Architecting on AWS (3) 네트워킹

IP 주소 지정

IP 주소

전체 IP 주소 43억개 중 일정 대역은 사설 IP로 쓸 수 있도록 정의

사설 IP ex) 10.0.0.0, 172.13.0.0, 172.31.0.0, 192.168.0.0

공인 IP는 절대로 겹치면 안 됨

 

A 클래스 2^24 = IP 사용 가능

B 클래스 2^16 = 65,536개 IP 사용 가능

C 클래스 2^8 = 256개 IP 사용 가능

 

Classless Inter-Domain Routing(CIDR)

CID 표기법에 따라 네트워크나 서브넷의 IP 주소 범위를 정의하는데 이 범위는 CIDR 블록이라고 합니다. AWS에서 VPC 구성 요소를 사용하여 네트워크를 구축할 때 VPC와 서브넷용 CIDR 블록을 지정합니다. 네트워크의 리소스를 지원하기에 충분한 IP 주소를 할당해야 합니다. VPC에는 최대 CIDR 블록이 있을 수 있으며 CIDR 블록의 주소 범위는 중복될 수 없습니다.

 

CIDR 블록에서는 숫자와 점을 사용하는 표기법으로 네트워크를 식별합니다. 그리고 슬래시 표기법으로 서브넷 마스크를 지정합니다. 서브넷 마스크는 IP주소에서 네트워크 식별 전용 부분과 호스트 IP 주소용으로 사용 가능한 부분을 정의합니다. 예를 들어 IPv4 주소에서는 32비트가 옥텟 4개로 분할됩니다. 서브넷 마스크가 /16인 경우 첫 16비트(옥텟 2개)가 네트워크 식별용으로 예약됩니다. 나머지 16비트가 호스트 식별에 사용됩니다.

 

각 옥텟은 0~255 사이의 숫자를 포함할 수 있으므로 범위 내의 주소 수는 65,536개가 됩니다. 네트워크가 예약하는 일부 주소는 사용할 수 없습니다. 네트ㅝ크에 주소 하나, 나중에 살펴볼 다른 이유로 주소 4개가 예약됩니다.

 

Amazon VPC는 IPv4 및 IPv6 주소 지정을 지원하며, 이들 IP에 대한 상이한 CIDR 블록 크기 제한이 있습니다. 기본적으로 모든 VPC는 IPv4 CIDR 블록을 포함해야 합니다. 이 설정은 변경할 수 없습니다. 원하는 경우 IPv6 CIDR 블로을 이중 스택 VPC와 연결할 수 있습니다.

 

IPv4 서브넷용으로 /28(IP 주소 16개) ~ /16 (IP 주소 65,536개) 사읭 블록 크기를 할당할 수 있습니다. IPv6 전용 서브넷의 IPv6 CIDR 블록의 크기는 접두사 길이가 /64로 고정됩니다

 

• /16이 최대인데 /8은 그외 나머지라는 관용적 표현

 

VPC의 기초

Amazon VPC

• 워크로드를 논리적으로 격리할 수 있음
• 리소스에 사용자 정의 액세스 제어 및 보안 설정 사용 가능
• 단일 AWS 리전에 연결됨 (VPC는 리전 레벨 서비스)

서브넷

• 서브넷은 VPC CIDR 블록의 하위 집합
• 서브넷 CIDR 블록은 중첩될 수 없습니다
• 각 서브넷의 하나의 가용 영역 내에 포함됩니다
• 하나의 가용 영역에 여러 서브넷을 포함할 수 있습니다
• 주소 5개가 예약됩니다
  • 예를 들어 CIDR 블록이 10.0.0.0/24인 서브넷이라면
  • 10.0.0.0 : 네트워크 주소
  • 10.0.0.1 : AWS에서 VPC 라우터용으로 예약됩니다
  • 10.0.0.2 : AWS에서 예약됩니다. DNS 서버의 IP 주소는 항상 VPC 네트워크 범위의 기본 IP 주소에 2를 더한 값
  • 10.0.0.3 : 차후 사용을 위해 AWS에서 예약됨
  • 10.0.0.255 : 네트워크 브로드캐스트 주소입니다. VPC에서는 브로드캐스트가 지원되지 않으므로 이 주소가 예약됨

