본문 바로가기
카테고리 없음

[새싹 금천 5기] AWS VPC 옵션 용어 정리 (이노그리드_기업맟춤형 클라우드 인재 양성 캠프)

by z00h 2025. 6. 3.

VPC 환경 구성전 용어 정리

 

VPC (Virtual Private Cloud)란?

AWS 사용자 계정 전용 가상 네트워크이다. AWS 클라우드에서 다른 가상 네트워크와 논리적으로 분리되어 있다. 가상화를 통하여 다른 네트워크와 구분 짓는다.

    • 한 AWS 리전안에서 존재할 수 있고, 한 리전에 만든 VPC는 다른 리전에서 보이지 않음(리전 단위)
      • 만약 다른 리전 VPC와 연결하고 싶다면 ‘VPC Peering’을 사용
    • 생성 시 RFC 1918에 지정된 프라이빗 주소 체계 사용 권고
      • https://www.rfc-editor.org/rfc/rfc1918.html#section-3
      • 10.0.0.0/8 ⇒ 10.0.0.0 - 10.255.255.255 (10/8 prefix)
      • 172.16.0.0/12 ⇒ 172.16.0.0 - 172.31.255.255 (172.16/12 prefix)
      • 192.168.0.0/16 ⇒ 192.168.0.0     -   192.168.255.255 (192.168/16 prefix)

→ 네트워크 주소가 많아야하는지, 호스트가 많아야하는지 판단하여 사용한다.

 
 
 

VPC 구성옵션

 

서브넷이란?

VPC 내 네트워크를 나누는 단위로, 퍼블릭은 외부와 통신이 가능하고 프라이빗은 내부에서만 통신한다.

  • public 서브넷
    • 내/외부 네트워크끼리 IGW(인터넷 게이트웨이)를 통해 통신하는것
    • 인터넷 게이트웨이로 향하는 라우팅이 있는 라우팅 테이블과 연결된 서브넷
  • private 서브넷
    • VPC 내부에서만 통신하는것, IGW의 연결이 없음, private 라우팅 테이블 포함
  • EC2 인스턴스를 배치하는 장소, 모든 인스턴스는 서브넷 안에 위치한다.
    • 한번 서브넷에 인스턴스를 생성하면 다른 서브넷으로 옮길 수 없음
    • 인스턴스 종료 후 새로운 인스턴스를 생성해햐함
    • 용도 : 인스턴스를 서로 격리하고 인스턴스간 트래픽 흐름 제어하고 기능별로 묶을 수 있음
    • 하나의 AZ(가용영역)단위 내에서만 존재할 수 있다.
    • 서브넷 CIDR 블록
      • VPC의 일부, VPC 내에서는 유니크해야 함
      • 모든 서브넷에서 처음 4개의 IP와 마지막 1개는 예약되어 있으므로 인스턴스에 할당할 수 없음
 
 

베스천 호스트

  • 외부에서 pulic 서브넷으로 진입해서 SSH통신을 통해 private 서브넷에 접근
  • 직접적으로 프라이빗 서브넷에 접근하지 않도록 하여 보안성을 높이는 용도로 사용
 
 

NAT 게이트웨이

  • pritvate 서브넷의 인스턴스가 외부로 나갈 수는 있지만, 외부에서 들어오지는 못하게 해주는 서비스
  • 소프트웨어 설치나 업데이트처럼 인터넷 접근이 필요한 private 인스턴스에 사용
  • 퍼블릭 서브넷에 위치하며, 라우팅 테이블을 통해 프라이빗 서브넷에서 NAT 게이트웨이로 트래픽을 전달
 

라우팅 테이블

  • VPC 내 네트워크 트래픽을 어디에서 어디로 전송할지를 모아놓은 규칙 집합
  • 각 테이블은 CIDR(주소 범위)과 대상(IGW, NAT, 로컬 등)을 지정한 규칙들의 집합으로 구성
  • 서브넷마다 하나의 라우팅 테이블이 연결되며, 이를 통해 외부 또는 다른 서브넷과 통신이 가능
 
 

ENI(Elastic Network Interface)

  • 탄력적 네트워크 인터페이스(랜카드, NIC)
  • 물리 서버의 네트워크 인터페이스(NIC)와 같은 역할을 하는 서비스
  • VPC에서 가상 네트워크 카드를 나타내는 논리적 네트워킹 구성요소
 
 

IGW(Internet GateWay)

  • 퍼블릭 IP 주소를 갖는 인스턴스가 인터넷에 연결할 수 있도록 기능을 제공
  • 처음 VPC생성시 IGW가 연결되어있지 않으므로, IGW를 만들고 VPC와 연결해야함
  • 하나의 VPC는 하나의 인터넷 게이트웨이만 연결할 수 있음
 

라우팅(Routing)

  • VPC의 네트워크 트래픽을 전달할 위치를 결정하는데 사용되는 규칙
  • 트래픽을 전달할 IP 주소 범위(대상 주소)와 트래픽을 전송할 게이트웨이, 네트워크 인터페이스 또는 연결(대상)을 지정
 
 

보안그룹(Security Group,SG)

    • 방화벽과 같은 기능을 제공
    • 인스턴스의 ENI에서 송수신하는 트래픽을 제어
    • 모든 ENI는 최소 1개 이상의 보안그룹과 연결되어야 하고 보안그룹은 여러 ENI와 연결될 수 있음
    • 보안 그룹 생성시 그룹 이름, 설명, 포함될 VPC를 지정하고, 생성후에는 인바운드, 아웃바운드 규칙을 지정 → 트래픽을 허용
    • 상태 저장 방화벽 역할

→ 보안 그룹이 트래픽을 한 방향으로 전달하도록 허용할 때 반대 방향의 응답 트래픽을 지능적으로 허용한다.

    1. 인바운드 트래픽의 출발지 주소를 기억하고 있다가 아웃바운드 트래픽시 목적지 주소를 자동으로 나가게 한다.
 
 

NACL(Network Access Control List, 네트워크 ACL)

  • 보안 그룹과 유사
    • 원본 또는 대상 주소 CIDR, 프로토콜, 포트를 기반으로 트래픽을 인바운드, 아웃바운드 규칙으로 제어 → 방화벽과 같은 역할
    • VPC에 삭제할 수 없는 기본 NACL 이 있음
  • 서브넷에 연결되어 해당 서브넷과 송수신되는 트래픽을 제어

NACL 잘못 설정시 ENI로 트래픽 자체가 나지 않는다.

이유는? 앞단의 서브넷 NACL의 설정이 더 큰 개념 그다음 → ENI 보안그룹

  • 상태 비저장
    • NACL을 통과한 연결 상태를 추적하지 않음
    • 모든 인바운드 트래픽과 아웃바운드 트래픽의 허용 규칙을 별도로 작성해야 함
  • 규칙을 적용할때 규칙 번호의 오름차순으로 처리 (작은 숫자 우선순위로 적용)
 

하단 이미지의 인바운드 규칙에서 보면 규칙번호가 100인 것부터 우선 처리한다.

*는 후순위로 처리

 

 

 

 

다음 포스팅에서는 VPC 환경구성을 직접 해보면서 EC2로 프블릭 서브넷에 웹 서버 배포 실습을 진행할 예정이다.

 

저작자표시 (새창열림)

티스토리툴바