VPC 피어링
다른 VPC랑 통신하기 위해 사용, 두 VPC 간에 발생하며 전이되지 않음
전이되지 않음: A -> B -> C면은 A는 C에 연결이 안된다는 뜻
VPC 서브넷 상의 루트 테이블도 업데이트해야지 EC2 인스턴스가 서로 통신이 됨
VPC 피어링은 다른 계정, 리전 간 연결이 가능함
동일 리전의 계정 간 VPC에서도 보안 그룹 참조 가능
VPC Endpoint
VPC Endpoint: 프라이빗 AWS 네트워크만 거쳐서 바로 해당 서비스에 액세스
Private Access를 원할 때 사용, Public Internet을 거치지 않고 인스턴스에 액세스가 가능
NAT Gateway를 사용해서도 가능하지만 비용이 발생
VPC Endpoint를 사용하면 AWS에 있는 모든 서비스에 프라이빗 네트워크 사용 가능하기에 네트워크 인프라를 간단하게 만들어줌
PrivateLink를 이용하는 Interface Endpoint
- ENI를 프로비저닝
- ENI가 있으면 반드시 보안 그룹을 연결
- 처리되는 데이터 GB 단위로 청구
ENI: VPC 프라이빗 IP 주소이며 AWS의 엔트리 포인트
Gateway Endpoint
- 게이트웨이를 프로비저닝
- IP 주소를 사용하거나, 보안 그룹을 사용하지 않고 라우팅 테이블의 대상이 될 뿐임
- Amazon S3, DynamoDB 2가지가 있음
- 요금이 무료, 자동으로 확장
- 게이트웨이를 사용안하고 인터페이스를 사용하는건 온프레미스에 프라이빗으로 액세스 할때만 사용
Gateway Endpoint 사용 시: 게이트웨이는 반드시 라우팅 테이블의 대상이 되어야함
VPC Flow Logs
인터페이스로 들어오는 IP 트래픽에서 정보를 포착
- VPC 수준, 서브넷 수준, 탄력적 네트워크 인터페이스 수준에서 포착
VPC에서 일어나는 연결 문제를 모니터링하고 해결 할 때 유용 - 해당 흐름을 S3, CloudWatch Logs, Kinesis Data Firehose 전송 가능
- ELB, RDS, ElastiCache, Redshift, WorkSpaces, NATGW, Transit Gateway 등 관리형 인터페이스에도 전송 가능
사용 패턴 분석, 악의적인 행동, 포트 스캔 탐지 가능
최적의 방법
- Athena를 S3에 사용
- 스트리밍 분석은 CloudWatch Logs Insights 사용
사이트 간 VPN, 가상 사설 Gateway 및 고객 Gateway
Site-to-Site VPN: 특정 구조가 있는 기업 데이터 센터를 AWS와 비공개로 연결
기업은 고객 게이트웨이를, VPC는 VPC 게이트웨이를 갖춰야함
공용 인터넷을 통해 사설 Site-to-Site VPN을 연결
VPN은 두 가지가 필요
- 가상 프라이빗 게이트웨이 (VGW: VPN 연결에서 AWS 측에 있는 VPN 집선기)
- VGW는 생성되면 VPC에 연결이 됨
- 고객 게이트웨이 (CGW)
- VPN 연결에서 데이터 센터 측
연결 흐름
- 회사 -> Customer Gateway(Public IP), NAT Device(Public IP) -> Virutal Private Gatway -> AWS VPC -> AWS Private Subnet
- 서브넷의 VPC에서 라우트 전파를 활성화 해야지 Site-to-Site VPN 연결이 작동
- 보안그룹에서 ICMP 프로토콜 활성화를 해야하지 연결이 됨
AWS VPN CloudHub
- 여러 VPN 연결을 통해 모든 사이트 간 안정한 소통을 보장
- 허브 및 스포크 모델
- 가상 프라이빗 게이트웨이 하나에 Site-to-Site VPN을 여러개 만들어 동적 라우팅 활성화 후 라우팅 테이블 구성
다이렉트 커넥트 & 다이렉트 커넥트 게이트웨이
다이렉트 커넥트: 원격 네트워크로 부터 VPC로의 전용 프라이빗 연결 제공
- 전용 연결을 생성을 해야함
- 다이렉트 커넥트 로케이션을 사용
- VPC에 가상 프라이빗 게이트웨이를 설치 해야지 온프레미스 데이터 센터와 AWS 연결이 가능
다이렉트 커넥트 사용 사례
