AWS Certified Cloud Practitioner - 네트워킹 및 콘텐츠 전송

VPC

• AWS의 가상 네트워크이다.
• AWS 서비스의 네트워크 연결을 제어하는 기능을 한다.
• 구성요소
  • 서브넷 : VPC의 IP 주소 범위
  • 라우팅테이블 : 네트워크 트랙픽을 전달할 위치 결정
  • 인터넷 게이트웨이 : VPC의 리소스와 인터넷 간의 통신을 연결하는 게이트웨이
  • Network ACL : 서브넷과 연결되어 서브넷의 내부와 외부의 트래픽을 제어하는 방화벽
• 기본 VPC는 인터넷과 연결되어 있고, EC2 인스턴스를 생성하면 기본 VPC에 연결
• Private IP 대역을 사용

NAT 게이트웨이

• NAT 게이트웨이는 네트워크 주소 변환 서비스이다.
• private ip 주소에서 인터넷 통신을 할 때 사용하는 게이트웨이이다.
• public subnet안에 존재한다.

Network ACL

• 서브넷 내부와 외부의 트래픽을 제어하는 방화벽이다.
• 서브넷 레벨의 연결 방화벽
• 하나의 NACL은 여러 서브넷과 연결 가능하다.
• 하나의 서브넷은 하나의 NACL과 연결가능하다.
• 허용 및 거부 규칙 모두 지정가능하다.

보안그룹

• 인스턴스에 대한 인바운드 및 아웃바운드 트래픽을 제어하는 가상 방화벽이다.
• 서브넷 수준이 아니라 인스턴스 수준에서 작동한다.
• 보안 그룹은 허용 규칙만 지정가능하다.(거부x)

VPC Peering

• VPC 간에는 기본적으로 네트워크 통신이 되지 않는다.
• 두 VPC 간에 트래픽을 라우팅할 수 있도록 하기 위한 네트워킹 연결을 도와주는 역할이다.
• VPC 피어링 트래픽은 퍼블릭 인터넷을 통과하지 않고 프라이빗 IP 주소를 사용하여 서로 통신
• VPC 피어링은 같은 리전 내에 다른 리전 간, 다른 AWS 계정간 가능하다.

VPC Endpoints

• AWS S3와 DynamoDB 등 AWS 서비스에 대한 피라이빗 연결을 도와준다.
• 인터넷을 거치지 않고 바로 도달이 가능하다.

VPN & Direct Connect

• 인터넷을 이용해 가상 사설망을 구성하는 것
• VPN 트래픽은 VPN 프로토콜로 보호됨
• IPSec : Site-to-Site VPN 암호화 프로토콜

AWS Site-to-Site VPN

• IPSec 암호화 프로토콜을 사용하여 AWS VPC와 온-프레미스간에 프라이빗 네트워크를 구성
• 인터넷 연결을 사용한다.

Direct Connect

• AWS 와 온-프레미스 간에 DX Location을 통한 전용선을 통해 프라이빗 네트워크 연결 생성해준다.
• 물리적인 구성을 해야하기에 설치 시간이 오래 걸린다.
• VPN보다 가격이 비싸며, 인터넷 전송 비용이 들지 않는다.

Transit Gateway

• VPC 또는 VPN 간의 모든 트래픽을 라우팅한다.
• 복잡한 피어링 관계를 제거하여 네트워크를 간소화한다.

VPC FlowLog

• VPC의 네트워크 인터페이스에서 전송되고 수신되는 IP 트래픽에 대한 정보를 수집할 수 있는 기능이다.
• 데이터는 CloudWatch Logs 또는 Amazon S3에 저장이 가능하다.

Route 53

• DNS 서비스
• 퍼블릭 도메인을구매 또는 이전시켜준다.
• VPC에서만 사용할 수 있는 프라이빗 도메인 생성해준다.
• 라우팅 정책이 적용된다.
  • 단순 라우팅 : 도메인 네임 → IP 주소로 라우팅
• 주요 레코드 유형
  • A : 도메인 네임 → IPv4 주소로 라우팅(www.google.com → 192.100.10.1)
  • CNAME : 도메인 네임 → 도메인 네임(site.google.com → blog.google.com)
  • ALIAS : 도메인 네임 → AWS 리소스로 라우팅(www.google.com → AWS ALB)
• TTL : DNS 레코드에 관한 정보를 캐싱할 시간
• 상태 검사가 가능하다.
  • 서버의 상태를 모니터링하는 기능이다.
  • 서버의 상태가 좋지 않으면 다른 서버로 라우팅하는 장애조치를 구성할 수 있다.

⁉️ DNS : 도메인 네임을 IP주소로 변환해 주는 기능

CloudFront

• 콘텐츠 전송 네트워크 서비스
• 엣지 로케이션의 콘텐츠 캐싱을 이용해 사용자에게 더 빨리 배포하도록 지원하는 서비스이다.
• 사용자에게 가까운 곳의 엣지로케이션의 캐시기능을 이용하여 데이터를 전송한다.
• 글로벌 배포가 가능하다.
• 전세계 사용자에게 최상의 경험을 제공한다.
• EC2 등의 오리진 서버의 부하를 줄일 수 있다.

Global Accelerator

• 가장 가까운 위치로 트래픽을 라우팅하여 인터넷 대기시간을 줄이고 전송 성능을 향상하는 서비스이다.
• 2개의 Anycast 퍼블릭 고정 IP가 생성된다.
• 네트워크 트래픽을 가장 가까운 노드로 전송하는 라우팅 방식

⁉️ Anycast : 네트워크 트래픽을 가장 가까운 노드로 전송하는 라우팅 방식

출처