Network

      VPC

      CIDR

      Subnet

      Route Table

      Internet GW

      NAT Device

      ENI

      Elastic IP

      Security Group

      Network ACL

      VPC Peering

      VPC End point

      Transit GW

https://aws.amazon.com/products/storage/

VPC

    Virtual Private Cloud

    Network Isolation

    IP Range by CIDR

    Region Service, Multi AZ

    Divided by Subnet

    Min /28 = 16 IP addresses

    Max /64 = 2^16

https://docs.aws.amazon.com/ko_kr/vpc/latest/userguide/what-is-amazon-vpc.html https://aws.amazon.com/blogs/architecture/one-to-many-evolving-vpc-design/

Real World VPC

https://aws.amazon.com/blogs/awsforsap/vpc-subnet-zoning-patterns-for-sap-on-aws/

CIDR

                 Classless Inter Domain Routing

                 Method for allocating IP addresses and for IP routing

                 A.B.C.D/E

                 192.168.0.0/24

                 256 ip addresses

                 192.168.0.0 ~ 192.168.0.255 Reserved IP

https://docs.aws.amazon.com/vpc/latest/userguide/subnet-cidr-reservation.html https://namu.wiki/w/CIDR

https://en.wikipedia.org/wiki/Classful_network

Subnet

    Sub network

    Network isolated by Subnet

    Private/Public/VPNOnly

    Assigned to only one AZ

    3 AZ > 3 Subnet

    Definded by CIDR

    Min /28 : 16 IP addresses

    Reserved IP

https://docs.aws.amazon.com/vpc/latest/userguide/configure-subnets.html /

Reserved IP

    Subnet with CIDR block 10.0.0.0/24

    Five IP addresses are reserved 10.0.0.0: Network address

    10.0.0.1: the VPC router.

    10.0.0.2: the DNS server 10.0.0.3: AWS for future use.

    10.0.0.255: Network broadcast address. We do not support broadcast in a VPC, therefore we reserve this address.

https://aws.amazon.com/vpc/faqshttps://docs.aws.amazon.com/vpc/latest/userguide/configur/     e-subnets.html

Default VPC / Non default VPC

     Default VPC in each AWS RegionCIDR

     Public subnet in each Availability Zone

     an internet gateway

     enable DNS resolution

     Start launching EC2 into a default VPC

     Nondefault VPC

     create your own VPC

     configure it as you need

https://docs.aws.amazon.com/vpc/latest/userguide/default-vpc.html

https://docs.aws.amazon.com/vpc/latest/userguide/how-it-works.html#what-is-default-nondefault

VPC Modification

    Name

    IP Range

    Deletion then New Creation

    Related VPC routing change

https://aws.amazon.com/vpc/faqs/

https://docs.aws.amazon.com/vpc/latest/userguide/configure-subnets.html

Route Table

    Subnet has route table

    if not, use VPC main router table

    Has Destination, Target

    Target

    local, pcx, igw, eigw, nat

https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html

Destination Target
0.0.0.0/0 igw-id

IGW

    Internet Gateway

    Connect to internet

    Use by adding igw to route table

    Destination Target

    10.0.0.0/16 local

    0.0.0.0/0 igw-xxxx

https://docs.aws.amazon.com/vpc/latest/userguide/route-table-options.html https://dev.to/aws-builders/cloud-networking-fundamentals-4b48

Destination Target
10.0.1.0/16 local
0.0.0.0/0 igw-id

NAT Device

Destination Target
10.0.0.0/16 local
0.0.0.0/0 nat-id

     Network Address Translator

     Translate Private address to public address

     IPv4

     Stateful

     private subnets to connect to the internet

     Type NAT Instance

     Private db > nat instance > igw > internet

     NAT Gateway

     Managed service of NAT instance

     Add nat gateway to private subnet route table

https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat.html https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html https://docs.aws.amazon.com/vpc/latest/userguide/VPC_NAT_Instance.html https://kim-dragon.tistory.com/18

Egress-only Internet Gateway

    EGW

    Similar with NAT Gateway

    IPv6

    Stateful

    Outbound Traffic Only

https://medium.com/awesome-cloud/aws-vpc-route-table-overview-intro-getting-started-guide-5b5d65ec875f

ENI

    Elastic Network Interface

    A logical networking component

    A virtual network card

    Add to instance

    Attributes

    MAC Address

    IP

    Security Group

https://www.whizlabs.com/blog/elastic-network-interface/

https://docs.aws.amazon.com/AmazonECS/latest/bestpracticesguide/networking-networkmode-awsvpc.html

