VPC (Virtual Private Cloud)

 

❐ Description

---

VPC는 사용자 정의로 구성된 가상의 프라이빗 클라우드 네트워크다. 사용자는 마치 자신만의 데이터

센터에서 네트워크 환경을 구성하는 것처럼 Amazon VPC에서 제공하는 다양한 네트워킹 요소를

이용하여 가상의 클라우드 네트워크를 구성할 수 있다.

 

 

 

 

 

❐ Amazon VPC 기본 구성  요소

---

1. 리전과 VPC

Amazon VPC는 리전마다 독립적으로 구성되어 있다. 또한 리전 내에는 다수의 VPC를 생성할 수 

있으며, 각 VPC는 서로 독립적으로 분리됩니다. 이런 측면에서 사용자는 어느 리전에 VPC를 생성할지 

미리 계획해야 한다. 

 

 

2. 서브넷과 가용 영역

Amazon VPC라는 독립된 클라우드 네트워크에도 서브넷을 이용하여 분리된 네트워크를 구성할 수 있다.

서브넷은 VPC내 별도로 나누어진 네트워크로 생각하면 된다. 

• VPC_A에 3개의 서브넷으로 VPC 네트워크를 분리할 수 있다.
• 각 서브넷은 하나의 가용영역(ap-northease-2a, ap-northease-2c)에 위치한다.
• 서브넷은 VPC 네트워크 환경 구성에 따라 퍼블릭과 프라이빗 서브넷으로 분류할 수 있습니다.

 

3. IP CIDR

IP CIDR은 네트워크에 할당할 수 있는 IP 주소 범위를 표현하는 방법이다. Amazon VPC는 내부에

생성할 서브넷의 IP 주소 범위를 할당하기 위해 IP CIDR을 가지고 있으며, VPC 내 생성된 서브넷도

VPC의 IP CIDR에서 분할된 IP CIDR을 가지고 있다.

 

 

4. 가상 라우터와 라우팅 테이블

Amazon VPC를 생성하면 기본적으로 네트워크 경로를 확인하여 트래픽을 전달하는 목적의 

가상 라우터가 생성된다. 이렇게 생성된 가상 라우터는 기본 라우팅 테이블을 보유하고 있으며,

라우팅 테이블을 통해 네트워크 경로를 식별할 수 있습니다. 물론 기본 라우팅 테이블 외에 별도의

라우팅 테이블을 생성할 수 있고, 생성된 라우팅 테이블은 서브넷과 연결(attach)하여 서브넷마다

라우팅 테이블을 가질 수도 있다.

 

 

5. 보안 그룹과 네트워크 ACL

Amazon VPC는 보안 그룹(security group)과 네트워크 ACL(Access Control List) 같은 

가상의 방화벽(firewall) 기능을 제공하여 서브넷과 생성된 자원에 대한 트래픽을 보호한다.

트래픽 접근을 통제하는 것이 주된 목적이며, IP CIDR 블록, 프로토콜, 포트 번호 등을 정의하여

허용(allow)과 거부(deny)를 결정하는 보안 규칙을 만든다.

 

여기에서 중요한 점은 보안 규칙에는 방향성이 있다는 것이다. 가상의 방화벽을 기준으로 들어오는

인바운드(inbound) 규칙과 빠져나가는 아웃바운드(outbound) 규칙이 있기 때문에 트래픽 흐름을

고려한 보안 규칙을 세워야 한다.

 

5-1. 트래픽 접근 제어 대상

보안그룹과 네트워크 ACL의 가장 큰 차이점은 접근 제어 대상이 다르다는 것이다.

보안 그룹	인스턴스와 같은 자원 접근을 제어
네트워크 ACL	서브넷 접근을 제어

 

 

5-2. Stateful과 Stateless

보안 그룹은 이전 상태 정보를 기억하고 다음에 그 상태를 활용하는 스테이트풀(stateful) 접근 통제를 수행하며, 

네트워크 ACL은 이전 상태 정보를 기억하지 않아 다음에 그 상태를 활용하지 않는 스테이트리스(stateless) 접근 

통제를 수행한다.

 

네트워크 ACL의 동작을 보면 인바운드 규칙에 따라 트래픽을 허용 하였더라도, 아웃바운드 규칙에 어긋난다면

트래픽을 허용하지 않는다.

 

5-3. 허용 및 거부 정책

보안 그룹의 정책 테이블은 허용 규칙만 나열하며 허용 규칙에 해당하지 않으면 자동 거부된다.

반면 네트워크 ACL의 정책 테이블은 허용 규칙과 거부 규칙이 모두 존재하여 규칙을 순차적으로

확인하고 허용과 거부를 판단한다.

 

 

 

 

 

❐ Amazon VPC와 다른 네트워크 연결

---

1. Internet Gateway

Amazon VPC는 프라이빗 클라우드 네트워크 환경으로, 외부 인터넷 구간과 연결되지 않은 독립적인 

네트워크다. 따라서 외부 인터넷 구간과 연결이 필요하면 인터넷 게이트웨이라는 네트워킹 자원을 생성한

후 Amazon VPC와 연결하여 외부 인터넷과 통신할 수 있다.

 

 

2. NAT 게이트웨이

NAT 게이트웨이(Network Address Translation gateway)는 프라이빗 서브넷에서 외부 인터넷으로 

통신하는 관문 역할을 한다. NAT는 IP 주소를 변환하는 기능을 제공하며, 프라이빗 IP 주소를 퍼블릭 IP

주소로 변환하여 외부 인터넷 구간 통신 환경을 만든다.

 

NAT 게이트웨이는 프라이빗 서브넷의 외부 인터넷 구간을 돕는 역할을 하지만 실제 인터넷 게이트웨이와 

연결된 퍼블릭 서브넷에 위치한다. 결과적으로 아래의 순서로 통신을 하게 된다.

1. 프라이빗 서브넷

2. 가상 라우터

3. 퍼블릭 서브넷

4. NAT 게이트웨이 (IP 주소 변환)

5. 인터넷 게이트웨이

 

참고로 프라이빗 서브넷에서 출발하여 NAT 게이트웨이를 통해 외부 인터넷 구간으로 도착할 수는 있지만,

외부 인터넷 구간에서 출발해서 프라이빗 서브넷으로 도착할 수는 없다. 

 

 

 

 

 

---