| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | |||
| 5 | 6 | 7 | 8 | 9 | 10 | 11 |
| 12 | 13 | 14 | 15 | 16 | 17 | 18 |
| 19 | 20 | 21 | 22 | 23 | 24 | 25 |
| 26 | 27 | 28 | 29 | 30 | 31 |
- Compute Engine
- container
- Cloud Datastore
- playbook
- AWS
- AWS Solution Architect
- GKE
- Google Cloud Platform
- Solution Architect
- Solution Architect Certificate
- AWS 자격증
- 아마존웹서비스
- AWS Database
- Cloud SQL
- Kubernetes Engine
- 리버스 프록시
- Reverse Proxy
- Google Cloud Platrofm
- kubernetes
- Google Cloud
- 앤서블
- Google Cloud Platorm
- AWS Certificate
- VPC
- Cloud Bigtable
- Cloud Spanner
- gcp
- ansible
- Amazon Web Service
- Cloud Storage
- Today
- Total
sungwony
[AWS] VPC 2/2 본문
이 글은 Udemy의 AWS Certified Solutions Architect - Associate 2019 강의를 개인 학습용도로 정리한 글입니다
ACL(Access Control List)
- VPC는 자동으로 기본 네트워크 ACL과 연결되어 ACL에 의해 모든 아웃바운드 및 인바운드 트래픽을 허용한다
- 사용자는 커스텀한 네트워크 ACL을 생성할 수 있다. 생성된 커스텀 ACL은 기본으로 새로운 규칙이 추가될 때 까지 모든 인바운드와 아웃바운드 트래픽을 차단한다
- VPC의 각 서브넷은 네트워크 ACL과 연결되어 있어야 한다. 서브넷을 ACL과 명시적으로 연결하지 않으면 서브넷은 자동으로 기본 네트워크 ACL과 연결된다
- 네트워크 ACL을 사용한 IP 주소 차단은 보안 그룹(Security Group)이 아니다
- 네트워크 ACL을 여러 서브넷에 할당할 수 있다. 그렇지만 하나의 서브넷에 한번에 오직 하나의 네트워크 ACL만 연결시킬 수 있다. 네트워크 ACL을 서브넷에 연결할 때 기존의 연결은 제거된다
- 네트워크 ACL은 낮은 숫자의 규칙부터 우선적으로 적용된다
- 네트워크 ACL은 인바운드와 아웃바운드 규칙을 별개로 갖고 트래픽을 허용하고 차단할 수 있다
- 네트워크 ACL은 Stateless하다. 허용된 인바운드 트래픽의 응답에는 아웃바운드 트래픽 규칙이 적용된다
VPC FlowLog
- Peer VPC가 계정에 없으면 VPC와 피어링 된 VPC에 대한 flow log를 활성화 할 수 없다
- Flow log에 태깅할 수 없다
- Flow log를 생성한 뒤에는 설정을 변경할 수 없다. 예를 들어 flow log에 다른 IAM 규칙을 설정할 수 없다
- Flow log에서 모니터링 할 수 없는 IP 트래픽
- 인스턴스에서 아마존 DNS 서버로 연결할 때 발생하는 트래픽. 만약 개인 DNS 서버를 사용한다면 DNS 서버에 대한 모든 트래픽을 로깅한다
- 아마존 윈도우 라이센스 활성화를 위해 윈도우 인스턴스에서 발생하는 트래픽
- 인스턴스 메타데이터를 위해 169.254.169.254에 들어오고 나가는 트래픽
- DHCP 트래픽
- 기본 VPC 라우터를 위해 예약된 IP 주소에 대한 트래픽
Bastion Host
- Bastion Host는 공격에 견딜 수 있도록 특별히 설계되고 구성된 네트워크상의 특수 목적 컴퓨터이다. 컴퓨터는 일반적으로 단일 어플리케이션을 호스팅한다. 예를 들어 프록시 서버 그리고 모든 다른 서비스는 컴퓨터에 위험을 줄이기 위해 삭제되거나 제한된다. 방화벽 외부 또는 비무장 지대(DMZ)에 있으면서 일반적으로 신뢰할 수 없는 네트워크 또는 컴퓨터의 액세스를 포함하는 위치와 목적때문에 이런 방식으로 강화되었다
- NAT 게이트웨이 또는 NAT 인스턴스는 인터넷 트래픽을 프라이빗 서브넷의 EC2 인스턴스에 제공한다
- Bastion은 EC2 인스턴스(SSH 또는 RDP를 사용하는)를 엄격하게 관리하기 위해 사용한다(호주에서는 Jump Boxes라고 불림)
- Bastion 호스트에 NAT 게이트웨이를 사용할 수 없다
Direct Connect
- AWS Direct Connect는 AWS 프레미스로 부터 전용 네트워크 연결을 간편하게 구축하기 위한 클라우드 서비스 솔루션이다. AWS Direct Connection을 사용하면 AWS와 개인 데이터센터, 오피스, 공용 환경 사이의 프라이빗한 연결을 생성하여 네트워크 비용을 줄일 수 있고 대역폭 처리량을 증가시키고, 인터넷 기반의 연결보다 견고한 네트워크 경험을 제공할 수 있다
- Direct Connect는 즉각적으로 데이터 센터를 AWS와 연결한다
- 높은 처리량의 워크로드에 유용하다
- 만약 견고하고 신뢰할 수 있는 보안 연결이 필요할 때 유용하다
VPC 엔드포인트
- VPC 엔드포인트는 사용자의 VPC에서 AWS가 제공하는 서비스와 PrivateLink에서 공급하는 VPC 엔드포인트 서비스를 인터넷 게이트웨이, NAT 장치, VPN 연결, AWS Direct Connect 연결 없이 프라이빗하게 연결한다. VPC의 인스턴스는 서비스 자원과 상호작용을 위해 퍼플릭한 IP 주소를 필요로 하지 않는다. VPC와 다른 서비스 사이의 트개픽은 아마존 네트워크를 벗어나지 않는다
- 엔드포인트는 가상의 장치이다. 이것은 수평적 확장, 축소, 고가용성의 VPC 컴포넌트로 VPC안의 인스턴스와 서비스 사이의 커뮤니테이션을 네트워크 트래픽에 가용성 위험 또는 대역폭 제약을 주지 않으면서 가능하게 한다
- VPC 엔드포인트 타입
- 인터페이스 엔드포인트
- 게이트웨이 엔드포인트
- 게이트웨이 엔드포인트 지원
- Amazon S3
- DynamoDB
'cloud & devops > amazon web service' 카테고리의 다른 글
| [AWS] Application (0) | 2020.02.09 |
|---|---|
| [AWS] 고가용성 아키텍처(High Availability Architect) (0) | 2020.01.26 |
| [AWS] VPC 1/2 (0) | 2020.01.15 |
| [AWS] Route53 (0) | 2019.12.30 |
| [AWS] Database (0) | 2019.12.20 |