VPC 네트워킹 개념
- AWS 서비스가 네트워크 인터페이스를 사용하면서 보안 그룹, 네트워크 ACL, 라우팅 테이블의 통제 영역에 있으면 VPC 네트워크를 사용한다고 말한다.
- 그리고 네트워크 인터페이스의 존재만으로, VPC 네트워킹 사용을 확신할 수 있다.
- 3가지 통제(보안 그룹, 네트워크 ACL, 라우팅 테이블)가 VPC 통제 3요소로서 네트워크 인터페이스를 보호(접근 제어)하고 트래픽의 방향을 안내(경로 제어)한다.
9.1 접근 제어: 보안 그룹과 네트워크 ACL
- 접근 제어는 컴퓨팅 서비스를 보호하는 안전 장치다. 쉽게 말해 필요한 트래픽만 허용하고 불필요하면 차단한다.
- 일반적으로 온프레미스 환경은 방화벽으로 접근을 제어한다. 인터넷 접점에서 외부 공격을 차단하는가 하면 서버망 전단에서 서버들을 보호하는 등 다양한 위치에서 트래픽을 허용하거나 차단하고 있다.
- VPC에서는 보안 그룹과 네트워크 ACL이 방화벽 역할을 한다.
- 접근 제어 방식 비교 - Whitelist vs. Blacklist
- 화이트 리스트 방식은 모든 트래픽을 기본 차단한 상태에서 접속이 필요한(화이트) 트래픽만 선별적으로 허용한다.
- 블랙 리스트 방식은 모든 트래픽을 허용해 놓고 거부할 트래픽만 선별해 차단하는 방식이다.
- [SG] 표면적 특징과 다중 연결성(1:N, N:1)
- SG는 VPC의 보안 통제 3요소 중 하나로 ENI로 들어오거나 나가는 트래픽 접근을 제어한다.
- 1:N 연결성: 1개의 SG를 여러 ENI에 연결. 역할마다 SG를 구분 생성하고 서비스 역할에 따라 관련 SG를 연결하면 유용하다.
- N:1 연결성: 여러 SG를 1개 ENI에 연결. 서비스 하나에 여러 연결이 필요할 때 유용하다.
- [SG] 규칙의 형태
- 출발지와 목적지IP, 프로토콜 유형과 포트 번호를 저장
- [SG] 소스/대상에 SG 허용
- 인바운드와 아웃바운드 규칙을 별도로 둬, 서비스에 드나드는 모든 트래픽을 통제한다.
- [NACL] 표면적 특징과 다중 연결성(1:N)
- 네트워크 ACL은 VPC의 보안 통제 3요소 중 하나로 서브넷을 통과하는 트래픽 접근을 제어한다.
- [NACL] 규칙의 형태
- SG에 규칙번호, 허용/거부 속성 추가
- 규칙번호 순서에 따라 트래픽 접근 제어
- 접근 제어 방식 비교(2): Stateful vs. Stateless
- 클라이언트의 IP와 포트를 저장하는 기법을 상태 저장 방식이라고 하며 그 반대의 경우를 상태 비저장 방식이라고 한다.
9.2 경로 제어: 라우팅 테이블
- 경로 제어는 트래픽이 가는 방향을 안내하는 이정표다. 따라서 트래픽 경로에 이정표가 없으면 트래픽은 소멸된다.
- 이처럼 지극히 수동적인 트래픽은 능동적으로 목적지로 향해 가는 것이 아니며 트래픽 경로에 존재하는 이정표가 끌어준다고 표현하는 편이 맞다.
- 이정표는 네트워킹의 성공과 실패를 좌우한다.
- VPC 네트워킹의 이정표는 라우팅이다.
- 라우팅이란?
- 트래픽의 이정표. 최종 목적지와 방향이 존재.
- AWS에서는 목적지를 대상(Destination)이라고 하고 방향을 타깃(Target) 또는 게이트웨이(Gateway)라 한다.
- 반환 트래픽의 라우팅
- 클라이언트가 서버로 TCP 통신을 요청했을 때, 서버는 응답 패킷을 클라이언트로 반드시 회신해야 한다.
- 돌아오는 트래픽을 응답 트래픽(Response traffic) 또는 반환 트래픽(Return traffic)이라 한다.
- 서비스의 아지트: On-link(로컬) 라우팅
- 네트워크(CIDR) 내부에서만 통신하려면 필요한 라우팅
- On-link는 PC에 연결된 인터페이스를 뜻함
- 게이트웨이를 열어 새로운 네트워크 구간으로 진입하는 모든 트래픽은 최소 두 번의 확인 절차를 거친다.
- VPC 라우팅
- 라우팅 테이블로 관리
- 라우팅 테이블은 서브넷 단위로 사용
- VPC 환경의 On-link는 Local로 표기하며 로컬 라우팅이라 한다.
- 게이트웨이
- 트래픽이 다음 네트워크로 이동할 때 두드리는 문
- 인터넷 게이트웨이(IGW)와 NAT 테이블
- 인터넷 게이트웨이는 VPC 내부 서비스가 인터넷으로 접속하게 해주는 리소스이다.
- 쉽게 말해 IGW를 통과한 트래픽은 인터넷으로 전송된다.
- IGW의 패런트는 리전이고 연결 대상은 VPC이므로, 수명 주기 동안 리전 내부의 모든 VPC에 1:1로 연결하고 해제할 수 있다.
- 컴퓨팅 서비스가 퍼블릭 IP나 탄력적 IP와 연결되면 IGW는 NAT 테이블에 서비스의 주소 매핑 정보를 저장한다.
- 인터넷 게이트웨이는 VPC 내부 서비스가 인터넷으로 접속하게 해주는 리소스이다.
- 퍼블릭과 프라이빗 서브넷의 경계: IGW
- IGW에 연결된 서브넷은 퍼블릭 서브넷
- 사용자는 프라이빗 서브넷에 직접 접근이 불가하고 퍼블릭 서브넷은 프라이빗 서브넷과 통신할 수 있다.
- NAT 게이트웨이
- 퍼블릭 유형과 프라이빗 유형
- 라우팅의 솔로몬: Longest Prdfix Match
- VPC 라우팅 구체화: East-West 트래픽 검사
- 엣지 연결과 Ingress Routing: North-South 트래픽 검사
'⛅ Cloud Study > ☁️ Public Cloud' 카테고리의 다른 글
| [GCP] Foundations - Google Cloud (0) | 2023.08.05 |
|---|---|
| [AWS VPC] 10장 연결 제어2: 분산 제어 (0) | 2023.08.03 |
| [NCA] 클라우드 핵심 인프라 2 - Network 서비스 (0) | 2023.07.11 |
| [NCA] 클라우드 핵심 인프라 1 - Compute 서비스 (0) | 2023.07.10 |
| [NCA] 네이버 클라우드 플랫폼 서비스 개요 (2) | 2023.07.09 |
