Learning Plan Labs 1.VPC

• VPC
  • Virtual Private Cloud
  • AWS 클라우드에서 논리적으로 격리된 네트워크 공간 프로비저닝
    • IP 주소 범위, 서브넷, 라우팅, 게이트웨이 구성 등

 

 

• Subnet
  • 퍼블릭 서브넷으로 간주할 수 있는 이유?: 서브넷 라우팅 확인
    • 퍼블릭 서브넷의 경우, 다음과 같이 0.0.0.0/0 -> igw (인터넷 게이트웨이 향)이 설정
    • 인터넷 게이트웨이로 가는 경로를 포함하는 라우팅 테이블과 연결되기 때문에 퍼블릭 서브넷이며, 인터넷에서 해당 서브넷으로 연결이 가능 
    • 
  • 프라이빗 서브넷의 경우, 다음과 같이 0.0.0.0/0 -> nat
    • 해당 서브넷에서 인터넷으로 향하는 모든 트래픽을 nat 게이트웨이로 보내는 기본 경로
    • 

 

• NAT 게이트웨이(중개자)
  • 프라이빗 서브넷의 인스턴스 -> nat 게이트웨이 통해 -> 인터넷이나 다른 aws 서비스에 연결 가능
  • 반대로, 
    • 인터넷 -> 해당 인스턴스로 연결 시작 불가
    • 아웃바운드 전용 연결(내부에서 외부로만 통신 가능)
  • 따라서,
    • nat 게이트웨이는 리소스 비공개 유지 및 보안 강화 수단
  • 

 

 

 

 

• Security Groups
  • 인스턴스에 대한 인바운드, 아웃바운드 트래픽 제어하는 가상 방화벽 역할
    • 서브넷이 아닌 인스턴스 수준에서 작동
  • VPC에서
    • EC2 인스턴스 시작시, 최대 5개의 보안 그룹을 인스턴스에 할당 가능
    • 기본 보안 그룹 자동 제공
      • src가 기본 보안 그룹인 경우, 모든 트래픽 엑세스 허용(다른 리소스로부터의 엑세스 제한)
    • 리소스 추가 시, 추가 보안 그룹 생성
      • 웹서버, 애플리케이션 서버, 데이터베이스 서버 등의 리소스에 액세스 제각각 허용 가능