쏘니헨리

Amazon VPC를 이용하면 사용자가 정의한 가상 네트워크로 AWS 리소스를 시작할 수 있습니다.

가상 네트워크는 AWS의 확장 가능한 인프라를 사용한다는 이점과 함께 고객의 자체 데이터 센터에서 운영하는 기존 네트워크와 매우 유사합니다.

기능 

다음 기능은 애플리케이션에 필요한 연결을 제공하도록 VPC 구성하는데 도움이 됩니다.

Virtual Private Cloud(VPC)

- VPC는 자체 데이터 센터에서 운영하는 기존 네트워크와 아주 유사한 가상 네트워크 입니다. VPC를 생성한 후 서브넷을 추가할 수 있습니다. 

서브넷 

- 서브넷은 VPC의 IP주소 범위 입니다. 서브넷은 단일 가용 영역에 상주해야 합니다. 서브넷을 추가한 후에는 VPC에 AWS 리소스 배포할 수 있습니다.

IP 주소 지정 

- VPC와 서브넷에 IPv4주소와 IPv6 주소를 할당할 수 있습니다. 또한 퍼블릭 IPv4 및 IPv6 GUA주소를 AWS로 가져오고 VPC의 리소스(예 :EC2 인스턴스,NAT 게이트웨이,Network Load Balancer)에 할당할 수 있습니다.

라우팅 

라우팅 테이블을 사용하여 서브넷 또는 게이트웨이의 네트워크 트래픽이 전달되는 위치를 결정합니다.

게이트웨이 및 엔드포인트 

게이트웨이는 VPC를 다른 네트워크에 연결합니다. 예를 들면,인터넷 게이트웨이를 사용하여 VPC를 인터넷에 연결합니다. VPC엔드포인트를 사용하여 인터넷 게이트웨이 또는 NAT 장치를 사용하지 않고 AWS 서비스에 비공개로 연결합니다.

피어링 연결 

VPC피어링 연결을 사용하여 두 VPC의 리소스 간 트래픽을 라우팅 합니다.

트래픽 미러링 

네트워크 인터페이스에서 네트워크 트래픽을 복사하고 심층 패킷 검사를 위해 보안 및 모니터링 어플라이언스로 전송합니다.

Transit Gateway 

중앙 허브 역할을 하는 전송 게이트웨이를 사용하여 VPC,VPN 연결 및 AWS Direct Connect 연결 간에 트래픽을 라우팅합니다.

VPC 흐름 로그 

흐름 로그는 VPC의 네트워크 인터페이스로 들어오고 나가는 IP 트래픽에 대한 정보를 캡처합니다.

VPN 연결 

AWS Virtual Private Network(AWS VPN)을 사용하여 온프레미스 네트워크에 VPC를 연결합니다.

출처 https://docs.aws.amazon.com/ko_kr/vpc/latest/userguide/what-is-amazon-vpc.html

VPC의 개념 

VPC는 사용자가 정의하는 가상의 네트워크로 VPC를 통하여 인스턴스가 속하는 네트워크를 구분하여 각 네트워크에 맞는설정을 부여할 수 있다. 만일 VPC 없이 인스턴스를 생성한다면 아래와 같이 인스턴스끼리의 구분 없는 연결로 인하여 시스템 복잡도가 증가한다. 인터넷을 통하여 전달되는 트래픽 전송이 굉장히 비효율적이게 될 수 있다.

VPN를 적용하게 되면 인스턴스가 VPC에 속함으로 네트워크를 구분할 수 있고 VPC 별로 필요한 설정을 통하여 인스턴스에 네트워크 설정을 적용할 수 있다. AWS는 VPC의 중요성을 강조하면서 모든 서비스에 VPC를 적용하도록 강제하였다.

만약 지금까지 VPC를 한 번도 만들어 보지 않고 인스턴스 생성을 했다고 하면 AWS에서 제공하는 default VPC에 인스턴스가 배치되어 있을 것 이다.

VPC 

VPC는 독립된 하나의 네트워크를 구성하기 위한 가장 큰 단위이다. region에 종속되어 RFC1918이라는 사설 IP 대역에 맞추어 설계해야 한다. VPC에 사용하는 사설 IP대역은 아래와 같다.

1. 10.0.0.0 ~ 10.255.255.255

2. 172.16.0.0 ~ 172.31.255.255

3. 192.168.0.0. ~ 192.168.255.255

각 대역폭마다 고정되는 prefix가 다르다 1번은  00001010 2번은 0101100.0001 3번은 11000000.10101000~가 

앞에 고정되어 있고 나머지 주소 범위에 해당하는 IP 주소를 할당할 수 있다. 아래와 같이 10.0.0.0/16으로 설정된 IP 대역폭은 총 65,536개의 프라이빗 IPv4 주소를 가질 수 있다.

