AWS 네트워킹 - VPC

CIDR(Classless Inter-Domain Routing)

• 클래스 없는 도메인간 라우팅으로 IP 주소를 할당하는 메소드
• 보안 그룹 규칙과 AWS 네트워킹 다룰 때 사용
• 단순한 IP 범위를 정의하는데 도움울 준다
  • WW.XX.YY.ZZ/32 ⇒ 하나의 IP를 의미
  • 0.0.0.0/0 ⇒ 모든 IP를 의미
  • 192.168.0.0/26 ⇒ 192.168.0.0 - 192.168.0.63 (IP주소 64개)

 

CIDR 구성 요소

• Base IP : 범위에 포함된 IP
  • XX.XX.XX.XX처럼 구성됨
  • 10.0.0.0 , 192.168.0.0
• Subnet Mask: IP에서 변경 가능한 비트의 개수를 정의
  • /0, /24, /32
  • 두 가지 형식이 있다
    • /8 ←→ 255.0.0.0과 같다
    • /16 ←→ 255.255.0.0
    • /32 ←→ 255.255.255.255

 

Subnet Mask란?

기본 IP에서 변경할 수 있는 값을 정의하는 방법을 정의한 것이다

/32에서 하나씩 줄어들 수록 사용할 수 있는 IP가 2배씩 늘어난다

IPv4는 32비트이기 때문에 /32는 변경을 하나도 허용하지 않고 하나씩 줄어들 수록 한 비트씩 변경을 허용한다고 생각하면 된다

 

Public vs Private IP (IPv4)

• Internet Assigned Numbers Authority(IANA)에서 구축한 특정 IPv4 주소 블록은 사설 LAN 네트워크(로컬 네트워크) 혹은 공용 인터넷 주소이다
• Private IP는 특정 값만 허용한다(이것 뿐만 아니라 많이 있다)
  • 10.0.0.0 - 10.255.255.255 (10.0.0.0/8) ← 대형 네트워크에서 사용
  • 172.16.0.0 - 172.31.255.255 (172.16.0.0/12) ← AWS 기본 VPC 범위이다
    • AWS내 최대 CIDR의 크기는 /16
  • 192.168.0.0 - 192.168.255.255 (192.168.0.0/16) ← 홈 네트워크를 나타낸다
    • 인터넷 라우터가 있다면 흔히 사용
• 이 외 전 세계에 있는 IP주소는 모두 Public IP가 된다.

 

기본 VPC

• 새로운 AWS 계정은 기본 VPC가 있으며 바로 사용 가능
• 새로운 ec2 인스턴스는 서브셋을 지정하지 않으면 기본 VPC에 실행된다
• 기본 VPC는 처음부터 인터넷에 견결되어 있어, 인스턴스가 인터넷에 엑세스하고 또 내부의 ec2 인스턴스는 공용 IPv4 외부 주소를 갖는다
• 공용 및 사설 IPv4 DNS 이름도 얻는다

 

VPC 살펴보기

• 각각의 서브넷은 자신만의 IPv4 CIDR을 가진다
• 서브넷마다 다른 AZ에 위치한다
• 사용하는 IP가 있다면 주소가 하나씩 줄어든다
• 라우팅 테이블은 트래픽이 VPC를 통해 경로를 선택하도록 돕는다
  • CIDR 모든 트래픽은 인터넷 게이트웨이로 이동한다
  • 인터넷 게이트웨이는 VPC에 연결되어 있고 VPC에 위치한 EC2 인스턴스에 인터넷 엑세스를 제공한다
• 기본 라우팅 테이블은 할당되기 때문에 설정 없이 인스턴스 연결 가능

 

VPC in AWS - IPv4

• Virtual Private Cloud - VPC는 클라우드 컴퓨팅 환경에서 네트워크를 가상화하는 기술
• 단일 리전에 여러 개의 VPC를 생성할 수 있다(최대 5개지만 엄격한 제한은 아니라 늘릴 수 있다)
• VPC마다 할당된 CIDR은 다섯 개이다
  • 최소 /28(16개 IP)
  • 최대 /16(65536개 IP)
• VPC는 사설 IP이기 때문에 Pivate IP 주소만 허용한다
  • 10.0.0.0 - 10.255.255.255 (10.0.0.0/8)
  • 172.16.0.0 - 172.31.255.255 (172.16.0.0/12)
  • 192.168.0.0 - 192.168.255.255 (192.168.0.0/16)

원하는 대로 설정할 수 있지만 다른 VPC나 네트워크 혹은 기업 네트워크와 겹치지 않도록 주의해야한다 → 만약 두개를 연결하려면 VPC 혹은 CIDR IP주소가 다른 네트워크의 IP 주소 범위와 연결해야한다.

