섹션 27 네트워킹 -VPC

CIDR - IPv4

classless inter-domain routing - a method for allocating IP addresses

• Base IP
• Subnet Mask

  • ip에서 변경 가능한 비트의 개수

    192.168.0.0 /32 ⇒ 1개

    192.168.0.0 /31 ⇒ 2개 192.168.0.0 ~ 192.168.0.1

    192.168.0.0 /30 ⇒ 4개 192.168.0.0 ~ 192.168.0.3

    192.168.0.0 /24 ⇒ 2(8)개 192.168.0.0 ~ 192.168.0.255

    192.168.0.0 /16 ⇒ 2(16)개 192.168.0.0 ~ 192.168.255.255

    192.168.0.0 /16 ⇒ 2(32)개 192.0.0.0 ~ 192.255.255.255

Default VPC

새로운 AWS 계정은 default VPC가 있닥

Default VPC는 인터넷 연결 가지고 있고 ec2 인스턴스 는 public IPv4 주소를 가지고 있다

VPC in AWS -IPv4

• VPC = virtual private cloud
• 단일 aws 리전에 여러 VPC를 둘수 있다 (최대5개 )

VPC CIDR 가 다른 네트워크와 겹치지 않게 주의 !

VPC - Subnet

vpc 내부에 있는 IPv4 주소의 부분 범위

이 범위 내에서 aws가 IP 주소 다섯개를 예약한다. (first 4 , last 1 )

해당 5개의 ip는 사용할수 없고 ec2 인스턴스에 ip로 할당도 안됨

example 10.0.0.0/24

• 10.0.0.0 - network address
• 10.0.0.1 - reserved by AWS for the VPC router
• 10.0.0.2 - reserved by AWS for mapping to Amazon -provided DNS
• 10.0.0.3 - reserved by AWS for future use
• 10.0.0.255 - network broadcast address , aws는 vpc 에 broadcast를 지원안함

internet Gateway

vpc리소스를 인터넷에 연결하도록 허용하는 ec2 인스턴스나 람다 함수 등이다

vpc와는 별개로 생성해야 한다.

Bastion Hosts

ec2 인스턴스가 public 서브넷에 있음

bastion

users →ssh→ public subnet(bastion host) → ssh → private subnet

bastion hosts 를 위해서는 보안 그룹이 반드시 인터넷 엑세스를 허용해야 한다.

NAT instance

NAT = network address translation

공용 및 사설 서브넷을 연결 한다

NAT gateway

aws 관리형 nat 인스턴스 높은 대역폭

특정 AZ 에서 생성되고 탄력적 IP를 이어받는다

Network Access Control List

서브넷을 오가는 트래픽을 제어하는 방화벽과 비슷하다

allow ,deny 룰을 지원한다.

subnet 레벨에서 운용

Ephemeral Ports

클라이언트와 서버가 연결되면 포트를 사용해야 한다

임시포트 : 연결수명을 위해서만 할당되는 무작위 포트

vpc peering

private connect two VPCs using AWS’ network

VPC A 와 VPC B 사이에 VPC 피어링 활성화 할때

두 VPC 모두 라우팅 테이블 업데이트 해야함

vpc flow logs

인터페이스로 향하는 IP 트래픽 정보를 포착하는것

VPC 의 IP 트래픽 확인 가능

Direct Connect (DX)

원격 네트워크로부터 VPC로의 전용 Private 연결을 제공

복원력 높이기 위해서는 여러 독립적인 연결을 하나 이상의 로케이션에서

각기 다른 장치에 도달하도록 구성하면 된다.

공용 및 프라이빗 AWS 리소스 모두에 액세스 할수 있다.

Direct Connection 이 실패한경우 , 백업 세팅을 site-to-site VPN연결을 통해 하면된다.

Direct Connect Gateway

기업 데이터 센터와 aws 계정 내 VPC A 사이에 Direct Connect 연결을 설정함

기업의 데이터 센터가 다른 aws 리전에 있는 VPC B로도 액세스 할 경우에

Direct Connect Gateway 사용

Transit Gateway

모든 VPC에 액세스

cross-region 가능하다

IP 멀티캐스트 지원

단일 터널의 최대 대역폭인 1.25 Gbgps 보다 크게 확장하려고 할때

VPC- Traffic Mirroring

vpc에서 네트워크 트래픽을 수집하고 검사하되 방해되지 않는 방식으로 실행하는 기능

IPv6 Troubleshooting

ipv4 cannot be disabled for your VPC and bunets

→ create a new IPv4 CIDR in your subnet

VPC 엔드 포인트

인터페이스 앤드 포인트가 아닌 게이트웨이 앤드 포인트를 갖는 두개의 AWS 서비스

Amazon s3 및 DynamoDB

Cloub hub

AWS VPN 을 통한 다수 사이트간의 안전한 통신을 가능하게 해준다.

