241203

리전 및 가용 영역

1. 가용 영역

    - 데이터 센터는 온라인 연결

    - 각 가용 영역은 전용선을 통해 상호 연결

 

2. 리전

    - 두개 이상의 가용 영역으로 구성

 

엣지 로케이션

    - 사용자에게 가까운 위치에서 더 짧은 지연 시간으로 콘텐츠를 전송하기 위해 엣지 로케이션 구축

    - CDN, DNS 등의 서비스 제공 중

 

VPC (Virtual Private Cloud)

    - 클라우드의 가상 프라이빗 네트워크 공간

    - AWS 리소스를 사용자 정의 가상 네트워크 안에서 생성하여 활용 가능

 

Amazon VPC

    - 사용자 요구에 맞는 가상 네트워크 정의

    - VPC는 클라우드 내 다른 가상 네트워크와 논리적으로 분리됨

    - IP 주소 범위 지정 가능, IPv4, IPv6 지원

    - 인바운드, 아웃바운드 트래픽 액세스 정책 설정 지원(방화벽)

 

1. VPC

1. VPC 생성할 리전 지정

2. 사용할 IP 주소 범위 지정

3. 가용 영역(AZ) 선택

4. 서브넷 구성

 

VPC IP 주소 범위 지정

CIDR

    - 가장 일반적인 IP 주소 할당 및 표기 방법

    - 기존의 IP 주소 할당 방식(네트워크 클래스 대체한 방식)

    - 기존보다 유연하게 Network Address, Host Address 나눌 수 있음'

 

e.g) CIDR 표기법

1) 10.12.0.0/16 -> 10.12.*.*

2) 192.168.12.0/24 -> 192.168.12.*

3) 172.16.28.9/32 -> 172.16.28.9

4) 0.0.0.0/0 -> 모든 IP

 

2. 서브넷 생성

    - 서브넷: 리소스 그룹 격리할 수 있는 VPC IP 주소 범위의 하위 집합

    - 서브넷 단위로 네트워크 트래픽 제어

    - 퍼블릭: 인터넷 접근 가능

    - 프라이빗: 인터넷 접근 불가능

 

3. 라우팅 테이블

    - 네트워크 트래픽이 향하는 방향을 결정하는데 사용

    - 트래픽 이동 방향 조절

 

4. 인터넷 게이트웨이

    - VPC와 인터넷 간의 통신을 위한 리소스

    - VPC 내부 리소스 -> 인터넷 연결

    - 외부 -> 서브넷 리소스

 

5. 프라이빗 서브넷

    - 인터넷 게이트웨이로 향하는 경로가 없는 라우팅 테이블과 연결된 서브넷

    - 퍼블릿 인터넷에서 직접 액세스 불가

 

6. 퍼블릭 서브넷

    - 인터넷 게이트웨이로 향하는 경로가 있는 라우팅 테이블과 연결되 서브넷

    - 퍼블릭 인터넷에 대한 인바운드 및 아웃바운드 액세스 지원

    - 퍼블릭 서브넷에 배치된 인스턴스는 Private IP, Public IP 가짐

 

7. NAT 게이트웨이

    - 네트워크 주소 변환 서비스 (Private IP <-> Public IP)

    - Private IP만 보유한 인스턴스들이 VPC외부로 전송되도록

 

8. 방화벽

    - 정해진 보안 규칙 기반으로 트래픽 모니터링, 제어

    - AWS에서 네트워크 ACL, 보안 그룹 과 같은 가상 방화벽 서비스 제공

    - 네트워크 ACL: 서브넷 경계에서 송수신 되는 트래픽 제어

    - 보안 그룹: 리소스로 전송되는 인바운드/아웃바운드 트래픽 제어

 

보안 그룹

    - 인바운드 트래픽 허용 규칙, 아웃바운드 규칙 추가

    - 상태 저장 (Stateful): 인바운드 요청 상태 저장, 반환 요청에 대하 아웃바운드 트래픽 자동 허용

 

네트워크 ACL

    - 서브넷 내부와 외부 트래픽을 제어하기 위한 방화벽 역할을 하는 보안 계층

    - 상태 비저장 (Stateless): 허용되는 인바운드 트래픽에 대한 응답으로 아웃바운드 트래픽에 대한 규칙을

      따름, 그 역도 같음

 

9. VPC 피어링

    - 비공개적으로 VPC 간에 트래픽을 라우팅할 수 있도록 하기 위한 VPC 사이의 네트워킹 연결

    - 격리된 VPC 내 리소스 간에 Private IP 를 이용한 통신이 필요한 경우 사용

    - 피어링 연결 대상 VPC 간에는 CIDR 중복 없어야 함

 

10. Site to Site VPN & Direct Connect

1) Site to Site VPN

    - 인터넷망을 활용해 VPC와 온프레미스 네트워크 연결

 

2) Direct Connect

    - 인터넷망 거치지 않고 AWS 전용 네트워크를 이용해 VPC와 온프레미스 네트워크 연결

 

Amazon EC2

가상 머신

    - 한 개의 물리적 서버 위에 다수의 가상머신을 생성하여 애플리케이션 독립적으로 실행

 

EC2 절차

1. 이름/태그 지정

2. AMI 지정 -> 인스턴스 유형 -> 키 페어 -> 네트워크 -> 스토리지

3. 기타 고급 설정

AMI 활용 장점

1) 반복성

2) 재사용성

3) 백업& 장애복구