[AWS] Networking

Networking

모듈 4 소개

• 네트워킹의 기본 개념을 설명할 수 있다.
• 퍼블릭 네트워킹 리소스와 프라이빗 네트워킹 리소스의 차이점을 설명할 수 있다.
• 실제 시나리오를 사용하여 가상 프라이빗 게이트웨이를 설명할 수 있다.
• 실제 시나리오를 사용하여 Virtual Private Network(VPN)를 설명할 수 있다.
• AWS Direct Connect의 이점을 설명할 수 있다.
• 하이브리드 배포의 이점을 설명할 수 있다.
• IT 전력에서 사용되는 보안 계층을 설명할 수 있다.
• 고객이 AWS 글로벌 네트워크와 상호 작용하기 위해 사용하는 서비스를 설명할 수 있다.

VPC(Vitual Private Cloud)
: 퍼블릭일 수도 있고, 프라이빗일 수도 있다.
서브넷은 VPC에 있는 IP이다.

예를 들어 프론트엔드의 경우에는 고객 요청을 상호작용해야 하므로 서브넷이 퍼블릭 네트워크에 위치해 있다. 하지만 백엔드의 경우에는 외부와 소통하지 않고 프론트엔드와만 소통한다면 해당 서브넷은 프라이빗 네트워크에 위치해 있을 것이다.

AWS와의 연결

VPC(Virtual Private Cloud)
서브넷 - IP 그룹

AWS EC2 instance같은 수백만 개의 리소스에 경계가 없을 경우, 네트워크 트래픽이 제한없이 리소스 간 흐를 수 있다.

VPC가 이러한 리소스에 경계를 설정할 수 있게 해준다.

Amazon VPC를 사용해서 AWS Cloud에 격리된 세션을 프로비저닝 할 수 있다. 이렇게 격리된 세션에 사용자가 정의한 가상 네트워크에 리소스를 시작할 수 있다.

internet gateway

인터넷의 퍼블릭 트래픽이 VPC에 엑세스하도록 하려면, 인터넷 게이트웨이를 VPC에 연결해야 한다.

인터넷 게이트웨이는 VPC와 인터넷 간의 연결이다. 이 게이트웨이 없이는 외부에서 VPC 내 리소스에 엑세스할 수 없다.

VPC 내에 비공개 리소스에 접근하려면 가상 프라이빗 게이트웨이를 사용할 수 있다.

가상 프라이빗 게이트웨이

가상 프라이빗 게이트웨이는 보호된 인터넷 트래픽이 VPC로 들어오도록 허용하는 구성요소이다. 추가적인 암호화 기능이 들어가기 때문에 속도가 느려질 수도 있다.

가상 프라이빗 게이트웨이를 사용하면, VPC와 프라이빗 네트워크 간에 가상 프라이빗 네트워크(VPN) 연결을 설정할 수 있다.

가상 프라이빗 게이트웨이는 승인된 네트워크에서 나오는 트래픽만 VPC로 들어가도록 허용한다.

AWS Direct Connect

데이터 센터와 VPC 간에 비공개 전용 연결 서비스이다.

마치 사설 통로와 같다고 볼 수 있는데, 이러한 연결은 네트워크 비용을 절감하고, 네트워크 대역폭을 늘리는데 도움을 준다.

완전 비공개인 광 케이블이다. 이건 따로 AWS와 연결을 해야 하는데 왜냐면 완전히 물리적인 회선을 설치하는 일이기 때문이다.

서브넷 및 네트워크 액세스 제어 목록

서브넷 - 보안 또는 운영 요구사항에 따라 리소스를 그룹화할 수 있는 VPC 내의 한 세션이다. 서브넷은 Public 또는 Private일 수 있다.

• 퍼블릭 서브넷 - 온라인 상점의 웹사이트와 같이 누구나 액세스 할 수 있어야 하는 리소스이다.
• 프라이빗 서브넷 - 고객의 개인 정보 및 주문 내역이 포함된 데이터 베이스와 같이 프라이빗 네트워크를 통해서만 액세스할 수 있는 리소스가 포함된다.

VPC 내에서 서브넷은 서로 통신할 수 있다. 예를 들어서 퍼블릭 서브넷에 있는 EC2가 프라이빗 서브넷에 있는 데이터베이스와 통신할 수도 있다.

패킷 - 고객이 AWS 클라우드에서 호스팅되는 에플리케이션에 데이터를 요청 시, 이 요청은 패킷으로 전송된다. 즉 패킷은 인터넷이나 네트워크를 통해 전송되는 데이터의 단위이다.

