Last active
July 26, 2018 06:07
-
-
Save seongjoojin/e904645426c9c7ce3c6d416168dffdc3 to your computer and use it in GitHub Desktop.
가상 데이터 센터 만들기 - VPC 기본 및 연결 옵션 정리
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
VPC (Virtual Private Cloud) : 보안 레벨을 지정할때 유용 | |
외부에서 접속하지 말아야할 것들을 서브넷이라는 개념으로 분리할 수 있음. | |
## 인터넷에 연결된 VPC 만들기 : 단계별 | |
IP 주소 범위 선택 -> 가용 영역(AZ)별 서브넷 설정 -> 인터넷으로 향하는 경로(route) 만들기 -> VPC 로/부터의 트래픽 설정 | |
## CIDR notation revie | |
CIDR range example: 172.31.0.0/16 | |
앞의 16비트는 고정이고 나머지는 변경 가능함. | |
## VPC의 IP 주소 범위 선택 | |
Recommended : RFC1918 range, /16(64K address) - 연결할 수 있는 다른 네트워크와 겹치는 범위는 피해야함 | |
## RFC 1918 | |
10.0.0.0 - 10.255.255.255 (10/8 prefix) | |
172.16.0.0 - 172.31.255.255 (172.16/12 prefix) | |
192.168.0.0 - 192.168.255.255 (192.168/16 prefix) | |
## VPC 서브넷 및 가용 영역 | |
##### 서울리전 기준 Availability Zone | |
ap-northeast-2a | |
ap-northeast-2c | |
AZ안에 VPC subnet이 존재해야함 | |
## VPC 서브넷 권고사항 | |
- /16 VPC (64K addresses) | |
- /24 subnets (251 addresses) | |
- One subnet per Availability Zone | |
## Routing in your VPC | |
- Route table 은 패킷이 이동하는 규칙을 포함 | |
- VPC 에 기본 route table이 존재 | |
- 하지만 서브넷에 다른 route table 을 할당 할 수 있음. | |
내 VPC로 향하는 트래픽은 내 VPC 내에 머물러야 함 | |
## Internet Gateway | |
VPC에서 외부로 나가는 관문 | |
0.0.0.0/0 -> VPC로 향하지 않는 모든것:인터넷으로 보내기 | |
## Network ACLs : Stateless firewalls | |
서브넷 단위로 적용가능 | |
## Security groups: 애플리케이션 구조 | |
그룹 단위로 적용가능(인바운드 규칙,아웃바운드 규칙 정해주면 됨) | |
## 체크 포인트 : Security Groups | |
- 최소 권한 원칙(Principle of Least Privilege) 준수 | |
- VPC 는 egress/ingress 에 대한 Security Group 생성 가능 | |
## VPC의 연결 옵션 | |
- 인터넷 엑세스 제한 | |
- 다른 VPC와 연결 | |
- 회사 네트워크에 연결 | |
## 인터넷 엑세스 제한 | |
서브넷 별로 다른 라우팅 | |
프론트는 인터넷에 연결 | |
백엔드는 인터넷과 차단 | |
## NAT gateway : 아웃바운드 전용 인터넷 허용 | |
OS 업데이트 등으로 사용함 | |
## VPC 간 연결: VPC peering | |
## VPC peering 사용 예: 공유 서비스 VPC | |
공통/핵심서비스 | |
- 인증/디렉토리 | |
- 모니터링 | |
- 로깅 | |
- 원격 관리 | |
- 스캐닝 | |
## Security groups across peered VPCs | |
요청과 시작과 승인이 있어야함 | |
## VPC내의 AWS 서비스 | |
예) Amazon RDs database in your VPC | |
예) AWS Lambda function in your VPC | |
## Best practices for in-VPC AWS services | |
- 많은 AWS 서비스는 VPC내 실행을 지원 | |
- 최소 권한 네트워크 액세스를 위해 Security Groups 사용 | |
- 높은 가용성을 위해 여러 가용 영역(AZ)을 사용 | |
- Multi-AZ RDS deployments | |
- Use a zonal mount point for EFS access | |
S3는 VPC안에 있지 않음(모든 인터넷에 연결되기 때문에) | |
VPC endpoints for S3 : S3와 보안적으로 연결되도록 해줌 | |
## IAM policy for VPC endpoints | |
IAM Policy at VPC endpoints : 특정 S3 Bucket 액세스만 허용 | |
IAM Policy at S3 Bucket : VPC Endpoint 를 통한 액세스만 허용 | |
## VPC Flow Logs | |
- Security Groups 규칙의 영향에 대한 가시성 | |
- 네트워크 연결 문제 해결 | |
- 트래픽 분석 가능 |
Sign up for free
to join this conversation on GitHub.
Already have an account?
Sign in to comment