 

Subnet

• VPC 내부에 있는 IPv4 주소의 부분 범위 - 이 범위 내에서 AWS가 IP 주소 다섯개를 예약
  • ip주소 처음 네 개, 마지막 한 개를 서브넷마다 예약
  • 이런 ip주소는 사용할 수 없고 인스턴스에 ip로 할당되지도 못한다
• CIDR 10.0.0.0/24 일부는 예약된 ip주소
  • 10.0.0.0 - 네트워크 주소
  • 10.0.0.1 - AWS가 VPC 라우터를 위해 예약해놓음
  • 10.0.0.2 - AWS에서 제공하는 DNS에 매핑
  • 10.0.0.3 - 나중에 사용할지도 몰라서 예약
  • 10.0.0.255 - 네트워크 브로드캐스트 주소 .255
    • 네트워크 브로드캐스트는 지원하지 않아 예약되어있지만 사용은 불가
• IP주소가 29개 필요할 때 /27 서브냇은 사용할 수 없다(32 - 5 = 27) 29 불가능

IP주소 5개는 서브넷에 예약된거다. 사용 가능한 갯수도 5개를 빼고 계산된 것임

 

 

Internet Gateway(IGW)

서브넷에 인터넷 엑세스를 연결하는 방법

• VPC의 리소스를 인터넷에 견결하도록 허용하는 인스턴스나 람다함수
• 수평으로 확장되고 가용성과 중복성이 높다 → 관리형 리소스
• VPC와는 별개로 생성해야하며 VPC는 하나의 IGW에 연결되며 반대도 마찬가지
• IGW 자체는 인터넷 엑세스를 허용하지 않는다. 또한 작동을 위해 라우팅 테이블을 수정해야한다

• Route tables에서 0.0.0.0/0을 목적지로 설정하고, IGW를 타겟으로 잡는다는 것은 VPC내 모든 트래픽을 IGW로 보내 인터넷으로 향하도록 설정
• 이때 VPC와 라우터 테이블은 연결되어 있다. 따라서 VPC와 인스턴스만 잘 연결해서 설정해주면 인터넷연결이 가능함

Bastion Hosts

• ec2 인스턴스가 자체 보안그룹(Bastion Host)를 가지고 public subnet에 있다
• 프라이빗 서브넷에도 보안그룹을 가지고 ec2 인스턴스가 있다
• Bastion Host를 사용해 프라이빗 서브넷에 있는 인스턴스에 엑세스 가능
• SSH를 Bastion Host에 연결해야한다. 또 Bastion Host가 사설 서브넷이 인스턴스로 SSH 연결해야한다

요약

• Bastion Host를 통해 사용자가 사설 서브넷으로 연결 가능
• Bastion Host는 반드시 공용 서브넷에 위치해야한다
• Bastion Host를 위해서는 보안 그룹이 반드시 인터넷 엑세스를 허용해야한다
  • 모든 인터넷 엑세스를 허용하는 것은 보안이 매우 취약해지기 때문에 어느정도 제한을 걸어야한다
  • 보안그룹을 최대한 제어할 수록 안전해진다
• 사설 서브넷의 보안그룹은 Bastion Host의 프라이빗 IP와 SSH를 위한 22번 포트를 허용해야한다

네트워크 보안과 접근 제어를 위해 사용되며 주로 중앙 집중식 관리를 위해 사용된다고 한다

 

구형 NAT 인스턴스(시험엔 출제됨)

• Network Address Translation → 네트워크 주소 변환
• NAT 인스턴스는 사설 서브넷 ec2 인스턴스가 인터넷에 연결하도록 허용
• 공용 서브넷에서 실행되어야 하고 공용, 사설 서브넷을 연결한다
• Source/destination 확인은 비활성화해야한다
• NAT 인스턴스에는 고정된 탄력적 IP가 필요하다
• Route tables를 수정하여 사설 서브넷이 NAT 인스턴스로 트래픽을 전송하도록 해야한다
• NAT를 통과해서 요청을 하는데 네트워크 패킷의 소스가 NAT 인스턴스로 재작성된다
  • 프록시를 해주는 것과 비슷함
  • 일부 IP가 재작성되기 때문에 소스/목적지 확인 설정은 비활성화가 필요함

 

NAT Comments

• 사전 구성된 Amazon Linux AMI를 사용 가능
  • 표준 지원이 종료되었기 때문에 NAT Gateway 권장(커뮤니티엔 있다)
• 가용성이 높지 않고 초기화 설정으로 복원 불가
• 여러 AZ에 ASG가 필요하며 복원되는 사용자 데이터 스크립트가 필요하기때문에 꽤나 복잡하다
• 작은 인스턴스는 큰 인스턴스와 비교해서 대역폭이 작다
• 보안그룹과 규칙을 관리해야한다
  • 인바운드/아웃바운드

 

NAT Gateway

• 고가용성 높은 대역폭, AWS에서 관리하므로 관리가 필요 없다
• 사용량, 대역폭에 따라 청구
• 특정 AZ에서 생성되고 탄력적 IP를 이어받는다
• 인스턴스와 같은 서브넷에서 사용할 수 없어서 다른 서브넷에서 엑세스할 때만 NAT Gateway가 도움이 된다
• IGW가 필요하다 (사설 서브넷 → NAT GW → IGW)
• 초당 5GB로 45GB까지 확장 가능
• 보안그룹을 고민할 필요가 없다 → 포트 설정 불필요

