[AWS] Networking Specialty #1 VPC 기초와 심화

VPC(Virtual Private Cloud)란?

• VPC(Virtual Private Cloud)란 AWS 내에 논리적으로 격리된 사용자 전용 가상 네트워크입니다.
• VPC는 사용자가 지정한 IP 주소 범위를 사용하고, VPC의 IP 주소는 CIDR로 표현되며 RFC 1918에 명시된 프라이빗 IP 대역 사용을 권장합니다.
• VPC의 IP 주소로 공인 IP CIDR 블록을 사용할 수 있으나, AWS는 VPC CIDR 블록의 IP 주소를 절대로 인터넷에 직접 노출하지 않습니다.
  그렇기 때문에 VPC의 CIDR 블록이 공인IP 대역이더라도 인터넷과 직접 통신은 불가능합니다.
• 각 VPC 간에는 IP 대역을 겹치지 않게 사용하는 것이 좋습니다.
• VPC는 IPv4에 대해 5개의 IP 대역(Primary 1개, Secondary 4개)까지 지원합니다. 각 대역의 크기는 /16에서 /28 사이가 될 수 있습니다.
• VPC Primary CIDR 블록의 크기를 늘리거나 줄일수 없고, VPC Secondary CIDR은 기존의 CIDR 블록과 겹치지 않아야합니다.
• VPC에 Secondary CIDR 블록을 추가하는 경우에 Route table에 Destination이 Secondary CIDR 블록이고 Target이 local인 경로가 자동으로 추가됩니다.
• AWS는 각 리전마다 자동으로 생성되는 Default VPC를 제공합니다. Default VPC에는 퍼블릭 서브넷, 인터넷 게이트웨이 등으로 구성되어 있습니다.
• 기본 VPC에는 172.31.0.0/16이 할당되고, 기본 VPC는 리전에 존재하는 Availability Zone의 수만큼 퍼블릭 서브넷을 제공합니다. 퍼블릭 서브넷은 /20이 할당되어 있습니다.
• VPC는 IPv4와 IPv6 주소를 지원합니다.

AWS Account와 Region, AZ(Availability Zone)

• AWS Account(계정)는 모든 리소스(S3 버킷, EC2 인스턴스 등)을 담는 기본 컨테이너 역할로 계정 안의 리소스는 다른 계정의 리소스와 논리적으로 격리되어 있습니다.
• AWS Account은 다른 AWS Account와 구분되는 고유한 ID를 갖습니다.
• 사용자는 AWS Account 내의 여러 Region에서 리소스를 생성할 수 있습니다.
• Region은 지리적으로 분리된 데이터 센터의 클러스터로 Region은 여러 개의 AZ(Availability Zone)로 구성되어 있습니다.
• AZ는 1개 이상의 개별 데이터 센터로 구성됩니다. AZ 간 거리는 수 킬로미터이며, 모두 100km 이내에 위치합니다.
• VPC는 특정 Region 내에 생성되어 Account와 Region에 종속됩니다.

VPC Subnet과 Route table

• VPC Subnet은 VPC 내에서 IP 주소 범위를 정의하며 특정 AZ에 생성됩니다. VPC Subnet에서 EC2 인스턴스와 같은 AWS 리소스를 만들 수 있습니다.
• Route table은 Destination(목적지)와 Target(대상)을 정의하는 Route(경로)로 구성되어 Subnet이나 Gateway에서 네트워크 트래픽이 어디로 전송해야하는지 결정합니다.
• 각 Subnet은 Route table과 연결되어야 합니다. 1개의 Subnet은 1개의 Route table만 가질수 있고 1개의 Route table은 여러 개의 Subnet과 연결될 수 있습니다.
• Subnet 유형은 Route를 구성하는 방법에 따라 결정되며 Public subnet, Private subnet, Isolated subnet, VPN-only subnet이 있습니다.
• Public subnet은 Internet gateway로 가는 직접적인 경로가 있습니다. Public subnet의 리소스는 인터넷에 액세스할 수 있습니다.
• Private subnet은 Internet gateway로 가는 직접적인 경로가 없습니다. Private subnet의 리소스가 인터넷에 액세스하기 위해서는 NAT 장치가 필요합니다.
• Isolated subnet은 VPC 외부로 가는 경로가 없습니다. Isolated subnet의 리소스는 동일한 VPC의 다른 리소스에만 액세스할 수 있습니다.
• VPN-only subnet은 Internet gateway로 가는 경로가 없고 VGW(Virtual private gateway, Site-to-Site VPN)로 가는 경로만 있는 Subnet입니다.
• 기본적으로 VPC 내의 모든 Subnet들은 local(VPC 내부)을 목적지로하는 경로가 자동으로 생성됩니다.