VPC Section 요약

• CIDR - IP 범위
• VPC - 가상 사설 클라우드 → IPv4 , IPv6
• subnets - CIDR이 정의된 AZ 에 연결
• internet gateway → 공용 서브넷을 구축하려면 인터넷 게이트웨이를 연결해서 공용 서브넷에서 인터넷 게이트웨이로 경로를 만들면 된다. 활성화 된 경우 IPv4 , IPv6에 인터넷 액세스 제공
• Route Tables : 게이트웨이나 vpc 피어링 연결 vpc 엔드 포인트로 향하는 라우트를 갖도록 편집되고 네트워크가 vpc 내부에서 흐르도록 돕는 중요한 기능
• Bastion host: 공용 ec2 인스턴스 ssh 수행하며 사설 서브넷의 다른 ec2로 ssh 연결을 사용할수 있다
• NAT Instances - ec2 인스턴스 사설 및 공용 서브넷에 배포되어 사설 서브넷의 ec2 인스턴스에 인터넷 엑세스를 제공한다. 오래되서 더는 사용안함
• NAT gateway - aws 에서 관리하며 성능이 좋고 사설 ec2 인스턴스에서 확장 가능한 인터넷 액세스를 제공하고 IPv4에서만 작동한다.
• private DNS + Route 53 - DNS 변환과 DNS 호스트 이름 설정을 VPC에서 활성화 해야 한다.
• NACL -네트워크 ACL 은 방화벽 인바운드, 아웃바운드 액세스를 서브넷 레벨에서 정의 임시 포트 NACL이 무상태 이므로 인바운드와 아웃바운드 규칙이 항상 평가된다.
• Security groups - 상태가 유지 ( 인바운드 허용시 아웃바운드도 허용) ec2 인스턴스 레벨에서 작동
• Reachability analyzer - 여러 aws 리소스 사이에서 네트워크 연결을 시험하고 디버깅을 수행한다
• VPC peering - 두 vpc를 연결할때 유용하다 CIDR이 곂치치 않는 경우메만 가능하다
• VPC Endpoints - aws 서비스에 사설 엑세스를 제공한다 vpc내 모든 서비스에서 가능
• VPC Flow Logs - vpc 내 모든 패킷과 관련해 일정 레벨의 메타데이터를 얻는 방법 accept 및 reject 트래픽 정보가 있다 VPC 서브넷이나 ENI 레벨에서 생성할수 있다
• Site-to-Site VPN - VPC를 데이터 센터에 연결하기 위해 사용 공용 인터넷을 지나는 VPN 연결로 AWS에는 가상 프라이빗 게이트웨이를 데이터센터에는 고객 게이트웨이를 생성하고 나서 VPN 연결을 구축한다
• AWS VPN Cloud-hub - 가상 프라이빗 게이트웨이를 사용해 vpc 연결을 여러개 생성하려면 VPN CloudHub를 활용 허브와 스포크 간 vpn 모델로 사이트에 연결
• Direct Connect - 데이터 센터에 연결하기 위해 사용 비공개 연결 공용 인터넷을 통과하지 않는다 구축하는데 시간이 오래 걸림
• Direct Connect Gateway - 다양한 aws 리전의 수많은 vpc에 direct connect를 설정
• aws privateLink /VPC Endpoint services -고객 vpc에 만든 자체 vpc의 내부 서비스에 비공개로 연결되며 vpc 피어링 , 공용 인터넷 nat gateway ,라우팅 테이블이 필요없다 네트워크 로드 밸런스 와 ENI 만 주로 함께 사용됨
• ClassicLink - ec2 instances를 vpc에 비공개로 연결함 곧 사라질 예정
• transit gateway - VPC 와 VPN Direct Connect를 위한 전이적 피어링 연결
• Traffic mirroring - 추가 분석을 위해 ENI 등에서 네트워크 트래픽을 복사
• Egress-only internet gateway - IPv6 트래픽을 인터넷으로 내보내는 송신 전용 인터넷 게이트웨이

AWS Network Firewall

전체 vpc를 방화벽으로 보호하는 서비스

네트워크 트래픽을 세부적으로 관리할수 있다.

VPG

기업의 온프레미스 데이터 센터와 AWS cloud 내 VPC 사이에서

AWS 사이트 대 사이트 VPN 연결을 설정할 경우, 이 연결을 구성하는데 있어서 중요한 두 구성 요소

• 가상 프라이빗 게이트웨이 VPG
• 고객 게이트웨이