 

NAT GW의 고가용성

• 단일 AZ에서 복원 가능
  • Fault Tolerant (시스템이 일부 구성 요소의 장애나 오류에도 정상적으로 작동하거나 서비스를 제공할 수 있는 능력을 가지는 것)을 위해 다중 AZ로 다중 NAT Gateway를 설정해야한다
• Route tables를 통해 AZ끼리 연결할 필요는 없다
  • AZ가 중지되면 AZ의 인스턴스가 엑세스 불가 상태가 되기 때문이다

NAT instance → 모든걸 너가 설정하는데 설정 잘못하면 성능도 구지고 복구도 어려움

NAT Gateway → 모든걸 AWS가 관리하고 성능도 좋음

 

NACL과 보안그룹

• 네트워크 엑세스 컨트롤 리스트(NACL)
• Incoming Request
  • NACL 인바운드 규칙, 요청이 허가되지 않으면 못들어감
  • NACL을 통과하면 보안그룹 인바운드 규칙을 거침
  • NACL은 Stateless, 보안그룹은 Stateful
  • 만약 요청이 보안그룹의 인바운드 규칙을 통과하면 응답을 보내는데 아웃바운드 규칙은 보안 그룹 수준에서 모두 허용된다 → 평가되는 규칙이 없음
    • 보안그룹이 상태 유지이기 때문 → 들어간 것은 전부 나올 수 있음
  • NACL은 아웃바운드 규칙이 무상태이기 때문에 모든 것이 평가받는다.
    • 규칙이 통과하지 못하면 응답도 통과되지 못한다
  • 들어오고 나가는게 하나의 상태라고 가정
    • 보안그룹은 들어올 수만 있으면(한번 평가되면 상태가 유지되어) 나가는건 자유
    • NACL은 들어올 때 나갈 때(상태가 없기 때문에) 모두 평가
• Outgoing Request(인스턴스 → google.com)
  • 보안그룹 아웃바운드 규칙을 통해 나갈지 말지 평가
  • NACL을 통해 나갈지 말지 평가
  • google.com에 도달하고 다시 돌아올 때
  • NACL을 통해 들어올지 말지 평가
  • 보안그룹은 상태가 이어지기 때문에 그냥 통과 된다

 

NACL

• 서브넷을 오가는 트래픽을 제어하는 방화벽
• 서브넷마다 하나의 NACL이 있고 새로운 서브넷은 기본 NACL이 할당
• NACL 규칙
  • 숫자가 있고 (1-32766) 숫자가 낮을 수록 우선 순위가 높다
  • 첫 번째 규칙 비교로 결정이 난다
    • Allow 10.0.0.10/32 #100과 Deny 10.0.0.10/32의 특정 범위 IP #200으로 설정해놓으면 Deny IP가 요청이 와도 통과된다
  • asterisk(*) → 일치하는 규칙이 없으면 모든 요청을 거부한다
  • 규칙을 100씩 추가하는 것을 권장
• 새로 만들어진 NACL은 모든 것을 거부한다
• 서브넷 수준에서 특정한 IP주소를 차단하는데 적합하다

 

Default NACL(시험에서 정말 중요)

• 기본 NACL은 연결된 서브넷을 가지고 인바운드/아웃바운드의 모든 요청을 허용하는 특수성을 가진다
• 모든 것이 나가고 모든 것이 들어온다
• 기본 NACL은 매우 개방적이고 수정하는 것을 권하지 않는다. 대신 커스텀 NACL을 만들어 사용

 

Ephemeral Ports(임시 포트)

• 클라이언트와 서버의 연결에선 포트와 엔드포인트가 필요하다
• 클라이언트는 규정된 포트로 연결하는데, 클라이언트가 서버에서 회신을 받을 때를 고려해야함
  • 클라이언트는 기본적으로 개방된 포트가 없어서 클라이언트가 서버에 접속할 때 자체적으로 특정한 포트를 열게 된다
  • 임시라서 클라와 서버 간 연결이 유지되는 동안만 열려 있다
• OS에 따라 포트 범위가 달라진다(무작위 임시 포트)
• 전송시 포트를 열고 헤더에 넣어준다

NACL with 임시 포트

• 클라이언트가 DB와 연결되었을 때 각 서브넷 NACL이 있다
• 허용되어야하는 규칙들(3,4번 리스트에 집중해야함)
  • 클라이언트 NACL은 포트 3306을 통해 TCP와 데이터베이스의 서브넷 CIDR까지 아웃바운드를 허용해야한다
  • 데이터베이스 NACL은 클라이언트 서브넷 CIDR과 포트 3306 TCP 인바운드를 허용해야한다
  • 데이터베이스 NACL은 아웃바운드를 위해 임시 포트의 범위(1024-65535)와 클라 서브넷의 CIDR까지 포함해야한다
  • 클라 NACL은 인바운드를 위해 임시포트의 범위와 DB 서브넷의 CIDR까지 포함해야한다

