IT/AWS

AWS Network 종류

Terriermon 2021. 1. 20. 09:28

Network

VPC

☁ Virtual Private Cloud

고객이 정의하는 가상 네트워크에서 AWS 리소스를 구동할 수 있는 AWS 클라우드의 논리적으로 격리된 공간 프로비저닝

  • 정의된 가상 네트워크에서 AWS 리소스 시작
  • 자체 IP 주소 범위 선택, 서브넷 생성, 라우팅 테이블 및 네트워크 게이트웨이 구성 👉 가상 네트워킹 환경 제어

☀️ VPN: 가상 프라이빗 네트워크

✔️ POINT

  • 인터넷 게이트웨이

    • 수평적 확장
    • 중복적
    • 가용성이 뛰어남
    • 대역폭 제한 ❌
  • 사용 가능한 IP 주소 범위

    • 기본: 모든 IPv4 주소 범위

    • 보조

      • 공개 ⭕️ 라우팅 IP 블록: 가상 프라이빗 게이트웨이
      • 인터넷 게이트웨이 👉 인터넷상에서 액세스 ❌
  • VPC 크기

    • IPv4: 5개 (기본 1 보조 4)

      • 범위 크기: /28 ~ /16
    • IPv6

      • 고정 크기: /56
  • VPC 크기 변경

    • 4개의 보조 IPv4 IP 범위(CIDR) 추가
    • VPC의 IPv6 주소 범위 크기 변경 ❌
서브넷
  • VPC당 200개의 서브넷 생성

  • 서브넷 크기

    • IPv4: 최소 /28(or IP 주소 14개) ❗️ VPC 보다 작은 크기
    • IPv6: 고정 /64, 단 한 개 할당
  • 모든 서브넷의 처음 4개 IP 주소와 마지막 1개 IP 주소 예약

  • 한 서브넷, 하나의 가용 영역

구성 요소

Virtual Private Cloud

AWS 클라우드 내 논리적으로 격리된 가상 네트워크

선택한 범위 VPC의 IP 주소 공간 정의

서브넷

격리된 리소스 그룹을 배치할 수 있는 VPC IP 주소 범위의 한 세그먼트

인터넷 게이트웨이

인터넷과 연결되는 아마존 VPC 측 게이트웨이

NAT 게이트웨이

프라이빗 서브넷에 있는 리소스가 인터넷에 액세스할 수 있게 해주는 고가용성 관리형 네트워크 주소 변환 서비스

가상 프라이빗 게이트웨이

VPN에 연결되는 아마존 VPC 측 게이트웨이

피어링 연결

피어링 연결을 사용하여 프라이빗 IP 주소를 통해 피어링되는 두 VPC 간 트래픽 라우팅

VPC 엔드포인트

인터넷 게이트웨이, VPN, NAT 디바이스 또는 방화벽 프록시를 사용하지 않고 ❌

AWS에서 호스팅되는 서비스에 VPC 내에서부터 비공개로 연결

송신 전용 인터넷 게이트웨이

VPC에서 인터넷으로 IPv6 트래픽에 대해 송신 전용 액세스를 제공하는 상태 저장 게이트웨이

사용 이유

  1. AWS 클라우드에서 가상 네트워크 구축

    👉 물리적 데이터 센터 필요 ❌

  2. 자체 네트워크 공간 정의

  3. 네트워크 및 네트워크 내에 있는 EC2 리소스가 인터넷에 노출되는 방식 제어

  4. 보안 옵션

    • 가상 네트워크 내 EC2 인스턴스에 더 세분화된 방식으로 액세스

네트워크 아키텍처

옵션
  1. 단일 퍼블릭 세브넷 VPC
  2. 퍼블릭 및 프라이빗 서브넷 VPC
  3. 버플릭 및 프라이빗 서브넷 ➕ AWS Site-to-Site VPN 액세스 제공 VPC
  4. 퍼블릭 서브넷 ➕ AWS Site-to-Stie VPN 액세스 제공 VPC

