728x90
반응형
핵심 내용
- 네트워킹의 기본 개념 설명
- 퍼블릭 네트워킹 리소스와 프라이빗 네트워킹 리소스의 차이점 설명
- 실제 시나리오를 사용하여 가상 프라이빗 게이트웨이 설명
- 실제 시나리오를 사용하여 Virtual Private Network(VPN) 설명
- AWS Direct Connect의 이점 설명
- 하이브리드 배포의 이점 설명
- IT 전략에서 사용되는 보안 계층 설명
- 고객이 AWS 글로벌 네트워크와 상호 작용하기 위해 사용하는 서비스 설명
Amazon Virtual Private Cloud(Amazon VPC)
- AWS 클라우드의 격리된 섹션을 프로비저닝
- 사용자가 정의한 가상 네트워크에서 리소스를 시작 가능
- 한 Virtual Private Cloud(VPC) 내에서 여러 서브넷으로 리소스를 구성 가능
- 서브넷 : 리소스(예: Amazon EC2 인스턴스)를 포함할 수 있는 VPC 섹션
인터넷 게이트웨이
- VPC와 인터넷 간의 연결
- 없으면 아무도 VPC 내의 리소스에 액세스할 수 없음
가상 프라이빗 게이트웨이
- 보호된 인터넷 트래픽이 VPC로 들어오도록 허용하는 구성 요소
- VPC와 프라이빗 네트워크(예: 온프레미스 데이터 센터 또는 회사 내부 네트워크) 간에 가상 프라이빗 네트워크(VPN) 연결을 설정 가능
- 승인된 네트워크에서 나오는 트래픽만 VPC로 들어가도록 허용
AWS Direct Connect
- 데이터 센터와 VPC 간에 비공개 전용 연결을 설정하는 서비스
- 네트워크 비용을 절감하고 네트워크를 통과할 수 있는 대역폭을 늘리는 데 도움
서브넷
- 보안 또는 운영 요구 사항에 따라 리소스를 그룹화할 수 있는 VPC 내의 한 섹션
- VPC 내에서 서브넷은 서로 통신 가능(프라이빗 - 퍼블릭도 가능)
1. 퍼블릭 서브넷
- 온라인 상점의 웹 사이트와 같이 누구나 액세스할 수 있어야 하는 리소스가 포함
2. 프라이빗 서브넷
- 고객의 개인 정보 및 주문 내역이 포함된 데이터베이스와 같이 프라이빗 네트워크를 통해서만 액세스할 수 있는 리소스가 포함
VPC의 네트워크 트래픽
- 고객이 AWS 클라우드에서 호스팅되는 애플리케이션에 데이터를 요청하면 이 요청은 패킷(인터넷이나 네트워크를 통해 전송되는 데이터의 단위)으로 전송
- 패킷은 인터넷 게이트웨이를 통해 VPC로 들어감
- 패킷이 서브넷으로 들어가거나 서브넷에서 나오려면 먼저 권한을 확인
네트워크 ACL(액세스 제어 목록)
- 서브넷 수준에서 인바운드 및 아웃바운드 트래픽을 제어하는 가상 방화벽
- 각 AWS 계정에는 기본 네트워크 ACL이 포함
- VPC를 구성할 때 계정의 기본 네트워크 ACL을 사용하거나 사용자 지정 네트워크 ACL을 생성 할 수 있음
- 계정의 기본 네트워크 ACL은 기본적으로 모든 인바운드 및 아웃바운드 트래픽을 허용하지만 사용자가 자체 규칙을 추가하여 수정할 수 있음
- 사용자 지정 네트워크 ACL은 사용자가 허용할 트래픽을 지정하는 규칙을 추가할 때까지 모든 인바운드 및 아웃바운드 트래픽을 거부
- 모든 네트워크 ACL에는 명시적 거부 규칙 가짐 - 패킷이 목록의 다른 모든 규칙과 일치하지 않으면 해당 패킷이 거부되도록 함
- 상태 비저장 패킷 필터링 : 아무것도 기억하지 않고 각 방향(인바운드 및 아웃바운드)으로 서브넷 경계를 통과하는 패킷만 확인
보안 그룹
- Amazon EC2 인스턴스에 대한 인바운드 및 아웃바운드 트래픽을 제어하는 가상 방화벽
- 기본적으로 보안 그룹은 모든 인바운드 트래픽을 거부하고 모든 아웃바운드 트래픽을 허용합니다. 사용자 지정 규칙을 추가하여 허용 또는 거부할 트래픽을 구성할 수 있음
- 서브넷 내에 여러 Amazon EC2 인스턴스가 있는 경우 동일한 보안 그룹에 연결하거나 각 인스턴스마다 서로 다른 보안 그룹을 사용 가능
- 상태 저장 패킷 필터링 : 들어오는 패킷에 대한 이전 결정을 기억
Domain Name System(DNS)
- DNS 확인에는 DNS 서버와 웹 서버 간 통신이 포함
- 도메인 이름을 IP 주소로 변환하는 프로세스
- 예 )
- 1 브라우저에 도메인 이름을 입력하면 이 요청이 DNS 서버로 전송
- 2 DNS 서버는 웹 서버에 AnyCompany 웹 사이트에 해당하는 IP 주소를 요청
- 3 웹 서버는 AnyCompany 웹 사이트의 IP 주소인 192.0.2.0을 제공하여 응답
Amazon Route 53
- 개발자와 비즈니스가 최종 사용자를 AWS에서 호스팅되는 인터넷 애플리케이션으로 라우팅할 수 있는 안정적인 방법을 제공
- 사용자 요청을 AWS에서 실행되는 인프라(예: Amazon EC2 인스턴스 및 로드 밸런서)에 연결
- 사용자를 AWS 외부의 인프라로 라우팅
- 도메인 이름의 DNS 레코드를 관리하는 기능
- 직접 새 도메인 이름을 등록
- 다른 도메인 등록 대행자가 관리하는 기존 도메인 이름의 DNS 레코드를 전송
- 단일 위치에서 모든 도메인 이름을 관리
Amazon Route 53 및 Amazon CloudFront가 콘텐츠를 전송하는 방식
- 고객이 AnyCompany의 웹 사이트로 이동하여 애플리케이션에서 데이터를 요청
- Amazon Route 53는 DNS 확인을 사용하여 AnyCompany.com의 IP 주소인 192.0.2.0을 식별, 이 정보는 고객에게 다시 전송
- 고객의 요청은 Amazon CloudFront를 통해 가장 가까운 엣지 로케이션으로 전송
- Amazon CloudFront는 수신 패킷을 Amazon EC2 인스턴스로 전송하는 Application Load Balancer에 연결
출처
728x90
반응형