임시포트를 잘 설정하는 것이 중요하다

 

각 타겟 서브넷 별 NACL 규칙을 만들 수 있다

• 다중 NACL 다중 서브넷이 있다면 각 NACL 조합이 NACL 내에서 다중 서브넷을 허용해야한다
• CIDR 사용시 서브넷이 고유의 CIDR을 갖고 있기 때문임

NACL에 서브넷을 추가하면 NACL 규칙도 업데이트해서 연결 조합이 가능한지 확인해야만한다

보안그룹 NACL

인스턴스	서브넷
허용 규칙만 지원	허용, 거부 규칙 지원
Stateful	Stateless
모든 규칙을 평가하여 트래픽 허용	우선 순위에 따라 평가하며 첫 번째 비교로 결정
인스턴스에 적용	NACL과 연결된 서브넷의 모든 인스턴스와 연관

명시적인 거부 규칙이 있더라도 더 우선순위가 높은 규칙이 있다면 해당 규칙은 허용된다.

네트워크 문제가 생기면 보안그룹 외에도 NACL도 살펴봐야한다

 

VPC 피어링

• 다양한 리전에서 VPC를 만들 때 AWS 네트워크를 통해 연결하고 싶을 때 사용
• VPC가 모두 같은 네트워크에서 동작하도록 만들기 위해서 사용한다
• CIDR이 서로 명확히 떨어지거나 구분되어야한다
• VPC는 전이되지 않으며 다른 VPC가 추가되면 해당 VPC끼리 피어링을 지정해야한다
• VPC 서브넷 상의 라우터 테이블 또한 업데이트해서 인스턴스가 서로 통신할 수 있게 한다

 

VPC 피어링에 대해 알아두어야 할 점

• 다른 계정 간 피어링이 가능하다
• 리전간 VPC또한 가능
• 동일 리전의 계정 간 VPC에서도 보안 그룹을 참조할 수 있다.
  • CIDR이나 IP를 소스로 가질 필요가 없으며 보안그룹을 참조할 수 있다

 

VPC Endpoints

• AWS에서 DynamoDB같은 서비스를 사용하면서 퍼블릭 엑세스가 가능한데 NAT Gateway나 IGW를 통해 연결이 가능하다
  • 모든 트래픽은 퍼블릭 인터넷을 거쳐서 옴
• CloudWatch나 S3를 사용할 땐 인터넷을 거치지 않고 사설 엑세스를 원할 수 있다
• 이때 VPC 엔드포인트를 사용하면 사설 AWS 네트워크만 거쳐서 바로 엑세스가 가능

 

VPC 엔드포인트(AWS PrivateLink)

Option 1

• 비용이 많이든다(NAT Gateway, Internet Gateway는 비용이 없지만 허브와 공용 인터넷을 경유하며 지연 비용이 발생)

Option 2

• VPC 엔드포인트는 VPC내에 배포된다
• 네트워킹을 구성해서 사설 서브넷에 있는 인스턴스를 VPC 엔드포인트를 거쳐 AWS 서비스에 직접 연결이 가능하며 네트워크는 AWS 내에서만 이루어진다.
• 모든 AWS 서비스는 공용 URL로 접속이 가능하다
• VPC 엔드포인트를 사용하면 AWS PrivateLink를 통해 사설 엑세스하므로 모든 서비스에 엑세스할 때 공용 인터넷을 거치지 않고도 접속이 가능
• 엔드포인트는 중복과 수평 확장이 가능
• IGW, NATGW없이도 엑세스 가능하게 한다.
• 문제가 발생하면 DNS 설정 해석이나 라우팅 테이블을 확인하면 된다.

 

Types of Endpoints

Interface Endpoints(Private Link)

• ENI(VPC의 프라이빗 IP 주소이자 AWS의 엔트리 포인트)를 프로비저닝하며 보안그룹과의 연결이 필요
• 대부분의 AWS 서비스 지원
• 시간당 + 처리량으로 요금 계산

 

Gateway Endpoints

• 게이트웨이를 프로비저닝하며 반드시 라우팅 테이블의 대싱이 되어야함
• IP 주소를 사용하거나 보안 그룹을 사용하지 않고 라우팅 테이블의 대상으로만 지정하면 됨
  • 보안그룹이 필요 없음
• 대상으로는 S3와 DynamoDB 두 가지만 지원하고 있고 요금이 무료
• 라우팅 테이블 엑세스 뿐이므로 자동으로 확장된다

 

 

s3를 위한 게이트웨이 혹은 인터페이스 엔드포인트 선택하는 방법

• 시험에서는 Gateway를 선택하는 것이 좋음
  • 비용이 들지 않고 확장성이 높음
• 인터페이스 엔드포인트가 권장되는 경우는 온프레미스에서 엑세스 해야할 필요가 있을 때
  • 온프레미스에 있는 데이터 센터에 프라이빗으로 엑세스해야하는 경우
  • 다른 VPC에 연결할 때도 사용할 수 있다.
   

