VPC

1. Region, AZ(Availability Zone)

Region
- 전 세계에서 데이터 센터를 클러스터링하는 물리적 위치를 Region, 그 중 논리적 데이터 센터의 각 그룹을 AZ
- Region은 여러 개의 AZ로 구성
- 각 AZ는 독립된 전원, 냉각 및 물리적 보안을 갖추고 있으며 지연 시간이 매우 짧은 중복 네트워크를 통해 연결
- 25개의 Region 존재(2021.07 기준)
- 아시아 태평양(서울) Region 존재

AZ
- AZ는 AWS Region의 중복 전력, 네트워킹 및 연결이 제공되는 하나 이상의 개별 데이터 센터로 구성
- 단일 데이터 센터를 사용하는 것보다 더 높은 가용성, 내결함성 및 확장성을 갖춘 프로덕션 애플리케이션과 데이터베이스 운영 가능
- AWS Region의 모든 AZ는 높은 대역폭, 지연 시간이 짧은 네트워킹, 완전한 중복성을 갖춘 전용 메트로 광 네트워크와 상호 연결되어 있어 AZ 간에 높은 처리량과 지연 시간이 짧은 네트워킹을 제공
- AZ 간의 모든 트래픽은 암호화
- 서비스의 고가용성을 위하여 다중 AZ에 운영할 수 있음
- 네트워크 성능은 AZ 간 동기 복제 기능을 충분히 수행할 수 있음
- AZ는 다른 모든 AZ와 수 킬로미터에 상당하는 유의미한 거리를 두고 물리적으로 분리되어 있으며 모든 AZ는 서로 100km(60마일) 이내의 거리에 위치
- 다중 AZ에 운영하여
- 81개의 AZ 존재(2021.07 기준)
- 아시아 태평양(서울) Region에 ap-northeast-2a/b/c/d AZ 존재

https://aws.amazon.com/ko/about-aws/global-infrastructure/?p=ngi&loc=1 

글로벌 인프라

 

2. VPC(Virtual Private Cluoud)

Region에 생성하는 분리된 가상 네트워크 망
설정 가능한 네트워크 대역(CIDR)
- 10.0.0.0/8(10.0.0.0 – 10.255.255.255)
- 172.16.0.0/12(172.16.0.0 – 172.31.255.255)
- 192.168.0.0/16(192.168.0.0 – 192.168.255.255)

VPC 안에 CIDR을 나눠 목적에 따라 AZ에 Subnet 생성

Instance(EC2, 가상 서버)를 생성할 때 생성할 VPC&Subnet 지정

VPC 내부는 통신 가능하지만 VPC 간은 통신 불가능(VPC Peering, Transit Gateway 등 추가 서비스 사용 필요)

https://aws.amazon.com/ko/vpc/?vpc-blogs.sort-by=item.additionalFields.createdDate&vpc-blogs.sort-order=desc 

VPC Cloud VPS호스팅 | 가상 호스팅 | Amazon Web Services

 

3. Public Subnet

Destination이 0.0.0.0/0일 경우 Internet Gateway로 라우팅하여 인터넷에 접속 가능한 Subnet

Public Subnet 내에 Instance를 생성할 경우 공인 IP를 할당하여 사용자가 Instance에 접속할 수 있음

 

4. Private Subnet

인터넷에 접속 불가능한 Subnet

Private Subnet 내에 Instance를 생성할 경우 사용자가 접속할 수 없음(VPC 내부는 통신 가능, Public Subnet을 통해 접속 가능)

인터넷 접속이 필요할 경우 Public Subnet에 NAT Gateway or NAT Instance/Bastion Host를 두고 인터넷 접속 가능하도록 할 수 있음

- NAT Gateway 사용 : Private Subnet > NAT Gateway(Public Subnet) > Internet Gateway > 인터넷

- Bastion Host 사용 : Private Subnet > NAT Instance/Bastion Host(Public Subnet) > Internet Gateway > 인터넷

 

5. Route Table

Subnet에 설정

VPC CIDR Destination이 Local로 자동 설정되어 VPC 내부 통신 가능

그 외 목적에 따라 Destination을 지정 연결 Gateway(Internet Gateway, NAT Gateway, Transit Gateway, VPN Gateway, Endpoint 등) 설정

 

6. NACL(Network Access Control List)

Subnet에 설정

Stateless 방식(상태 비저장하여 Inbound/Outbound 규칙을 별도로 적용 받음)

Allow/Deny 규칙 있음

Top Down으로 규칙 확인(규칙이 확인되면 아래 규칙은 확인하지 않음)

Subnet에서 허용/차단이 필요한 Inbount/Outbount의 Type과 Protocol/Port를 설정

 

7. SG(Securirty Group)

Instance에 설정

Stateful 방식(상태 저장하여 Inbound/Outbound 규칙을 최초만 적용 받음)

Allow 규칙만 있음

모든 규칙을 확인

Instance에서 허용이 필요한 Inbount/Outbount의 Type과 Protocol/Port를 설정

Inbound는 Instance에 접속하기 위해 SSH Port(web service가 올라와있다면 http/https도 열어줘야 함)

Outbound는 인터넷 접속이 필요하기 때문에 All