Private IP와 Public IP, Elastic IP (IPv4)

• Private IP란 인터넷 통신이 불가능한 IP 주소로 VPC 내부의 통신 또는 VPC 외부의 프라이빗 통신(VPC Peering, VPN 등)에 사용됩니다.
• Private IP는 리소스가 생성된 서브넷의 CIDR 대역 내에 있는 IP 주소가 됩니다.
• Public IP란 인터넷 통신이 가능한 IP 주소로 ENI에 임시로 할당되는 Dynamic 주소입니다.
• Public IP는 AWS의 Public IPv4 주소 풀에서 제공되며 인스턴스가 중지 후 재시작하면 새로운 퍼블릭 IP가 할당됩니다.
• Elastic IP는 Static Public IPv4 주소로 AWS 계정에 할당되어 인스턴스를 중지 후 재시작 시에도 동일한 IP 주소를 유지할 수 있습니다.
• Elastic IP는 AWS의 Public IPv4 주소 풀에서 제공되며 한 번에 하나의 리소스에만 연결될 수 있습니다.
• Elastic IP는 방화벽 규칙이나 DNS 설정과 같은 외부에 고정된 IP를 제공해야하는 경우에 사용합니다.
• AWS는 Elastic LoadBalancer, CloudFront, NAT Gateway 등에서 사용하는 모든 Public IPv4 주소에 대해 시간당 $0.005의 요금이 부과합니다. (BYOIP는 포함되지 않습니다.)
• Bring Your Own IP (BYOIP)는 사용자가 보유한 IP 주소를 AWS에 가져와서 사용할 수 있는 기능으로 주로 기존 네트워크 인프라와 연속성을 유지하거나 특정 IP 주소에 의존하는 애플리케이션이나 파트너들의 호환성을 위해 사용합니다.

Security group과 Network ACL

• VPC는 Firewall(방화벽)으로 Security group과 Network Access Control List(NACL)을 제공합니다.
• VPC에 대한 Network Access를 제어할 때 기본 메커니즘으로 Security group을 사용하고, 필요한 경우 Network ACL을 이용해 추가적인 제어를 설정합니다.
• Security group(보안 그룹)은 인스턴스 수준에서 인바운드 및 아운바운드 트래픽을 허용합니다. 보안그룹은 허용 규칙만 지원합니다.
• Network ACL은 서브넷 수준에서 인바운드 및 아웃바운드 트래픽을 허용하거나 거부합니다. Network ACL은 허용 및 거부 규칙을 지원합니다.
• Security group은 인스턴스 단위로 적용되고 Network ACL은 서브넷에 존재하는 모든 인스턴스에 적용됩니다.
• Security group은 Stateful한 방화벽으로 인바운드 규칙으로 허용된 트래픽은 아웃바운드 규칙의 영향을 받지 않습니다.
  Network ACL은 Stateless한 방화벽으로 인바운드 규칙으로 허용된 트래픽도 아웃바운드 규칙의 평가를 받습니다.
• Security group은 모든 규칙을 평가하여 트래픽 허용 여부를 결정합니다.
  Network ACL은 가장 낮은 번호의 규칙부터 순서대로 평가하여 트래픽 허용 여부를 결정합니다.
• EC2 인스턴스로 인바운드 트래픽이 들어오는 경우 Network ACL이 먼저 평가된 후 Security group이 이후에 평가됩니다.
  반대로 EC2 인스턴스에서 아웃바운드 트래픽이 나가는 경우 Security group이 먼저 평가된 후 Network ACL이 이후에 평가됩니다.
• Network ACL은 서브넷에 들어오고 나갈 때 평가됩니다. 서브넷 내에서 라우팅될 때는 평가되지 않습니다.
• Security group은 다른 Security group을 Soure 또는 Destination으로 하는 룰을 만들 수 있는데 이를 Security group referencing이라고 합니다.
  Security group referencing은 네트워크 보안을 유연하고 동적으로 관리할 수 있는 도구로 Security group에 연결된 모든 인스턴스에 영향을 미칩니다.
  예를 들어 ALB-WEB-DB로 구성된 경우, WEB 서버의 보안 그룹에 ALB의 보안 그룹을 Source로 하는 규칙을 추가하고, DB 서버의 보안 그룹에 WEB 서버의 보안 그룹을 Source로 하는 규칙을 추가하여 사용할 수 있습니다.
• Security group referencing은 개별 인스턴스의 IP 주소나 CIDR 대역으로 관리할 필요 없이 보안 그룹 단위로 트래픽과 보안 정책을 관리할 수 있습니다.
• Network ACL은 서브넷 수준의 방화벽으로 Security group의 규칙이 관대한 경우 상위 수준의 추가적인 보안 계층으로 동작하여 의도하지 않은 트래픽 유입을 막을 수 있습니다.
• Network ACL은 특정 IP 주소에 대한 명시적인 거부 규칙을 설정하여 악의적인 트래픽을 차단함으로써 네트워크 공격에 대한 방어 수단으로 활용할 수 있습니다.

