[AWS] VPC와 서브넷

 

 

≣ 목차

 

---

VPC란?  

VPC(Virtual Private Cloud)란 AWS에서 논리적으로 생성하는 독립적인 네트워크이다. 사용자는 VPC 내에서 IP대역, 인터페이스, 서브넷, 라우팅 테이블, 인터넷 게이트웨이, 보안 그룹, ACL등을 생성하고 제어할 수 있다.

---

서브넷(Subnet)이란?  

서브넷은 VPC의 IP 주소를 나누어 리소스가 배치되는 물리적인 주소 범위를 뜻한다. VPC가 논리적인 범위를 의미한다면, 서브넷은 VPC안에서 실제로 리소스가 생성될 수 있는 네트워크 영역이라고 생각하면 된다.

하나의 VPC에 N개의 서브넷을 가질 수 있으며 하나의 AZ에만 생성이 가능하다.
아래 그림처럼, 여러 AZ에 걸쳐서 서브넷을 생성할 수 없다는 말이다. 즉, 서브넷은 하나의 가용영역(AZ) 안에 종속되어야 한다.

VPC안에 구성할 수 있는 서브넷 구성으로는 퍼블릿 서브넷과 프라이빗 서브넷이 있다.

퍼블릭 서브넷은 외부와의 자유로운 통신이 가능한, 외부 인터넷 구간과 직접적으로 통신을 할 수 있는 공공 네트워크 이다.
프라이빗 서브넷은 이름에서 유추할 수 있듯, 외부에서 직접 접근할 수 없고 NAT Gateway를 이용하면 외부로 단방향 통신(내부 -> 외부 방향)만 가능하다.

---

 VPC 방화벽   

vpc는 Security Group과 Network ACL을 통해 트래픽을 통제한다. Network ACL은 서브넷 상자 위에 위치해 있는데, 바로 서브넷에 오가는 트래픽을 제어하는 역할을 한다. Security Group은 서브넷 상자 안에 위치해 있는데, 인스턴스의 트래픽을 제어하는 역할을 한다.

이때, 왼쪽과 오른쪽 Security Group 모양이 다른데, 이는 다수의 인스턴스가 하나의 Security Group을 쓰거나, 각자의 Security Group을 쓸 수 있음을 의미한다.

Network ACL

Network ACL이란, Access Control List의 약어로써 접근 제어 리스트를 말한다. AWS의 각 VPC 단위로 접근 제어 목록을 만들 수 있고, VPC로 접근하는 트래픽들에 대한 방화벽을 구성하는 보안계층이다. 즉, Subnet을 오고 가는 모든 트래픽을 제어하는 역할을 한다. 기본 설정으로는 모든 인바운드 및 아웃바운드 트래픽을 허용하지만, 사용자 지정 ACL의 경우 새 규칙을 추가하기 전까지 모든 트래픽을 거부하게 되어 있다.

만들어진 Network ACL은 여러개의 서브넷에 적용할 수 있지만, 하나의 서브넷은 한 개의 ACL만 적용할 수 있다. 단, VPC는 여러개의 ACL을 적용가능하며 최대 200개까지 허용된다. Network ACL에는 Sequence Number로 구분되어 있는 규칙들이 정의되어 있고, 낮은 번호부터 우선적으로 적용된다.

Security Group

Security Group은 인스턴스에 대한 인바운드(외부 -> 인스턴스)와 아웃바운드(인스턴스 -> 외부) 트래픽을 제어하는 가상 방화벽 역할을 한다. VPC의 각 인스턴스당 최대 5개 Security Group에 할당할 수 있으며, 인스턴스 수준에서 작동하기 때문에 VPC에 있는 각 서브넷의 인스턴스들을 서로 다른 Security Group에 할당하는 것이 가능하다.

ACL과 유사하지만 별개로 동작하는 규칙들을 정의할 수 있다. 기본 Security Group의 인바운드 트래픽 정책은 All Deny이기 때문에, 각 규칙은 Allow 항목들을 추가해주는 WhiteList 방식이다. 반면, 기본 아웃바운드 트래픽 정책은 All Allow 상태이고, 규칙은 Deny 할 항목을 추가해주는 BlackList 방식이다.