 

VPC Flow Logs

• 인터페이스로 향하는 IP 트래픽 정보를 포착하는 것
  • VPC 계층, 서브넷 계층, ENI 계층 세 가지 Flow log가 있다
• flow log는 연결 문제를 모니터링하고 트러블 슈팅하는데 유용
• S3 혹은 CloudWatch Logs로 전송 가능
• AWS 관리형 서비스 ELB, RDS,ElastiCache, Redshift, NATGW의 정보를 포착

 

Flow logs Syntax

→ VPC를 통과하는 네트워크 패킷의 메타데이터이다

어떤 정보를 얻을 수 있는지

• srcaddr & dstaddr: 문제가 있는 IP 식별(한 IP가 지속적으로 거부되는 경우, IP에 문제가 있거나 특정 IP가 공격받았을 때)
• srcport & dstport
• Action : 보안그룹이나 NACL 계층에서 요청이 성공했는지 실패했는지를 알려준다
• 사용량 패턴이나 악성행동감지 포트 스캔 등에 사용될 수 있다
• Athena S3 혹은 스트리밍 분석을 위한 CloudWatch Logs Insight

 

VPC Flow Logs - 트러블 슈팅 보안그룹 & NACL 이슈

Action 필드를 보면 된다

이때 NACL은 Stateless, 보안 그룹은 Stateful을 주의

Incoming Requests

• 인바운드 거부 ⇒ NACL 혹은 보안그룹
• 인바운드 허용/아웃바운드 거부 ⇒ NACL

Outgoing Requests

• 아웃바운드 거부 ⇒ NACL 혹은 보안그룹
• 아웃바운드 허용/인바운드 거부 ⇒ NACL

 

아키텍쳐

 

AWS Site-to-Site VPN

• VPC는 구축했지만 특정 구조가 있는 기업에 데이터 센터와 비공개 연결하고자 할 때
• 기업은 고객 게이트웨이를 VPC는 VPN 게이트웨이를 놓고 공용 인터넷을 통해 사설 Site-to-Site VPN을 연결해야한다 → VPN 연결은 암호화 되어있다

 

Virtual Private Gateway(VGW)

• VPN 연결에서 AWS측에 있는 VPN 접선기
• VGW는 생성되면 Site-to-Site VPN 연결을 생성하려는 VPC와 연결된다.
• ANS(Autonomous System Number)을 지정할 수도 있다(참고)

 

Customer Gateway(CGW)

• 기업이 갖춰야할 소프트웨어 혹은 물리적인 장치로 VPN 연결에서 데이터 센터측에 위치

 

Site-to-Site VPN Connections

• 고객 게이트웨이(CGW)가 퍼블릭이라면 → 인터넷 라우팅 가능한 IP주소가 CGW에 있다.
  • 해당 IP주소를 통해 연결하면 됨
• CGW를 비공개로 남겨 Private IP를 가질 수 있다
  • 대부분 NAT-T를 활성화하는 장치 뒤에 있다
  • NAT 장치에 퍼블릭 IP가 있을 때 공용 IP를 CGW에 사용해야한다
• 서브넷의 VPC에서 라우트 전파(Route Propagation)를 활성화해야만 Site-to-Site가 정상적으로 동작한다
• 온프레미스에서 aws로 ec2 인스턴스 상태를 진단할 때 보안그룹 인바운드 ICMP 프로토콜이 활성화되었는지 확인해야함 → 그렇지 않으면 연결이 되지 않는다

 

AWS VPN CloudHub

• VGW를 갖춘 VPC가 있고 고객 네트워크와 데이터센터마다 고객 게이트웨이 설정 가능
• 여러 VPN 연결을 통해 모든 사이트간 안전한 소통 보장
• 비용이 적게드는 Hub&Spoke 모델
• VPN만을 활용해 서로 다른 지역 사이 기본 및 보조 네트워크에 활용된다
  • 고객 네트워크는 VPN 연결을 통해 서로 소통이 가능
• VPN 연결이므로 모든 트래픽이 공용 인터넷을 통한다 → 프라이빗은 불가능
• 가상 프라이빗 게이트웨이 하나에 Site-to-Site VPN 연결을 여러 개 만들어 동적 라우팅을 활성화하고 라우팅 테이블을 구성하면 됨

 

Direct Connect(DX)

• VPC 전용 프라이빗 연결을 제공한다.
• 사용할 때 전용 연결을 생성하고 AWS Direct Connect 로케이션을 사용
• VPC에는 가상 프라이빗 게이트웨이를 설치해둬야한다.
  • 이를 통해 온프레미스와 AWS간 연결을 지원
• s3 퍼블릭 리소스와 인스턴스 등의 프라이빗 리소스에 VIF(가상 인터페이스)를 사용해 콘솔과 똑같이 엑세스가 가능
• 사용 사례
  • 대역폭 처리량 증가 → 퍼블릭 인터넷을 거치지않기 때문에 큰 데이터 셋과 적은 비용으로 가능
  • 퍼블릭 인터넷 연결에 문제가 발생해도 Direct Connect를 사용하면 지속적인 연결이 가능
  • 하이브리드 환경 지원(온프레미스 + 클라우드)