퍼블릭 서브넷

• 퍼블릭 서브넷 구성에서는 양방향(초대됨/초대되지 않음)으로 트래픽 흐름을 허용합니다.
• 자동 아웃바운드 라우팅은 적용되지 않으므로 서브넷은 퍼블릭으로 구성해야 합니다.
• 퍼블릭 서브넷에 필요한 항목
  • 인터넷 게이트웨이 : VPC의 리소스와 인터넷 간의 통신을 허용합니다
  • 라우팅 테이블 : 네트워크 트래픽이 전달되는 위치를 결정하는 데 사용되는 규칙(경로) 집합을 포함합니다. 인터넷 게이트웨이로 트래픽을 전송할 수 있습니다.
  • 퍼블릭 IP 주소 : 인터넷에서 액세스할 수 있는 주소입니다. 퍼블릭 IP 주소 사용 시에는 프라이빗 IP 주소(네트워크 내에서만 연결 가능)를 모호화할 수 있습니다.

퍼블릭 서브넷에서 Amazon EC2 인스턴스를 시작합니다. 인터넷을 통한 IPv4 통신을 활성화하려면 인스턴스에 해당 인스턴스의 프라이빗 IPv4 주소와 연결된 퍼블릭 IPv4 주소가 있어야 합니다. 기본적으로 인스턴스는 VPC와 서브넷 안에서 정의된 프라이빗(내부) IP 주소 공간만 인식합니다.

프라이빗 서브넷

CIDR 블록 10.0.2.0/23에는 10.0.2.x 및 10.0.3.x로 시작하는 모든 IP 주소가 포함되어 있습니다. 인터넷에서 액세스할 수 있어야 하는 특별한 경우를 제외하고 프라이빗 서브넷은 대부분의 리소스를 프라이빗으로 유지해야 하기 때문에 크기가 퍼블릭 서브넷의 두 배입니다.

인터넷 게이트웨이

• 대문 역할이라서 외부 IP와 내부 IP 정보를 다 가지고 있음 (NAT의 한 종류)
• 인터넷 게이트웨이는 수평적으로 확장되고 중복적인 고가용성 VPC 구성 요소로, VPC 내 인스턴스와 인터넷 간 통신을 허용합니다.
• 따라서 네트워크 트래픽에 가용성 위험이나 대역폭 제약이 발생하지 않습니다.
• 인터넷 게이트웨이를 사용하는 목적
  • 인터넷 라우팅 가능 트래픽용으로 라우팅 테이블에서 대상을 제공합니다
    • 서브넷은 기본적으로 아웃바운드 트래픽을 허용하지 않습니다.
    • VPC는 라우팅 테이블을 사용하여 트래픽을 라우팅할 위치를 결정합니다.
    • VPC가 인터넷 트래픽을 라우팅하도록 허용하려면 인터넷 게이트웨이를 대상 또는 대상 위치로 지정하여 라우팅 테이블에 아웃바운드 경로를 생성합니다
  • NAT를 수행하여 네트워크 IP 주소를 보호합니다
    • 인터넷에 연결하는 네트워크의 리소스는 두 가지 종류의 IP 주소를 사용해야 합니다
    • 프라이빗 IP : 프라이빗 네트워크 내의 통신에는 프라이빗 IP를 사용합니다. 이러한 주소는 인터넷을 통해 연결할 수 없습니다.
    • 퍼블릭 IP : VPC의 리소스와 인터넷 간의 통신에는 퍼블릭 IP 주소를 사용합니다. 퍼블릭 IP 주소는 인터넷을 통해 연결할 수 있습니다
• 인터넷 게이트웨이는 퍼블릭 IP 주소와 프라이빗 IP 주소를 매핑하여 NAT를 수행합니다
• 논리적으로 생성된 인터넷 게이트웨이는 인스턴스를 위한 일대일 NAT을 제공하므로 트래픽이 VPC 서브넷에서 나가 인터넷으로 갈 때 응답 주소 필드는 프라이빗 IP 주소가 아니라 인스턴스의 퍼블릭 IPv4 주소 또는 탄력적 IP 주소로 설정됩니다.