- 대역폭 처리량이 증가 할 때, 큰 데이터 세트를 처리할 때 속도가 빨라짐
- 퍼블릭 인터넷을 안거치기 때문, 비용도 절약
- 프라이빗 연결이기에 퍼블릭 인터넷 연결에 문제가 발생해도 상태 유지 가능
- 하이브리드 환경 지원: 온프레미스 데이터 센터와 클라우드가 연결 되어있기때문
- Amazon Glacier, AMazon S3에는 퍼블릭 VIF (퍼블릭 가상 인터페이스) 설치 필요
다이렉트 커넥트 게이트웨이: 다른 리전에 있는 하나 이상의 VPC와 연결
- 다이렉트 커넥트 연결을 생성 한 후
- 프라이빗 VIF를 사용
- 다이렉트 커넥트 게이트웨이에 연결하면은 프라이빗 VIF를 통해 가상 프라이빗 게이트웨이에 연결
설치 기간이 보통 한 달 이상 걸림
다이렉트 커넥트와 함께 VPN을 설치해서 IPsec으로 암호화된 프라이빗 연결 가능
다이렉트 커넥트 복원력
- 복원력을 높이기 위해서는 여러 다이렉트 커넥트 설치
- 독립적인 연결을 두 개씩 수립하면 복원력을 최대로 만들 수 있음
다이렉트 커넥트 & Site to Site VPN
다이렉트 커넥트를 사용 시에 Site to Site VPN을 백업 연결을 두면 기본 연결 문제 발생 시 Site to Stie VPN을 통해 퍼블릭 인터넷에 연결이 가능함
환승 Gateway
Transit Gateway: 전이적 피어링 연결 VPC 수천 개와 온프레미스 데이터 센터 Site-to-Site VPN, 다이렉트 커넥트 등 복잡한 네트워크 토폴로지를 전이적으로 연결 가능하게 함
- VPC를 모두 피어링 할 필요가 없음, 전이적으로 모두 VPC 연결이 되기 때문
리전 리소스이며 리전 간에 작동
Transit Gateway를 계정 간에 공유하려면 Resource Access Manager를 사용
리전 간 Transit Gateway를 피어링 할 수 있음
라우팅 테이블을 생성해서 VPC 연결 액세스, 제한도 가능
AWS에서 유일하게 IP 멀티캐스트를 지원하는 서비스
등가 다중 경로 라우팅 (ECMP)
- 여러 최적 경로를 통해 패킷을 전달하는 라우팅 전략
- Site-to-Site VPN 연결을 많이 생성해서 연결 대역폭을 늘릴 때 사용
- Site-to-Site VPN을 Transit Gateway를 바라보게 하면 연결 처리량이 증가
- 전이적으로 연결이 되기때문에 VPC를 바라보는거보다 효율적
VPC 트래픽 미러링
VPC에서 네트워크 트래픽을 수집하고 검사하지만 방해되지 않는 방식으로 실행
사용 예시
- VPC 트래픽 미러링 -> NLB -> ASG구조로 사용하면은
- 네트워크 로드 밸런서에서 트래픽 자체를 분석함
- 콘텐츠 검사, 위협 모니터링, 네트워크 문제 해결 등 가능
VPC용 IPv6
IPv4가 43억개인데 주소가 모두 소진되어 IPv6가 생성이 됨
VPC에서 IPv6 지원을 활성화 할 수 있음, IPv4 비활성화는 안됨
IPv6 지원을 활성화 하면 공용 IP 주소가 생성되며 듀얼 스택 모드로 작동
듀얼 스택 모드: 최소 내부 IPv4, 공용 IPv6 하나를 얻게 됨
서브넷에 이용 가능한 IPv4가 없으면은 IPv6 활성화된 인스턴스를 실행 할 수 없음
솔루션은 서브넷에 IPv4 CIDR을 생성을 해야함
이그레스 전용 인터넷 Gateway
NAT Gateway랑 비슷하지만 IPv6 전용 서비스
섹션 정리
CIDR: IP 범위
VPC: 가상 프라이빗 클라우드
- IPv4, IPv6에 사용, 서브넷은 AZ에 연계
- 프라이빗 서브넷, 퍼블릭 서브넷에 CIDR을 정의함
- 서브넷
- 인터넷 게이트웨이를 만들고 라우트 테이블을 편집해서 인터넷 게이트웨이, VPC 피어링, VPC 엔드포인트로 지정
Bastion Host: 퍼블릭 서브넷에서 SSH 접근 후 프라이빗 SSH로 접근하는 EC2
NAT 인스턴스: 프라이빗 서브넷에 있는 EC2 인스턴스에 인터넷 액세스 제공하는 EC2 (도태중)
NAT 게이트웨이: 프라이빗 EC2 스케일링이 가능한 인터넷 액세스 제공 IPv4만 사용
NACL: 네트워크 ACL, 서브넷 수준에서 인바운드, 아웃바운드 액세스 제어하는 방화벽 (임시포트가 있음)
