그림으로 이해하는 AWS 구조와 기술 6~7장(VPC) 요약 정리

6장. VPC

Amazon VPC(Virtual Private Cloud)

• VPC란?
  • AWS 전용 가상 네트워크 서비스로 AWS에서 제공되는 리소스만 설치 가능하다.
• VPC 구성 및 기능
  • 기본적으로 Private한 네트워크, 외부와 통신하기 위해서는 인터넷, LAN 등이 필요하다.
  • 네트워크/서브넷 범위, 라우팅 테이블, 게이트웨이 등 가상 네트워킹 환경 설정 가능
• VPC 네트워크 특징
  • 물리적인 라우터가 아닌 소프트웨어가 라우터 역할을 한다. → 라우팅 테이블
  • 라우팅 테이블 하나에 서브넷 여러개 설정 가능
  • VPC 당 하나의 IGW 설정 가능, 명시적인 IP 주소가 부여 되지는 않는다.
  • 서브넷 간의 통신은 라우터 없이 직접 통신할 수도 있다.

 

VPC 사용하기

• VPC 설정 시 고려 사항
  • 인터넷 연결 여부 → IGW 필요
  • 오토 스케일링 여부 → 여분의 IP 주소 필요
  • 보안 설정 → 보안 그룹, ACL

 

기본 VPC

• 기본 VPC?
  • AWS는 리전별로 기본 VPC를 제공한다.
  • 네트워크 지식이 없다면 기본 VPC를 사용하자.
• 기본 VPC 구성
  • 서브넷, AZ 별로 한 개씩 생성
  • 인터넷 게이트웨이

 
 

서브넷과 DHCP

AWS의 서브넷

• AWS의 서브넷은 특정 AZ에 속한다. ⇒ 물리적 위치 결정
• 한 VPC 내에 여러 서브넷 생성 가능
  • 서브넷 별로 특정 용도에 맞게 사용 가능 ex. bastion host
  • 서브넷 간의 통신은 라우팅 없이도 가능

 

네트워크 클래스

• 기본 VPC은 /16(B 클래스)
• 각 AZ에는 이를 /20으로 분할한 서브넷이 존재한다.
• 직접 CIDR 설정할 경우 /16, /20 기준으로 설정하는 것이 일반적이다.

 

IP 주소 할당과 DHCP

• AWS는 EC2, RDS 외에도 라우터, IGW 등에도 IP 주소를 할당할 수 있다.
• VPC 내에서 관리되는 DHCP 서버가 자동으로 할당. 주로 Private IP

 
 

라우팅과 NAT: Public IP 주소와 Private IP 주소 변환

라우터(Router)

• 네트워크 간 데이터를 전달(라우팅)하기 위한 장치
• 게이트웨이 역할 수행
  • 네트워크 출입구 역할을 하는 것을 ‘게이트웨이’라고 하는데 보통 라우터가 수행하는 경우가 많다.

 

NAT(Network Address Translation)

• 내부 네트워크(사설 IP 주소) ↔ 외부 네트워크(공인 IP 주소) 간 IP 주소 변환 기술
• 다대다 가능
• 종류
  • SNAT(Source NAT): 사설 IP → 공인 IP 변환
  • DNAT (Destination NAT): 공인 IP → 사설 IP 변환

 

IP 마스커레이드(masquerade)

• SNAT의 한 종류
• 하나의 공인 IP 주소를 여러 사설 IP 주소 공유 (일대다)
• 포트 변환을 이용하여 내부 호스트 구분

 
 

인터넷 게이트웨이와 NAT 게이트웨이: VPC와 인터넷 간 통신

인터넷 게이트웨이(IGW)

• VPC 내부 EC2 인스턴스와 인터넷을 연결하는 역할
• !! IGW 자체에는 주소 변환 기능이 없다 !!

 

NAT 게이트웨이(NGW)

• 내부 → 외부 요청 가능, 외부 → 내부 요청 불가능 (보안 강화)
• ex. 사설 서버의 소프트웨어 업데이트가 필요한 경우

 

+) IGW 참고

• IGW는 오직 VPC와 인터넷을 연결하는 ‘통로’ 역할만 한다.
• NGW와 달리 IP 주소 변환 기능은 없음
• 그렇다면 IGW는 어떻게 외부 요청을 특정 EC2에 전달하나..?
  • EC2에 공인 IP 주소 할당하기
  • → 요청이 들어오면 IGW를 거쳐, 매핑된 EC2 공인 IP 주소로 자동 라우팅한다.

 
 

보안 그룹(Security Group, SG)과 네트워크 ACL: 보안 설정

• VPC의 가상 방화벽으로 인바운드/아웃바운드 트래픽을 제어한다.

	보안 그룹(SG)	네트워크 ACL(NACL)
설정 범위	인스턴스 단위	서브넷 단위
규칙	명시적 허용만 가능	허용 및 거부 모두 가능
설정	상태 저장 (Stateful)	상태 비저장 (Stateless)
기본 설정	인바운드: Deny / 아웃바운드: Allow	둘 다 Allow

 
설정 범위

• SG: 인스턴스 단위, 최대 5개 SG 설정 가능
• NACL: 서브넷 단위, 한 ACL에 여러 서브넷 연결 가능, 반대는 불가능

규칙

• SG: 허용 규칙만 추가 가능
• NACL: 허용 또는 거부 가능, 특정 트래픽 완전 차단 가능

설정

• SG: Stateful, 한쪽 방향(인or아웃바운드)에서 허용되면 응답 트래픽도 자동 허용됨
• NACL: Stateless, 인/아웃바운드 개별적으로 설정해야 함

기본 설정

• SG
  • 인바운드: 모든 트래픽 차단
  • 아웃바운드: 모든 트래픽 허용
• NACL
  • 인/아웃바운드 둘 다 모든 트래픽 허용
  • 커스텀 ACL 생성 시 기본적으로 모든 트래픽 차단

 
 

VPC 엔드포인트 (VPC Endpoint)

• VPC 내부에서 VPC 외부로 접속하기 위한 연결점을 제공하는 서비스
• 언제 사용할까?
  • S3, DynamoDB 등 VPC를 사용하지 않는 퍼블릭 서비스가 존재
  • → VPC 내부에서 접근하려면 IGW, NAT 등이 필요
  • → VPC 엔드포인트를 사용하면 IGW, NAT를 통하지 않고도 접근 가능
• 인터넷을 거치지 않으므로 보안 및 비용 절감
• 종류: 인터페이스 엔드포인트, 게이트웨이 엔드포인트

 

인터페이스 엔드포인트 (Interface Endpoint)

• 네트워크 인터페이스(Elastic Network Interface, ENI)로 구축하는 유형
• ENI 기반의 사설 IP 주소를 통해 각 서비스와 연결
• AWS PrivateLink 방식 사용
• 요금 = VPC 엔드포인트 개당 PrivateLink 사용료 + 데이터 처리량

 

게이트웨이 엔드포인트 (Gateway Endpoint)

• 라우팅 테이블을 통해 특정 서비스에 직접 라우팅 하는 유형
• 리전 단위로 설정 → 한 번 설정하면 해당 리전의 모든 서비스에서 사용 가능
• S3, DynamoDB는 이 유형에 해당
• 요금: 엔드포인트 사용료는 무료, 데이터 송신료만 부과

 

---

 

그림으로 이해하는 AWS 구조와 기술 : 네이버 도서