AWS 네트워킹_1

CIDR ; 클래스 없는 도메인 간 라우팅 > ip/서브넷 마스크 의 구성 

- 보안그룹 규치 및 AWS 네트워킹 

- ip * 서브넷 마스크 = 네트워크주소 // 1이 안곱해진 부분이 서브넷팅이 되는 것 

 

기본 VPC 개요 

- EC2는 서브넷 미지정시, 기본 VPC에서 실행

- 기본 VPC는 처음부터 인터넷 연결 / EC2는 퍼블릭 IPv4 / 퍼블릭 및 사설 DNS 이름 / 

- CIDR 갯수보다, IP가 5개 모자란데.. > 

 

VPC 개요 - VIRTUAL PRIVATE CLOUD 

- 단일 리전에 멀티 VPC 가능 > 리전당 최대 5개  

- VPC 마다 할당된 CIDR은 5개; > 최소 크기 /28 최대크기 /16 

 

서브넷 개요 ; VPC 내부에 있는 IPV4 주소의 부분 범위 

- AWS가 IP 주소 5개를 예약함 (첫 4개, 그리고 마지막 1개) > 이들은 사용 X / EC2 할당 X 

-  .0 > 네트워크 주소 / .1 VPC 라우터용 / .2 AWS 제공 DNS에 매핑 / .3 예비로 예약 / .255 브로드캐스트 주소

-  따라서, IP 주소 29개가 필요한 경우, /27 서브넷은 사용 불가능 > 2^(32-27) = 32개 -> 32개-5 = 27개이므로 부족

 

인터넷 GATEWAY 및 라우팅 테이블 

- 인터넷 GATEWAY ; VPC 리소스를 인터넷에 연결 허용하는 EC2 또는 람다 

- 수평확장 및 중복성 

- VPC와 별개 생성 / 단 하나의 VPC - 단 하나의 GATEWAY 연결 

- GATEWAY 자체는 인터넷 액세스 X -> 라우팅 테이블 수정 필요

- 라우팅 테이블 수정해서 GATEWAY 연결된 라우터에 연결  -> 인터넷 연결 

 

BASTION 호스트 ; 퍼블릭 유저가 프라이빗 EC2 접근할 때 

- BASTION 호스트 = 퍼블릭 서브넷에 있는 EC2 인스턴스 ; 

- 자체 BASTION 보안 그룹 

- SSH를 BASTION 호스트 연결 -> BASTION 호스트가 SSH를 프라이빗 서브넷 EC2 연결 

- 이 때 보안그룹 조건 ; 1. 인터넷 액세스 허용 2. 보안 상 제한 3. SSH 액세스 반드 시 허용 4 따라서 22번 포트 사용 

 

NAT INSTANCE ; NAT GW가 더 좋은 솔루션이긴 함 

- NAT ; 네트워크 주소 변환 

- NAT INSTANCE ; 프라이빗 서브넷 EC2가 인터넷에 연결되돍 함 

- NAT INSTANCE ; 공용 서브넷에서 실행 > 공용-프라이빗 연결하는 역할 

- 소스-목적지 확인 비활성!! ; 

- NAT 인스턴스 - 고정된 탄력적 IP 연결 /  

- 1. 퍼블릭에 고유의 보안 그룹 + NAT 인스턴스 > NAT에 탄력적 IP 설정 > 라우팅 테이블 수정-프라이빗-퍼블릭 연결 

  2. 인스턴스  NAT 인스턴스로 전송 > NAT가 소스_+ 진짜 목적지로 재작성함 (즉,목적지 재작성) 

  3. NAT가 수신 > 소스 + 목적지 재작성 > 프라이빗 EC2로 전달

- 가용성 별로 / 초기화 복원 X / 여러 AZ에 ASG 생성 필요 / 보안그룹 규칙 공수 / 

- 인바운드 HTTP/HTTPS/SSH 허용 

 

NAT GATEWAY ; 관리형 NAT 인스턴스 

- 높은 대역폭 / 가용성 높음 /관리 X 

- 특정 AZ에서 생성 / 탄력적 IP를 이어받음 ; 다른 서브넷에서만 사용 가능 

- 경로는 사설 인터넷에서 인터넷 게이트웨이 까지 ; 즉 인터넷 GW 있어야!!