VPC에서 한번 설정된 IP 대역은 수정할 수 없으며 각각의 VPC는 독립적이기 때문에 서로 통신할 수 없다. 만일 통신을 원한다면 VPC 피어링 서비스를 통하여 VPC간에 트래픽을 라우팅할 수 있게 설정 가능하다.

Subnet 

서브넷은 VPC의 IP주소를 나누어 리소스가 배치되는 물리적인 주소 범위를 뜻한다. VPC를 잘게 나눈 것이 서브넷이기 때문에 VPC보다 대역폭이 낮으며 하나의 AZ에 하나의 서브넷이 연결되기 때문에 region의 AZ 수를 미리 확인하고 설정해야한다.

서브넷은 다시 Public Subnet과 Private Subnet으로 나뉠 수 있다. 인터넷과 연결되어있는 서브넷을 public subnet이라고 하고 인터넷과 연결되어있지 않은 서브넷을 private subnet이라고 한다. 이처럼 인터넷 연결 여부로 subnet을 구분하는 이유는 보안을 강화하기 위함이다. public subnet에 존재하는 인스턴스는 인터넷에 연결되어 아웃바운드,인바운드 트래픽을 주고 받을 수 있다. 반면 private subnet은 외부에 노출되어 있는 면적을 최소화함으로써 네트워크 망에 함부로 접근하는 것을 막기 위함이다.

Router 

라우터는 VPC안에서 발생한 네트워크 요청을 처리하기 위해 어디로 트래픽을 전송해야 하는지 알려주는 표지판 역할을 수행한다. 각각의 서브넷은 네트워크 트래픽 전달 규칙에 해당하는 라우팅 테이블을 가지고 있으며 요청이 발생하면 가장 먼저 라우터로 트래픽을 전송한다. 일반적으로 VPC 내부 네트워크에 해당하는 주소는 local로 향하도록 한다.

Internet Gateway 

인터넷 게이트웨이는 VPC 리소스와 인터넷 간 통신을 활성화하기 위해 VPC에 연결하는 게이트웨이이다. 앞서 설명햇듯이 public subnet만 외부와 통신해야 하므로 public subnet의 라우팅 테이블에만 인터넷 게이트웨이로 향하는 규칙을 포함한다. 아래 그림과 같이 라우팅 규칙을 설정하면 네트워크 요청 발생 시 목적지의 IP 주소가 10.0.0.0/16(VPC 내부)에 해당하는지 확인한다. 해당하지 않는 모든 트래픽은 인터넷 게이트웨이를 통해 외부로 전송되어 목적지를 찾는다.

NAT Gateway(NAT 게이트웨이)

public subnet만 인터넷 게이트웨이를 통해 외부와 트래픽을 주고받을 수 있다면 private subnet의 트래픽은 무조건 VPC 안에서만 처리된다는 뜻일까 ? 그렇지 않고 private subent 역시 마찬가지로 인터넷과 통신할 수 있다. 하지만 private subnet에서 직접하는 것은 불가능하므로 트래픽을 public subnet에서 발생하는 네트워크 요청이 VPC 내부의 주소를 목적지로 하는 것이 아니라면 public subnet에 존재하는 NAT로 트래픽을 전송하나. 트래픽을 받은 NAT는 public subnet의 라우팅 규칙에 따라 처리함으로써 private subnet이 인터넷과 통신할 수 있도록 한다. 

VPC Endpoint 

VPC 엔드포인트는 인터넷 게이트웨이나 NAT 게이트웨이와 같은 다른 게이트웨이 없이 AWS 서비스와 연결하여 통신할 수 있는 private connection을 제공하는 서비스이다. Private link를 통해 AWS 서비스와 연결함으로써 데이터를 인터넷에 노출하지 않고 바로 접근할 수 있다. 또한 연결하는 서비스의 IP주소를 바꾸는 등 네트워크 정보의 변경 등의 작업에서 불필요하게 발생하는 비용르 줄일 수 있다.