EIP

    Elastic IP

    Assigned from Amazon's pool of public IPv4 addresses

    Different from Public IP on EC2 instance Can be changed in case of restart

    Attached to EC2 or ENI   

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/elastic-ip-addresses-eip.html https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-instance-addressing.html https://www.looklinux.com/what-is-difference-between-aws-elastic-ip-and-public-ip/ https://documentation.elasticpath.com/cloudops-aws/docs/faq/deployments.html

Security Group

    Control traffic on instance level

    Stateful

    Different from NACL ( Stateless )

    Assign one or more security group on instance , maximum 5

    Defined on IP, port, IB/OB traffic ( default OB allow ) 0.0.0.0/0, All Protocol, All Port

    Defined by allow only

    Consider all rules

https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html https://www.checkpoint.com/cyber-hub/cloud-security/what-is-aws-security-groups https://docs.aws.amazon.com/quicksight/latest/user/vpc-security-groups.html https://aws.amazon.com/ko/blogs/korea/new-descriptions-for-security-group-rules/

Network ACL

    Allows or denies At the subnet level specific inbound or outbound traffic

    Stateless

    Private VPC, custom NACL default all IB/OB traffic denied

    priority BY rule number Match rule, no consider others

https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html

VPC Peering

    a networking connection between two VPCs

    can be in different Regions inter-Region VPC peering connection

    1:1 mapping

    A > B, B > C then A > C ? No Need to make explicit A > C

https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html https://twwip.com/2020/01/26/how-to-setup-vpc-peering-in-aws/

VPC End Point

    PrivateLink

    Interface Endpoint

    Gateway LB Endpoint

    Gateway Endpoint

    S3, DynamoDB

    Not use privatelink and VPC endpoint

https://docs.aws.amazon.com/vpc/latest/privatelink/concepts.html https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-s3.html https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-ddb.html https://blog.nuricloud.com/aws-vpc-endpoint-using-for-s3-ec2-secure-transfer/

Transit Gateway

     Interconnect between VPCs Can connect on-premises networks

     Use DX and VPN

     Examples

     Centralized router

     Isolated VPCs but connect to on-premises

     Isolated VPCs with shared services like LDAP

     Peering between VPCs

     Multicast between VPCS

     Centralized outbound routing

     Security Appliance VPC in shared VPCs

     Blackhole route

https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html https://docs.aws.amazon.com/vpc/latest/tgw/TGW_Scenarios.html

QnA

 

저작자표시 (새창열림)

'AWS > AWS Ceritified Solutions Architect' 카테고리의 다른 글

07. IAM  (0) 2023.08.21
06. Database  (0) 2023.07.22
04. Storage  (0) 2023.07.21
03. EC2 and EBS  (0) 2023.07.08
02. AWS Services  (0) 2023.07.08

기업의 기본 보안 정책은 망분리이다.

하지만 public cloud는 open이 되어 있는데 망분리를 어떻게 하느냐이다. 결론부터 말하면 public cloud에서 자체 네트워크 망을 구성하면서 네트워크를 격리를 하는 구성이 가능하다. 이런 기능을 하는 서비스가 VPC이다. 최상위 서비스이며, VPC는 pricing 서비스이다. VPC는 물리적으로는 AWS의 같은 서버 안에 있지만 논리적으로 네트워크를 분리한다. ( 네트워크가 가상화 되어 있고 NAT 가 이 정책에 맞게 잘 전달한다. ) VPC는 기본 내부망이다. 서브넷을 생성할수 있으며, 네트워크 IP 정책을 내부망처럼 가져갈 수 있다. 인터넷이 필요한 경우에만 인터넷 망을 연결한다. (IGW 를 통해서 )

 

대부분의 큰 기업은 회사망을 분리하여 내부망을 구축하고 관리하며, 이에 대한 규칙, 관리 정책등이 있다 이러한 관리 규칙에는 NETWORK를 서브넷으로 나누어 관리하며, IP 정책이 있다. 신규 스타트업이 새로운 사업을 모드 AWS에서 시작한 경우를 제외하고는 대부분의 기업은 private한 온프레미스 On-premise 로 된 내부 서버를 가지고 있다. AWS로 일부 서비스를 구동시 반드시 기존 온프레미스 환경과 연동이 필요하다. 이러한 서버간에 동일한 보안정책과 관리 정책을 적용하려면 AWS에 있는 서버들이 같은 내부망으로 인식되는 것이 가장 좋은데, 이러한 것을 가능하게 해주는 것이 VPC이다.

