VPC 관련 정리

https://docs.aws.amazon.com/ko_kr/vpc/latest/userguide/what-is-amazon-vpc.html

Amazon VPC란 무엇인가? - Amazon Virtual Private Cloud

 

VPC (Virtual Private Cloud)

AWS에서 제공하는 가상 네트워크 서비스로, 사용자가 자신의 AWS 리소스를 논리적으로 격리된 네트워크 환경에서 운영할 수 있도록 해준다. VPC를 통해 사용자는 네트워크를 직접 정의하고, 원하는 IP 범위, 서브넷, 라우팅 테이블, 네트워크 게이트웨이 등을 설정할 수 있다.

 

VPC의 주요 개념

1. 가상 네트워크: VPC는 AWS 클라우드 내에서 제공되는 가상 네트워크로, 사용자는 이를 통해 자신의 네트워크를 자유롭게 설계하고, 리소스 간의 통신을 제어할 수 있다.
2. IP 범위: VPC를 생성할 때 IP 주소 범위(CIDR 블록)를 설정한다. 예를 들어, 10.0.0.0/16과 같은 IP 범위를 선택하여 VPC 내에서 IP 주소를 관리할 수 있다.
3. 서브넷 (Subnet): VPC 내부에서 더 작은 네트워크 단위로 서브넷을 생성할 수 있다. 서브넷은 VPC의 IP 주소 범위를 나누는 작은 부분이며, 퍼블릭 서브넷과 프라이빗 서브넷으로 나뉜다.
   • 퍼블릭 서브넷: 인터넷 게이트웨이와 연결되어 외부 인터넷과 통신이 가능한 서브넷.
   • 프라이빗 서브넷: 외부 인터넷과 직접 통신할 수 없으며, 내부 리소스 전용 서브넷.
4. 인터넷 게이트웨이 (Internet Gateway): VPC 내의 리소스가 외부 인터넷과 통신할 수 있도록 연결하는 장치이다. 퍼블릭 서브넷에 배치된 리소스(예: EC2 인스턴스)가 인터넷에 접근하려면 인터넷 게이트웨이가 필요하다.
5. 라우팅 테이블 (Route Table): VPC와 서브넷 간에 네트워크 트래픽이 어떻게 흐르는지를 결정하는 설정이다. 각 서브넷에는 라우팅 테이블이 연결되어 있으며, 이를 통해 외부 네트워크로 나가는 트래픽의 경로를 정의할 수 있다.
6. NAT 게이트웨이: 프라이빗 서브넷에 있는 리소스가 외부 인터넷으로 나갈 수 있도록 해주는 장치이다. NAT 게이트웨이를 사용하면 프라이빗 서브넷의 인스턴스가 외부로 나가면서도 외부에서 직접 접근은 차단된다.
7. 보안 그룹 (Security Group): VPC 내에서 리소스에 대한 네트워크 트래픽을 제어하는 가상 방화벽 역할을 한다. 인바운드(들어오는)와 아웃바운드(나가는) 트래픽 규칙을 설정하여 특정 트래픽만 허용하거나 차단할 수 있다.
8. 네트워크 ACL (Access Control List): 보안 그룹과 비슷하지만 서브넷 레벨에서 적용되며, VPC 내의 서브넷에 대한 트래픽을 제어하는 기능을 한다. 트래픽을 허용하거나 거부하는 규칙을 정할 수 있다.

VPC의 사용 목적

• 보안 강화: AWS 클라우드 환경에서 네트워크를 독립적으로 관리할 수 있으므로, 리소스 간 통신을 엄격히 제어하고 인터넷 접근을 제한할 수 있다.
• 네트워크 구성: 사용자가 자신만의 네트워크 구조를 설계할 수 있으며, 퍼블릭/프라이빗 서브넷, 보안 그룹 등을 이용해 유연하게 리소스를 배치하고 트래픽을 관리할 수 있다.
• 프라이빗 연결: 인터넷을 거치지 않고 AWS 리소스 간 안전한 통신을 할 수 있도록 지원한다. 예를 들어, VPC 엔드포인트를 사용하여 S3와 같은 AWS 서비스에 안전하게 연결할 수 있습니다.

