분리되어있음.

   d. IP 주소범위와 VPC 범위 설정 -> 서브넷 추가 -> 보안그룹 연결 -> Route Table 구성 순으로 진행

 

  1. VPC & Subnet
    1. VPC IP 주소 범위
    2. 인터넷 -> Public Subnet, 인터넷 연결 안함 -> private Sublic

 

  1. 지원되는 플랫폼
    1. Instance start/stop 상관없이 유지되는 static IPv4 할당
    2. IPv6 CIDR 블록을 VPC 연결하고 IPv6 주소를 instance 할당하는 옵션을 사용할 있음.
    3. Instance mult-IP 할당 가능
    4. 네트워크 인터페이스를 정의하고 하나이상의 네트워크인터페이스를 VPC 인스턴스에 설치가능
    5. 인스턴스가 실행중이라도 상관없이 인스턴스의 보안 그룹 멤버십 변경 가능
    6. Instance inbound & outbound traffic 제어가능
    7. 단일 Tennant 하드웨어에서 instance 실행

 

  1. Default VPC
    1. EC2-VPC 플랫폼만 지원하는 계정일 경우 가용 영역에 기본 서브넷이 있는 기본 VPC 제공됨.
    2. 계정에서 지원하는 플랫폼과 상관없이 VPC 직접 생성할 있으며, 필요에 따라 구성할 있다. --< No default VPC

 

  1. Internet Access -- 내부에서 외부로 접근 하려면 internet gateway 설치해야함.
    1. Public IPv4, Private IPv4 Internet Gateway 통해 통신 있다.
    2. Private IPv4 존재 경우 인터넷에 액세스 없다.

 

  1. PrivateLink 통한 Service Access
    1. VPC 비공개로 연결할 있는 가용성과 확장성이 높은 기술
    2. VPC 서비스에 대한 인터페이스 VPC EndPoint 생성, 사용가능


 

  1. IP Range 결정시 고려사항
    1. Network 확장 시나리오 고려
      1. 서비스 확장 대비 충분히 CIDR 지정
      2. 향후 AWS Region 확장
      3. 향후 고객사 On-Premise Network과의 연동
    2. VPC Network 범위는 /16~/28 까지 가능
    3. VPC CIDR 생성 변경 불가
      1. Secondary CDIP 4 까지 추가가능.
    4. RFC 1918 ( Private IP 표준 ) 권장
      1. 10.0.0.0/8, 172.16.0.0/12 192.168.0.0/16

 

