VPC

•

IP대역(CIDR) 할당하여 가상 사설 네트워크 구성

•

IPv4 / IPv6 Address blocks 지원

•

서브넷 / 라우팅 테이블로 서브네팅

•

인터넷 게이트웨이 연결하여 외부로 인터넷 통신

•

VPC Flow Log 활성화하여 트래픽 캡처

•

프라이빗 엔드포인트 서비스 제공

•

VPC peering / Transit Gateway로 VPC간 연동

•

AWS Transit Gateway를 통한 multi-cast

VPC

•

AWS 계정의 가상 네트워크

•

IPv4 주소 범위를 CIDR 블록 형태로 지정

•

CIDR 블록 사이즈는 /16 ~ /28 넷마스크

•

VPC 생성 후 CIDR 범위 수정은 불가하나 새 CIDR 블록 추가 가능

•

IPv6 주소 범위 지정은 옵션

Subnet

•

VPC의 IP 주소 범위

•

CIDR 블록 형태로 IP 주소 범위 지정

•

CIDR  블록 사이즈는 /16 ~ /28 넷마스크 사용 가능

•

서브넷 생성시 가용영역을 지정하며 1개의 가용영역만 지정 가능

•

서브넷 범위는 VPC의 CIDR 블록 주소 내에서 생성 가능

•

서브넷 끼리의 IP 주소 중첩하여 생성 불가

•

생성된 서브넷의 IPv4 CIDR 블록 주소는 추가하거나 수정이 안되며 삭제 후 새로 생성만 가능

•

서브넷 생성 후 AWS는 네트워킹 목적으로 처음 4개의 IP 주소와 마지막 1개 IP 주소를 예약

예시

10.0.0.0/24 서브넷을 생성

10.0.0.0 : Network ID

10.0.0.1 : Gateway

10.0.0.2 : DNS

10.0.0.3 : Reserved

10.0.0.255 : Broadcast

Routing Table

•

라우팅 규칙을 통해 네트워크 트래픽이 전송되는 위치를 결정

Internet Gateway

•

VPC와 인터넷 간에 통신을 할 수 있게 함

•

퍼블릿 IPv4가 할당된 인스턴스에 대해 1 : 1 NAT (네트워크 주소 변환)을 수행

•

라우팅 테이블의 대상(Target) 역할

•

트래픽을 인터넷에 전달하기 위해서는 서브넷의 라우팅 테이블에 인터넷 게이트웨이를 대상으로 추가해야함

•

VPC에서 인터넷 외부로만 트래픽을 허용하는 송신전용(egress-only) 인터넷 게이트웨이 구성 가능

•

Public Subnet : 서브넷이 인터넷 게이트웨이로 바로 연결(라우팅)되는 경우

•

Private Subnet : 서브넷이 인터넷 게이트웨이로 바로 연결(라우팅)되지 않는 경우

Egress Only Internet Gateway

•

NAT와 인터넷 게이트웨이의 특징을 결합한 IPv6 전용 기능이다. (NAT는 IPv6를 지원하지 않는다)

•

VPC에서 인터넷으로 나가는(Egress) 연결 요청은 허용하지만,

•

인터넷에서 VPC로 들어오는(Ingress) 연결 요청은 허용하지 않는다.

•

설정 방법

◦

Egress-Only Internet Gateway 생성 : VPC 내에서 Egress-Only Internet Gateway를 생성한다.

◦

라우팅 테이블 설정 : 프라이빗 서브넷의 라우팅 테이블에 목적지가 ::/0 (기본 경로)이고, 대상이 Egress-Only Internet Gateway ID인 라우트를 추가한다.

DHCP

•

추후 작성하기

ENI

•

EC2는 사실 서브넷 안에 있는게 아니다.

•

ENI를 통해 EC2와 Subnet을 연결한다.

•

ENI는 EC2 인스턴스가 생성될 때 자동으로 생성된다.

•

ENI는 일종의 EC2의 가상의 랜카드(LAN Card) 라고 생각하면 된다.

ENI 특성

•

ENI는 IP주소와 MAC주소를 가지고 있다

•

ENI 하나당 1개 이상의 Private IP 주소 부여가능

•

(optional) Public IP 주소 부여 가능

•

EC2는 반드시 하나 이상의 ENI와 연결되어 있다.

◦

EC2 생성하면 Primary ENI가 생성되어 연결된다.

◦

 EC2는 1개 이상의 ENI 보유 가능

•

실질적으로 ENI가 EC2의 서브넷의 위치와 보안그룹의 연결을 담당한다. 

•

처음에 배울 때 서브넷 안에 EC2를 둔다고 우리가 이미지해서 배우지만,
사실은 서브넷안에 EC2를 두는 것이 아니라 서브넷 안에 ENI를 두고 EC2와 연결시킨다.

•

EC2는 단지 같은 Availibility Zone 안에 있다.

