[Udemy][AWS-SAA][Section-27] Networking - VPC

#AWS Certified Solutions Architect Associate 

AWS-DVA 과정에서 나오지 않았거나, 기억이 안나는 부분 메모

 

 

Internet Gateways & Route Tables

https://kimjingo.tistory.com/198

[AWS] 인터넷 게이트웨이(Internet Gateway) 및 라우트 테이블(Route Table)

 

 

Bastion Hosts

 

 

 

NAT Instance

오래된 솔루션이지만 여전히 시험에 나온다고 함

Network Address Translation

 

https://docs.aws.amazon.com/ko_kr/vpc/latest/userguide/VPC_NAT_Instance.html

NAT 인스턴스 - Amazon Virtual Private Cloud

 

 

 

NAT Gateway

https://docs.aws.amazon.com/ko_kr/vpc/latest/userguide/vpc-nat-gateway.html

NAT 게이트웨이 - Amazon Virtual Private Cloud

 

NAT Instance VS NAT Gateway

https://docs.aws.amazon.com/ko_kr/vpc/latest/userguide/vpc-nat-comparison.html

NAT 게이트웨이 및 NAT 인스턴스 비교 - Amazon Virtual Private Cloud

 

 

 

Security Groups & NACLs

NACL = stateless / Security Group = stateful

 

https://inpa.tistory.com/entry/WEB-%F0%9F%93%9A-Stateful-Stateless-%EC%A0%95%EB%A6%AC

🌐 아주 쉽게 이해하는 Stateful / Stateless 차이

 

 

https://potato-yong.tistory.com/84

[VPC] NACL과 Security Group의 차이점은 무엇일까??

 

https://brunch.co.kr/@topasvga/757

182. SecurityGroup과 NACL 이해하기

 

반환 트래픽을 보안그룹은 허용하고 nacl은 차단한다는게 가장 큰 차이라고 한다.

 

default NACL

기본 NACL은 모든 인바운드/아웃바운드 트래픽을 허용한다고 한다.

이 기본 NACL을 수정하는 것은 권장되지 않는다고 함. 필요하면 새로 만들어서 사용하는 것을 권장한다고 함

 

NACL with Ephemeral Ports

 

Ephemeral  Port(임시 포트)

TCP/UDP 계층은 현재 어떤 포트가 쓰이고 있는지 관리한다.  각 클라이언트 프로세스를 위해 랜덤 방식(pseudorandom)으로 포트번호를 할당하는데, 이때 포트의 재사용시 충돌을 최소화하기 위한 규칙이 있다. 포트 넘버의 풀을 나누어 할당한다.

출처: https://whackur.tistory.com/98 [Whackur's Blog:티스토리]

 

임시포트는 운영체제마다 다른데 이 임시포트를 통한 통신을 허용해주는 작업을 NACL에서 가능하다고 한다

 

 

NACL rules for each target subnets CIDR

nacl 을 여러 서브넷에 각각 적용하여 공유 받을 수 있다고 한다.

 

 

 

VPC Peering

 

VPC 끼리의 통신을 피어링

CIDR가 겹치지 않아야 한다고 함

전이적이지 않다고 함 - a-b , b-c 가 연결되었다고 a-c 가 바로 연결되진 않는다고 함

route table 에 각 vpc 의 서브넷을 추가해줘야 통신이 가능하다고 함

 

 

 

VPC Endpoint (AWS PrivateLink)

type of endpoints

 

https://docs.aws.amazon.com/ko_kr/vpc/latest/privatelink/create-interface-endpoint.html

인터페이스 VPC 엔드포인트를 사용하여 AWS 서비스 액세스 - Amazon Virtual Private Cloud

- Interface Endpoint (AWS PrivateLink 사용)

  - uscase : 온프레미스 / 다른 VPC / 다른 리전

- Gateway Endpoint

  - usecase : S3, DynamoDB

 

 

https://docs.aws.amazon.com/ko_kr/vpc/latest/privatelink/what-is-privatelink.html

AWS PrivateLink란 무엇인가요? - Amazon Virtual Private Cloud

 

AWS PrivateLink은(는) VPC를 서비스에 비공개로 연결하여 서비스를 VPC에 있는 것처럼 이용할 수 있는 가용성과 확장성이 뛰어난 기술입니다. 인터넷 게이트웨이, NAT 디바이스, 퍼블릭 IP 주소, AWS Direct Connect 연결 또는 AWS Site-to-Site VPN 연결을 사용할 필요 없이 프라이빗 서브넷에서 서비스와 통신할 수 있습니다. 따라서 VPC에서 연결할 수 있는 특정 API 엔드포인트, 사이트 및 서비스를 제어할 수 있습니다.'

 

 

 

VPC Flow Logs

https://docs.aws.amazon.com/ko_kr/vpc/latest/userguide/flow-logs.html

VPC 흐름 로그를 사용하여 IP 트래픽 로깅 - Amazon Virtual Private Cloud

VPC 흐름 로그는 VPC의 네트워크 인터페이스에서 전송되고 수신되는 IP 트래픽에 대한 정보를 수집할 수 있는 기능입니다. 흐름 로그 데이터는 Amazon CloudWatch Logs, Amazon S3 또는 Amazon Kinesis Data Firehose에 게시될 수 있습니다. 흐름 로그를 생성하면 구성한 로그 그룹, 버킷 또는 전송 스트림의 흐름 로그 레코드를 검색하고 볼 수 있습니다.

