인프라/클라우드

[클라우드] AWS 네트워크

다다x_x 2025. 3. 31. 06:03
  1. AWS 리전 네트워킹
  2. AWS edge POP(Point Of Presence)
  3. AWS 네트워킹 서비스
  4. AWS VPC (Virtual Private Cloud)
    1. 서브넷
    2. IP CIDR
    3. 라우팅 테이블
    4. 보안 그룹과 네트워크 ACL
    5. 인터넷 게이트웨이
    6. NAT 게이트웨이

 

AWS 리전 네트워킹

리전(Region) : 여러 개의 가용 영역으로 구성된 지리적 영역

가용 영역(Availability Zone) : 리전 내부에 존재하며, 1개 이상의 물리 데이터센터로 이루어진, 논리적인 데이터센터

트랜짓 센터(Transit Center) : 리전 - 외부 인터넷 구간 통신에 이용

→ 트랜짓 센터와 가용 영역이 서로 연결되어 네트워크 환경 구성

Intra-AZ connection

가용 영역 내에서 데이터센터 간의 연결

고밀도 광섬유 케이블을 사용하여 100GE, 400GE(Gigabit Ethernet)로 상호 연결

Inter-AZ connection

지리적으로 떨어져 있는 가용 영역 간의 연결

리전 내부에 위치하는 가용 영역은 실제 100km 이내로 분리

자연재해 같은 문제에 가용성을 유지하기 위해

AWS 클라우드 자원을 다수의 가용 영역에서 실행하도록 설계

Transit center connection

가용 영역이 외부 인터넷 통신을 하기 위해, 트랜짓 센터와 연결

리전에서 외부 인터넷 구간과 통신이 필요할 때는 트랜짓 센터를 통해 통신

 

AWS Edge POP(Point Of Presence)

Edge POP(Point Of Presence) : 전용망(AWS 글로벌 네트워크)을 활용하여, 안정적으로 고성능 서비스를 제공하는 센터

  • Edge Location과 리전별 Edge Cache로 구성
  • 전 세계 300개 이상의 Edge Location과 13개의 리전별 Edge Cache

AWS 글로벌 네트워크 : 전 세계에 고루 분포된 엣지 POP로 구성

  • 짧은 지연 시간과 높은 처리량을 위해 활용
  • Amazon CloudFront, Amazon Rout e 53, AWS Shield, AWS Global Accelerator

Edge POP와 리전

백본 네트워크 : 다양한 네트워크를 상호 연결하는 컴퓨터 네트워크 일부로, 정보 교환 경로를 제공

Edge POP가 속해 있는 AWS 백본 네트워크는 AWS 글로벌 네트워크와 연결

모든 리전(중국 리전 제외)은 백본 네트워크를 중심으로 서로 연결

  • 일반적인 서비스
    • 트랜짓 센터를 거쳐, 인터넷 구간으로 통신
  • edge POP를 활용한 서비스
    • 트랜짓 센터에서 AWS 백본 네트워크를 통해 Edge POP를 경유하고 AWS 글로벌 네트워크로 통신

 

AWS 네트워킹 서비스

  • VPC : 사용자 전용 가상의 프라이빗 클라우드 네트워크 서비스
    네트워크 자원을 탄력적으로 활용하는 서비스
  • Transit Gateway : VPC와 온프레미스 네트워크를 연결 서비스
  • Route 53 : 관리형 DNS 서비스
    도메인 등록, 라우팅, 상태 확인 등 서비스
  • Global Accelerator : AWS 글로벌 네트워크를 통한, 가용성 및 성능을 보장 서비스
  • Direct Connect : 온프레미스 환경에서 AWS와 전용 네트워크 연결 서비스
  • Site-to-Site VPN : IPsec VPN 연결을 생성하여 암호화된 네트워크를 구성하는 서비스

 

AWS VPC (Virtual Private Cloud)

Amazon VPC는 리전마다 독립적

리전 내에는 다수의 VPC를 생성 가능, 각 VPC는 서로 독립적

독립적으로 구성된 VPC는 서로 연결하여 클라우드 네트워크를 확장 가능

서브넷

Amazon VPC라는 하나의 독립된 클라우드 네트워크에도 서브넷을 이용하여 분리된 네트워크로 구성 가능

서브넷은 VPC 내 별도로 나누어진 네트워크

서브넷은 반드시 하나의 가용 영역에 종속적으로 위치

  • 퍼블릭 서브넷
    • 인터넷 구간과 연결되어 있어, 외부 인터넷 통신이 가능
  •  프라이빗 서브넷
    • 인터넷 구간과 연결되지 않아, 외부 인터넷 통신 불가능

IP CIDR

네트워크에 할당 가능한 IP 주소 범위를 표현하는 방법

VPC라는 큰 네트워크의 IP CIDR에서 서브넷이라는 작은 네트워크의 IP CIDR이 분할

서브넷에 생성되는 자원은 IP CIDR 범위 안에 있는 IP 주소를 할당받기 가능

  • vpc의 IP CIDR가 10.1.0.0/16일 때, 서브넷의 IP CIDR? 
    • 10.1.1.0/24
      서브넷 안에 10.1.1.4, 10.1.1.5 등의 IP주소를 가진 인스턴스 존재 가능
    • 10.1.2.0/24
    • 10.1.3.0/24

