[클라우드] AWS 네트워킹 서비스

AWS 네트워킹 소개

AWS 글로벌 인프라에서 생성된 다양한 자원의 워크로드를 수행하는 네트워킹 서비스

AWS 리전 네트워킹 디자인

리전 : 전 세계 주요 도시의 데이터 센터를 군집화하는 물리적인 위치를 의미

리전 내부에는 트랜짓 센터(transit center)와 가용 영역이 서로 연결되어 네트워크 환경을 이루고 있음

 

Intra-AZ 연결

리전 내부에 논리적인 데이터 센터의 집합인 가용 영역이 여럿 존재함

가용영역에 존재하는 데이터 센터들은 고밀도 광섬유 케이블을 사용하여 연결됨 -> 네트워킹 환경 구성

이런 데이터 연결을 Intra-AZ연결이라 함

 

Inter-AZ 연결

리전 내부에 위치하는 가용 영역은 실제 100km 이내로 떨어져 있음 -> 가용성 유지

클라우드 자원을 다수의 가용영역에서 실행하도록 설계 -> 내결함성 강화

이런 가용영역간 연결을 Inter-AZ 연결이라 함

 

트랜짓 센터 연결

리전에서 외부 인터넷 구간과 통신이 필요할 때는 트랜짓 센터를 통해 통신함

내부에 있는 가용 영역들은 외부 인터넷을 위해 트랜짓 센터와 연결되어 네트워킹 환경을 구성

이런 가용 영역 간 연결을 트랜짓 센터 연결이라 함

AWS 글로벌 네트워크와 엣지 POP

엣지 POP : AWS 글로벌 네트워크라는 전용망을 활용하여 안정적으로 고성능 서비스를 제공하는 센터

• 엣지 로케이션 (edge location) 
• 리전별 엣지 캐시 (regional edge cache)

전 세계에 고루 분포된 엣지 POP로 구성된 AWS 글로벌 네트워크라고 이해하면 됨!

짧은 지연시간과 높은 처리량을 목적으로 함

->Amazon CloudFront, Amazon Route53, AWS Shield, AWS Global Accelerator 등이 있음

일반적인 서비스 : 트랜짓 센터에서 인터넷 구간으로 통신

엣지 POP를 활용한 서비스 : 트랜짓 센터에서 AWS 백본 네트워크를 통해 엣지 POP를 경유하고 AWS 글로벌 네트워크로 통신

AWS 네트워킹 서비스 소개

AWS 네트워킹 서비스 : AWS의 다양한 자원이 서로 원활하게 통신할 수 있도록 도와주는 것

AWS 네트워킹
VPC	Transit Gateway	Route 53	Global Accelerator	Direct Connect	Site-to-Site VPN
클라우드 환경에서 가상의 프라이빗 네트워크	VPC와 온프레미스를 연결하는 단일 게이트웨이	확장 가능한 관리형 DNS 서비스	AWS 글로벌 네트워크를 활용한 애플리케이션 가용성 및 성능 개선	온프레미스 환경과 연결하는 AWS 전용 네트워크	온프레미스 환경과 연결하는 암호화된 네트워크
네트워크 기반		엣지 네트워킹		하이브리드 연결

• VPC : 사용자 전용 가상의 프라이빗 클라우드 네트워크로 네트워크 자원을 탄력적으로 활용하는 서비스를 제공
• Transit Gateway : 중앙 허브 개념처럼 VPC와 온프레미스 네트워크를 연결하는 게이트웨이 역할의 서비스를 제공
• Route 53 : AWS에서 제공하는 관리형 DNS 서비스로 도메인 등록, 라우팅, 상태 확인 등 서비스를 제공
• Global Accelerator : AWS 글로벌 네트워크를 통해 애플리케이션을 빠르고 안정적으로 사용할 수 있도록 가용성 및 성능을 보장하는 서비스를 제공
• Direct Connect : 온프레미스 환경에서 AWS와 전용 네트워크를 구성하는 서비스를 제공
• Site-to-Site VPN : IPsec VPN 연결을 생성하여 암호화된 네트워크를 구성하는 서비스를 제공

Amazon VPC 소개

Amazon VPC (Virtual Private Cloud) : 사용자 정의로 구성된 가상의 프라이빗 클라우드 네트워크

기본 구성 요소

리전과 VPC

리전마다 독립적으로 구성되어 있음

리전 내에 다수의 VPC를 생성할 수 있으며 VPC는 독립적으로 분리됨

 