  1. VPC 확장
    1. Internet Gateway
      1. Managed Service
        1. 확장성, 가용성, 중복성, 보장 설계
      2. VPC 인스턴트와 인터넷 간의 통신
      3. 1:1 NAT
      4. 인터넷 구간과 연결하려는 EC2 인스턴스는 Public ip EIP 가져야함
      5. Public Subnet Routing Table 수정
    2. NAT Gateway
      1. AWS 완전하게 관리하는 NAT Gateway
      2. Internet Access 불가능한 Private Subnet 있는 instance들이 Patch, Update Download 등을 위하여 구성
      3. 고가용성 최대 10Gbps 대역폭 제공
      4. Internet facing Interface 위해 NAT Gateway 하나의 Elastic IP 필요.
      5. VPC Flow Logs 통하여 Traffic Monitoring
      6. TCP, UDP, ICMP, Protocol지원
      7. Network ACL 통하여 Traffic 통제 ( 외부의 특정한 Server에서만 Download가능 )
      8. CloudTrail 지원
    3. EIP ( Elastic IP )
      1. Account 할당 되어 변경되지 않는 IP 할당
      2. EC2 Instance 장애시, 다른 EC2 Instance EIP Re-Associate
      3. Region 기본 5개의 EIP 할당 가능 ( Soft-Lmit )
      4. Allocation /Release
        1. Account EIP 할당 또는 반납
      5. Associate / Disassociate
        1. EC2/NAT GW Instance EIP 연결 또는 분리
    4. Gateway ( On-Premise )
      1. IPSec 통하여 고객사 Network 암호화된 터널을 구성
      2. Direct Connect -- 전용선 이런것도 있음. 별도의 AWS Direct Connect Location이있고 거기에 양쪽을 연결하여 전용 회선을 이용하는 방법
    5. Peering
      1. 동일 Region VPC 완전히 격리된 전용의 연결 ) 동일 Account 다른 사용자 Account )
      2. VPC 하나의 VPC Peering 제공되며, VPC IP Address 중복 있음.
      3. 고가용성 Traffic 대한 수평적 확장 제공
      4. Routing Table 통하여 통제가 가능하고, Transit Routing 제공되지 않음.
      5. 구성 사례 : 인증, 디렉터리 서비스, 모니터링, 로깅, 공통 서비스
      6. 전송 암호화. ( Inter Region VPC )
    6. EndPoint ( S3, DynamoDB )
      1. 인터넷을 경유하지 않고 VPC EC2 Instance S3, DynamoDB 연결
      2. VPC Endpoint 생성 Routing Policy 추가
      3. 다양한 접근 제어 정책 적용
        1. Route Table
        2. VPC Endpoint Policy
        3. S3 Bucket Policy
        4. Security Group with Prefix list
      4. Gateway 타입
    7. Private link
      1. AWS 서비스, 다른 AWS 계정에서 호스팅 서비스 ( VPC Endpoint Service ), 지원 AWS Marketplace 파트너 서비스의 VPC 비공개로 연결
      2. VPC 생성된 VPC endpoint network interface 이용하므로 서비스 연결시 IGW, NAT Gateway, Public IP DX 불필요
      3. 사용사례 : 중앙화된 Internal Services ( DB, 로깅, 모니터링 ) Microservices, SaaS

 

 

 

 

[ VPC 만들기 ]

 Service-> Networking & Content Delivery -> VPC -> Your VPCs -> Create VPC

 

  1. 생성시 항목
    1. Name tag

이름

IPv4 CIDR block*

IPv4 범위 지정 CIDR 형식으로 ex ) 192.168.9.0/24

IPv6 CIDR block

IPv6 사용여부 기본이 사용하지 않음 ( No IPv6 CIDR Block )

Tenancy

물리적 연결을 할지 여부 Default or Dedicated

  1. 초기 생성 이후 (CIDR) 삭제 변경이 불가하며, 초기 설정한 대역을 기준으로 추가 CIDR 설정도 영향을 받으니 주의
    1. 생성이 완료 되면 아래와 같이 Your VPCs에서 확인 가능

 


          3. Subnet 생성

  1.  Subnet 매뉴에서 생성
  2. /16~/28 까지 생성가능

 


4. internet gateway 생성

    • Detached 원인으로 아직 연결이 되지 않았기 때문에 그럼.

 

 

  6. VPC Attach

 

  • Actions - > Attach to VPC
  • VPC 선택 


 

 

 

 

[ 인터넷 엑세스 ]

 

  1. NAT
    1. VPC -> NAT Gateway  설정
    2. Create NAT Gateway -> 선택
      1. Subnet 설택 -> Elastic IP Allocation ID 선택 ( 새로 생성 해도됨)
    3. Route Table 적용

** [ 인터넷 엑세스 ]

  1. VPC 생성
  2. Sebnet 생성
  3. Internet Gateway 생성
  4. Route Table 생성 -- 모든 영역에 대해 인터넷게이트웨이로 연결



'서버 > AWS 이야기' 카테고리의 다른 글

EBS ( Elactic Block Store )에 관하여  (0) 2019.02.11
ElasticCache에 관하여  (0) 2019.02.11
ELB 엑세스로그 포맷  (0) 2019.02.11
VPC에 관하여  (0) 2019.02.11
CloudFront 에 관하여  (0) 2019.02.11
S3에 관하여  (0) 2019.02.11
댓글
댓글쓰기 폼