VPC의 장점

• 사용자 정의 가능: 네트워크 구성 요소인 서브넷, 라우팅 테이블, 보안 그룹을 사용자 지정할 수 있어 요구에 맞는 네트워크 아키텍처를 구현할 수 있다.
• 확장성: 수십 개의 서브넷을 만들고 여러 VPC를 서로 연결할 수 있어 대규모 클라우드 환경을 구축할 수 있다.
• 보안성: 네트워크 트래픽을 세밀하게 제어할 수 있으며, 퍼블릭과 프라이빗 리소스를 명확하게 분리해 보안을 유지할 수 있다.

 

VPC 엔드포인트 (VPC Endpoint)

VPC 엔드포인트는 AWS Virtual Private Cloud (VPC) 내에서 인터넷을 경유하지 않고 AWS 서비스에 안전하게 접근할 수 있도록 해주는 네트워크 구성 요소이다. 이를 통해 VPC 내부에서 외부 인터넷 연결 없이, AWS 리소스나 서비스에 직접적인 통신이 가능해진다. 예를 들어, S3 버킷이나 DynamoDB 같은 서비스에 인터넷 연결 없이도 내부적으로 연결할 수 있다.

주요 특징:

• 인터넷 필요 없음: VPC 내부에서 인터넷 게이트웨이, NAT 게이트웨이 등을 거치지 않고 AWS 서비스에 직접 액세스한다.
• 보안 강화: 인터넷을 거치지 않으므로, 데이터를 더 안전하게 보호할 수 있으며, 네트워크 보안이 강화된다.
• 비용 절감: 인터넷 트래픽 비용을 절감할 수 있으며, 내부적으로 AWS 서비스와의 통신을 최적화할 수 있다.
• 종류: VPC 엔드포인트는 게이트웨이 엔드포인트와 인터페이스 엔드포인트로 나뉩니다.

VPC 엔드포인트의 종류:

1. 게이트웨이 엔드포인트 (Gateway Endpoint):
   • 특정 AWS 서비스에 연결할 수 있도록 라우팅 테이블에 게이트웨이를 추가하는 방식
   • 지원하는 서비스: Amazon S3, DynamoDB
   • 라우팅 테이블에 엔드포인트를 추가하여 경로를 설정함으로써 서비스에 접근
2. 인터페이스 엔드포인트 (Interface Endpoint):
   • AWS PrivateLink를 사용하여 AWS 서비스와 연결할 때 Elastic Network Interface(ENI)를 생성하여 통신하는 방식
   • S3, DynamoDB 외에도 Amazon EC2, SQS, SNS, Secrets Manager 같은 다양한 AWS 서비스와 연결할 수 있다.
   • ENI를 통해 서비스와의 통신이 이루어지므로, AWS 서비스에 접근할 때 프라이빗 IP 주소를 사용

엔드포인트 (Endpoint)

엔드포인트는 일반적으로 네트워크에서 서비스를 제공하는 진입 지점을 의미한다. 네트워크 상에서 특정 서비스를 제공하기 위해 정의된 IP 주소나 URL 등을 가리키며, 어떤 서비스와 통신을 시작할 때 그 서비스의 엔드포인트를 호출하게 된다.

주요 특징:

• 네트워크 접속점: 클라이언트가 서버에 접근하기 위해 사용하는 주소
• 서비스 접근: API, 데이터베이스, 웹 애플리케이션 등과 같은 서비스에 연결할 때 엔드포인트를 통해 접속
• 종류: HTTP(S) 엔드포인트, API 엔드포인트, 데이터베이스 엔드포인트 등 다양한 형태로 존재할 수 있다.