AWS 네트워크 서비스

 

1. 네트워킹이란

IT 자원 간 연결하여 통신하는 환경

 

네트워킹 요소

 

1. OSI 7계층 모델

7계층 - 응용 계층: 응용 프로세스와 직접 연계하여 실제 응용 프로그램을 서비스하는 역할

6계층 - 표현 계층: 데이터 형식에 차이가 있을 때 데이터를 서로 이해할 수 있는 형태로 변환하는 역할

5계층 - 세션 계층: 종단의 대상 간 응용 프로세스 통신을 관리하는방법으로, 데이터 통신을 위한 논리적인 연결을 담당

4계층 - 전송 계층: 종단의 대상 간에 데이터 전송을 다루는 계층으로, 데이터 전송의 유효성과 효율성을 보장

3계층 - 네트워크 계층: 데이터를 목적지까지 전달하는 계층으로,최적의 통신 경로를 찾는다.

2계층 - 데이터링크 계층: 물리 계층에서 송수신되는 정보의 오류와 흐름을 제어

1계층 - 물리 계층: 네트워크 하드웨어 전송 기술을 이루는 계층으로, 물리적으로 연결된 매체가 서로 데이터를 송수신할 수 있게 연결하고 유지하는 역할

 

2. IP 주소와 서브넷

IP 주소: IT 자원을 식별하는 고유한 주소

IP 버전: IPv4(Internet Protocol version 4), IPv6(Internet Protocol version 6)

IPv4는 10진수(0~255) 또는 2진수(0~1) 네 자리로 되어 있으며, 각 자리는 온점(.)으로 구분해서 표현

 

3. 퍼블릭 IP 주소와 프라이빗 IP 주소

퍼블릭 IP 주소: 실제 인터넷에서 사용하려고 인터넷 서비스 공급자(ISP)에서 제공하는 유일한 공인 IP 주소

프라이빗 IP 주소: 독립된 네트워크 내부에서만 사용하려고 네트워크 관리자가 제공하는 사설 IP 주소

 

4. 고정 IP 주소와 유동 IP 주소: IP 할당 방식에 차이

고정 IP 주소: 네트워크 관리자가 수동으로 할당하는 방식

유동 IP 주소: 특정 서버가 IP 주소 범위에 따라 동적으로 할당하는 방식, DHCP(Dynamic Host Configuration Protocol) 프로토콜을 통해 주소를 제공하는 서버와 주소를 할당받는 클라이언트로 구성, IP 주소를 임대(lease)하는 형태

 

5. 서브넷과 서브넷 마스크

네트워크는 주체와 목적에 따라 부분 네트워크로 나뉘고, 서로 연결하여 거대한 네트워크 환경을 이루고 있다.

서브넷: 부분 네트워크, 다양한 서브넷이 연결되어 거대한 네트워크 환경을 이루고 있다.

서브넷 마스크: 서브넷을 구분하고 식별하기 위해 사용, IP 주소와 동일한 32비트 구조에 네트워크 ID와 호스트 ID로 구성되어 있다.

네트워크 ID: 서비넷을 구분하는 기준 값

호스트 ID: 동일 서브넷 내에서 대상을 구분하는 기준값

서브넷 마스크 표현법:

10진수 4자리: 예 255.255.255.0

2진수 32자리: 예 11111111.11111111.11111111.00000000

/네트워크 ID 비트 수: 예 /24

IP CIDR 표기법: 10.0.0.0/8, 10.1.0.0/16, 10.1.1.0/24 형태로 표현하는 방식, 서브넷 마스크를 표현

 

6.라우팅과 라우터

라우팅: 통신을 수행할 때 목적지 경로를 선택하는 작업

라우터: 라우팅을 수행하는 장비, 라우팅 테이블이라는 서브넷의 경로 리스트를 가지고 목적
지 네트워크에 대한 최적 경로를 선택해서 전달하는 역할

→ 복잡한 네트워크 환경에 라우팅을 통해 최적경로를 찾아 통신

 

7. TCP와 UDP: 전송 계층에서 사용하는 프로토콜, 데이터 전송 담당

구분TCPUDP

OSI 7 계층	전송 계층	전송 계층
연결성	연결 프로토콜	비연결 프로토콜
신뢰성	높음	낮음
제어	혼잡 제어, 흐름 제어	제어에 관여하지 않음
속도	느림	빠름
주요 서비스	HTTP, SSH 등	DNS, DHCP 등

