AWS 네트워크 서비스 소개 및 사용 방법(200)

1. AWS 네트워킹 서비스

 

- 참고 : https://aws.amazon.com/ko/vpc/?nc2=type_a

VPC Cloud VPS호스팅 | 가상 호스팅 | Amazon Web Services

- VPC : AWS 클라우드에 만드는 가상의 데이터센터

- VPN : on-premise 데이터 센터와 VPC의 IPsec VPN 연결

- Direct Connect : on-premise 데이터 센터와 VPC의 전용선 연결

- ELB : 관리형 Load Balancer 서비스

- Route53 :  관리형 DNS 서비스

 

2. VPC(Virtual Private Cloud)

  . 사용자가 정의한 가상의 네트워크 환경(논리적 격리)

  . 사용자 별 네트워크 제어 가능

  . on-premise 데이터 센터와 연결 옵션

  . Region, IP 대역 설정 

  . AZ에 Subnet 생성(AZ 내부는 초고속 네트워크로 연결)

  . Routing 설정

  . Traffic 통제

 

- Subnet(CIDR)

  . VPC 확장 시나리오 고려

  . /16 ~ /28(ip 주소 18개)까지 가능

  . 생성 후 변경 불가

  . 10.0.0.0 : 네트워크 주소

  . 10.0.0.1 : VPC 라우터용으로 예약된 주소

  . 10.0.0.2 : AWS에서 예약한 DNS 주소, AmazonProvided DNS

  . 10.0.0.3 : AWS에서 향후 사용을 위해 예약

  . 10.0.0.255 : 브로드캐스트 주소, VPC에서는 브로드캐스트를 지원하지 않으며 AWS에서 예약

  . 자동으로 main route table 생성 됨(모든 subnet끼리 통신 가능하며 추가 가능)

 

- Route Table

  . subnet 단위 라우팅 통제

 

- Network ACL

  . subnet 단위

  . stateless 방화벽

  . allow/deny

  . rule # ordering

 

- Security Group

  . 인스턴스 단위

  . stateful 방화벽

  . allow only

 

3. VPC 확장 : Internet

 

- VPC Internet Gateway(only 1개)

  . Public VPC <-> Internet

  . 1:1 NAT(Public IP or EIP 필요)

  . IPv4, IPv6 지원

 

- VPC NAT Gateway(AWS가 완전히 관리)

  . Private VPC <-> Internet

  . Private subnet에 path, update, download 목적으로 구성

  . 1:1 NAT(EIP 필요)

  . Security group 적용 불가

 

- EIP

  . 유동 public ip가 아닌 고정된 ip 

  . 하나의 리전당 5개의 ELP 가능(추가 가능)

 

4. VPC 확장 : on-premise

 

- VPN Gateway : Ipsec site to site vpn을 통해 암호화 터널 구성, 이중화

- AWS Direct Gateway : 전용회선을 통하여 고객사와 직접 연결(Direct Connect)

 

5. VPC 확장 : other AWS Regions

 

- VPC간 하나만 제공하며 ip가 중복되면 안됨

- 동일 region 내 VPC간 완전히 격리된 연결

- Routing table을 통해 통제 가능하지만 Trnst routing은 제공하지 않음

 

- VPC Endpoints - Gateway Type

  . 인터넷을 경유하지않고 EC2, S3, DynamoDB 연결

  . 다양한 접근 제어 정책 적용(Route table, VPC Endpoint policy, S3 Bucket policy, Security group with profix list)

 

- VPC Private Link VPC Endpoints - Interface Type

  . Private Link를 통해 연결(비공개)

  . 다른 AWS 계정에서 호스팅된 VPC Endpoint service나  AWS Marketplace 파트너 서비스의 VPC를 비공개로 연결

  . IGW, NAT Gateway, Pulic IP, DX 불필요

  . 중앙화된 Internal service(DB, 로깅, 모니터링), microservice , SaaS에 사용

 

6. VPC 관리 : VPC Flow Logs

 

- network packet 수집

- cloudwatch logs group에 기록(10-15분 지연)

- 일부 수집되지 않는 로그들이 있음(dns, dhcp, windows license 등)

 

7. Direct Connect

 

- 고객 전용의 1Gbps 또는 10Gbps Fiber Cross Connect

- DX connect당 최대 50개의 가상 인터페이스(public and private) 생성 및 연결 가능

- 고객의 on-premise network와 VPC 직접 연결

 - VPN 대비 낮은 지연과 지속적이고 예측 가능한 성능 보장

 - 낮은 트래픽 요금(VPN, Internet 대비)

 

- Public, Private VIF(Virtual Interface)

  . Public VIF : on-premise와 VPC 연결하기 위한 용도, BGP 구성시, Private ASN 사용 가능

  . Private VIF : on-premise와 Public AWS 서비스(S3, DynamoDB 등)에 직접 연결하기 위한 용도, BGP 구성시 고객의 Public ASN 필요

- Site 이중화 구성 가능

. 하나의 DX location에 다수의 DX location을 구성한 경우 물리적인 H/W(Router)에 대한 분리 가능

 

8. Transit gateway

 

- VPC와 on-premise 데이터센터의 interconnect 지원

- 심플한 네트워크 토폴로지 구현으로 관리 부담 경감

- VPN, Direct connect와 단일 접점

- on-premise 데이터센터와 VPN 연결 시 ECMP 지원으로 50Gbps+ 대역폭 가능

- 모니터링 가능

- 라우팅 도메인 별 논리적인 네트워크 분리

 

9. Elastic Load Balancing(ELB)

 

- 참고 : https://aws.amazon.com/ko/elasticloadbalancing/?nc=sn&loc=0

웹 서버 로드 밸런싱 | 서버 로드 밸런싱 | Amazon Web Services

- 리전 내 load balancing service

- 다수의 가용영역으로 트래픽 분배

- 헬스 체크

- 오토 스케일링과 연동 가능

- IP가 변경되기 때문에 DNS Name 사용 권장(but 고정 IP 사용 가능)

- TLS Termination 가능

 

- Application Load Balancer

  . HTTP, HTTPS, HTTP2, WebSockets 지원

  . L7

  . Listener : port, protocol 지정, 최대 50개 생성 가능, ALB당 최소 1개 지정, Contents 기반 룰 지정(host/path 기반)

  . Target group : ALB 밑단 타켓들의 logical 그룹

 

- Network Load Balancer

  . L4

  . TCP Protocol 지원

  . 고성능 - 초당 수백만 요청 처리, 낮은 지연

  . NLB에는 AZ당 하나의 고정 IP 부여

  . long running에 적합

  . listner, target group, targets 사용

 

- Classic Load Balancer : for HTTP, HTTPS, TCP

 

10. Route53

 

- 참고 : https://aws.amazon.com/ko/route53/?nc2=type_a

Amazon Route 53 - Amazon Web Services

- 고가용성, 클라우드 기반은 scalable DNS 서비스

- 100% SLA 제공

- 지역시간/지역/가중치 기반 가능

 

- Public Hosted Zone

  . 도메인 구매 필요

  . 인터넷에서 도메인 트래픽 라우팅

  . 가중치 기반 레코드 및 장애조치 레코드를 포함한 모든 옵션 사용 가능

  . pulic

 

- Private Hosted Zone

  . 도메인 구매 불필요

  . VPC내 도메인 트래픽 라우팅

  . 가중치 기반 레코드 및 장애조치 레코드에만 연결할 수 있음

  . private