라우팅 테이블

네트워크 경로를 확인하여 트래픽을 전달

  • 목적지 대상의 IP CIDR 블록과 타깃 대상으로 구성
    • 타깃 대상에서 로컬은 VPC 내부 간 통신
    • 인터넷 게이트웨이나 NAT 게이트웨이 등으로도 지정 가능
  • 기본 라우터와 라우터팅 테이블 생성
    • Amazon VPC를 생성하면, 기본 가상 라우터가 생성 (기본 라우팅 테이블 보유)
    • 기본 라우팅 테이블 외에, 별도의 라우팅 테이블을 생성 가능
    • 라우팅 테이블은 서브넷과 연결하여, 서브넷마다 라우팅 테이블 보유 가능

보안 그룹과 네트워크 ACL

가상의 방화벽(firewall) 기능

송수신 트래픽의 접근을 통제

  • IP CIDR 블록, 프로토콜, 포트 번호 등을 정의하여 허용(allow)과 거부(deny)를 결정
  • 보안 그룹 (security group)
    • 인스턴스와 같은 자원 접근을 제어
    • 스테이트풀(stateful) 접근 통제 
      • 이전 상태 정보를 기억, 다음에 활용
      • 인바운드 규칙에 따라 트래픽을 허용 (정보 기억)
        아웃바운드 규칙에 상관없이 자동으로 접근 허용
    • 허용 규칙만 나열
      허용 규칙에 해당하지 않으면 자동 거부
  • 네트워크 ACL (Access Control List) 
    • 서브넷 접근을 제어
    • 스테이트리스(stateless) 접근 통제
      • 이전 상태 정보를 기억X
      • 인바운드 규칙에 따라 트래픽을 허용
        아웃바운드 규칙으로 트래픽 허용 여부를 판단
    • 허용 규칙과 거부 규칙이 모두 존재
      (모든 규칙이 매칭되지 않으면 거부하는 규칙이 기본)

인터넷 게이트웨이

퍼블릭 서브넷에서 외부 인터넷으로 통신하는 관문

VPC와 인터넷 구간의 논리적인 연결, 인터넷으로 나가는 관문이 되는 네트워킹 자원

Amazon VPC는 프라이빗 클라우드 네트워크 환경으로, 외부 인터넷 구간과 연결되지 않은 독립적인 네트워크

외부 인터넷 구간과 연결이 필요 → 인터넷 게이트웨이를 Amazon VPC와 연결하여 외부 인터넷과 통신

  • 퍼블릭 서브넷에서 외부 인터넷 통신
    • 서브넷의 라우팅 테이블에서 외부 인터넷으로 나가는 타깃 대상을 인터넷 게이트웨이로 지정
    • 인터넷 게이트웨이를 생성하고 Amazon VPC에 연결
      서브넷의 라우팅 테이블에 타깃 대상을 인터넷 게이트웨이로 지정
    • 서브넷 → 외부 인터넷
      퍼블릭 IP 주소로 인터넷 게이트웨이를 통해, 외부 인터넷과 데이터 송수신
    • 외부 인터넷  → 서브넷
      퍼블릭 서브넷의 퍼블릭 IP로 데이터를 송수신

NAT 게이트웨이 (Network Address Translation gateway)

프라이빗 서브넷에서 외부 인터넷으로 통신하는 관문

IP 주소를 변환하는 기능을 제공

프라이빗 IP 주소를 퍼블릭 IP 주소로 변환하여 외부 인터넷 통신 환경 구성

실제 인터넷 게이트웨이와 연결된 퍼블릭 서브넷에 위치

  • 프라이빗 서브넷에서 외부 인터넷 구간 통신
    • 서브넷 → 외부 인터넷
      프라이빗 IP 주소를 NAT 게이트웨이로 전달하여 퍼블릭 IP 주소로 변환
      인터넷 게이트웨이를 통해, 외부 인터넷과 데이터 송수신
    • 외부 인터넷  → 서브넷
      불가능

그 외..

  • VPC 피어링
    • 서로 다른 VPC를 연결 (타리전, 타계정 가능)
    • IP CIDR 블록이 중복되면 연결이 불가능
  • 전송 게이트웨이(transit gateway)
    • 다수의 VPC나 온프레미스를 단일 지점으로 연결하는 중앙 집중형 라우터
    • 네트워크 구성이 간소화, 비용도 절감
  • 가상 프라이빗 게이트웨이(virtual private gateway)
    • 관리형 AWS Site-to-Site VPN을 연결하거나 AWS Direct Con nect로 온프레미스 환경을 연결

Amazon VPC 요금 :  https://aws.amazon.com/ko/vpc/pricing

 

 

 

참조

김원일, 『AWS 교과서, 길벗(2023), 3장