TCP: 송수신 대상 간 연결을 맺고 데이터 전송 여부를 하나씩 확인하며 전송하는 연결형 프로토콜

신뢰성 있는 데이터 전송을 보장, 전송 속도 느림, 안정적인 데이터 전송을 보장하는 응용 서비스에 활용

UDP: 송수신 대상 간 연결 없이 전달하는 비연결형 프로토콜

빠르게 데이터를 전송, 데이터 유실에 큰 지장이 없고 빠른 데이터 전송을 위한 응용 서비스에 활용

 

8.포트번호

TCP와 UDP를 사용하는 응용 서비스는 서로 구분할 수 있도록 포트 번호를 사용, IANA에서 정의

TCP 80 포트: HTTP 프로토콜

UDP 53포트: DNS 서비스

2 . AWS 네트워킹 소개

AWS 네트워킹 서비스: AWS 글로벌 인프라에서 생성된 다양한 자원의 워크로드를 수행하는 네트워킹 서비스

 

AWS 리전 네트워킹 디자인

리전: 전 세계 주요 도시의 데이터 센터를 군집화(clustering)하는 물리적인 위치를 의미,

AWS 리전 내부에는 트랜짓 센터(transit center)와 가용 영역이 서로 연결되어 네트워크 환경 구성

네트워킹측면으로 어떤 대상과 연결되었는지에 따라 다음과 같이 분류

 

1. Intra-AZ 연결: 데이터 센터 간 연결

가용 영역에 존재하는 데이터 센터들은 고밀도 광섬유 케이블을 사용하여 100GE 또는 400GE(Gigabit Ethernet)로 상호 연결되어 네트워킹 환경을 구성

 

2. Inter-AZ 연결: 가용 영역 간 연결

지리적으로 떨어져 있는 가용 영역끼리 연결되어 네트워킹 환경을 구성

 

3. 트랜짓 센터 연결: 가용 영역과 트래짓 센터 간 연결

리전 내부에 있는 가용 영역들은 외부 인터넷 통신을 위해 트랜짓 센터와 연결되어 네트워킹 환경을 구성

 

AWS 글로벌 네트워크와 엣지 POP

엣지 POP(Point Of Presence): AWS 글로벌 네트워크라는 전용망을 활용하여 안정적으로 고성능 서비스를 제공하는 센터, 사용자에게 글로벌 서비스 콘텐츠를 빠르게 제공, 짧은 지연 시간과 높은 처리량을목적

엣지 POP 구성: 엣지 로케이션(edge location) + 엣지 캐시(regional edge cache)

엣지 POP 예시: Amazon CloudFront, Amazon Route 53, AWS Shield, AWS Global Accelerator

 

AWS 리전과 엣지 POP 관계

엣지 POP가 속해 있는 AWS 백본 네트워크는 AWS글로벌 네트워크와 연결

모든 리전(중국 리전 제외)은 백본 네트워크를 중심으로 서로 연결

 

서비스별로 통신 흐름

➊ 일반적인 서비스: 트랜짓 센터에서 인터넷 구간으로 통신
➋ 엣지 POP를 활용한 서비스: 트랜짓 센터에서 AWS 백본 네트워크를통해 엣지 POP를 경유하고 AWS 글로벌 네트워크로 통신

 

AWS 네트워킹 서비스 소개

AWS 네트워킹 서비스: AWS의 다양한 자원이 서로 원활하게 통신할 수 있도록 도와주는 것

VPC: 사용자 전용 가상의 프라이빗 클라우드 네트워크로, 네트워크 자원을 탄력적으로 활용하는 서비스를 제공

Transit Gateway: 중앙 허브 개념처럼 VPC와 온프레미스 네트워크를 연결하는 게이트웨이 역할의 서비스를 제공합니다.

Route 53: AWS에서 제공하는 관리형 DNS 서비스로 도메인 등록,라우팅, 상태 확인 등 서비스를 제공합니다.