- 초당 5기가-45기가까지 대역폭

- 보안그룹 관리 X > 연결을 위해 포트 생각 X 

- 1. NAT GW 퍼블릭 배포 - 이미 인터넷 게이트웨이에 연결됨 > EC2 의 라우팅 테이블 수정 

- 다중 NAT GW 허용 ; 원래는 단일 AZ 복원 가능 및 중복 

- 바스티온 호스트로는 사용 불가능 

 

NACL ; 네트워크 액세스 컨트롤 리스트 

- 요청 -> NACL -> 서브넷 -> 보안그룹 인바운드 규칙(Stateful) -> 명시적 허용 시, EC2 

- 몇가지 인바운드 규칙 정의 ; NACL은 보안그룹과 달리 Stateless!! 

- 서브넷 마다 하나의 NACL ; 기본 NACL이 할당됨 -> 기본은 모두를 허용!! (단, 새로만들어진 NACL은 모두 거부)

- NACL 규칙 = 숫자가 있음 ; 1~32766 (우선순위) -> 우선순위가 높은 것이 먼저 평가됨 !!

- 활용방법 ; 특정 IP 차단 

- 주의 : NACL의 임시포트를 제대로 구성해야, 통신에 문제가 없음  

- 클라이언트 -> 서버 (규정된 포트의 서버에 연결 - 서버가 서비스를 올릴 때, 클라이언트는 규정된 포트 접속)

   요청 ; 소스IP / 소스 포트 / 목적지 IP / 서버가 연결할 목적지 포트 / 페이로드 /  

- 서버 -> 클라이언트 (OS에 따라, 임시포트를 개방)

   응답 ; 페이로드 / 목적지 IP / 목적지 포트(클라이언트가 보내준) / 소스IP / 소스 포트  

 

VPC 피어링 ; 다양한 리전 계정의 VPC를 AWS 네트워크를 통해 연결

- 모두 같은 네트워크에서 VPC를  작동 ; 

- 전제 조건 ; CIDR가 겹치지 않고 멀리 떨어져야 함 

- 두 VPC 간에 발생 ; 전이 X 

 

VPC ENDPOINT ; 퍼블릭 인터넷을 거치지 않고, 인스턴스에 액세스 (S3 / CLOUDWATCH 등)

- 예)  IN 퍼블릭 서브넷 EC2 + NAT GW / IN 프라이빗 서브넷 EC2 / 서브넷 포함하는 VPC+인터넷GW  -> SNS 엑세스

  1. 프라이빗 EC2 -> NAT GW-> INTERNET GW -> SNS 퍼블릭 액세스 

  2. 퍼블릭 EC2 -> INTERNET GW -> SNS 퍼블릭 ㅇㄱ세스 

  3. 프라이빗 EC2 -> VPC ENDPOINT -> SNS 

- 중복 / 수평확장 가능 

- 문제 발생시, VPC의 DNS 설정 해석 / 라우팅 테이블 확인 !! 

- 유형 ; 1. PRIVATE LINK 인터페이스 엔드포인트 2. GW 엔드포인트 

  1. ENI 프로비저닝 ; VPC 프라이빗 IP = VPC 엔트리 포인트 ; 반드시 보안 그룹 연결  ; 모든 서비스 

  2. GW 프로비저닝!! ; 이때, 반드시 라우팅 테이블 대상이어야 ; IPX 보안그룹X ; S3 DYNAMODB 타겟 ; 무료 ; 자동확장

- 1이 권장되는 경우는 ; 온프렘 액세스 필요할 때만임 

 

VPC FLOW LOGS ; 인터페이스로 들어오는 IP 트래픽 정보 포착 

- 1. VPC 수준 2. 서브넷수준 3. ENI 수준 에서 포착

- S3 CLOUDWATCH-LOGS KINESIS_DATA_FIREHOSE 전송

- ELB RDS ELASTICACHE REDSHIFT WORKSPACES NATGW TRANSIT_GW 등 관리형 인터페이스 전송 가능

- 버전 / 인퍼테이스 ID / 소스 주소 / 소스포트 / 대상주소 / 대상포트 / 프로토콜/ 패킷 /바이트 수  / 액션 / 로그 상태 등 

- 쿼리하는 방법 ; 1. S3+ATHENA 2. CLOUDWATCH LOGS INSIGHTS