| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | |||
| 5 | 6 | 7 | 8 | 9 | 10 | 11 |
| 12 | 13 | 14 | 15 | 16 | 17 | 18 |
| 19 | 20 | 21 | 22 | 23 | 24 | 25 |
| 26 | 27 | 28 | 29 | 30 | 31 |
- ansible
- Reverse Proxy
- Amazon Web Service
- AWS Database
- Solution Architect
- Cloud Spanner
- VPC
- AWS
- playbook
- Cloud Storage
- 리버스 프록시
- Cloud Datastore
- Cloud Bigtable
- kubernetes
- 아마존웹서비스
- Solution Architect Certificate
- Cloud SQL
- AWS Certificate
- Google Cloud Platrofm
- container
- gcp
- GKE
- Google Cloud Platform
- Kubernetes Engine
- Compute Engine
- AWS 자격증
- AWS Solution Architect
- Google Cloud Platorm
- Google Cloud
- 앤서블
- Today
- Total
sungwony
[AWS] VPC 1/2 본문
이 글은 Udemy의 AWS Certified Solutions Architect - Associate 2019 강의를 개인 학습용도로 정리한 글입니다
VPC란 무엇인가?
Amazon VPC는 Virtual Private Cloud의 약자로 AWS 클라우드내의 논리적으로 독립된 섹션을 제공하여 사용자가 정의한 가상 네트워크 상에서 AWS 리소스를 실행할 수 있게 지원한다. 사용자는 가상 네트워크 환경에서 개별 IP address 범위 선택, 서브넷을 생성, 라우트 테이블 및 네트워크 게이트웨이 구성 등을 완전하게 제어할 수 있다. 사용자는 간단히 VPC를 위한 네트워크 설정을 커스터마이징 할 수 있다. 예를들어 인터넷으로 통하는 웹서버를 위한 public-facing 서브넷, 인터넷과 연결되지 않도록 데이터베이스 또는 애플리케이션 서버와 같은 백앤드 시스템을 private-facing 서브넷을 생성할 수 있다. 사용자는 보안 그룹 및 네트워크 엑세스 제어 목록(ACL)을 포함해 여러 계층의 보안을 활용하여 각 서브넷에서 Amazon EC2 인스턴스에 대한 엑세스를 제어할 수 있다.
VPC로 무엇을 할 수 있는가?
- 서브넷을 선택하여 인스턴스를 실행
- 커스텀 IP 주소 범위를 각 서브넷에 할당
- 서브넷 사이의 라우트 테이블을 설정
- 인터넷 게이트웨이를 생성하고 VPC에 부착
- AWS 리소스에 대해 보다 안전한 제어
- 인스턴스 보안 그룹
- 서브넷 네트워크 접근 제어 리스트(ACLS)
Default VPC vs Custom VPC
- 기본 VPC는 사용자 친화적이고 인스턴스를 즉시 배포할 수 있다
- 기본 VPC의 모든 서브넷은 인터넷으로 라우팅 된다
- 각각의 EC2 인스턴스는 public IP 주소와 private IP 주소를 모두 갖는다
VPC Peering
- private IP 주소를 사용해 다이렉트 네트워크 라우팅을 통해 VPC를 다른 VPC로 연결할 수 있다
- 인스턴스는 같은 private 네트워크에 있는것 처럼 동작한다
- VPC를 다른 AWS 계정 및 동일한 계정의 다른 VPC로 피어링 할 수 있다
- 피어링은 스타형으로 구성된다. 즉 다른 4개의 VPC와 중앙에 1개의 VPC가 피어링 된다
- 리전(Region)간 피어링이 가능하다
VPC 정리
- VPC를 AWS내의 논리적인 데이터 센터로 간주하라
- 인터넷 게이트웨이(IGW 또는 Virtual Private Gateway), 라우팅 테이블, 네트워크 ACL, 서브넷, 보안 그룹으로 구성된다
- 1 서브넷 = 1 AZ
- 보안 그룹은 Stateful 하고 네트워크 ACL은 Stateless 하다
- NO TRANSITIVE PEERING
VPC 생성
- VPC를 생성할 때 기본으로 라우팅 테이블, 네트워크 ACL, 기본 보안 그룹이 생성된다
- 서브넷과 인터넷 게이트웨이는 생성되지 않는다
- 하나의 AWS 계정의 US-East-1A와 다른 AWS 계정의 US-East-1A는 완벽하게 다른 AZ이다. AZ는 랜덤이다
- Amazon은 서브넷에서 5개의 IP 주소를 예약 점유한다
- 보안 그룹은 VPC를 확장할 수 없다
NAT 인스턴스
- NAT 인스턴스 생성시, 인스턴스 설정중 Source/Destination은 체크를 해제해야 한다
- NAT 인스턴스는 반드시 퍼블릭 서브넷에 있어야 한다
- 사용을 위해서는 프라이빗 서브넷에서 NAT 인스턴스로의 경로가 있어야 한다
- NAT 인스턴스가 지원할 수 있는 트래픽의 양은 인스턴스 사이즈에 의존한다. 만약 병목이 있다면 인스턴스 사이즈를 증가시켜야 한다
- 오토스케일링 그룹, 여러 AZ의 다중 서브넷, 자동 복구 스크립트 등을 사용하여 고가용성을 만들 수 있다
- NAT 인스턴스는 항상 보안 그룹 뒤에있다
NAT 게이트웨이
- AZ내에서 중복된다
- 기업에서 선호된다
- 5Gbps로 시작하고 45Gbps 까지 확장된다
- 패치가 불필요하다
- 보안 그룹과 연관이 없다
- 퍼블릭 IP 주소가 자동으로 할당된다
- 라우트 테이블을 업데이트 해야한다
- Source/Destination 설정을 해제할 필요가 없다
- 여러 AZ에 자원을 가지고 있고 하나의 NAT 게이트웨이를 공유한다면 AZ의 NAT 게이트웨이가 다운되었을 때 다른 AZ의 자원이 인터넷 연결을 잃게된다. AZ에 독립적인 아키텍처를 고안하고 각 AZ에 NAT 게이트웨이를 생성하고 자원이 같은 AZ의 NAT 게이트웨이를 사용하는 것이 보장되도록 라우팅을 설정하라
'cloud & devops > amazon web service' 카테고리의 다른 글
| [AWS] 고가용성 아키텍처(High Availability Architect) (0) | 2020.01.26 |
|---|---|
| [AWS] VPC 2/2 (0) | 2020.01.24 |
| [AWS] Route53 (0) | 2019.12.30 |
| [AWS] Database (0) | 2019.12.20 |
| [AWS] EC2 2/2 (0) | 2019.12.07 |