NAT Gateway와 NAT Instance

• AWS는 NAT Device로 NAT Gateway와 NAT Instance를 제공합니다.
• NAT Gateway는 AWS Managed Service로 가용성과 대역폭이 보장되지만, NAT Instance는 Customer Managed로 EC2를 이용하여 직접 구축해야 합니다.
• NAT Device는 통신 요청을 보낼수만 있으며, 외부에서 직접 요청을 받아 통신을 시작하지는 않습니다. 즉, 아웃바운드 통신만 가능하고 인바운드 통신은 불가능합니다.
• AWS에서의 NAT device는 실제로는 Network Address Translation(NAT) 뿐만아니라 Port Address Translation(PAT)도 함께 수행합니다.
• NAT Gateway는 Connectivity type에 따라 Public NAT Gateway와 Private NAT Gateway으로 분류됩니다.
• Public NAT Gateway는 Private subnet에 존재하는 리소스가 인터넷에 접근하기 위해 사용됩니다.
  Public NAT Gateway는 Public 서브넷에 생성되며, Elastic IP가 연결됩니다.
• Private NAT Gateway는 인터넷 연결이 아닌 내부 네트워크 통신이나 온프레미스 네트워크와의 연결을 위해 사용됩니다.
  Private NAT Gateway는 Private 서브넷에 생성되며, Elastic IP가 연결되지 않습니다.
• Public NAT Gateway를 통해 통신하는 경우, 인스턴스의 Private IP는 Public NAT Gateway에 연결된 Elastic IP로 NAT되고,
  Private NAT Gateway를 통해 통신하는 경우, 인스턴스의 Private IP는 Private NAT Gateway의 Private IP로 NAT됩니다.
• NAT Instance는 자체 EC2 AMI를 만들어 구축해야하고 인스턴스 유형에 따라 대역폭이 달라집니다.
• NAT Gateway는 NAT Instance에 비해 더 나은 가용성과 대역폭을 제공하므로 대부분의 경우 NAT Gateway를 사용할 것을 권장합니다.
• NAT Gateway는 보안 그룹을 적용할 수 없고 NACL만 적용할 수 있습니다.
  NAT Instance는 보안 그룹과 NACL을 모두 적용할 수 있습니다.
• NAT Gateway는 Bastion server로 사용할 수 없지만 NAT Inatnace는 Bastion server로 사용할 수 있습니다.

ENI(Elastic Network Interface)란?

• ENI(Elastic Network Interface)란 VPC 내에서 네트워크 통신을 담당하는 가상의 네트워크 카드로 EC2, RDS, Lambda 등의 서비스에 네트워크 연결성을 제공합니다.
• ENI는 Subnet에 생성되고 Subnet의 CIDR 대역에 해당하는 Private IP 주소를 갖습니다.
• ENI는 Primary IP 주소(기본 Private IP 주소), Secondary IP 주소(보조 Private IP 주소), Public IP 주소 또는 Elastic IP, MAC 주소, Security Group, Subnet 등을 속성으로 갖습니다.
• EC2 또는 RDS Instance에 적용되는 Security Group은 Instance가 사용하는 ENI에 연결되는 것입니다.
• EC2 Instance type에 따라 최대로 지원하는 ENI의 개수가 다릅니다.
• ENI는 NIC teaming을 지원하지 않습니다. NIC teaming은 여러 개의 NIC를 묶어서 대역폭을 늘리는 기술입니다.