• 패킷은 IGW(Internet GateWay)를 통해서 VPC로 들어간다. 패킷이 서브넷으로 들어가거나 서브넷에서 나오려면, 먼저 권한을 확인해야 한다.

네트워크 ACL(Access Control List) - 서브넷의 패킷 권한을 확인하는 VPC의 구성요소, 서브넷 수준에서 inbound, outbound traffic을 제어사는 가상 방화벽이다.

• 각 AWS 계정에는 Default 네트워크 ACL이 포함된다. VPC를 구성할 때, 이 기본을 사용하거나 사용자 지정 네트워크 ACL을 생성할 수도 있다.
• 기본 네트워크 ACL은 모든 inbound, outbound 트래픽을 허용하는데, 사용자가 자체 규칙을 추가하여 수정할 수 있다.
• 사용자 지정 네트워크 ACL의 경우애는 사용자가 허용하는 트래픽을 직접 지정하기 전까지는 모든 트래픽을 거부한다.
• 모든 네크워크 ACL에는 명시적 거부 규칙이 있고, 패킷이 목록의 다른 모든 규칙과 일치하지 않으면 거부하도록 한다.

상태 비저장 패킷 필터링 - 아무것도 기억하지 않고, 각 방향(inbound, outbound)으로 서브넷 경계를 통과하는 패킷만 확인한다.

보안그룹 - EC2 인스턴스에 대한 권한을 확인하는 VPC의 구성요소

• 기본적으로 보안그룹은 모든 inbound 트래픽을 거부하고, 모든 outbound 트래픽을 허용한다. 사용자 지정 규칙을 설정하면, 허용 혹은 거부할 트래픽을 구성할 수 있다.

상태 저장 패킷 필터링 - 들어오는 패킷에 대한 이전 결정을 기억한다.

• 요청에 대한 패킷 응답이 인스턴스로 반환될 때, 보안 그룹이 이전 요청을 기억한다. 보안 그룹은 inbound 보안 그룹 규칙에 관계없이 응답이 진행되도록 허용한다.

네트워크 ACL과 보안 그룹을 모두 사용하면, VPC에서 트래픽에 대한 사용자 지정 규칙을 구성 할 수 있다.

글로벌 네트워킹

DNS(Domain Name System) - 어떤 회사가 AWS 클라우드에 웹 사이트를 호스팅한다고 가정하자. 고객이 브라우저에 주소를 입력하면 이 사이트에 접근할 수 있는데,
이 이유는 DNS때문이다.

• DNS 확인에는 DNS 서버와 웹 서버 간의 통신이 포함된다.
• DNS를 인터넷의 전화번호부라고 생각할 수 있고, DNS 확인은 도메인 이름과 IP 주소로 변환하는 프로세스이다.

1. 브라우저에 도메인 이름을 입력하면, 이 요청이 DNS 서버로 전송된다.
2. DNS 서버는 웹 서버에 해당 웹 사이트의 IP를 요청한다.
3. 웹 서버는 이 웹 사이트의 IP 주소인 ...를 제공하여 응답한다.

Amazon Route 53 - DNS 웹 서비스이다. 이 서비스는 개발자와 비지니스가 최종 사용자를 AWS에서 호스팅되는 인터넷 어플리케이션으로 라우팅할 수 있는 방법을 제공한다.

• 사용자 요청을 AWS에서 실행되는 인프라(Ex. EC2 instance, Load Balancer)에 연결한다.
• DNS 레코드를 관리하는 기능도 있다. 직접 새 도메인 이름을 등록 할 수도 있고, 다른 도메인 대행 등록자가 관리하는 기존 도메인 이름의 DNS 레코드를 전송할 수 있다.

Amaaon Route 53과 Amazon CloudFront가 함께 콘텐츠를 전송하는 방식

1. 고객의 특정회사의 웹사이트로 이동하여 에플리케이션에 데이터를 요청
2. Amazon Route 53이 DNS 확인을 사용하여, 해당 회사의 IP 주소를 식별, 고객에게 전송
3. 고객의 요청은 Amazon CloudFront를 통해 가장 가까운 엣지 로케이션으로 전송
4. Amazon CloudFront는 수신 패킷을 Amazon EC2 instance로 전송하는 Application Load Balancer 에 연결됨

모듈 4 요약

• VPC 구성 및 연결
• 네트워크 엑세스 제어 목록 및 보안 그룹을 사용하여 VPC 리소스 보호
• Amazon Route 53 및 Amazone CloudFront를 사용하여 콘텐츠 전송