티스토리 뷰
1) IGW와 NGW
기본적으로 외부에서는 VPC로 들어오지 못하며, 외부로 나가기 위해서는 IGW(=Internet Gateway)가 필요합니다.
우리는 public 서브넷과 private 서브넷을 각각 두 개씩 만들었습니다. private 서브넷은 인터넷에 연결되지 않습니다. public 서브넷이 IGW와 연결되어 인터넷으로 나갈 수 있는 것입니다.
이 IGW에 대한 라우팅 항목이 있다면 public 서브넷이 되고, 없다면 private 서브넷이 됩니다.
이제 이 VPC에 있는 모든 인스턴스(=서버)들은 IGW를 타고 나가게 됩니다.
그렇다면 private 서브넷은 public과 어떻게 연결해야 할까요?
public 서브넷에 NGW(NAT Gateway)를 두고, private 서브넷에 여기로 가는 라우팅 테이블을 만들면 됩니다.
이렇게 되면 외부와 단절된 VPC 공간에서 private 서브넷은 NGW를 통해 외부에 접근하며 보안 패치를 적용할 수 있습니다. 로드밸런서와 NGW만 public에 있다면 외부에서 자원에 대해 공격하기 어렵습니다.
구성도를 그려보면 아래와 같습니다.
가용성을 위해 두 개의 가용영역(2a, 2c)을 선택했고, 각 영역에는 public과 private 서브넷으로 나누어 인스턴스가 배치됩니다. 인터넷 연결을 위해 전체 RECA-PRD-VPC와 IGW를 연결하고, public 서브넷에는 NGW를 두어 private 서브넷과 연결했습니다.인터넷의 사용자는 IGW를 통해 VPC에 접근하고, 라우팅 테이블을 통해 private 서브넷까지 접근합니다.
지금부터 구성도에 따라 게이트웨이를 생성해보겠습니다. VPC는 RECA-PRD-VPC이며, 생성한 서브넷은 아래와 같습니다.
2) IGW 생성
인터넷 게이트웨이로 인스턴스를 인터넷에 연결할 수 있습니다. 생성한 VPC에 연결해서 사용하며, 기본 VPC는 IGW를 포함합니다.
우선 생성한 VPC와 IGW를 연결해주겠습니다.
3) EIP 할당
VPC 생성 시 퍼블릭 IP 자동 할당을 활성화했으므로, 이 서버(public 서브넷에 생성하는 인스턴스)에는 자동으로 공인 IP가 할당됩니다.
그런데 서버를 껐다 키면 이 인스턴스의 IP는 변경됩니다. 그렇게 되면 NGW에 연결할 때 매번 새로 바뀐 IP로 연결해야 되는 문제가 발생합니다. 그러지 않기 위해 EIP(Elastic IP)를 이용해 고정 IP를 할당합니다. (가상의 네트워크 인터페이스인 ENI를 통해 이 작업이 가능합니다.)
EIP는 default로 최대 5개까지 무료로 할당할 수 있으며, 이후 6개부터는 유료입니다.
EIP 역시 할당 받고 사용하지 않아도 비용이 발생하므로, 사용하지 않는다면 할당을 해제해야 합니다.
4) NGW 생성
이제 public과 private을 연결할 NGW를 만들어보겠습니다.
장애 발생 시 대응을 위해 NGW는 추가로 하나 더 생성해 두 개로 운영할 수 있습니다.
📌Tip. NGW는 비싸다!
AWS 서비스에서 NGW는 상당히 많은 비용이 청구되는 부분입니다. 간단한 실습은 public 서브넷에서 NGW 없이 진행해도 괜찮고, VPC 생성 시 사용자 지정으로 각 리소스(서브넷, 게이트웨이 등)를 따로 만들어 관리하는 것을 추천합니다.
특히 실습이 끝나면 당일 인스턴스는 모두 종료(terminated)하는 습관을 들이는 것이 좋습니다. 스토리지에 연결된 EBS 볼륨과 VPC에 구성된 라우팅 테이블, NGW에 의해 인스턴스가 종료되어도 비용이 발생될 수 있습니다.
VPC 생성 시 꼭 잘 확인하고 사용하도록 합시다...
5) 라우팅 테이블 편집
public 라우팅 테이블은 IGW를 반드시 연결합니다.
private 라우팅 테이블은 NGW를 반드시 연결합니다.
이제 인스턴스를 네트워크에 연결할 모든 준비가 끝났습니다. 다음 포스팅에서는 인스턴스를 생성하고 구성한 private 서브넷으로 직접 접속해보겠습니다.
'Cloud > AWS' 카테고리의 다른 글
| [AWS Route53] 도메인 이름으로 웹 서비스 배포하기 (0) | 2024.01.12 |
|---|---|
| [AWS EC2] 인스턴스 생성: AMI, EBS의 개념, 키 페어 접속, 기본 아키텍쳐 (0) | 2023.12.09 |
| [AWS VPC] 가상 네트워크 환경 구성하기(1): VPC 생성, 서브넷 분리 (0) | 2023.12.04 |
| [AWS EC2] EKS 시작하기(3): AWS 콘솔 구성 (0) | 2023.06.06 |
| [AWS EC2] EKS 시작하기(2): eksctl CLI (0) | 2023.06.06 |
- Total
- Today
- Yesterday
- k8s
- RECA
- Azure DNS
- 에티버스러닝
- github
- IAM
- Route53 비용 정책
- vsphere
- ycampus
- Windows Server
- aws cli
- EKS
- Local Zones
- kubectl
- 클라우드 DNS 서비스
- Google Cloud DNS
- Ansible
- kubernetes
- Git
- IAC
- Vmware
- Linux
- Window Server Manager
- AWS
- VM Tools
- redhat
- Docker
- VPC
- rocky9
- Route53
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | |||
| 5 | 6 | 7 | 8 | 9 | 10 | 11 |
| 12 | 13 | 14 | 15 | 16 | 17 | 18 |
| 19 | 20 | 21 | 22 | 23 | 24 | 25 |
| 26 | 27 | 28 | 29 | 30 | 31 |