AWS :: VPC, Route 53

AWS에서 기억하고 싶은 내용

 

 

이번 포스트는 네트워킹 관련

 

 

Amazon Virtual Private Cloud(VPC)

가상 프라이빗 네트워크

AWS 리소스에 대해 프라이빗 IP범위를 정의하게 해준다

 

VPC 안에 EC2 인스턴스, ELB 같은 것들 서브넷에 배치가능

서브넷: IP 주소 모음
IP 주소 퍼블릭으로 할 지, 프라이빗으로 할 지 제어

 

퍼블릭 트래픽이 VPC에 접근하려면,

문 역할을 하는 인터넷 게이트웨이를 VPC에 연결해야된다

 

프라이빗한 VPC에 접근하려면,

가상 프라이빗 게이트웨이를 이용한다

가상 프라이빗 게이트웨이는 인증된 트래픽만 VPC에 접근 허용

VPC와 프라이빗 네트워크 간에 가상 프라이빗 네트워크(VPN) 연걸 가능

 

AWS Direct Connect를 이용하면,

더 나아가 회사의 데이터 센터와 VPC의 전용 통로를 만들 수 있다

 

 

VPC 안에서 일어나는 일

서브넷 경계를 지나는 모든 패킷은 ACL한테 검사를 받는다

 

Network Acess Control List(ACL)

패킷을 통과 시키거나, 막는 역할

승인 목록에 있으면 PASS, 없으면 BLOCK!

비유) 여권 심사관 같은 녀석

=> 들어올 때도, 나갈 때도 검사를 한다

 

• 기본 NACL: 모든 인바운드, 아웃바운드 허용 
• 사용자 지정 NACL: 모든 인바운드, 아웃바운드 거절

물론 규칙을 바꿀 수 있다

 

보안 그룹

패킷이 통과하면 각 리소스는 보안 그룹이 감싼다

기본적으로 모든 패킷을 차단

그래서 특정 유형의 트래픽을 허용하도록 설정할 수 있다

예) HTTPS 요청은 받지만, OS 요청은 못 가도록

=> 들어올 때만 검사, 나갈 때는 프리패스

 

 

Route 53

AWS의 Domain Name Service(DNS)

웹 주소를 입력했을 때 웹 사이트에 접속할 수 있는 이유

 

DNS는 번역가 같은 일을 한다
웹사이트 이름 => IP(Internet Protocol)로 번역
DNS는 웹 서버한테 해당 웹 주소의 IP가 뭔지 물어본다

 

Route 53 장점

• 지역 시간 기반 라우팅
• 지리적 위치 DNS
• 지리 근접 라우팅

... 등

 

Also

Route 53에서 도메인 이름 구매/관리도 한다

 

Route 53과 CloudFront 작동 예시

1. 유저가 forgottenknowledge.tistory.com에 접근

2. Route 53는 DNS 사용해서 IP 주소 192.0.2.0을 유저한테 전송

3. 유저의 요청은 CloudFront를 통해 가까운 엣지 로케이션으로 전송

4. 해당 엣지 로케이션에서 받은 패킷을 Load Balancer로

5. Load Balancer가 지정한 EC2 인스턴스로 전송