VPC 피어링: 2개의 VPC를 연결할 때 사용, 중첩되지 않는 CIDR이 있어야함
VPC 엔드포인트: S3, DynamoDB, CloudFormation AWS 서비스에 VPC 안에서 프라이빗 액세스
인터페이스 엔드포인트: VPC 엔드포인트의 나머지 AWS 서비스 프라이빗 액세스
VPC Flow Logs: VPC 안의 모든 패킷에 관한 로그 수준 메타데이터를 얻음, S3 등 전달 가능
VPC를 데이터센터(온프레미스)에 연결하는 방법은 2가지
- Site-to-Site VPN (퍼블릭 인터넷을 통한 VPN 연결)
- 다이렉트 커넥트
Transit Gateway: VPC, VPN, 다이렉트 커넥트를 위한 이행성 피어링 연결, 모든게 통과해서 흐를 수 있음
트래픽 미러링: ENI에 다른 곳으로 네트워크 트래픽 복사 후 추가 분석
방화벽 정리
NACL: VPC 보안 그룹
WAF: HTTP를 통하여 특정 서비스에 유입되는 악성 요청 방화벽
AWS Shield, Shield Advanced: DDos를 막음
AWS Firewall Manager: 여러 계정에 적용 할 수 있는 WAF, Shield 규칙 관리자
AWS Network Firewall: 전체 VPC를 방화벽으로 보호, 계층3부터 계층7까지 보호
- 내부적으로 AWS Gateway Load Balancer를 사용
'스터디 > AWS SAA' 카테고리의 다른 글
| 섹션 29: 더 많은 솔루션 아키텍처 (0) | 2024.02.02 |
|---|---|
| 섹션 28: 재해 복구 및 마이그레이션 (0) | 2024.02.01 |
| 섹션 27: 네트워킹 - VPC (상) (0) | 2024.01.20 |
| 섹션 26: AWS 보안 및 암호화 KMS, SSM Parameter Store, CloudHSM, Shield, WAF (0) | 2024.01.19 |
| 섹션 25: Identity and Access Management (IAM) - 고급 (0) | 2024.01.17 |
VPC 피어링
다른 VPC랑 통신하기 위해 사용, 두 VPC 간에 발생하며 전이되지 않음
전이되지 않음: A -> B -> C면은 A는 C에 연결이 안된다는 뜻
VPC 서브넷 상의 루트 테이블도 업데이트해야지 EC2 인스턴스가 서로 통신이 됨
VPC 피어링은 다른 계정, 리전 간 연결이 가능함
동일 리전의 계정 간 VPC에서도 보안 그룹 참조 가능
VPC Endpoint
VPC Endpoint: 프라이빗 AWS 네트워크만 거쳐서 바로 해당 서비스에 액세스
Private Access를 원할 때 사용, Public Internet을 거치지 않고 인스턴스에 액세스가 가능
NAT Gateway를 사용해서도 가능하지만 비용이 발생
VPC Endpoint를 사용하면 AWS에 있는 모든 서비스에 프라이빗 네트워크 사용 가능하기에 네트워크 인프라를 간단하게 만들어줌
PrivateLink를 이용하는 Interface Endpoint
- ENI를 프로비저닝
- ENI가 있으면 반드시 보안 그룹을 연결
- 처리되는 데이터 GB 단위로 청구
ENI: VPC 프라이빗 IP 주소이며 AWS의 엔트리 포인트
Gateway Endpoint
- 게이트웨이를 프로비저닝
- IP 주소를 사용하거나, 보안 그룹을 사용하지 않고 라우팅 테이블의 대상이 될 뿐임
- Amazon S3, DynamoDB 2가지가 있음
- 요금이 무료, 자동으로 확장
- 게이트웨이를 사용안하고 인터페이스를 사용하는건 온프레미스에 프라이빗으로 액세스 할때만 사용
Gateway Endpoint 사용 시: 게이트웨이는 반드시 라우팅 테이블의 대상이 되어야함
VPC Flow Logs
인터페이스로 들어오는 IP 트래픽에서 정보를 포착
- VPC 수준, 서브넷 수준, 탄력적 네트워크 인터페이스 수준에서 포착
VPC에서 일어나는 연결 문제를 모니터링하고 해결 할 때 유용 - 해당 흐름을 S3, CloudWatch Logs, Kinesis Data Firehose 전송 가능
