[AWS] VPC / 서브넷

 

AWS 네트워크 계층 구조 
- 리전 (Region): 지리적 위치 (예: 서울 리전)
- VPC (Virtual Private Cloud): 리전 안에 생성하는 가상 네트워크 
- 가용 영역 (Availability Zone, AZ): 리전 안에 떨어져 있는 물리적인 데이터 센터 단지 (보통 리전당 3~4개)
- 서브넷 (Subnet): 특정 가용 영역(AZ) 안에 할당하는 IP 주소 범위

---

 

1. VPC

- AWS 클라우드 내에서 사용자 전용으로 격리된 가상 네트워크 공간

- VPC를 활용하면 외부에서 직접 접근할 수 없는 독립적인 네트워크 환경을 구성할 수 있어서 보안적으로 안전

- VPC는 할당할 수 있는 여러 개의 IP를 가지고 있음

   => VPC 생성 시 IP 주소의 범위를 CIDR 표기 방식을 통해 설정함

 

2. VPC 핵심 요소

 

• 서브넷 (Subnet): VPC 내부의 IP 주소 범위를 더 작은 단위로 쪼갠 네트워크
                            외부 인터넷과 연결되는 퍼블릭 서브넷과 보안을 위해 격리된 프라이빗 서브넷으로 구분
• 라우팅 테이블 (Routing Table): 네트워크 트래픽이 어디로 향해야 하는지 결정하는 이정표
• 인터넷 게이트웨이 (IGW): VPC 내의 자원들이 외부 인터넷과 통신할 수 있게 해주는 통로
• 보안 그룹 (Security Group) & NACL: 네트워크에 드나드는 트래픽을 허용하거나 차단하는 가상 방화벽

3. 서비스 흐름 예시

사용자가 웹사이트에 접속하면 인터넷 게이트웨이를 통과
라우팅 테이블의 안내에 따라 퍼블릭 서브넷에 있는 웹 서버 또는 로드밸런서로 연결
로드밸런서가 있다면 대상 그룹을 보고 실제 서버로 연결
대상 그룹 서버는 보안을 위해 프라이빗 서브넷에 숨겨진 서비스(DB 등)와 통신하여 데이터를 가져옴

---

 

1. 서브넷

- 하나의 큰 네트워크(VPC 등)를 작은 네크워크 단위로 나눈 것

- VPC는 여러 서브넷으로 나뉘어짐

- 용도에 따라 네트워크를 분리해서 사용 가

 

2. 퍼블릭 서브넷 / 프라이빗 서브넷

- VPC를 여러개의 서브넷으로 나눌 때 가장 많이 활용하는 방식이 외부에서 접근이 가능한 네트워크(퍼블릭 서브넷)와 외부에서 접근이 불가능한 네트워크(프라이빗 서브넷)로 나누는 방식

- 두 서브넷의 차이 : 인터넷 게이트웨이의 연결 여부

 

# 헷갈려서 정리 # 

1) pub/pri 서브넷을 만들 때 가용영역을 어떻게 나누는가?

- 보통 실무에서는 가용영역에 배포되는 서비스들을 다른 가용영역에 이중화하여 관리함 

  => ex. A 가용영역 : pub - web server / pri - api server, db  일 때, B 가용영역에도 동일하게 세팅하여 운영 안정성 보장 

 

2) inbound 와 outbound 규칙은 어떻게 정의되는가?

** 외부 사용자의 요청이 들어왔을 때, AWS 사설 네트워크 망에 접속하기 위해서는 인터넷 게이트웨이가 매핑되어 있어야 함.

    => inbound 설정

** AWS 서비스에서 외부로 응답하기 위해서도 별도 설정이 필요한데, 이것을 수행하는 것이 라우팅 테이블임

    => outbound 설정

 

3) 서브넷 생성 시 기본으로 할당되는 라우팅 테이블을 사용하지 않고 신규 생성하는 이유?

- pub/pri 서브넷을 생성한 뒤 pub에 igw를 연결하고 나서, 별도의 설정을 위한 라우팅테이블을 별도로 생성하는 것을 추천

    => default로 매핑된 라우팅 테이블은 동일 VPC 요청일 때 local 로 응답하라는 것으로 보통은 건드리지 않고 별도로 라우팅 테이블을 생성하여 관리함. private subnet에 영향을 줄 수 있음.

 

4) 아래와 같은 라우팅 테이블 설정일 때 우선순위는 어떻게 되는가? 

- 10.0.0.5 로 보낼 경우, 라우팅 1로 선택되어 local로 보내짐.

- AWS의 라우팅 테이블 규칙에 따르면, 라우팅 테이블은 목적지 주소가 더 구체적으로 명시된 규칙을 먼저 선택하기 때문