VPC
- Min size( /28 CIDR ) ~ Max size( /16 CIDR )
- subnet은 5개의 예약된 IP 주소를 갖는다.
- 하나의 VPC에는 하나의 IGW를 생성할 수 있다. 외부 네트워크와 통신하기 위해서 IGW 사용한다.
- subnet(public으로 사용하려는)에 custom route table을 연결하고 anywhere to IGW 로 설정한다.
NAT, Network Address Translation
Private subnet의 자원이 외부 네트워크로 요청을 보낼 수 있도록 하는 서비스
- NAT instance: EC2 인스턴스를 NAT로 사용
- NAT Gateway: managed NAT, HA
NACLs, Network Access Control List
Firewall, One NACL per subnet
- vs Security Group
- NACL(stateless), SG(stateful → 나가는 요청이 허용되면 응답은 자동으로 허용)
- SG는 allow만 가능한 반면, NACL은 deny, allow 가능하다.
- NACL rule: higher precedence with a lower number
- deny와 allow의 우선순위가 아니라 주어진 숫자로 우선권이 주어진다.
- 서브넷 안의 자원이 응답받기 위해서 임시 포트(Ephemeral port)를 열어둬야하므로 이를 고려해 설정한다.
VPC peering
두 VPC(cross region/account) 를 AWS 내부 네트워크로 연결하는 서비스
- CIDR이 겹치지 않도록 주의해야한다.
- peering 이후에 route table을 업데이트를 해야 EC2 인스턴스가 서로 통신할 수 있다.
- not transitive; 전이되지 않으므로 3개의 VPC가 하나로 연결하기 위해서는 3개의 peering 필요하다.
VPC Endpoints
퍼블릭 인터넷을 사용하지 않고 AWS 내부 네트워크를 사용하여 다른 서비스와 통신할 수 있는 서비스
- Interface Endpoints
- 유료이며, ENI 를 거쳐서 통신한다.
- 대부분의 AWS 서비스와 호환된다.
- Gateway Endpoints
- S3와 DynamoDB와 호환되며, 무료이다.
- route table의 destination으로 설정해야한다.
VPC Flow Logs
VPC, subnet, network interface의 Flow log를 ACCEPT, REJECT와 함께 Capture 하는 서비스
- Flow logs를 S3, CloudWatch Logs, Kinesis Data Firehose 보낼 수 있다.
- network interface로는 ELB, RDS, ElastiCache…
- Query는 Athena on S3 또는 CloudWatch Logs Insights 사용한다.
VPC Site-to-Site VPN
on-premise에 있는 기업 데이터 센터랑 VPC와 private network 통신을 가능하게 하는 서비스
- public internet 위에서 동작한다.
- Virtual Private Gateway
- VPC에서 생성되며, aws 쪽 VPN 연결의 단일 지점(다른 서비스들의 통로가 되는)이 된다.
- Customer Gateway: customer side of the VPN connection이 되는 소프트웨어, 물리 장치이다.
- VGW로 Route propagation까지 마무리 해야 통신할 수 있다.
- VPN CloudHub를 사용하면 여러 지역의 데이터 센터가 VGW를 통해 서로 통신할 수 있게 된다.
Direct Connect, DX
Dedicated private connection(Direct Connect Location)을 제공한다.
- Site-to-Site와 마찬가지로 VGW 이 필요하다.
- Increase bandwidth throughput
- consistent network experience, Hybrid Environment
- 만약 여러 리전의 VPC와 연결하기 위해서는 Direct Connect Gateway 사용해야한다.
- 연결에 필요한 물리적인 인프라 구성에 1달 이상 걸릴 수 있기 때문에 일주일 내에 연결을 보장할 수 없다.
- High Resiliency for critical workloads
- 하나의 VPC(VGW)에 여러 Data Center와 연결하여 아키텍쳐를 구성한다.
- Maximum Resiliency를 위해서 하나의 Data center에 여러 개의 connection을 구성할 수 있다.
- Direct Connect로 Primary Connection을, Site-to-Site VPN으로 Backup Connection 가능.
Transit Gateway
VPN과 Direct Connection, Peering 등 복잡한 VPC 연결관계를 간단하게, star(hub-and-spoke)로 만든다.
- Multicast를 지원하는 유일한 서비스이다.
- 목적지 VPC를 지정하기 위해 route table을 사용한다.
- Site-to-Site VPN과 ECMP를 함께 사용해서 대역폭을 늘릴 수 있다.
Traffic Mirroring
원본 패킷을 소스 ENI 에서 대상 ENI, NLB로 복사하여 전송하는 서비스
Egress-only Internet Gateway
IPv6만을 지원하는 IGW
VPC Network Firewall
3~7계층까지 트래픽을 보호할 수 있는 방화벽