[새싹 성동 2기] AWS에서의 VPC와 관련 주요 기본 개념

1. VPC (Virtual Private Cloud)

• 정의: VPC는 AWS 사용자 전용의 가상 네트워크로, AWS 클라우드 내 다른 네트워크와 논리적으로 분리되어 있습니다. 특정 AWS 리전에 속하며, 다른 리전에서는 보이지 않습니다.
• 특징:
  • IP 주소: RFC 1918에 따라 프라이빗 IP 주소 체계를 권장합니다. 대표적으로 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16 범위가 있습니다.
  • VPC Peering: 리전 내 또는 간의 VPC를 연결하여 트래픽을 주고받을 수 있습니다.

2. VPC 구성 요소

• 가용 영역 (Availability Zone, AZ): AWS 리전 내 중복 전원 및 네트워크 연결을 갖춘 하나 이상의 데이터 센터로, VPC는 이 가용 영역 내에서 자원을 생성할 수 있습니다.
• CIDR 블록: VPC와 서브넷의 IP 주소 범위를 지정합니다.
• DNS 옵션: EC2 인스턴스의 퍼블릭 DNS 호스트 이름을 활성화할 수 있습니다.
• 인터넷 게이트웨이 (IGW): VPC 내 퍼블릭 서브넷에 위치한 인스턴스가 인터넷에 접속할 수 있게 합니다.
• NAT 게이트웨이: 프라이빗 서브넷의 인스턴스가 인터넷과 연결되도록 지원합니다.
• 라우팅 테이블: 네트워크 트래픽의 전달 위치를 결정하는 라우팅 규칙을 지정합니다.
• Tenancy: EC2 인스턴스를 다른 AWS 계정과 공유 하드웨어에서 실행할지 전용 하드웨어에서 실행할지 선택할 수 있습니다.

3. 기본 VPC (Default VPC)

• 특징: 2013년 12월 이후 생성된 계정에는 기본 VPC가 제공됩니다.
  • 구성: 기본 VPC는 /16 IPv4 CIDR 블록(172.31.0.0/16)을 사용하며, 각 가용 영역에 /20 서브넷이 생성됩니다.
  • 인터넷 연결: 인터넷 게이트웨이와 라우팅 테이블이 설정되어 기본적으로 인터넷 연결이 가능합니다.

4. 서브넷 (Subnet)

• 정의: 서브넷은 VPC 내 논리적 네트워크 컨테이너로, 특정 가용 영역 내에서 EC2 인스턴스를 배치하는 장소입니다.
• 서브넷 종류:
  • 퍼블릭 서브넷: 인터넷 게이트웨이로 향하는 라우팅이 설정된 서브넷입니다.
  • 프라이빗 서브넷: 인터넷 게이트웨이로의 라우팅이 없는 서브넷입니다.
• 예약 IP: 각 서브넷의 처음 4개 IP와 마지막 1개 IP는 예약되어 있으며 인스턴스에 할당할 수 없습니다.

5. ENI (Elastic Network Interface)

• 정의: ENI는 물리 서버의 네트워크 인터페이스와 유사한 기능을 수행하는 가상 네트워크 카드입니다. 인스턴스에 추가하여 고가용성 네트워크 설정이나 다중 IP 구성을 지원할 수 있습니다.

6. 인터넷 게이트웨이 (Internet Gateway, IGW)

• 정의: 퍼블릭 IP 주소를 갖는 인스턴스가 인터넷에 연결할 수 있게 합니다.
• 설치: 기본 VPC 외에는 직접 생성 후 VPC와 연결해야 합니다. VPC당 하나의 IGW만 연결할 수 있습니다.

7. 라우팅 (Routing)

• 정의: VPC의 네트워크 트래픽이 전달될 위치를 결정하는 규칙입니다.
• 라우팅 테이블: 특정 IP 주소 범위(대상 주소)에 대한 트래픽을 어디로 전송할지를 지정합니다. 기본 VPC에는 local 및 IGW 라우팅이 기본 설정되어 있습니다.

8. 보안 그룹 (Security Group)

• 정의: 방화벽처럼 동작하며 인스턴스의 송수신 트래픽을 제어합니다.
• 특징: 상태 저장 방화벽으로, 한 방향으로 허용된 트래픽에 대한 응답 트래픽을 반대 방향으로도 자동 허용합니다.
• 적용: 허용 규칙만 설정할 수 있으며 인스턴스에 연결된 ENI에서 적용됩니다.

9. NACL (Network Access Control List)

• 정의: 보안 그룹과 유사하게 동작하는 방화벽으로, 서브넷 레벨에서 트래픽을 제어합니다.
• 특징:
  • 상태 비저장으로, 모든 트래픽에 대해 인바운드와 아웃바운드 규칙을 각각 명시해야 합니다.
  • 허용 및 거부 규칙을 모두 설정할 수 있습니다.
• 적용 순서: 규칙 번호의 오름차순으로 적용되어, 가장 낮은 번호의 규칙이 우선 처리됩니다.

10. 보안 그룹 vs NACL

• 보안 그룹: 인스턴스 레벨에서 적용, 상태 저장, 허용 규칙만 설정 가능.
• NACL: 서브넷 레벨에서 적용, 상태 비저장, 허용 및 거부 규칙 모두 가능.

 

*생성형 AI 활용한 클라우드&보안 전문가 양성캠프 과정의 교육내용 정리 자료입니다.