 

즉 구동되는 클라우드 환경은 public이지만 내부의 네트워크는 마치 회사의 네트워크 처럼 가능되므로 망분리 컨셉과 회사의 관리 정책에 일관성을 줄 수 있다. 회사의 VPC는 public 클라우에 있는 내부 네트워크 및 장비이므로  여기에 접속하기 위해서는 VPN으로 접속하여야 한다.

 

VPN을 일반 인터넷 회선으로 접속하기에는 기업망이니 좀 더 높은 대역폭 확보를 위해서 전용선을 설치할 수도 있는데 이러한 솔루션이 DX (Direct Connect ) 이며 전용선 구축은 AWS 파트너가 진행한다.

 

VPC의 구성시 최우선 설정은 해당 네트워크의 CIDR을 통한 내부IP 체게와 의 IP범위 설정이다. 

192.168.0.0/16을 정하면 2^16 = 65536개의 IP를 할당할 수 있다. 고민과 설계를 잘 하여야 되는 것이 VPC는 내부망이므로 해당 VPC 별로 격리가 되며 최상위 네트워크 정책을 가지게 된다. 그리고 EC2나 다른 자원은 이 VPC에 기반으로 만들어지므로, VPC의 설정을 변경하려면 VPC내의 모든 자원을 deallocate 및 delete하고 나서 VPC의 설정을 변경해야한다. 즉, 한변 만들면 변경이 불가하다고 판단해야 한다.

 

VPC간에는 기본 설정은 격리이다. VPC간의 통신이 필요하다면 VPC peering으로 연결하지만, 기본은 분리이다. 그러니 회사에서 분리하고 싶은 정책, 예를 들어 개발계와 운영계 망을 분리하고 별도의 네트워크와 보안정책을 만들고 싶다면 2개의 VPC를 만들어서 하나는 개발 VPC, 다른 하나는 운영 VPC를 만들고 CIDR를 개발은 192.168.1.0/ 24 면 256 (사용가능 IP는 251개 서브넷중 reserved ip :  0 (network), 1 (router), 2(dns), 3(future) 255(broadcaset) 용도로 미리 예약되어 있음) 개의 IP를 가지는 개발 VPC가 만들어지고, 10.10.100.0/24로 운영 VPC를 만들면 기본적으로 개발망과 운영망은 분리가 되고 서로 다른 IP체계를 가져갈 수 있으며, IP의 A,B 클래스가 규칙이 다르므로 혼동해서 잘못 접속할 일이 없다.

 

서브넷은 VPC내에서는 public subnet, private subnet, vpn only subnet 등 필요에 따라 서브넷 생성 가능, 서브넷은 AZ당 하나만 구성 가능, 여러개의 AZ로 연결되는 서브넷은 만들 수 없음. 하나의 VPC에 3개의 AZ가 있는 경우는 각 AZ마다 별도의 서브넷ㅇ르 생성해야함. 하나의 AZ에 여러개의 서브넷은 추가 가능. IP는 유한하고 정해진 자원이므로 계획하여 잘 할당하여야 한다.

 

라우드 테이블 ( route table)

네트워크 패킷의 전송방향을 결정하는 라우트와 관련된 규칙을 가지고 있는 테이블, 목적지를 향한 최적의 경로로 데이터 패킷을 전송하기 위한 모든 정보 보유, 모든 서브넷은 라우트 테이블을 보유, 라우트 테이블이 있어야 다른 서브넷에 접근하거나 인터넷으로 패킷이 나갈수 있다, VPC의 기본 라우트 테이블 (메인 라우드 테이블)은 자동 생성, 수정 불가.

 

 

 

 

m.blog.naver.com/PostView.nhn?blogId=s2kiess&logNo=220679395249&proxyReferer=https:%2F%2Fwww.google.com%2F

 

망분리의 개념 및 유형

1. 망분리의 개념이름 그대로 망을 분리하는 것이다. 외부 인터넷망과 업무망을 분리하는 것을 말한다. 종...

blog.naver.com

 

 

저작자표시 (새창열림)

'AWS > AWS Advanced Day 3' 카테고리의 다른 글

12 AWS NACL VPC Peering VPC Endpoint  (0) 2021.01.18
11 AWS IGW NATGW EIP  (0) 2021.01.14

+ Recent posts

티스토리툴바