흐름 로그는 다음과 같은 여러 작업에 도움이 될 수 있습니다.

• 지나치게 제한적인 보안 그룹 규칙 진단
• 인스턴스에 도달하는 트래픽 모니터링
• 네트워크 인터페이스를 오가는 트래픽 방향 결정

흐름 로그 데이터는 네트워크 트래픽 경로 외부에서 수집되므로 네트워크 처리량이나 지연 시간에 영향을 주지 않습니다. 네트워크 성능에 영향을 주지 않고 흐름 로그를 생성하거나 삭제할 수 있습니다.

 

 

 

 

Site to SIte VPN

Virtual Private Gateway & Customer Gateway

 

public & private

 

CloudHub

 

 

 

 

Direct Connect

https://docs.aws.amazon.com/ko_kr/directconnect/latest/UserGuide/Welcome.html

AWS Direct Connect란 무엇인가요? - AWS Direct Connect

 

Direct Connect Gateway

 

REsiliency

복원성

최대 복원성 (오른쪽)

둘 이상 위치의 개별 디바이스에서 종료하는 별도의 연결을 사용하여 중요 워크로드에 대해 최대 복원성을 확보할 수 있습니다 이 모델은 디바이스, 연결, 전체 위치 오류에 대한 복원성을 제공합니다. 다음 그림은 각 고객 데이터 센터에서 동일한 AWS Direct Connect 위치로 연결되는 두 연결을 보여줍니다. 필요에 따라 고객 데이터 센터의 각 연결을 서로 다른 위치로 연결할 수 있습니다.

 

높은 복원성 (왼쪽)

여러 위치에 두 개의 단일 연결을 사용하여 중요 워크로드에 대한 높은 복원성을 확보할 수 있습니다. 이 모델은 광섬유 절단 또는 디바이스 오류로 인해 발생하는 연결 오류에 대한 복원성을 제공합니다. 또한 전체 위치 오류를 방지하는 데에도 도움이 됩니다.

 

 

 

DX를 메인으로 사용하고 Site to Site VPN 을 백업 라인으로 구축하는 솔루션이 시험에 나올 수 있다고 함

 

 

 

Trainsit Gateway

https://docs.aws.amazon.com/ko_kr/vpc/latest/tgw/what-is-transit-gateway.html

Transit Gateway란 무엇입니까? - Amazon VPC

 

Transit Gateway는 가상 사설 클라우드(VPC)와 온프레미스 네트워크를 상호 연결하는 데 사용할 수 있는 네트워크 전송 허브입니다. 클라우드 인프라가 전 세계적으로 확장됨에 따라 리전 간 피어링은AWS 글로벌 인프라를 사용하여 Transit Gateway를 함께 연결합니다. AWS 데이터 센터 간의 모든 네트워크 트래픽은 물리 계층에서 자동으로 암호화됩니다.

 

 

 

VPC - Traffic Mirroring

 

https://h-susu.tistory.com/8

AWS VPC Traffic Mirroring 이란? (EC2 네트워크 패킷 확인)

 

 

 

IPv6 for VPC

https://docs.aws.amazon.com/ko_kr/vpc/latest/userguide/vpc-migrate-ipv6.html

IPv4에서 IPv6로 VPC 마이그레이션 - Amazon Virtual Private Cloud

 

대충 안봐도 되고

만약 문제에서 ipv4 대역을 다 써서 ipv6로 쓸 수 있다고 하는 지문이 나오면 틀린 지문임 ec2는 ipv4 주소가 꼭 필요하다고 함

 

 

 

Egress-only Internet Gateway

NAT 랑 비슷한데 IPv6의 outbound만 허용하는 Gateway 라고 한다.

 

 

 

Networking Costs in AWS

간단한 네트워크 요금

public 경로를 통한 네트워크 요금은 private 보다 2배 비싸다고 함

 

egress traffic

outbound 트래픽은 요금이 부과되지만 ingress traffic 은 무료라고 함

 

s3 네트워킹 요금

cloudfront 전송 요금은 무료라고 한다

 

private subnet 에서 s3 bucket 에 접근한다고 가정했을때, VPC Endpoint 로 접근하는게 NAT Gateway 로 접근하는 것 보다 훨씬 싸다고 한다. 

 

 

AWS Network Firewall

AWS Network Firewall을 사용하면 네트워크 트래픽을 세부적으로 제어하는 방화벽 규칙을 정의할 수 있습니다. Network Firewall은 AWS Firewall Manager와 연동되므로, Network Firewall 규칙을 기반으로 정책을 구축한 후 해당 정책을 중앙에서 Virtual Private Cloud(VPC) 및 계정 전반에 적용할 수 있습니다.

 

 

 

 

 

 

VPC Section Summary

1

 

2

 

3