1. Internet Gateway란?
- VPC가 인터넷과 통신하기 위한 관문
- IGW는 VPC에 연결되어야 함
- VPC 내부의 퍼블릭 서브넷의 라우팅 테이블은 IGW로 향하는 라우팅 정보를 포함
2. 라우팅 테이블이란?
- 라우팅 정보를 포함하는 AWS 리소스 객체
- 한 라우팅 테이블은 여러 서브넷에 연결할 수 있음
- 라우팅 테이블을 설정하면 기본 라우트 정보를 포함함
- Route
- 트래픽의 전달 규칙을 정의하는 정보
- 설정 정보: 대상주소 IP 범위 (CIDR), 대상 리소스 (예: IGW, NATFW)
- 적용 규칙
- CIDR 블록 범위가 좁은 것부터 대상 IP 주소가 매칭되는 것을 찾아서 대상 리소스를 전송
3. Security Group (보안그룹)
- EC2 인스턴스, ENI에 대한 일종의 방화벽 기능을 수행
- 모든 ENI (EC2)에는 하나 이상의 보안그룹이 연결되야 함
- 규칙: 인바운드, 아웃바운드
- 보안그룹의 중요한 특징
- 거부 (deny) 권한이 없음, 허가(allow)만 존재함
- 상태 저장 방화벽: Stateful fiirewall
- 인바운드에서 허가되었다면? 아웃바운드 자동함
- Security 그룹의 기본 설정
- 인바운드: 모두 차단 (허가가 없으므로) - HTTP 80번 포트, HTTPS 443포
- 아웃바운드: 모두 허가
4. NACL
- Network ACL (Access Control List)
- VPC, Subnet에 연결되는 네 워크 수준의 방화벽
- 상태 비저장
- 인바운드가 허가되었다고 하더라고 명시적으로 아웃바운드 허가가 필요함
- Allow, Deny 모두 지정 가능
- 규칙 번호를 이용한 적용 우선순위
- 낮은 것부터 매칭 여부 확인 -> 매칭되면 그 규칙이 적용되고 끝
- VPC에는 기본 NACL적용되어 있음
- Subnet에는 직접 생성한 NACL 적용할 수 있음
5. EIP, ENI
- Elastic IP
- EC2 인스턴스에 Public IP를 사용할 수 있도록 설정하면 동적 IP 가 설정됨
- 재시작하는 경우 Public IP가 변경됨. 고정 IP가 아님
- 재시작하더라도 Private IP는 변경되지 않음
- EC2 인스턴스에 고정 Public IP를 부여하고자 할 떼 EIP 사용
- EC2 인스턴스에 Attach, Detach 할 수 있음
- EC2 인스턴스에 Public IP를 사용할 수 있도록 설정하면 동적 IP 가 설정됨
- Elastic Network Interface
- 가상의 NIC (Network Interface Card)
- 한 EC2에 여러 개의 ENI를 연결할 수 있음
- 가상의 랜카드
6. NAT Gateway
- Network Address Translation Gateway
- Private Subnet 상의 EC2는 인터넷과 통신할 수 없음
- 하지만 이 EC2가 인터넷에서 업데이트 패치를 해야 한다면 -> NAT GW
- NAT GW는 특정 Public Subnet에 생성함
- 고가용성을 위해 여러 AZ에 중복 배치
'정보보안 자격증 > AWS' 카테고리의 다른 글
| AWS 10. ELB (0) | 2024.07.19 |
|---|---|
| AWS9. VPC Peering (0) | 2024.07.19 |
| AWS7. VPC & AWS Networking (1) | 2024.07.17 |
| AWS6. EFS, FsX (0) | 2024.07.17 |
| AWS5. S3 (Simple Stoarge Service) - 2 (0) | 2024.07.17 |