Global Accelerator: AWS 글로벌 네트워크를 통해 애플리케이션을빠르고 안정적으로 사용할 수 있도록 가용성 및 성능을 보장하는서비스를 제공

Direct Connect: 온프레미스 환경에서 AWS와 전용 네트워크 연결서비스를 제공

Site-to-Site VPN: IPsec VPN 연결을 생성하여 암호화된 네트워크를구성하는 서비스를 제공

3. Amazon VPC 소개

Amazon VPC(Virtual Private Cloud): 사용자 정의로 구성된 가상의 프라이빗 클라우드 네트워크

 

Amazon VPC 기본 구성 요소

1. 리전과 VPC

Amazon VPC는 리전마다 독립적으로 구성되어 있다.

사용자는어느 리전에 VPC를 생성할지 미리 계획해야한다.

독립적으로 구성된 VPC는 필요에 따라 동일 리전이나 다른 리전에 위치한 VPC들을 서로
연결하여 클라우드 네트워크를 확장할 수도 있다.

2. 서브넷과 가용 영역

Amazon VPC라는 하나의 독립된 클라우드 네트워크에도 서브넷을 이용하여 분리된 네트워크로 구성할 수 있다.

VPC_A에 세 개의 서브넷(Subnet-001~003)으로 VPC네트워크를 분리, 서브넷은 하나의 가용 영역에 위치

VPC 네트워크 환경 구성에 따른 구분

퍼블릭 서브넷: 인터넷 구간과 연결되어 있어 외부 인터넷 통신이 가능한 네트워크 영역

프라이빗 서브넷: 인터넷 구간과 연결되지 않은 폐쇄적인 네트워크 영역

 

3. IP CIDR

네트워크에 할당할 수 있는 IP 주소 범위를 표현하는 방법

VPC라는 큰 네트워크의 IP CIDR에서 서브넷이라는 작은 네트워크의 IP CIDR이 분할되어 있다.

서브넷에 생성되는 자원은 IP CIDR 범위 안에 있는 IP 주소를 할당받을 수 있다.

VPC_A는 10.1.0.0/16의 IP CIDR로 할당되어 있다.

VPC_A 내부에 Subnet- 001~003은 10.1.1.0/24와 10.1.2.0/24와 10.1.3.0/24의 IP CIDR로 분리되어 있다.

서브넷별로 생성된 자원들은 IP CIDR 범위 안에서 IP 주소를 할당

 

4.가상 라우터와 라우팅 테이블

가상라우터: Amazon VPC를 생성하면 기본적으로 네트워크 경로를 확인하여 트래픽을 전달하는 목적의 가상 라우터가 생성, 기본 라우팅 테이블을 보유하고 있으며, 라우팅 테이블을 통해 네트워크 경로를 식별할 수 있다.

라우팅 테이블: 목적지 대상의 IP CIDR 블록과 타깃 대상으로 구성, 타깃 대상에서 로컬은 VPC 내부 간 통신을 의미, 특수한 목적을 수행하는 인터넷 게이트웨이나 NAT 게이트웨이 등을 타깃 대상으로 지정 가능

기본 라우팅 테이블 외에 별도의 라우팅 테이블을 생성할 수 있고, 생성된 라우팅 테이블은
서브넷과 연결(attach)하여 서브넷마다 라우팅 테이블을 가질 수도 있다.

가상 라우터에 라우팅 테이블 A와 라우팅 테이블 B를 생성하여 각 서브넷에 연결을 통해 서브넷마다 라우팅 테이블을 두어 별도로 관리 가능

 

5. 보안 그룹과 네트워크 ACL

Amazon VPC는 보안 그룹(security group)과 네트워크 ACL(Access Control List) 같은 가상의 방화벽(firewall) 기능을 제공하여 서브넷과 생성된 자원에 대한 트래픽을 보호한다.

목적: 트래픽 접근을 통제

하는 일: IP CIDR 블록, 프로토콜, 포트 번호 등을 정의하여 허용(allow)과 거부(deny)를 결정하는 보안 규칙을 만듦(인바운드, 아웃바운드)

보안그룹과 네트워크 ACL 차이점 3가지

  5-1. 트래픽 접근 제어 대상

    보안 그룹과 네트워크 ACL은 접근 제어 대상이 서로 다르다

    보안 그룹은 인스턴스와 같은 자원 접근을 제어하며, 네트워크 ACL은 서브넷 접근을 제어한다.