👉 VPC와 서브넷의 크기 및 IP 주소 범위 변경

VPC 엔드포인트 유형

☀️ VPC 엔드포인트

  • 인터넷 게이트웨이, NAT, 방화벽 프록시 사용 ❌
  • VPC를 AWS에서 호스팅하는 서비스와 비공개로 연결
  • 수평적 확장, 가용성이 매우 뛰어난 가상 디바이스
  • VPC 내 인스턴스와 AWS 서비스 간에 통신 허용
게이트웨이 유형 엔드포인트

S3, DynamoDB 등 AWS 서비스에서만 이용

사용자가 선택한 라우팅 테이블에 항목추가, 트래픽을 아마존의 프라이빗 네트워크를 통해 지원되는 서비스로 라우팅

인터페이스 유형 엔드포인트

AWS 서비스인 PrivateLink에서 지원하는 서비스, 자체 서비스, SaaS 솔루션에 비공개로 연결

Direct Connect 통한 연결 지원

VPC 트래픽 미러링

☁️ VPC 트래픽 미러링

콘텐츠 검사, 위협 모니터링, 문제 해결 등의 사용 사례를 위해

EC2 인스턴스 네트워크 트래픽 복제, 대역 외 보안 및 모니터링 어플라이언스로 전달하는 과정을 손쉽게 처리

  • EC2 인스턴스용 ENI(탄력적 네트워크 인터페이스)에서 네트워크 패킷 캡처 지원
  • 실제 트래픽 콘텐츠 분석 👉 네트워크 트래픽을 좀 더 깊이 있게 파악
  • 실제 패킷을 분석하여 성능 문제의 근본 원인 파악
  • 정교한 네트워크 공격을 리버스 엔지니어링
  • 내부자 침해 또는 손상된 워크로드를 감지 및 차단하는 사용 사례

 

Route 53

높은 가용성과 확장성이 뛰어난 클라우드 DNS 웹 서비스

  • 최종 사용자를 인터넷 애플리케이션으로 라우팅할 수 있도록 제공
  • 도메인 이름 구매/관리
  • DNS 자동 설정
  • AWS 인프라 효과적으로 연결
  • 사용자를 AWS 외부의 인프라로 라우팅 가능

✔️ POINT

  • 높은 가용성낮은 지연 시간

    • DNS 서버 = 전 세계 분산

      • 인터넷 및 네트워크 문제 우회
      • 최종 사용자가 애플리케이션에 안정적으로 라우팅
    • 중요한 애플리케이션에서 필요한 수준의 신뢰도 제공

    • 네트워크 상태에 따라 최적의 위치에서 쿼리에 자동 응답 👉 전 세계적 규모의 DNS 서버 애니캐스트 네트워크 사용

작업

  • 공개 DNS 레코드 생성, 관리

    • 도메인 이름의 IP 주소 관리

      • 도메인 이름 👉 IP 주소 변환
  • 새로운 도메인에 대한 DNS 레코드 생성

  • 기존 도메인에 대해 DNS 레코드 전송

DNS

☁️ www.example.com과 같은 사람이 읽을 수 있는 이름 👉 IP 주소로 변환하는 글로벌 배포 서비스

  • 쿼리: DNS 서버에서 이름을 IP 주소로 변환하여 도메인 이름을 웹 브라우저에 입력할 때, 최종 사용자를 어떤 서버에 연결할 것인지 제어

☁️ DNS 레코드: 도메인에 관한 설정을 하기 위해 사용되는 일련의 문자

☁️ DNS 엔드포인트: VPC에 연결하는 하나 이상의 탄력적 네트워크 인터페이스(ENI)가 포함

  • ENI에 현재 위치하고 있는 VPC의 서브넷 공간에서 IP 주소 할당
  • IP 주소는 온프레미스 DNS 서버가 쿼리르 전달할 수 있도록 전달 대상 역할 수행
호스팅 영역

