[AWS 기초] #4 네트워킹

Amazon Virtual Private Cloud(Amazon VPC)

 전 세계에 걸쳐 AWS를 사용하는 수 많은 사람들이 각자의 EC2 인스턴스를 만들어내고 있을텐데, 경계가 없다면 서로 아무런 관계가 없는 사용자의 EC2끼리 트래픽이 전달될 수 있습니다. Virtual Private Cloud는 AWS에서 각 사용자 계정마다 갖는 고유한 가상의 프라이빗 네트워크입니다. VPC를 사용하면 AWS 리소스에 경계를 설정하여 네트워크를 구분할 수 있습니다. 

 

인터넷 게이트웨이 (Internet Gateway, IGW)

 대중이 접근할 수 있는 공개 웹사이트를 호스팅하는 경우, 인터넷 게이트웨이를 사용하면 인터넷 망과 VPC를 연결하여 퍼블릭 트래픽의 접근을 허용할 수 있습니다. 인터넷 게이트웨이가 없다면 VPC를 소유한 사용자 외에 어느 누구도 VPC 내의 리소스에 접근할 수 없습니다.

 

가상 프라이빗 게이트웨이 (Virtual Private Gateway)

 HR 정보나 DB 데이터와 같이 외부 사용자에게 공개되지 않고, 사내 온프레미스 데이터센터와 VPC간에 트래픽을 주고받는 경우에는 모든 트래픽을 암호화하는 가상 프라이빗 게이트웨이를 사용합니다. 가상 프라이빗 게이트웨이는 인터넷 게이트웨이와 같은 인터넷 망을 사용하기 때문에 트래픽이 증가할 경우 응답속도가 지연될 수 있습니다.

 

AWS Direct Connect

 가상 프라이빗 게이트웨이는 망을 외부와 공유하기 때문에 속도가 느려질 수 있다는 단점이 있습니다. 이를 보완하기 위해 사내 데이터센터와 VPC 사이에 AWS Direct Connect 엔드포인트를 두어 비공개 전용 연결을 설정할 수 있습니다. 전용 네트워크 대역이므로 대역폭 처리량을 늘릴 수 있습니다.

---

서브넷

 하나의 VPC 내에서 여러 리소스는 다시 VPC 내의 IP주소의 모음인 서브넷으로 그룹화할 수 있습니다. 서브넷은 크게 인터넷 게이트웨이에 액세스할 수 있는 퍼블릭 서브넷과 그렇지 않은 프라이빗 서브넷으로 구분할 수 있다. 

 

네트워크 ACL (Network Access Control List, NACL)

 네트워크 ACL은 서브넷 수준의 트래픽 제어 방식으로, 서브넷의 경계를 지나는 모든 패킷은 ACL의 검사를 받습니다. ACL은 입국 시에 보이는 여권 심사대처럼 서브넷 내부로 들어오는 패킷 뿐만 아니라 외부로 나가는 패킷도 검사하여 자체적으로 갖고 있는 목록에서 출입이 허용된 주소라면 이동을 허용하고 그렇지 않으면 차단합니다. 상태를 저장하지 않는 Stateless 특성을 가지므로, 우리가 여행갈 때마다 여권심사대를 통과하는 것 처럼 패킷이 서브넷의 경계를 지날 때 마다 매번 패킷을 확인합니다.

 

보안 그룹 (Security Group, SG)

 ACL은 서브넷 경계를 지나는 패킷만 검사하므로, 같은 서브넷 내에 서로 다른 서비스를 제공하는 EC2 인스턴스에 대해 다른 규칙을 적용할 수 없습니다. 이런 상황에서 보안 그룹은 인스턴스 수준의 네트워크 보안을 제공합니다. 모든 EC2 인스턴스는 시작할 때 사용자가 지정한 보안 그룹에 속하게 되며, 보안 그룹은 기본적으로 모든 IP와 포트에 대하여 들어오는 트래픽을 차단하고 나가는 트래픽은 허용하도록 설정되어 있습니다. 보안 위협이 될 수 있는 OS 권한이나 관리자 권한이 필요한 요청은 애초에 들어올 때 차단됩니다. 보안 그룹의 인바운드 규칙과 아웃바운드 규칙은 사용자가 수정할 수 있습니다. 예를 들어 22번 포트를 허용하여 SSH 접속이 가능하도록 만들 수 있으며, 80포트 요청을 허용하여 웹 서비스를 제공할 수도 있습니다.

 

 보안 그룹은 네트워크 ACL과는 다르게 Stateful한 특성을 갖습니다. EC2가 건물이라면 보안 그룹은 문지기와 같습니다. 한 번 출입했던 손님을 기억하는 문지기처럼, 이전에 허용했던 IP와 포트에서 들어오는 패킷은 허용 대상인지 재차 확인하지 않습니다. 

 

 보안 그룹은 패킷 자체의 내용을 전혀 신경쓰지 않으며 신경 쓸 수도 없습니다. 단지 발신자가 승인된 목록에 포함되어 있는지 확인하는 용도로 사용됩니다.

---

AWS Route 53

 Route 53은 AWS의 DNS(Domain Name System) 서비스입니다. DNS는 사람이 읽기 편한 웹 사이트의 도메인 이름을 컴퓨터가 읽기 편한 IP(Internet Protocol) 주소로 번역해줍니다. 또한 Route 53을 도메인 이름을 등록하는데 사용할 수도 있다. 즉, 자체 도메인 주소를 별도의 외부 사이트를 이용할 필요 없이 AWS에서 직접 구매하고 관리할 수 있습니다. 

 

 

* 본문의 내용은 AWS Cloud Practitioner Essentials (Korean) 강의 내용을 정리한 글입니다.