라우팅 테이블

• 네비게이션 역할
• 라우팅 테이블은 VPC가 네트워크 트래픽이 전달되는 위치를 결정하는 데 사용되는 규칙 세트(경로)를 포함합니다

• VPC 내의 각 서브넷은 라우팅 테이블과 연결되어야 합니다
• 퍼블릭 라우팅 테이블에는 인터넷 게이트웨이의 경로가 포함되어 있습니다

탄력적 IP 주소

탄력적 네트워크 인터페이스 (ENI)

VPC에서 가상 네트워크 카드를 나타내는 논리적 네트워킹 구성 요소 

네트워크 인터페이스를 인스턴스 간에 이동하면 네트워크 트래픽이 새 인스턴스로 리디렉션됩니다

NAT 게이트웨이

프라이빗 서브넷 인스턴스와 인터넷 또는 기타 AWS 서비스 간의 단방향 연결에 NAT 게이트웨이 사용 가능

 

NAT 게이트웨이를 생성한 다음 라우팅 테이블을 생성하여 비로컬 트래픽을 NAT 게이트웨이로 라우팅합니다. 그런 다음 라우팅 테이블을 프라이빗 서브넷에 연결합니다. NAT 게이트웨이를 사용하여 프라이빗 서브넷의 인스턴스를 인터넷 또는 기타 AWS 서비스에 연결하는 한편, 인터넷에서 해당 인스턴스와의 연결을 시작하지 못하도록 할 수 있습니다.

참고: NAT 게이트웨이를 생성하려면 NAT 게이트웨이가 속할 퍼블릭 서브넷을 지정해야 합니다. NAT 게이트웨이를 생성할 때 NAT 게이트웨이와 연결할 탄력적 IP 주소도 지정해야 합니다. 탄력적 IP 주소는 NAT 게이트웨이에 연결한 후 변경할 수 없습니다. NAT 게이트웨이를 생성한 후에는 인터넷 바운드 트래픽이 NAT 게이트웨이를 가리키도록 하나 이상의 프라이빗 서브넷과 연결된 라우팅 테이블을 업데이트해야 합니다. 그러면 프라이빗 서브넷의 인스턴스가 인터넷과 통신할 수 있습니다.

로드 밸런서

VPC 트래픽 보안

네트워크 액세스 제어 목록(ACL)

네트워크 ACL은 1개 이상의 서브넷에서 전송 및 송신되는 트래픽을 제어하기 위한 방화벽 역할을 하는 VPC용 선택적 보안 계층이며 모든 VPC에는 기본 네트워크 ACL이 자동으로 제공됩니다

• 서브넷에 대한 트래픽 필터링 규칙을 만드는데 사용할 수 있는 서비스
• 네트워크 ACL은 번호가 지정된 규칙 목록을 포함하며 번호가 가장 낮은 규칙부터 차례로 평가
• 상태 비저장, 즉 허용되는 인바운드 트래픽에 대한 응답은 아웃바운드 트래픽에 대한 규칙의 적용을 받으며 반대도 마찬가지

보안 그룹

인스턴스에 대한 인바운드 및 아웃바운드 트래픽을 제어하는 방화벽 역할을 합니다

• ACL과 달리 stateful 방식
  • 내가 내보냈던 친구인지 들여보냈던 친구인지 기억해서 네트워크 속도를 높임
• security chaining : 소스 단을 IP가 아닌 보안 그룹으로 지정

• 사용자들이 Amazon EC2 인스턴스에 액세스할 수 있도록 보안 그룹을 생성합니다. VPC의 보안 그룹은 Amazon EC2 인스턴스에 허용되는 트래픽을 지정합니다.
• 추가 정보: Amazon EC2 보안 그룹을 사용하면 Amazon VPC 내 인스턴스의 보안을 유지할 수 있습니다. VPC의 보안 그룹을 통해 각 Amazon EC2 인스턴스에 허용되는 인바운드 및 아웃바운드 네트워크 트래픽을 지정할 수 있습니다. 인스턴스에 명시적으로 허용되지 않은 트래픽은 자동으로 거부됩니다.