이 글은 네트워크망에 대한 기본 지식이 있다고 전제로 작성하였다. 세부적인 설정은 제외하고 큰틀에서 VPC를 생성하는 방법을 순서대로 다른다. 디테일 설정은 AWS 관련 문서를 참조 바란다.
AWS VPC 생성 간단 순서
VPC 만들기 -> Internet Gateways 만들어 VPC 연결 -> Route Tables 수정 -> 서브넷 만들기 -> Network ACLs / Security Groups 수정 -> AWS 리소스 생성.
dfasdfasd
순서별 세부 설명
1. VPC 만들기
논리적인 가상 네트워크망이다. AWS에 격리된 네트워크망을 만든다고 생각하면 된다. 그리고 이 격리된 네트워크망안에 AWS 리소스를 생성하게된다. VPC 생성시 가장 중요한 부분은 IP 대역대를 지정이다. CIDR로 지정하게 되는데 사설 대역으로 지정해야만 라우팅 문제가 발생하지 않는다.
CIDR망 예제
| CIDR 대역 | 호스트 수. |
|---|---|
| 192.168.0.0/16 | 256 |
| 172.16.0.0/12 | 1048575 |
| 10.0.0.0/8 | 16777216 |
추가 CIDR정보는 CIDR Wiki Page 에서 참조 바란다.
VPC를 만들면 자동으로 생성된 VPC와 연결된 아래 4개의 항목이 만들어진다.
- Route Tables : VPC 전체 라우팅 룰을 지정하는 라우팅 테이블. VPC에 할당된 CIDR 대역을 로컬로 라우팅 한다는 룰이 하나 기본 설정되어 있다.
- DHCP options sets : VPC 내부에서 DNS 호스팅 네임서비스를 사용하게 해 준다. 다른 부분 다 빼고 자동으로 할당하는 EC2이름 룰을 지정할 수 있다.
- Network ACLs : VPC에 네트워크에 접근 보안정책이다. 기본 Inbound/outbound룰이 Negative룰로 지정되어있으며, 기본 모든 소스 트래픽을 모두 허용한다고 되어 있다.
- Security Groups : Network ACL가 VPC 대응이라면 Security Groups은 Subnet 대응 트래픽 차단 정책 룰을 지정한다. 호스트의 방화벽이다. 기본적으로 모든 현재 VPC 내부에서 오는 트래픽에 대해서 모든 포트가 열려있다.
VPC 생성 시 가장 중요한 부분은 위에서 말했듯이 적절한 크기 네트워크 IP 대역을 할당하는 것과 다른망과 아이피 대역이 겹쳐서 라우팅이 안 되는 문제(쉬운 예로 AWS EC2서버를 VPN으로 연결했을때 사설 아이피로 바로 접근한다면 로컬망 사설 동일 대역이었을때 AWS 리소스에 접근할 수 없다.)가 발생함으로 고유의 영역을 할당하는 부분이다.
2. Internet Gateways
가정에 허브(HUB)로 여러 대의 PC나 기기를 연결하여 하나의 내부 네트워크망을 만들 수 있다. 공유폴더 연결할 수도 있고 프린터 공유도 된다. 스타를 아시는 분들은 IPS 연결 게임도 가능하다. 하지만 인터넷을 사용할 수 없다. 단지 내부 기기들이 연결되어 있을뿐 인터넷망과 연결되어 있지 않기때문이다. 인터넷망과 연결하기 위해서는 단순이 물리적으로 랜선만 허브에 연결해 준다고 해서 인터넷에 연결되는 것이 아니다. 내부망과 인터넷망사이에 물리적 논리적 중간 다리 역활을 하는 관문인 게이트웨이 필요하다. 다르게는 네트워크 요청이 내부로 갈것인지 외부로 갈것인지 결정해주는 라우터라고도 한다. 우리 실생활에서 쉽게 접할 수 있는것이 인터넷 공유기가 바로 게이트웨이이면서 라우터이다. VPC도 격리된 가상 네트워크망이다. 인터넷을 연결하려면 별도의 외부 인터넷으로 나가는 게이트웨이가 필요하다.
생성 방법은 이름만 넣고 Internet Gateway를 만들면 된다. 생성 후 반드시 원하는 VPC에 연결해주어야 한다.
3. Route Tables 수정
Internet Gateway를 VPC에 연결했다고 VPC 내부의 리소스들이 인터넷이 되는 것이 아니다. Route Tables에 내부 VPC IP 요청이 아니면 Internet Gateway로 트래픽을 라우팅 하라고 룰을 지정해야만 인터넷이 된다. 0.0.0.0/0 대역을 Internet Gateway로 라우팅하면 된다.
4. 서브넷 만들기.
VPC가 논리적인 네트워크망이면 Subnet은 AWS의 AZ존에 리소스를 만들 공간을 만들고 IP를 할당하는 것이다. VPC를 선택하고 가용존을 선택하고 VPC에서 할당한 IP 대역을 CIDR로 잘 나누어 할당하면 된다.
보통 두 개의 가용존을 하나의 세트로 구성해서 서비스하니 대역을. 잘 할당하자.
5. Network ACLs / Security Groups 수정
기본 보안 정책은 실서비스에 사용하기 힘들다. 그리고 Security Groups의 기본 룰은 외부 트랙에 대한 룰이 없다. 외부 서비스 포트를 오픈할 필요가 있다.
예로 EC2 서버에 SSH접속을 하고 싶으면 EC2 인스턴트를 생성. 후 별도의 보안 그룹 룰을 추가하던지 미리 SSH를 오픈하는 보안 그룹 룰을 만들어 두어야 한다.
룰은 언제든 수정 변경 가능하고 겁먹지 말고 그냥 만들어보자.
마무리
AWS VPC는 공짜다. 겁먹지 말고 만들어보자. EC2 프리티어 인스턴트(공짜)를 하나 만들어 연결해 보며 연습을 하면 금방 익숙해진다. 그리고 반드시 태킹을 생활화 하자. 쉽게 만들고 쉽게 지울 수 있다보다. 대형사고가 발생할 수 있다.