카테고리 없음

[새싹 금천 5기] AWS VPC 옵션 용어 정리 (이노그리드_기업맟춤형 클라우드 인재 양성 캠프)

z00h 2025. 6. 3. 20:25

VPC 환경 구성전 용어 정리

 

VPC (Virtual Private Cloud)란?

AWS 사용자 계정 전용 가상 네트워크이다. AWS 클라우드에서 다른 가상 네트워크와 논리적으로 분리되어 있다. 가상화를 통하여 다른 네트워크와 구분 짓는다.

    • 한 AWS 리전안에서 존재할 수 있고, 한 리전에 만든 VPC는 다른 리전에서 보이지 않음(리전 단위)
      • 만약 다른 리전 VPC와 연결하고 싶다면 ‘VPC Peering’을 사용
    • 생성 시 RFC 1918에 지정된 프라이빗 주소 체계 사용 권고
      • https://www.rfc-editor.org/rfc/rfc1918.html#section-3
      • 10.0.0.0/8 ⇒ 10.0.0.0 - 10.255.255.255 (10/8 prefix)
      • 172.16.0.0/12 ⇒ 172.16.0.0 - 172.31.255.255 (172.16/12 prefix)
      • 192.168.0.0/16 ⇒ 192.168.0.0     -   192.168.255.255 (192.168/16 prefix)

→ 네트워크 주소가 많아야하는지, 호스트가 많아야하는지 판단하여 사용한다.

 
 
 

VPC 구성옵션

 

서브넷이란?

VPC 내 네트워크를 나누는 단위로, 퍼블릭은 외부와 통신이 가능하고 프라이빗은 내부에서만 통신한다.

  • public 서브넷
    • 내/외부 네트워크끼리 IGW(인터넷 게이트웨이)를 통해 통신하는것
    • 인터넷 게이트웨이로 향하는 라우팅이 있는 라우팅 테이블과 연결된 서브넷
  • private 서브넷
    • VPC 내부에서만 통신하는것, IGW의 연결이 없음, private 라우팅 테이블 포함
  • EC2 인스턴스를 배치하는 장소, 모든 인스턴스는 서브넷 안에 위치한다.
    • 한번 서브넷에 인스턴스를 생성하면 다른 서브넷으로 옮길 수 없음
    • 인스턴스 종료 후 새로운 인스턴스를 생성해햐함
    • 용도 : 인스턴스를 서로 격리하고 인스턴스간 트래픽 흐름 제어하고 기능별로 묶을 수 있음
    • 하나의 AZ(가용영역)단위 내에서만 존재할 수 있다.
    • 서브넷 CIDR 블록
      • VPC의 일부, VPC 내에서는 유니크해야 함
      • 모든 서브넷에서 처음 4개의 IP와 마지막 1개는 예약되어 있으므로 인스턴스에 할당할 수 없음
 
 

베스천 호스트

  • 외부에서 pulic 서브넷으로 진입해서 SSH통신을 통해 private 서브넷에 접근
  • 직접적으로 프라이빗 서브넷에 접근하지 않도록 하여 보안성을 높이는 용도로 사용
 
 

NAT 게이트웨이

  • pritvate 서브넷의 인스턴스가 외부로 나갈 수는 있지만, 외부에서 들어오지는 못하게 해주는 서비스
  • 소프트웨어 설치나 업데이트처럼 인터넷 접근이 필요한 private 인스턴스에 사용
  • 퍼블릭 서브넷에 위치하며, 라우팅 테이블을 통해 프라이빗 서브넷에서 NAT 게이트웨이로 트래픽을 전달
 

라우팅 테이블

  • VPC 내 네트워크 트래픽을 어디에서 어디로 전송할지를 모아놓은 규칙 집합
  • 각 테이블은 CIDR(주소 범위)과 대상(IGW, NAT, 로컬 등)을 지정한 규칙들의 집합으로 구성
  • 서브넷마다 하나의 라우팅 테이블이 연결되며, 이를 통해 외부 또는 다른 서브넷과 통신이 가능
 
 

ENI(Elastic Network Interface)

  • 탄력적 네트워크 인터페이스(랜카드, NIC)
  • 물리 서버의 네트워크 인터페이스(NIC)와 같은 역할을 하는 서비스
  • VPC에서 가상 네트워크 카드를 나타내는 논리적 네트워킹 구성요소
 
 

IGW(Internet GateWay)

  • 퍼블릭 IP 주소를 갖는 인스턴스가 인터넷에 연결할 수 있도록 기능을 제공
  • 처음 VPC생성시 IGW가 연결되어있지 않으므로, IGW를 만들고 VPC와 연결해야함
  • 하나의 VPC는 하나의 인터넷 게이트웨이만 연결할 수 있음
 

라우팅(Routing)

  • VPC의 네트워크 트래픽을 전달할 위치를 결정하는데 사용되는 규칙
  • 트래픽을 전달할 IP 주소 범위(대상 주소)와 트래픽을 전송할 게이트웨이, 네트워크 인터페이스 또는 연결(대상)을 지정
 
 

보안그룹(Security Group,SG)

    • 방화벽과 같은 기능을 제공
    • 인스턴스의 ENI에서 송수신하는 트래픽을 제어
    • 모든 ENI는 최소 1개 이상의 보안그룹과 연결되어야 하고 보안그룹은 여러 ENI와 연결될 수 있음
    • 보안 그룹 생성시 그룹 이름, 설명, 포함될 VPC를 지정하고, 생성후에는 인바운드, 아웃바운드 규칙을 지정 → 트래픽을 허용
    • 상태 저장 방화벽 역할

→ 보안 그룹이 트래픽을 한 방향으로 전달하도록 허용할 때 반대 방향의 응답 트래픽을 지능적으로 허용한다.

    1. 인바운드 트래픽의 출발지 주소를 기억하고 있다가 아웃바운드 트래픽시 목적지 주소를 자동으로 나가게 한다.
 
 

NACL(Network Access Control List, 네트워크 ACL)

  • 보안 그룹과 유사
    • 원본 또는 대상 주소 CIDR, 프로토콜, 포트를 기반으로 트래픽을 인바운드, 아웃바운드 규칙으로 제어 → 방화벽과 같은 역할
    • VPC에 삭제할 수 없는 기본 NACL 이 있음
  • 서브넷에 연결되어 해당 서브넷과 송수신되는 트래픽을 제어

NACL 잘못 설정시 ENI로 트래픽 자체가 나지 않는다.

이유는? 앞단의 서브넷 NACL의 설정이 더 큰 개념 그다음 → ENI 보안그룹

  • 상태 비저장
    • NACL을 통과한 연결 상태를 추적하지 않음
    • 모든 인바운드 트래픽과 아웃바운드 트래픽의 허용 규칙을 별도로 작성해야 함
  • 규칙을 적용할때 규칙 번호의 오름차순으로 처리 (작은 숫자 우선순위로 적용)
 

하단 이미지의 인바운드 규칙에서 보면 규칙번호가 100인 것부터 우선 처리한다.

*는 후순위로 처리

 

 

 

 

다음 포스팅에서는 VPC 환경구성을 직접 해보면서 EC2로 프블릭 서브넷에 웹 서버 배포 실습을 진행할 예정이다.

 

저작자표시 (새창열림)