• 전부 비공개 연결이 가능하다
• Private VIF, Public VIF 설치가 필요함

 

Direct Connect Gateway

• 다른 리전에 있느 하나 이상의 VPC와 연결하고 싶다면 Direct Connect Gateway를 써야한다

 

Direct Connect – Connection Types

Dedicated Connections

• 1Gbp ~ 10Gbp
• 물리적 전용 이더넷 포트를 받는다(요청시 AWS Direct connect파트너가 처리)

Hosted Connections

• 50MbP, 500Mbp, 100Gbp
• 파트너를 통해 연결하고 필요하면 언제든지 용량을 추가하거나 제거할 수 있다

어떤 연결 타입이든 리드 타임(설치하는 시간)이 한 달이상으로 길어질 때도 있다

⇒ 일주일 안에 빠르게 데이터를 전송하고 싶다면 Direct Connect는 해결책이 아니다

 

 

Direct Connect - Encryption

• 암호화기능은 없지만 사설 연결을 통해 비공개할 수 있다
• 암호화를 원한다면 Direct Connect + VPN을 통해 IPsec으로 암호화된 프라이빗 연결이 가능하다
• 보안을 높일 수 있지만 구현이 복잡하다

Direct Connect - Resiliency(복원력)

복원력 및 아키텍쳐 모드 두 가지를 기억할 것

핵심 워크로드의 복원력 높일려면

• 여러 DX를 설치하는게 좋다
• 하나의 연결을 여러 로케이션으로 만듬 → 하나가 망가져도 다른 하나가 있다

 

핵심 워크로드 복원력을 최대로 끌어 올리고 싶다면

• DX 로케이션에 독립적인 연결을 두 개씩 수립한다

 

백업으로 활용한 Site-to-Site VPN 연결

• DX를 통해 연결에 문제가 발생할 수 있고 비용도 많이 든다.
• Site-to-Site VPN 연결을 백업으로 두어 기본 연결에 문제가 발생시 해당 백업 연결을 사용하면 퍼블릭 인터넷으로 연결을 전환하여 안정성이 높아진다 (언제나 연결되어있기 때문)

 

Transit Gateway

• VPN 연결과 DX를 구축해서 여러 개의 VPC를 연결하다보면 매우 복잡해질 수 있다.
• VPC 수천개와 온프레미스 데이터센터, Site-to-Site VPN, DX, 허브앤스포크 연결을 통해 과도한 피어링이 발생한다
• Transit Gateway를 통해 피어 없이 전이적인 연결이 가능해진다
• 모든 VPC가 서로 통신할 수 있는데 DX Gateway를 Transit Gateway에 연결하면 DX 연결이 각기 다른 VPC와 연결된다
• Site-to-Site VPN 연결을 한다면 고객 게이트웨이와 VPN 연결을 Transit Gateway가 해결
• 리전간 작동
• 계정간 공유를 위해 Resource Access Manager(RAM) 사용가능
• 리전간 Transit Gateway를 피어링할 수 도 있다
• Transit Gateway에 라우팅 테이블을 생성해서 어느 VPC가 누구와 연결할 지 Gateway 내 모든 트래픽 경로를 제어해서 네트워크 보안 제공
• AWS에서 유일하게 IP 멀티캐스트를 지원한다

 

Site-to-Site VPN 연결 대역폭을 ECMP를 통해 늘리기

• ECMP = Equal-cost multi-path routing (등가 다중 경로 라우팅)
• 여러 최적 경로를 통해 패킷을 전달하는 라우팅 전략
• Site-to-Site VPN연결을 많이 사용해서 AWS로의 대역폭을 늘릴 때 사용

• Site-to-Site VPN을 VPC에 직접 연결하면 두 터널 모두 연결 하나로 사용하지만 Transit Gateway를 사용할 때는 두 터널이 동시에 사용된다
• Site-to-Site VPN 터널을 2배로 더 사용할 수 있게 해준다
• 데이터 센터를 직접 VPC 연결한 경우에는 사용 불가능

 

• 가상 프라이빗 게이트웨이에 VPN을 하나 연결하면 VPC마다 연결이 하나 생긴다
• 하나당 1.25Gbps가 최대
• 이때 VPN 연결은 터널이 두 개로 구성된다

 

• VPN을 Transit gateway에 연결하면 Site-to-Site VPN 하나가 여러 VPC에 생성
• 모두 전이적으로 연결이 되기 때문
• ECMP때문에 최대 처리량이 2.5Gbps → 터널이 2개이지만 더 추가가 가능
• 하지만 성능 최적화 비용이 추가됨

 

다중 계정간 DX 연결

• Transit gateway에 연결만 하면 구조는 동일하다

 

