WEB BE Repo/AWS

AWS 네트워크 구성

조금씩 차근차근 2025. 3. 6. 10:31

1. 기본 개념 및 용어

  • 라우팅 테이블
    라우팅 테이블은 패킷이 목적지로 전달되기 위해 거쳐야 할 경로 정보를 저장한 테이블이다. 이 테이블을 통해 네트워크 장비는 다음에 어떤 경로로 데이터를 전송할지 결정한다.
  • 서브넷 (Subnet)
    전통적인 네트워크에서 서브넷은 동일한 네트워크 상의 장비들이 라우터와 같은 중개 장치를 거치지 않고 직접 통신할 수 있도록 분리한 소규모 네트워크이다. 서브넷은 서브넷 마스크를 사용해 네트워크 범위를 구분하며, 이를 통해 내부와 외부 네트워크를 논리적으로 분리할 수 있다.
  • CIDR (Classless Inter-Domain Routing)
    CIDR 표기법은 IP 주소와 서브넷 마스크를 결합해 네트워크 범위를 지정하는 방식이다. 이를 통해 private 또는 public IP 대역을 유연하게 할당할 수 있으며, 네트워크 자원을 효율적으로 분배할 수 있다. 일반적으로 private 서브넷은 public 서브넷보다 한단계 크게 잡는다.

2. AWS 인프라의 물리적 및 논리적 구성

글로벌 인프라와 가상 네트워크 개념의 포함관계를 나타낸 표

  • 리전 (Region)
    리전은 AWS의 글로벌 인프라를 구성하는 단위로, 지리적 위치에 따라 분류된다. 각 리전은 데이터 주권, 지연 시간, 장애 격리 등을 고려해 선택하게 된다.
  • 가용 영역 (AZ; Availability Zone)
    리전 내에서 물리적으로 독립된 데이터 센터 그룹인 가용 영역은 서로 격리된 전력, 네트워크, 냉각 시스템을 갖추어 장애 발생 시 이중화 및 고가용성을 보장한다. 인스턴스를 서로 다른 AZ에 배포하면 서비스 중단 위험을 최소화할 수 있다.
  • VPC (Virtual Private Cloud)
    VPC는 계정별로 리전 내에서 제공되는 논리적 격리 네트워크이다. 사용자는 VPC를 통해 자신의 클라우드 리소스에 대해 세밀한 제어와 보안 정책을 적용할 수 있다.
  • AWS 내 서브넷
    AWS의 서브넷은 VPC 내에서 논리적으로 네트워크를 분할한 영역이다. 이는 전통적인 서브넷 개념과 유사하지만, AWS에서는 VPC 내부에 존재하며, 각 서브넷은 특정 AZ에 속하게 된다. 이를 통해 리소스를 퍼블릭과 프라이빗 서브넷으로 구분하고, 접근 제어를 보다 정밀하게 관리할 수 있다.

3. 개념 간 포함 관계

AWS 네트워크 구성은 다음과 같은 포함 관계로 조직된다.

  • 리전은 여러 가용 영역(AZ) 을 포함한다.
  • 리전 내에는 사용자별로 하나 이상의 VPC 가 존재한다.
  • 가용 영역(AZ) 는 여러 서브넷 을 포함하며, 각 VPC 는 하나 이상의 서브넷 으로 구성된다.

이러한 계층적 구조는 네트워크 자원의 배치 및 관리에 있어 유연성과 고가용성을 동시에 제공한다.

4. 외부 연결 및 보안 제어

  • 인터넷 게이트웨이 (IGW)
    IGW는 VPC와 외부 인터넷 간의 통신을 담당하는 장치이다. 일반적으로 0.0.0.0/0와 같이 전체 인터넷 범위를 대상으로 설정하여, 퍼블릭 서브넷 내의 리소스가 외부와 연결될 수 있도록 한다.
  • 서브넷 단위 라우팅 테이블
    각 서브넷은 고유의 라우팅 테이블을 갖는다. 라우팅 테이블에 IGW를 연결하면 해당 서브넷은 외부와 통신할 수 있는 퍼블릭 서브넷이 된다.
  • 로드 밸런서
    로드 밸런서는 네트워크 트래픽을 여러 서버에 분산시켜 안정적이고 효율적인 서비스 제공을 돕는다.
    • L4 (전송 계층) 로드 밸런서: TCP/UDP 같은 전송 계층 프로토콜을 기반으로 트래픽을 분산한다.
    • L7 (응용 계층) 로드 밸런서: HTTP/HTTPS 등의 응용 계층 프로토콜을 기반으로 트래픽 분산과 추가적인 콘텐츠 기반 라우팅을 제공한다.
  • 방화벽 시스템
    AWS에서는 네트워크 보안을 위해 두 가지 주요 방화벽 시스템을 제공한다.
    • 보안 그룹: 인스턴스 단위로 적용되며, IP 기반의 접근 제어를 수행한다. 기본작으로 "차단"하는 방식으로 동작하며, 상태를 가지므로, 허용된 inbound 트래픽은 outbound 트래픽도 허용된다. 기본 설정은 모든 inbound 차단, 모든 outbound 허용이다.
    • 네트워크 ACL (NACL): 서브넷 단위로 작동하며, 기본적으로 "허용" 하는 방식으로 동작한다. 인바운드와 아웃바운드 트래픽에 대해 추가적인 보안 규칙을 설정할 수 있다.