디지털 양피지/AWS2016. 7. 19. 19:00

VPC (Virtual Private Cloud)

AWS 계정 전용의 가낭 네트워크로 EC2와 같은 인스턴스를 VPC 에서 실행할 수 있다.

VPC를 만들때 IP 주소 조합을 CIDR (Classless Inter-Domain Routing) 블록 형태로 지정한다.(ex: 10.0.0.0/16)

(Wiki: CIDR


일반적인 순서는 VPC를 만들고 Internet Gateway - Routing Table - Subnet 순으로 만들어 AWS Network를 구성한다. 아래의 내용은 AWS 문서 중 필요한 부분을 발췌한 것이다. 자세한 내용은 AWS Documnets에서 볼 수 있다.


기본 라우팅 테이블을 사용하는 VPC

VPC의 크기

VPC에 단일 CIDR 블록을 지정할 수 있습니다. 허용된 블록 크기는 /28 넷마스크(255.255.255.240) ~ /16 넷마스크(255.255.000.000)입니다. 따라서 VPC는 16 ~ 65,536개의 IP 주소를 포함할 수 있습니다.


VPC 삭제

VPC를 삭제하면 Internet Gateways, Subnets, Route Tables, NAT Gateways 등 관련된 모든 Table이 삭제 된다.


Subnet

VPC에서는 하나이상의 서브넷을 추가할 수 있다. 각 서브넷은 단일 가용영역(Available Zone) 내에서만 존재해야 하며 여러 가용 영역으로 확장할 수 없다. 각 서브넷은 Routing Table을 사용하여 Public, Private 네트워크로 사용할 수 있다.


서브넷 크기

허용된 블록 크기는 /28 넷마스크 ~ /16 넷마스크입니다. VPC에서 하나 이상의 서브넷을 만들 경우 각 서브넷의 CIDR 블록이 겹치지 않아야 합니다. 예를 들어 CIDR 블록이 10.0.0.0/24인 VPC를 만들 경우 256개의 IP 주소를 지원합니다. 이 CIDR 블록을 각각 128개의 IP 주소를 지원하는 2개의 서브넷으로 나눌 수 있습니다. 한 서브넷은 10.0.0.0/25 CIDR 블록(10.0.0.0 ~ 10.0.0.127 사이의 주소)을, 다른 서브넷은 10.0.0.128/25 CIDR 블록(10.0.0.128 ~ 10.0.0.255 사이의 주소)을 사용합니다. 서브넷을 할당 할때 계산기를 사용하면 좋다(http://www.subnet-calculator.com/cidr.php)


각 서브넷 CIDR 블록에서 첫 4개의 IP 주소와 마지막 IP 주소는 사용자가 사용할 수 없으므로 인스턴스에 할당할 수 없습니다. 예를 들어 10.0.0.0/24 CIDR 블록의 서브넷에서는 다음 5개 IP 주소가 예약되어 있습니다.


10.0.0.0: 네트워크 주소.

10.0.0.1: AWS에서 VPC 라우터용으로 예약한 주소.

10.0.0.2: AWS에서 Amazon 제공 DNS로 매핑하기 위해 예약한 주소.

10.0.0.3: AWS에서 앞으로 사용하려고 예약한 주소.

10.0.0.255: 네트워크 브로드캐스트 주소. VPC에서는 브로드캐스트를 지원하지 않으므로, 이 주소를 예약합니다.


서브넷 라우팅

각 서브넷에는 서브넷 외부로 나가는 아웃바운드 트래픽에 대해 허용된 경로를 지정하는 라우팅 테이블이 연결되어야 합니다. 생성된 각 서브넷은 자동으로 VPC의 기본 라우팅 테이블에 연결됩니다. 네트워크 주소 변환(NAT) 게이트웨이 또는 인스턴스를 사용하면 VPC의 인스턴스가 인터넷으로 아웃바운드 연결을 시작하고 인터넷으로부터의 원치 않는 인바운드 연결은 차단하도록 할 수 있습니다. 할당 가능한 탄력적 IP 주소의 수가 제한되어 있으므로 고정 퍼블릭 IP 주소가 필요한 인스턴스가 많을 경우 NAT 디바이스를 사용하는 것이 좋습니다.


서브넷 보안

WS는 VPC의 보안을 강화하기 위해 사용할 수 있는 두 가지 기능, 보안 그룹과 네트워크 ACL을 제공합니다. 두 기능 모두 인스턴스의 인바운드 및 아웃바운드 트래픽을 제어할 수 있지만 보안 그룹은 인스턴스 수준에서 작동하고 네트워크 ACL은 서브넷 수준에서 작동합니다. 보안 그룹만으로 여러 VPC 사용자의 요구에 부응할 수 있지만 일부 VPC 사용자들은 네트워크 ACL이 제공하는 것보다 높은 수준의 보안을 구현하기 위해 보안 그룹과 네트워크 ACL을 둘 다 사용하기도 합니다. 각 서브넷에는 네트워크 ACL이 연결되어야 합니다. 생성된 각 서브넷에는 자동으로 VPC의 기본 네트워크 ACL이 연결됩니다.

여러 가용 영역을 사용하는 VPC


Routing Table

라우팅 테이블에는 네트워크 트래픽을 전달할 위치를 결정하는 데 사용되는 라우팅이라는 규칙 집합이 포함되어 있습니다. 라우팅 테이블은 여러개의 서브넷을 가질수 있지만 서브넷은 반드시 하나의 라우팅 테이블에 매핑된다.


기본 라우팅 테이블

VPC를 만들면 기본 라우팅 테이블이 자동으로 생성됩니다. 기본 라우팅 테이블은 다른 라우팅 테이블과 명시적으로 연결되지 않은 모든 서브넷에 대한 라우팅을 제어합니다. 기본 라우팅 테이블에서 라우팅을 추가 및 제거하고 수정할 수 있습니다.



VPC 생성




subnets 생성


vpc-us-dellwon-elb

vpc-us-dellwon


3. Internet Gateway 만들기


4. Routing Table 만들기


Routing Table 생성

vpc-us-dellwon-rt-internet 으로 만들고 외부망과 연결한다.

외부망과 연결후 subnet을 추가해 외부랑 통신할 수 있도록 만든다.


vpc-us-dellwon-rt-backend을 생성하고 내부망만 사용

subnet에 



pip

eip는 외부로 나가는 ip 이다


iops는 고성능으로 비싸고, gp2(General Purpose Storage 정도로 사용한다.




'디지털 양피지 > AWS' 카테고리의 다른 글

GC, Heap Dump, Stack Dump  (0) 2016.08.11
TA- Tomcat  (0) 2016.08.08
TA - Apache  (0) 2016.08.02
AWS - EC2  (0) 2016.07.21
Posted by 빨간 양말