서브넷과 가용영역

하나의 독립된 클라우드 네트워크에도 서브넷을 이용하여 분리된 네트워크로 구성할 수 있음

서브넷 : VPC 내 별도로 나누어진 네트워크

서브넷은 반드시 하나의 가용영역에 종속적으로 위치함

• 퍼블릭 서브넷 : 인터넷 구간과 연결되어 있어 외부 인터넷 통신이 가능
• 프라이빗 서브넷 : 인터넷 구간과 연결되지 않아 폐쇄적인 네트워크

IP CIDR

: 네트워크에 할당할 수 있는 IP 주소 범위를 표현하는 방법

VPC라는 큰 네트워크의 IP CIDR에서 서브넷이라는 작은 네트워크의 IP CIDR이 분할되어 있음

서브넷 별로 생성된 자원들은 IP CIDR 범위 안에서 IP 주소를 할당함

 

가상 라우터와 라우팅 테이블

Amazon VPC를 생성하면 기본적으로 네트워크 경로를 확인하여 트래픽을 전달하는 목적의 가상 라우터가 생성됨

-> 기본 라우팅 테이블 보유, 라우팅 테이블을 통해 네트워크 경로를 식별할 수 있음

별도의 라우팅 테이블 생성 가능, 생성된 라우팅 테이블은 서브넷과 연결하여 서브넷마다 라우팅 테이블 가질 수도 있음!

 

보안 그룹과 네트워크 ACL

보안 그룹, 네트워크 ACL 같은 가상의 방화벽 기능을 제공 -> 서브넷과 생성된 자원에 대한 트래픽을 보호

트래픽 접근을 통제하는 것이 주된 목적

• 인바운드 규칙 : 가상의 방화벽을 기준으로 들어오는 규칙
• 아웃바운드 규칙 : 가상의 방화벽을 기준으로 빠져나가는 규칙

공통점 : 송수신 트래픽의 접근을 통제함

차이점

• 트래픽 접근 제어 대상
  • 보안그룹: 인스턴스와 같은 자원 접근 제어
  • 네트워크 ACL : 서브넷 접근을 제어
• 스테이트풀과 스테이트리스 : 
  • 스테이트풀(statdful) : 이전 상태 정보를 기억하고 그 다음에 그 상태를 활용 -> 보안그룹 이용
  • 스테이트리스(stateless) : 이전 상태 정보를 기억하지 않아 다음에 그 상태를 활용하지 않음 -> 네트워크 ACL 이용
• 허용 및 거부 정책 
  • 보안 그룹 : 허용 규칙만 나열하며 허용 규치에 해당하지 않으면 자동 거부
  • 네트워크 ACL : 허용 규칙과 거부 규칙이 모두 존재하여 규칙을 순차적으로 확인하고 허용과 거부를 판단

 

 

Amazon VPC와 다른 네트워크 연결

인터넷 게이트웨이

: VPC와 인터넷 구간의 논리적인 연결. 인터넷으로 나가는 관문이 되는 네트워킹 자원

Amazon VPC는 프라이빗 클라우드 네트워크 환경으로 외부 인터넷 구간과 연결되지 않은 독립적인 네트워크

외부 인터넷 구간과 연결이 필요하면 인터넷 게이트웨이라는 네트워킹 자원을 생성 수 VPC와 연결하여 외부 인터넷과 통신함

 

NAT 게이트웨이

(Network Address Translation gateway) : 프라이빗 서브넷에서 외부 인터넷으로 통신하는 관문 역할

IP 주소를 변환하는 기능을 제공, 프라이빗 IP 주소를 퍼블릭 IP 주소로 변환하여 외부 인터넷 구간 통신 환경을 만듦

• 퍼블릭 서브넷에서 외부 인터넷 구간 통신
  • 퍼블릭 IP 주소를 가지고 인터넷 게이트웨이를 통해 외부 인터넷 구간과 데이터를 송수신할 수 있음
  • 반대로 외부 인터넷 구간에서도 퍼블릭 서브넷의 퍼블릭 IP로 데이터를 송수신 할 수 있음
• 프라이빗 서브넷에서 외부 인터넷 구간 통신
  • 프라이빗 IP 주소를 NAT 게이트웨이로 전달하여 퍼블릭 IP 주소로 변환 후 인터넷 게이트웨이를 통해 외부 인터넷 구간과 데이터를 송수신 할 수 있음
  • 반대로 외부 인터넷 구간에서 프라이빗 서브넷의 프라이빗 IP 주소로는 데이터를 송수신할 수 없음

 

VPC 피어링

: 서로 다른 VPC를 연결하는 기능

동일 리전뿐만 아니라 다른 리전에 위치한 VPC와 연결 가능

다른 계정에 위치한 VPC까지 연결 가능

 

전송 게이트웨이

: 다수의 VPC나 온프레미스를 단일 지점으로 연결하는 중앙 집중형 라우터

 

가상 프라이빗 게이트웨이

(virtual private gateway) : 관리형 AWS Site-to-Site VPN을 연결하거나 AWS Direct Connect로 온프레미스 환경을 연결