-
특징
- VPC는 aws 계정 전용 가상 네트워크 이다.
- IPv4 or IPv6 주소 벙위에 존재
- CIDR 범위 생성 가능 ( ex) 10.0.1.0/24)
VPC는 region내 AZ 에 걸쳐져서 배포됨
하나의 vpc 사용
- 고성능 컴퓨팅
대부분의 사용 사례
- 다중 vpc
- 다중 계정 (부서별로)
VPC
- soft limit
- hard limit
VPC
- private IP주소의 범위를 예약
- CIDR 표기법을 사용
- 고유 IP 주소 가져오기(BYOIP - Bring your on IP)지원
CIDR Example
서브넷을 사용하여 vpc 를 나누어 사용가능
- 서브넷 구성시 ip 5개는 aws가 예약한다. (0: Net, 1: VPC Router, 2:DNS, 3:Reserved, 255:BroadCast)
라우팅 테이블을 이용
퍼블릭 서브넷 연결
- 인터넷 게이트웨이 ( 현관문)
NAT는 out bound traffic만 확인하고 들어오는 traffic은 막는다.
서브넷은 프라이빗으로 유지하고
외부와 연결이 필요하면 elb를 사용한다.
서브넷 권장 사항 /24 이상
탄력적 IP 주소 ( EIP)
- 고정ip
- NAT or IGW or Instance에 붙인다.
- AWS 리전당 5개 허용 (soft limit)
보안그룹
- 가상 방화벽
- 기본은 나가는건 안막고 들어오는건 다 막는다
네트워크 ACL
- 서브넷 경계의 방화벽
- 상태 비저장으로 명시적인 규칙이 필요!
계층적 보안
VPC로 인터넷 액세스
- 인터넷 게이트웨이 vpc에 연결
- 라우팅 테이블을 인터넷 게이트웨이에 연결
- 퍼블릭 ip or 탄력적인 ip 주소 확인
- 안될경우 ACL과 SG에 막혀있는지 확인 필요!
IGW ( Internet GW)
VGW (virtual GW)
- VPN, DX
vpc에서 외부통신 : VGW <-> VPN <-> CGW (custom gw)
VPC EndPoint
GW - RT : S3, DDB, 무료
I/F - 그외 , 유료
VPC Peering : vpc간 연결
- 조건 :
1.연결되는 vpc간 ip 대역이 같으면 안된다.
2. nat x , IGW x
3. 전이적 peering X ( A - B - C 연결이면 A-C 로 보내려면 A-C 연결도 따로 해야한다)
모범사례
- 중복되는 CIDR 블록 없음
- 필수 vpc만 연결
- 솔루션을 확장할 수 있어야함
AWS Direct Connect(DX) : 1 or 10Gbps 전용 프라이빗 네트워크 연결
VPC Endpoint
- nat 안써도 된다.두가지 유형의 엔드포인트
- 인터페이스 엔드포인트
- 게이트웨이 엔드포인트
네트워크 비용
- 아웃바운드 트래픽은 비용이 나간다
- aws 내부 트래픽도 아웃바운드 비용은 나간다.
VPC 구성
1. VPC 생성
2. subnet 생성 ( public & private) : 생성시 AZ 잘 선택해야 한다.
public 생성시 Modify auto Dns를 action에서 enable한다.3. IGW 생성 - Action Attach to Vpc 해야함
3. Route Table 구성
Peering 구성
4. VPC peering
- peering connection 에서 생성수 action 에서 Accept Request를 해야한다.
5. Route Table 설정
- public route table에서 peer connection으로 고른다.
- shared vpc router에서 대상 IP 주소가 같은 vpc 범위 내에 있는 경우 피어링 연결로 트래픽을 전송하도록 구성한다.