VPC 트래픽 미러링

• VPC에서 네트워크 트래픽을 수집하고 검사하되 방해되지 않는 방식으로 실행
• 관리 중인 보안 어플라이언스로 트래픽을 라우팅
  • 수집하려는 트래픽이 있는 소스 ENI를 정의
  • 어디로 트래픽을 보낼지 대상을 정의
• 일부 정보만 얻고싶다면 선택적으로 필터를 적용할 수 있다
• 동일한 VPC에 소스와 대상이 있어야하며 다른 VPC에 걸쳐 있을 수 있다.(피어링 활성화시)
• 컨텐츠 검사, 위협 모니터링, 트러블 슈팅이 가능하다

 

VPC용 IPv6

• 주소 43억 개가 전부 소진될 예정이기 때문에 새로운 체계가 만들어짐
• 모든 주소는 공용이다(사설 범위는 없음)

• VPC와 서브넷에서 IPv4 비활성은 불가능하지만 IPv6를 활성화 가능(듀얼 스택 모드)
• 해당 모드가 활성화된 VPC에서 인스턴스가 동작하면 최소 사설 내부 IPv4 하나와 공용 IPv6 하나를 얻게 된다
• 인터넷 게이트웨이를 통해 통신 가능

 

IPv6 Troubleshooting

• IPv4는 VPC 및 서브넷에서 비활성화가 불가능
• IPv6가 활성화된 VPC 서브넷에서 ec2 인스턴스를 실행할 수 없다고 하면 IPv6를 받지 못해서가 아니라 서브넷에 현재 이용 가능한 IPv4가 없기 때문이다
• 서브넷에 새로운 IPv4 CIDR을 활성화해야함

 

Egress(송신) 전용 Internet Gateway

• IPv6 트래픽에만 사용되며 NAT Gateway와 비슷하지만 IPv6 전용이다
• VPC 인스턴스에서 IPv6상 아웃바운드 연결을 허용하고 동시에 인스턴스로 IPv6 연결을 시작하지 못하게 막는다 → 인터넷에 엑세스는 가능하지만 연결은 막음
• 라우팅 테이블 업데이트가 필요

 

IPv6 라우팅

• 라우터 테이블에 주목하면 된다

 

VPC 요약

• CIDR - IP 범위
• VPC - 가상 사설 클라우드 → IPv4 & IPv6 CIDR의 목록을 정의
• 서브넷 - CIDR이 정의된 VPC와 AZ 단위로 묶이며 공용,사설 서브넷이 있다
• IGW - 공용 서브넷에서 IGW와 연결 경로를 만들면 공용 인터넷 접근이 가능
• 라우트 테이블 - 게이트웨이나 VPC 피어링,VPC 엔드포인트 라우트를 갖도록 편집되고 네트워크가 VPC 내부에서 흐르도록 돕는다
• Bastion Host - 사설 서브넷의 다른 EC2로 SSH 연결이 가능
• NAT Instance - 사설 및 공용 서브넷에 배포되어 사설 서브넷의 ec2 인스턴스에 인터넷 엑세스를 제공 ⇒ 사용하지 않는다
• NAT Gateway - 성능이 훨씬 좋고 AWS에서 관리, 사설 서브넷 인터넷 연결, IPv4에서만 작동
• Private DNS + Route 53 - 사설 DNS를 사용하려면 DNS 변환과 DNS 호스트이름 설정을 VPC에서 설정해야함
• NACL - 방화벽 규칙으로 인바운드와 아웃바운드 엑세스를 서브넷 레벨에서 정의. 임시 포트 NACL이 무상태이므로 인바운드와 아웃바운드 규칙이 항상 평가되기 때문에 규칙을 잘 허용해야함
• 보안그룹 규칙 - 상태가 유지되어 인바운드가 허용되면 아웃바운드까지 허용 그 반대도 성립
• Reachability Analyzer - 여러 AWS 리소스 사이에 네트워크 연결을 시험하고 디버깅을 수행
• VPC 피어링 - 두 VPC 연결시 유용 CIDR이 겹치지 않고 전이적이지 않기 때문에 3개의 VPC 연결이 필요하다면 VPC 연결도 3개가 있어야한다
• VPC Endpoints - 사설 엑세스를 제공하여 S3, DynamoDB 등 VPC 내 모든 서비스에서 가능하며 S3와 DynamoDB 게이트웨이 엔드포인트로 사용되고 나머지는 모두 인터페이스 엔드포인트
• VPC Flow Logs - VPC 모든 패킷과 관련해 일정 레벨의 메타데이터를 얻는다. ACCEPT or REJECT 트래픽 정보도 있음. 서브넷이나 ENI 레벨에서 생성 가능하며 분석 과정 후 s3로 이동. 이후 다른 곳으로 보내 분서곧 함
• Site-to-Site VPN - VPC를 온프레미스 데이터 센터에 연결하기 위한 방법 중 하나로 공용 인터넷을 지나는 VPN 연결로 AWS에는 가상 프라이빗 게이트웨이를 설치하고 데이터센터에는 고객 게이트웨이를 생성하고 나서 VPN 연결을 구축해야한다
• AWS VPN CloudHub - 가상 프라이빗 게이트웨이를 사용해 여러 VPN을 연결하려면 허브앤스포크 모델로 VPN을 연결
• Direct Connect (DX) - 온프레미스 데이터 센터에 연결하는 또 다른 방법으로 완전히 비공개 연결을 지원하지만 구축하는데 시간이 걸린다. 훨씬 빠르고 안정적
• Direct Connect Gateway - 다양한 AWS 리전의 수많은 VPC에 DX를 생성할 수 있다
• AWS PrivateLink / VPC Endpoint Services - 고객 VPC에 만든 자체 VPC에서 AWS 내부 서비스에 직통으로 비공개 연결되며 VPC 피어링 NAT Gateway가 필요 없고 NLB와 ENI가 주로 사용. VPC가 있는 서비스를 네트워크를 공개하지 않고도 직접 노출할 수 있다
• ClassicLink - 인스턴스를 VPC에 비공개 연결하지만 곧 사라짐
• Transit Gateway - 전이적(VPC간 직접 연결이 필요 없다) 피어링
• 트래픽 미러링 - 패킷 추가 분석을 위해 ENI 등에서 네트워크 트래픽을 복사해 써드파티 어플라이언스로 전송할 수도 있다
• Engress 전용 Internet Gateway - IPv6 전용으로 송신만 가능