  5-2. 스테이트풀과 스테이트리스

    보안 그룹: 이전 상태 정보를 기억하고 다음에 그 상태를 활용하는 스테이트풀(stateful) 접근 통제를 수행

   네트워크 ACL: 이전 상태 정보를 기억하지 않아 다음에 그 상태를 활용하지 않는 스테이트리스(stateless) 접근 통제 수행

    보안 그룹의 스테이트풀 동작을 보면 인바운드 규칙에 따라 트래픽을허용한 경우 정보를 기억하고 아웃바운드 규칙에 상관없이 자동으로접근이 허용됩니다.

    반대로 네트워크 ACL의 스테이트리스 동작을 보면 인바운드 규칙에 따라 트래픽을 허용했어도 아웃바운드 규칙으로 트래픽 허용 여부를 판단합니다.

  5-3. 허용 및 거부 정책

    보안 그룹의 정책 테이블: 허용 규칙만 나열하며 허용 규칙에 해당하지 않으면 자동 거부

    네트워크 ACL의 정책 테이블: 허용규칙과 거부 규칙이 모두 존재하여 규칙을 순차적으로 확인하고 허용과 거부를 판단

    네트워크 ACL에도 모든 규칙이 매칭되지 않으면 거부하는 규칙이 기본적으로 있다.

 

Amazon VPC와 다른 네트워크 연결

Amazon VPC의 프라이빗 클라우드 네트워크 환경에 다른 네트워크와 연결하는 다양한 기능

 

1. 인터넷 게이트웨이
외부 인터넷 구간과 연결이 필요하면 인터넷 게이트웨이라는 네트워킹 자원을 생성한 후 Am
azon VPC와 연결하여 외부 인터넷과 통신

➊ 인터넷 게이트웨이를 생성하고 Amazon VPC에 연결합니다.
➋ 서브넷의 라우팅 테이블에 타깃 대상을 인터넷 게이트웨이로 지정
합니다

 

2. NAT 게이트웨이(Network Address Translation gateway)

NAT는 IP 주소를 변환하는 기능을 제공하며, 프라이빗 IP 주소를 퍼블릭 IP 주소로 변환하여
외부 인터넷 구간 통신 환경을 만든다.

NAT 게이트웨이는 프라이빗 서브넷의 외부 인터넷 구간을 돕는 역할을 하지만 실제 인터
넷 게이트웨이와 연결된 퍼블릭 서브넷에 위치한다.

프라이빗 서브넷에서 출발하여 NAT 게이트웨이를 통해 외부 인터넷 구간으로 도착할 수 있지만, 외부 인터넷 구간에서 출발하여 프라이빗 서브넷으로 도착할 수는 없다.

➊ 퍼블릭 서브넷에서 외부 인터넷 구간 통신
퍼블릭 서브넷은 퍼블릭 IP 주소를 가지고 인터넷 게이트웨이를 통해외부 인터넷 구간과 데이터를 송수신할 수 있습니다. 반대로 외부 인터넷 구간에서도 퍼블릭 서브넷의 퍼블릭 IP로 데이터를 송수신할 수 있습니다.
➋ 프라이빗 서브넷에서 외부 인터넷 구간 통신
프라이빗 서브넷은 프라이빗 IP 주소를 NAT 게이트웨이로 전달하여 퍼블릭 IP 주소로 변환한 후 인터넷 게이트웨이를 통해 외부 인터넷 구간과 데이터를 송수신할 수 있습니다. 반대로 외부 인터넷 구간에서 프라이빗 서브넷의 프라이빗 IP 주소로는 데이터를 송수신할 수 없습니
다.

 

3. VPC 피어링

서로 다른 VPC를 연결하는 기능(동일 리전, 다른 리전에 위치한 VPC, 다른 계정에 위치한 VPC 모두 가능)

특징: IP CIDR 블록이 중복되면 연결이 불가능한 제약이 있어 VPC 피어링으로 클라우드 네트워크를 확장할 때는 IP주소 대역을 반드시 점검

 

4. 전송 게이트웨이(transit gateway)

다수의 VPC나 온프레미스를 단일 지점으로 연결하는 중앙 집중형 라우터

단일 지점 연결이라 네트워크 구성이 간소화되고 비용도 절감되는 효과

 

5. 가상 프라이빗 게이트웨이

관리형 AWS Site-to-Site VPN을 연결하거나 AWS Direct Connect로 온프레미스 환경을 연결

 

Amazon VPC 요금

기본적으로 Amazon VPC를 사용하면서 요금은 발생하지 않지만, VPC기능 중 일부(NAT 게이트웨이 )는 요금이 발생할 수 있습니다.