DNS 영역 파일과 유사

단일의 상위 도메인 이름에 속하면서 함께 관리할 수 있는 레코드 세트

✔️ POINT

  • 애니캐스트 네트워크 사용

    • 애니캐스트: 네트워킹 및 라우팅 기술

      • 최종 사용자의 DNS 쿼리가 주어진 네트워크 조건에서 최적의 Route 53 위치로부터 응답을 얻음
      • 사용자는 Route 53를 통해 높은 가용성과 개선된 성능 경험
  • 호스팅 영역 수 제한

    • 최대 500개 호스팅 영역
    • 호스팅 영역 당 10,000개의 리소스 레코드 세트로 제한
  • DNS 공급자 및 BIND 표준 DNS 서버 소프트웨어에서 내보내는 표준 DNS 영역 파일을 가져옴

    • NS 및 SOA 레코드 ❌ 비어있는 기존 호스팅 영역 뿐 아니라 새로 생성된 호스팅 영역에서 영역 파일을 직접 Route 53 콘솔에 붙여넣기 가능 ⭕️
    • 호스팅 영역에 자동으로 레코드 생성
  • 와일드카드 입력

    • 도메인에 대한 DNS 설정을 더 쉽게 구성할 수 있도록 NS 레코드를 제외한 모든 레코드 유형에 와일드카드 입력 지원

라우팅 정책

WRR 가중치 기반 라운드 로빈

각 응답이 처리되는 빈도를 지정할 수 있도록 리소스 레코드 세트에 가중치 할당

  • A/B 테스트 수행
  • 소프트웨어 변경이 이루어진 서버로 소규모 트래픽 전송
LBR 지연 시간 기반 라우팅

전 세계 사용자를 위해 애플리케이션 성능 개선 기능

  • 여러 AWS 리전, Route 53에서 애플리케이션 실행
  • 전 세계 수십 개의 다른 엣지 검색 👉 최종 사용자를 지연 시간이 가장 낮은 AWS 리전으로 라우팅
지역 DNS

지리적 위치를 기반으로 한 특정 엔드포인트로 요청을 보내 로드의 균형을 맞춤

  • 지역화 된 콘텐츠 사용자 지정
  • 예측 가능, 관리가 쉬운 방법
  • 지속적으로 동일한 엔드포인트로 라우팅되도록 보장
  • 대륙, 국가/지역 세 가지 지역 단위 제공
  • 중복 지역 레코드 보유 가능
트래픽 흐름

사용이 간편하고 비용 효율적인 글롭러 트래픽 관리 서비스

  • 전 세계에 걸쳐 여러 엔드포인트 실행 👉 최종 사용자를 위해 애플리케이션의 성능 및 가용성 향상
Route 53 Resolver

EC2에 호스팅 된 이름과 인터넷에서 사용하는 퍼블릭 이름에 대한 반복적 DNS 조회를 제공하는 지역 DNS 서비스

 

Direct Connect

온프레미스에서 AWS로 전용 네트워크 연결을 쉽게 설정할 수 있는 클라우드 서비스 솔루션

인터넷 대안으로 사용하는 네트워크 서비스

  • 인터넷을 통해 전송했던 데이터를 AWS와 개인 데이터 센터, 기업 네트워크 간의 프라이빗 네트워크 연결로 전달
  • AWS Direct Connect 연결을 하나 이상의 가상 인터페이스와 함께 구성

✔️ POINT

  • 대역폭 비용 감소
  • 일관된 네트워크 성능
  • 모든 AWS 서비스와 호환 가능
  • VPC로 프라이빗 연결
  • 탄력성
  • 간편성

'IT > AWS' 카테고리의 다른 글

Serverless with AWS Lambda (1)  (0) 2021.01.26
AWS Python 연결 - Boto3  (1) 2021.01.25
AWS Storage 종류  (0) 2021.01.20
Landing Zone  (0) 2021.01.19
AWS Computing 종류  (0) 2021.01.18