AWS 주요 제품 이해하기 

AWS 제품별 서비스 이해하기

애플리케이션 통합

증강현실 및 가상현실

블록체인 

- 확장 가능한 블록체인 네트워크를 생성 및 관리

- 완전관리형 원장 데이터베이스 

- 조정 가능한 블록체인 및 원장 솔루션을 손쉽게 구축

- AWS는 조정 가능한 비즈니스용 블록체인 네트워크 및 원장 애플리케이션을 구축할 수 있는 가장 단순한 방법 제공 

블록체인 제품

Amazon QLDB 

- 완전관리형 원장 데이터베이스 

- 중앙의 신뢰할 수 있는 기관이 소유하는 투명하고 변경 불가능하며 암호화 방식으로 검증 가능한 트랜잭션 로그 제공

- 모든 애플리케이션 데이터 변경 내용을 추적하며 완전하고 검증 가능한 시간대별 변경 기록을 유지 관리

비즈니스 애플리케이션 

- Alexa for Business(Alexa로 조직의 역량 강화)

- Amazon Chime(편리한 회의, 화상 통화 및 채팅)

- Amazon WorkMail(안전한 이메일 및 일정 관리)

Alexa for Business 

- 조직 및 직원이 알렉사를 사용하여 더 많은 업무를 처리할 수 있도록 지원하는 서비스

- 직원이 Alexa를 지능형 비서로 사용하여 회의실이나 자신의 책상에서 심지어 이미 집에 있는 Alexa 디바이스로도 좀 더 생산성 향상 가능

최종 정리

AWD는 분석,애플리케이션 통합,증강현실 및 가상현실,AWS비용관리,블록체인,비즈니스 애플리케이션,컴퓨팅,고객 인게이지먼트,데이터베이스,개발자 도구,최종 사용자 컴퓨팅,게임기술,사물인터넷,기계학습,관리 및 거버넌스,미디어 서비스,마이그레이션 및 전송,모바일,네트워킹 및 콘텐츠 전송,스토리지 등의 제품 및 서비스를 제공한다.

Amazon Elastic Compute Cloud(EC2)

클라우드의 가상 서버 

안전하고 크기 조정이 가능한 컴퓨팅 파워를 클라우드에서 제공

Amazon Simple Storage Service(S3)

- 클라우드에서의 확장 가능한 스토리지 

Amazon Aurora 

- 관리형의 고성능 관계형 데이터베이스

Amazon DynamoDB

- 관리형 NoSQL 데이터베이스

Amazon RDS 

- MYSQL,PostgreSQL, Oracle, SQL Server 및 MariaDB를 위한 관리형의 관계형 데이터베이스 서비스 

AWS Lambda

Amazon VPN

Amazon Lightsail

Amazon SageMaker

클라우드 컴퓨팅 

- 인터넷 기반 컴퓨팅의 일종으로 정보를 자신의 컴퓨터가 아닌 인터넷에 연결된 다른 컴퓨터로 처리하는 기술

- 공유 컴퓨터 처리 자원과 데이터를 컴퓨터와 다른 장치들에 요청시 제공해줌

- 구성 가능한 컴퓨팅 자원 (예 : 컴퓨터 네트워크,서버,스토리지,애플리케이션,서비스)에 대해 어디서나 접근이 가능한 주문형 접근을 가능케 하는 모델이며 최소한의 관리 노력으로 빠르게 예비 및 릴리스를 가능케 함

- 클라우드 컴퓨팅과 스토리지 솔루션들은 사용자와 기업들에게 개인 소유나 타사 데이터 센터의 데이터를 저장,가공하는 다양한 기능을 제공하며 도시를 거쳐 전 세계로까지 위치해 있을 수 있음

- 클라우드 컴퓨팅은 전기망을 통한 전력망과 비슷한 일관성 및 규모의 경제를 달성하기 위해 자원 공유에 의한다.

AWS를 이용한 클라우드 컴퓨팅

Amazon Web Services(AWS)

- 전 세계적으로 분포한 데이터 센터에서 165개가 넘는 완벽한 기능의 서비스를 제공하는,세계적으로 가장 포괄적이며,

널리 채택되고 있는 클라우드 플랫폼

- 빠르게 성장하는 스타트업, 가장 큰 규모의 엔터프라이즈,주요 정부 기관을 포함하여 수백만 명의 고객이 AWS를 믿고 인프라를 강화하고 민첩성을 향상시키고 비용을 절감하고 있음

AWS

- 웹과 모바일의 애플리케이션,빅테이터 프로젝트,소셜 게임,모바일 앱에 이르는 거의 모든 물리적인 컴퓨팅 자원을 클라우드를 통하여 실행할 수 있는 다양한 인프라 및 애플리케이션 서비스 집합을 제공함

클라우드 제품

AWS 보안 

- 보안,자격 증명 및 규정 준수 제품

AWS에서 가장 높은 우선 순위 - 클라우드 보안

AWS 고객은 위험에 가장 민감한 조직의 요구 사항에 부합하도록 구축된 데이터 센터 및

네트워크 아키텍처의 혜택을 주릴 수 있음

 AWS 아키텍처 

- AWS 산업용 예측 유지 보수 기계 학습 모델