- ELB, RDS, ElastiCache, Redshift, WorkSpaces, NATGW, Transit Gateway 등 관리형 인터페이스에도 전송 가능
사용 패턴 분석, 악의적인 행동, 포트 스캔 탐지 가능
최적의 방법
- Athena를 S3에 사용
- 스트리밍 분석은 CloudWatch Logs Insights 사용
사이트 간 VPN, 가상 사설 Gateway 및 고객 Gateway
Site-to-Site VPN: 특정 구조가 있는 기업 데이터 센터를 AWS와 비공개로 연결
기업은 고객 게이트웨이를, VPC는 VPC 게이트웨이를 갖춰야함
공용 인터넷을 통해 사설 Site-to-Site VPN을 연결
VPN은 두 가지가 필요
- 가상 프라이빗 게이트웨이 (VGW: VPN 연결에서 AWS 측에 있는 VPN 집선기)
- VGW는 생성되면 VPC에 연결이 됨
- 고객 게이트웨이 (CGW)
- VPN 연결에서 데이터 센터 측
연결 흐름
- 회사 -> Customer Gateway(Public IP), NAT Device(Public IP) -> Virutal Private Gatway -> AWS VPC -> AWS Private Subnet
- 서브넷의 VPC에서 라우트 전파를 활성화 해야지 Site-to-Site VPN 연결이 작동
- 보안그룹에서 ICMP 프로토콜 활성화를 해야하지 연결이 됨
AWS VPN CloudHub
- 여러 VPN 연결을 통해 모든 사이트 간 안정한 소통을 보장
- 허브 및 스포크 모델
- 가상 프라이빗 게이트웨이 하나에 Site-to-Site VPN을 여러개 만들어 동적 라우팅 활성화 후 라우팅 테이블 구성
다이렉트 커넥트 & 다이렉트 커넥트 게이트웨이
다이렉트 커넥트: 원격 네트워크로 부터 VPC로의 전용 프라이빗 연결 제공
- 전용 연결을 생성을 해야함
- 다이렉트 커넥트 로케이션을 사용
- VPC에 가상 프라이빗 게이트웨이를 설치 해야지 온프레미스 데이터 센터와 AWS 연결이 가능
다이렉트 커넥트 사용 사례
- 대역폭 처리량이 증가 할 때, 큰 데이터 세트를 처리할 때 속도가 빨라짐
- 퍼블릭 인터넷을 안거치기 때문, 비용도 절약
- 프라이빗 연결이기에 퍼블릭 인터넷 연결에 문제가 발생해도 상태 유지 가능
- 하이브리드 환경 지원: 온프레미스 데이터 센터와 클라우드가 연결 되어있기때문
- Amazon Glacier, AMazon S3에는 퍼블릭 VIF (퍼블릭 가상 인터페이스) 설치 필요
다이렉트 커넥트 게이트웨이: 다른 리전에 있는 하나 이상의 VPC와 연결
- 다이렉트 커넥트 연결을 생성 한 후
- 프라이빗 VIF를 사용
- 다이렉트 커넥트 게이트웨이에 연결하면은 프라이빗 VIF를 통해 가상 프라이빗 게이트웨이에 연결
설치 기간이 보통 한 달 이상 걸림
다이렉트 커넥트와 함께 VPN을 설치해서 IPsec으로 암호화된 프라이빗 연결 가능
다이렉트 커넥트 복원력
- 복원력을 높이기 위해서는 여러 다이렉트 커넥트 설치
- 독립적인 연결을 두 개씩 수립하면 복원력을 최대로 만들 수 있음
다이렉트 커넥트 & Site to Site VPN
다이렉트 커넥트를 사용 시에 Site to Site VPN을 백업 연결을 두면 기본 연결 문제 발생 시 Site to Stie VPN을 통해 퍼블릭 인터넷에 연결이 가능함
환승 Gateway
Transit Gateway: 전이적 피어링 연결 VPC 수천 개와 온프레미스 데이터 센터 Site-to-Site VPN, 다이렉트 커넥트 등 복잡한 네트워크 토폴로지를 전이적으로 연결 가능하게 함
- VPC를 모두 피어링 할 필요가 없음, 전이적으로 모두 VPC 연결이 되기 때문
리전 리소스이며 리전 간에 작동
Transit Gateway를 계정 간에 공유하려면 Resource Access Manager를 사용
리전 간 Transit Gateway를 피어링 할 수 있음
라우팅 테이블을 생성해서 VPC 연결 액세스, 제한도 가능
AWS에서 유일하게 IP 멀티캐스트를 지원하는 서비스
등가 다중 경로 라우팅 (ECMP)
- 여러 최적 경로를 통해 패킷을 전달하는 라우팅 전략
