[AWS] Amazon VPC란? - VPC 개념 파헤치기

 

AWS VPC

• Amazon VPC를 이해하기 위해서는 아래와 같은 사전 지식이 필요하다. 

IP 주소 기초
서브넷과 서브넷팅
라우팅
CIDR

이미 알고 있는 개념이라면 밑으로 쭉쭉 내려주세용

 

 

서브넷 / 서브넷팅 

• 현재 통용되고 있는 IPv4주소 체계는 클래스 단위로 네트워크를 분할하므로 어떤 경우에는 호스트 주소가 너무 남거나, 어떤 경우에는 부족할 수 있다. 따라서 더 적절한 단위로 네트워크를 분할하기 위하여 나온 개념이 서브넷이다.
• 네트워크가 분할되어 나눠진 작은 네트워크를 서브넷
• 서브넷으로 네트워크를 분할하는 것을서브네팅이라고 한다.
• 서브넷을 통해 네트워크를 운영중인 서비스에 규모에 맞게 분할할 수 있다. 또, 네트워크 규모를 줄여 브로드캐스팅으로 인한 부하를 줄일 수 있다.

 

IP주소 기초

• IP(Internet Protocol): 인터넷이 통하는 네트워크에서 정보를 송수신하는 통신의 규약
• IPv4, IPv6 주소가 있으며 보통 IPv4주소가 사용된다.

 

 라우팅

• 쉽게 말하면 네트워크상에서 데이터의 목적지를 확인하고 최적 경로를 찾아 데이터를 전달해주는 것이다.
• 최적 경로를 Routing Table에 저장한다.

 

CIDR(Classless Inter-Domain Routing)

192.168.10.70/26

• 여기서는 그냥 이렇게 서브넷 마스크를 표기하는 것 자체가 CIDR 표기법이라고 알아두자.

 

 

 

 

VPC(Virtual Private Cloud)란?

• VPC는 Public Cloud 환경에서 사용할 수 있는 고객 전용 사설 네트워크이다.
• 쉽게 말해서, 공유된 클라우드 인프라에서 서브네팅을 통해 사용자에게 격리된 가상 네트워크를 제공하는 것이다.
• 퍼블릭 클라우드 상에서의 VPN(Virtual Private Network)이다.

• VPC가 없을때의 AWS 구조이다.
• 인스턴스들이 서로 연결되고 인터넷과 연결되므로, 시스템의 복잡도가 높아지고 인스턴스가 추가되면 기존의 인스턴스를 수정해야 한다.

• VPC를 적용하면 VPC별로 격리된 네트워크를 구성할 수 있고, 네트워크 설정도 각각 다르게 줄 수 있다.
• 말그대로 논리적으로 격리된 네트워크가 되는 것이다.

 

Amazon VPC

• 말 그대로 아마존에서 제공하는 VPC이다.
• 이를 이용하면 AWS 리소스를 논리적으로 격리된 가상 네트워크에서 동작시킬 수 있다.
• Amazon VPC를 통해 데이터센터에서 네트워크 환경을 만드는 것과 같이 클라우드 환경에서 네트워크를 구축할 수 있다.

 

 

Amazon VPC의 기능

• IP 주소 범위 선택, 서브넷 생성을 통한 네트워크 분리, 라우팅 테이블 및 네트워크 게이트웨이 구성 등 가상 네트워킹 환경을 제어할 수 있는 기능을 제공한다.
• IP 주소 범위 할당 : VPC와 서브넷에 IPv4와 IPv6 주소를 할당할 수 있다.
• 서브넷 생성을 통한 네트워크 분리 : VPC는 public VPC, private VPC 등 여러 개의 VPC로 나눌 수 있다.
  • VPC끼리는 논리적으로 구별되어 있지만,Peering Connection을 통해 VPC 리소스 간 트래픽을 라우팅한다.
• 게이트웨이는 VPC 엔드 포인트를 사용해 VPC를 다른 네트워크와 연결한다.

• 위 그림에서는 하나의 region에 세 개의 가용 영역이 있고 각 가용 영역별로 하나의 서브넷이 있으며, 서브넷 안에 EC2 인스턴스가 있다.
• 그리고 VPC의 리소스와 인터넷 간의 통신을 허용하는 인터넷 gateway가 있다.
• 이 VPC를 통해 사용자 수준에서 보안의 수준을 높일 수 있다.
• 클라우드 환경을 퍼블릭과 프라이빗의 논리적으로 독립된 네트워크 영역을 분리함으로써 리소스를 격리시키고 액세스를 제한하거나 하는 기능을 통해 보안성을 높일 수 있다.

 

 

Amazon VPC 구축하기

• VPC도 가상의 네트워크 영역이므로 IP주소를 RFC1918이라는 사설 IP 대역에 맞춰서 구축해야 한다.
• 여기서는 개념을 알아보고 다음 편에서 실습을 해보도록 하겠습니다..!

 

VPC에서 사용하는 사설 IP 대역은 아래와 같다.

• 10.0.0.0 ~ 10.255.255.255(10/8 prefix)
• 172.16.0.0 ~ 172.31.255.255(182.16/12 prefix)
• 192.168.0.0 ~ 192.168.255.255(192.168/16 prefix)

한번 IP 대역을 설정하면 수정할 수 없고, 각 VPC는 하나의 리전에 종속된다.

 

생성 과정은

1. IP 주소 범위 선택
2. 가용영역 별 서브넷 설정
3. 인터넷으로 향하는 경로 (route) 만들기 → 라우팅 테이블 설정
4. VPC로부터의 트래픽 설정 

 

와 같다.

 

• 기본적으로 사설 IP 대역은 public IP 대역과 통신이 불가능하다.
• 이때 Public Subnet(외부와 통신 가능한 서브넷 대역)과 Private Subnet(외부와 통신이 되지 않는 사설 서브넷 대역)을 지정해서 외부와 통신할 서브넷을 설정한다.
• Public 서브넷은 인터넷 게이트웨이가 설정되어 있어 외부 인터넷에 바로 접근할 수 있다.
• Private 서브넷은 외부와 통신할 수 없으며, 외부 인터넷에 접근하기 위해서는 NAT 게이트웨이를 사용해야 한다. (한정된 접근)
  • 프라이빗 서브넷의 통신흐름
    • 프라이빗 서브넷의 EC2 인스턴스가 데이터를 가상 라우터로 전달(프라이빗 ip사용)
    • 가상 라우터가 프라이빗 라우트 테이블을 참고해서 NAT 게이트웨이로 경로를 확인하고 데이터를 전달
    • NAT 게이트웨이에서 프라이빗 ip를 퍼블릭 ip로 전환
    • NAT 게이트웨이에서 인터넷 게이트웨이를 거쳐 사용자에게 전달 (public ip)

 

 

VPC 구성

• VPC는 서브넷, 가상 라우터와 라우팅 테이블, 인터넷 게이트웨이, NAT 게이트웨이, 보안그룹과 NACL(네트워크 ACL) 등으로 구성된다.
• VPC 내부적으로 라우터가 있고, VPC 내부 서브넷끼리 통신이 가능하다.

 

이제 다음 블로그 글에서 실제로 AWS 내에서 VPC를 구성해보자!