(좌) 우리의 상상

(우) 실제 ENI

Peering

•

동일한 네트워크에 존재하는 것처럼 통신이 가능

•

계정간 연결, 리전간 연결이 가능

•

대역폭 제한이 없음

•

Peering 연결 수 VPC당 125개

•

Transit Gateway 대비 약 1.5배 저렴

•

A에서 D로 통신할 때 B를 통해 통신하는 것은 불가능

Transit Gateway

•

최대 대역폭 50Gbps

•

Transit Gateway 당 최대 5000개 VPC 연결

•

VPC 연결 정책을 중앙에서 관리

•

VPN Connection을 통해 On-premise와의 통신을 중앙에서 관리 가능

•

Peering 보다 관리적인 측면에서 우수

Private Link

•

VPC와 서비스 간에 프라이빗 연결을 제공하는 기술

VPC 엔드포인트

•

인터넷을 통하지 않고 AWS 서비스에 프라이빗하게 연결할 수 있는 VPC의 진입점

TISTORY[AWS] VPC endpoint란? (Interface Endpoint와 Gateway Endpoint)

Gateway Endpoints

Interface Endpoints

엔드포인트 서비스 (AWS PrivateLink)

•

VPC 내에 있는 애플리케이션 또는 서비스

•

다른 AWS 계정의 VPC Endpoint에서 엔드포인트 서비스(AWS PrivateLink)로 연결

Gateway Endpoints VS Interface Endpoints for S3

BESPIN Tech BlogAWS VPC S3 endpoint gateway vs interface 차이 - BESPIN Tech Blog

•

Gateway Endpoints

◦

S3 퍼블릭 IP 주소를 사용하여 엑세스

◦

온프레미스 엑세스를 허용하지 않음

◦

다른 AWS 리전에서 엑세스를 허용 하지 않음

◦

Endpoint 사용 비용 무료

•

Interface Endpoints

◦

VPC의 프라이빗 IP 주소를 사용하여 엑세스

◦

온프레미스 엑세스를 허용

◦

VPC Peering, Transit Gateway를 사용하여 다른 AWS 리전의 VPC에서 엑세스 허용

◦

Endpoint 사용 비용 발생

VPC Endpoint Service (AWS PrivateLink)

•

벤더(Service Provider)는 VPC에 애플리케이션을 구성하고 VPC Endpoint 서비스를 구성

•

하나 또는 여러 고객(Consumer) AWS 계정의 VPC Endpoint가 벤더(Service Provider) AWS 계정의 NLB 또는 GWLB에 연결

•

인터넷을 통하지 않고 AWS 내부 네트워크를 통한 트래픽

•

엔드포인트 서비스 연결시 고객과 벤더의 리전이 같아야 함

VPN

개요

•

인터넷을 이용하여 가상 사설망(Virtual Private Network)을 구성 하는 것

•

VPN 트래픽은 VPN 프로토콜로 보호됨

•

IPSec : Site-to-Site VPN 암호화 프로토콜

Client VPN

•

AWS 리소스와 클라이언트 PC를 연결하는 OpenVPN 기반의 VPN 서비스

•

Active Directory 등의 자격증명을 이용해 클라이언트가 VPN에 사용하는 권한을 부여

•

클라이언트는 VPN 접속을 위한 VPN 구성 파일이 담긴 소프트웨어를 설치

Site-to-Site VPN (AWS managed VPN)

•

IPSec 암호화 프로토콜을 사용하여 AWS VPC와 온프레미스간에 프라이빗 네트워크를 구성

•

VPC와 연결을 위한 Virtual Private Gateway 및 온프레미스의 Customer Gateway Device의 정보를 구성하기 위한 Customer Gateway를 설정하여 VPN Tunnel 연결을 만듬

•

Direct Connect의 백업으로 사용 가능

•

VPN 터널당 최대 대역폭은 1.25Gbps

Direct Connect

•

AWS와 온프레미스 간에 Direct Connect Location을 통한 전용선을 통해 프라이빗 네트워크 연결 생성

•

포트당 1Gbps, 10Gbps, 100Gbps 연결 속도 사용 가능

•

물리적인 구성을 해야 하기에 설치 시간이 오래 걸림

•

VPN보다 가격이 비싸며 인터넷을 통하지 않기에 인터넷 전송 비용이 들지 않음

•

기본적으로 암호화를 지원하지 않음 (암호화를 위해 Direct Connect에 VPN을 구성 가능)

•

트래픽이 인터넷 연결을 사용하는 Site-to-SIte VPN보다 안정적

VPC Lattice

•

여러 VPC나 AWS 계정에 걸친 애플리케이션 간의 통신(트래픽)을 단순화하고 중앙에서 관리할 수 있는 완전 관리형 서비스이다.

•

(마이크로서비스 간 네트워크 연결을 보다 쉽게 설정하고 관리할 수 있도록 돕는다)

•

HTTP, HTTPS, gRPC 등 애플리케이션 계층의 통신 프로토콜을 지원하며, VPC Lattice를 통해 각 애플리케이션을 연결할 수 있다.

•

VPC Lattice에는 서비스 디스커버리 기능이 내장되어 있어 다른 서비스의 위치 정보(예시: IP 주소나 포트 번호)를 동적으로 탐지할 수 있다.

•

이를 통해 마이크로서비스 아키텍처의 복잡한 네트워크 구성을 효율적으로 관리할 수 있다.

VPC Lattice와 유사한 서비스로 Transit Gateway가 있다.

•

Transit Gateway는 네트워크 레벨에서의 연결을 제공하며, 여러 VPC나 온프레미스 네트워크를 중앙에서 연결하는 허브로 작동한다.

•

반면, VPC Lattice는 주로 애플리케이션 계층에서 통신 관리를 제공하며, 애플리케이션 간의 통신을 최적화한다.

	Transit Gateway	VPC Lattice
기능	여러 VPC, 온프레미스 네트워크, 계정 간 연결	마이크로서비스 간의 네트워크 통신 및 트래픽 제어 관리
지원 프로토콜	IP 기반 트래픽 (Layer 3)	HTTP/HTTPS 및 IP 기반 트래픽 (Layer 7 & Layer 3)
보안 및 인증	네트워크 레벨 보안 (보안 그룹, 네트워크 ACL 등)	IAM 정책, TLS 암호화 및 서비스 간 인증 관리
주요 통신 대상	VPC, 온프레미스 네트워크, Direct Connect	마이크로서비스, 애플리케이션 간 통신