- Site-to-Site VPN 연결을 많이 생성해서 연결 대역폭을 늘릴 때 사용
- Site-to-Site VPN을 Transit Gateway를 바라보게 하면 연결 처리량이 증가
- 전이적으로 연결이 되기때문에 VPC를 바라보는거보다 효율적
VPC 트래픽 미러링
VPC에서 네트워크 트래픽을 수집하고 검사하지만 방해되지 않는 방식으로 실행
사용 예시
- VPC 트래픽 미러링 -> NLB -> ASG구조로 사용하면은
- 네트워크 로드 밸런서에서 트래픽 자체를 분석함
- 콘텐츠 검사, 위협 모니터링, 네트워크 문제 해결 등 가능
VPC용 IPv6
IPv4가 43억개인데 주소가 모두 소진되어 IPv6가 생성이 됨
VPC에서 IPv6 지원을 활성화 할 수 있음, IPv4 비활성화는 안됨
IPv6 지원을 활성화 하면 공용 IP 주소가 생성되며 듀얼 스택 모드로 작동
듀얼 스택 모드: 최소 내부 IPv4, 공용 IPv6 하나를 얻게 됨
서브넷에 이용 가능한 IPv4가 없으면은 IPv6 활성화된 인스턴스를 실행 할 수 없음
솔루션은 서브넷에 IPv4 CIDR을 생성을 해야함
이그레스 전용 인터넷 Gateway
NAT Gateway랑 비슷하지만 IPv6 전용 서비스
섹션 정리
CIDR: IP 범위
VPC: 가상 프라이빗 클라우드
- IPv4, IPv6에 사용, 서브넷은 AZ에 연계
- 프라이빗 서브넷, 퍼블릭 서브넷에 CIDR을 정의함
- 서브넷
- 인터넷 게이트웨이를 만들고 라우트 테이블을 편집해서 인터넷 게이트웨이, VPC 피어링, VPC 엔드포인트로 지정
Bastion Host: 퍼블릭 서브넷에서 SSH 접근 후 프라이빗 SSH로 접근하는 EC2
NAT 인스턴스: 프라이빗 서브넷에 있는 EC2 인스턴스에 인터넷 액세스 제공하는 EC2 (도태중)
NAT 게이트웨이: 프라이빗 EC2 스케일링이 가능한 인터넷 액세스 제공 IPv4만 사용
NACL: 네트워크 ACL, 서브넷 수준에서 인바운드, 아웃바운드 액세스 제어하는 방화벽 (임시포트가 있음)
VPC 피어링: 2개의 VPC를 연결할 때 사용, 중첩되지 않는 CIDR이 있어야함
VPC 엔드포인트: S3, DynamoDB, CloudFormation AWS 서비스에 VPC 안에서 프라이빗 액세스
인터페이스 엔드포인트: VPC 엔드포인트의 나머지 AWS 서비스 프라이빗 액세스
VPC Flow Logs: VPC 안의 모든 패킷에 관한 로그 수준 메타데이터를 얻음, S3 등 전달 가능
VPC를 데이터센터(온프레미스)에 연결하는 방법은 2가지
- Site-to-Site VPN (퍼블릭 인터넷을 통한 VPN 연결)
- 다이렉트 커넥트
Transit Gateway: VPC, VPN, 다이렉트 커넥트를 위한 이행성 피어링 연결, 모든게 통과해서 흐를 수 있음
트래픽 미러링: ENI에 다른 곳으로 네트워크 트래픽 복사 후 추가 분석
방화벽 정리
NACL: VPC 보안 그룹
WAF: HTTP를 통하여 특정 서비스에 유입되는 악성 요청 방화벽
AWS Shield, Shield Advanced: DDos를 막음
AWS Firewall Manager: 여러 계정에 적용 할 수 있는 WAF, Shield 규칙 관리자
AWS Network Firewall: 전체 VPC를 방화벽으로 보호, 계층3부터 계층7까지 보호
- 내부적으로 AWS Gateway Load Balancer를 사용
'스터디 > AWS SAA' 카테고리의 다른 글
| 섹션 29: 더 많은 솔루션 아키텍처 (0) | 2024.02.02 |
|---|---|
| 섹션 28: 재해 복구 및 마이그레이션 (0) | 2024.02.01 |
| 섹션 27: 네트워킹 - VPC (상) (0) | 2024.01.20 |
| 섹션 26: AWS 보안 및 암호화 KMS, SSM Parameter Store, CloudHSM, Shield, WAF (0) | 2024.01.19 |
| 섹션 25: Identity and Access Management (IAM) - 고급 (0) | 2024.01.17 |