 

AWS에서 네트워킹 비용 per GB

• ec2로 들어오는 트래픽은 무료
• 같은 가용영역에서 인스턴스간 트래픽은 전부 무료
• 다른 리전간 네트워킹할 때 사설 IP를 활용한 연결이 훨씬 싸다
  • 트래픽이 밖으로 나가지만 않는다면 비용이 절감됨
• 공용 보다는 사설 IP → 성능도 좋고 비용도 절감 설정도 적다
• 최대한 비용을 절감하도록 같은 가용영역을사용해야함 하지만 가용성이 낮다
  • 장애조치가 필요(균형을 맞춰야한다)
• 예시로써 RDB를 읽기 전용 복제본을 만들어 사용할 때 같은 AZ에 있다면 읽기 전용 복제본으로 만들 때 비용이 들지 않는다. 다만 가용성이 낮아짐. 만약 다른 AZ로 복사한다면 비용은 조금 발생할지언정 가용성을 높일 수 있다

 

네트워킹 비용 최적화

• Egress(송신) 트래픽(AWS → 밖으로)
  • 아웃바운드 트래픽
  • 대부분 비용이 청구됨
• Ingress(수신) 트래픽(밖 → AWS)
  • 인바운드 트래픽
  • 대부분 무료

따라서 인터넷 트래픽을 최대한 AWS 내부에 두고 비용을 최소화 해야한다.

• 송신 데이터 사이즈를 줄여서 최소만 보낸다
• Direct Connect를 사용할 경우 DX의 로케이션을 같은 AWS 리전으로 활성화해 비용을 아낀다

 

s3 데이터 전송 비용

• 요청이 들어오면 비용이 발생하는데 CloudFront는 훨씬 저렴하고 캐싱 기능같은 여러 기능도 지원해준다

 

NAT Gateway vs Gateway VPC Endpoint

• VPC 엔드포인트가 훨씬 저렴하다

 

Network Protection on AWS

• NACL, VPC 보안그룹, WAF(Web application firewall), AWS Shield, Shield Advanced, Firewall manager 등등
• VPC 보안을 높이기 위한 더 높은 방법

AWS Network Firewall

• VPC 전체를 보호한다
• 네트워크 3~7계층까지 보호
• 모든 방향의 트래픽을 검사한다
  • VPC간 트래픽
  • 인터넷 아웃바운드,인바운드
  • DX 혹은 Site-to-Site VPN 연결까지 포함
• 규칙을 정의하기만 하면 모든 동작을 제어 가능
• 내부적으로 AWS Gateway Load Balancer를 사용한다 타사 어플라이언스가 아닌 AWS 자체 어플라이언스로 트래픽을 관리하므로 자체 규칙을 갖고 있다
• 중앙 집중식 관리가 이루어지며 여러 계정과 VPC에 적용된다

 

Fine Grained Controls(세분화된 컨트롤)

• 수천 개의 규칙 지원
  • 수만 IP와 포트별로 필터링 가능
  • 프로토콜 별로 필터링 가능
  • 도메인별로 필터링 가능
  • 정규식을 통한 일반 패턴 필터링 가능
• 트래픽 허용, 차단, 알림등을 설정해서 규칙에 맞는 트래픽만 허용 가능
• Active flow inspection(활성 플로우 검사): 침입 방지 능력을 갖출 수 있다 Gateway Load Balacner의 역할임
• 모든 규칙 확인 여부는 s3, CloudWatch Logs, Kinesis Data Firehose로 전송해 분석할 수 있다