VPC Peering

• VPC Peering은 두 개의 VPC를 하나의 네트워크처럼 통신할 수 있도록 연결하는 기능입니다.
• VPC Peering Connection은 2개의 VPC 간의 연결로 Private IP 주소를 사용해 트래픽을 라우팅할 수 있습니다.
• VPC Peering Connection을 통한 트래픽은 인터넷을 거치지 않고 AWS Backbone Network 내에서 통신되므로 일반적인 Exploit 및 DDoS 공격과 같은 위협이 줄어듭니다.
• VPC Peering은 SPOF와 대역폭 제한이 없으며 Cross Region 및 Cross Account VPC 간에도 Peering이 가능합니다.
• VPC Peering을 구성하기 위해서는 CIDR 블록이 겹치지 않아야 하고, 양쪽 VPC의 라우팅 테이블을 수동으로 업데이트하여 트래픽이 올바르게 전달되도록 해야합니다.
• VPC Peering은 Transitive Peering을 지원하지 않습니다.
  A와 B, A와 C가 피어링되어 있다고 하더라도 B와 C 간의 통신을 위해서는 별도의 피어링 연결이 필요합니다.
• VPC Peering은 단순히 Connection이 맺어진 2개의 VPC 간 직접 라우팅만 가능합니다.
  A와 B가 피어링되어 있고, B가 DX/VPN으로 On-premise와 연결되어 있는 경우에 A에서 B를 경유(Transit)하여 On-Premise로 접근할 수 없습니다.
  동일하게 A와 B가 피어링 되어 있는 경우에 A가 B에 존재하는 NAT Gateway나 VPC Endpoint를 사용할 수 없습니다.

Managed Prefix Lists

• Managed Prefix Lists란 네트워크 구성 및 관리를 간소화하기 위해 여러 CIDR 블록을 하나의 리스트로 단위로 관리하는 기능입니다.
• Managed Prefix Lists는 개별 CIDR 블록을 하나의 리스트로 참조할 수 있어 보안 그룹이나 라우팅 테이블에서의 네트워크 규칙을 단순화시킬 수 있습니다.
• AWS는 Managed Prefix Lists로 AWS-Managed Prefix Lists와 Customer-Managed Prefix Lists를 제공합니다.
• AWS-Managed Prefix Lists는 S3, DynamoDB 등의 AWS 서비스에 사용되는 IP 주소 범위입니다.
• AWS-Managed Prefix Lists는 AWS가 직접 생성하고 관리하는 리스트로 사용자가 생성하거나 수정, 삭제할 수 없습니다.
• Customer-Managed Prefix Lists는 사용자가 직접 정의하고 관리하는 리스트로 사용자가 항목을 추가하거나 제거할 때마다 새로운 버전이 생성됩니다.

VPC DNS Server - Route 53 Resolver

• Route 53 Resolver는 VPC 내에서 생성된 DNS 쿼리를 해결하는 서비스로 Amazon DNS Server, AmazonProvidedDNS라고도 합니다.
• Route 53 Resolver는 AWS Managed Network에 존재하며 VPC 내부의 리소스는 VPC+2 IP Address를 사용하여 Resolver와 통신하게 됩니다.
  예를 들어, VPC의 CIDR 값이 10.0.0.0/16이라면 10.0.0.2는 Route 53 Resolver와 통신하기 위해 예약된 주소로 다른 리소스가 사용할 수 없습니다.
• 온프레미스 DNS 서버에서 VPC+2 IP Address로 DNS 쿼리를 전달하는 것은 지원되지 않으며 Resolver Inbound Endpoint를 사용하는 것이 좋습니다.
• Route 53 Resolver는 169.254.169.253(IPv4), fd00:ec2::253 (IPv6)를 사용해서도 접근이 가능합니다.
  169.254.169.253(IPv4), fd00:ec2::253 (IPv6)는 Link-Local Address로 네트워크 세그먼트 내에서만 유효한 특수 목적 IP주소입니다.
• Route 53 Resolver는 Route 53 private hosted zone, Amazon VPC-specific DNS name, Public record에 대한 DNS 쿼리를 재귀적으로 응답합니다.
• EC2 인스턴스를 시작하면 항상 Private IPv4 주소와 그에 해당하는 Private DNS hostname이 할당됩니다.
  만약 인스턴스가 Public IPv4 주소를 가지고 있다면 VPC의 DNS의 속성에 따라 Public DNS hostname가 결정됩니다.
• VPC는 DNS 속성으로 DNS resolution과 DNS hostnames를 지원합니다.
  DNS resolution을 Enable하는 경우에는 Route 53 Resolver를 사용합니다. 기본 값은 Enable입니다.
  DNS hostnames를 Enable하면 경우에는 EC2 인스턴스가 Public IP 주소에 대응하는 Public DNS hostname을 할당하게 됩니다.기본 VPC는 Enable 되어 있지만 새로 생성한 VPC는 Disable되어 있습니다.

DHCP Option Sets

• DHCP Option Set은 EC2 인스턴스와 같은 VPC의 리소스가 가상 네트워크를 통해 통신하는 데 사용하는 네트워크 설정 그룹입니다.
• DHCP Option Set를 사용하면 VPC의 DNS 서버를 변경할 수 있습니다.
• 기본 DHCP Option Set는 Domain name servers, Domain name가 포함되어 있고, 기본 Domain name servers는 AmazonProvidedDNS입니다.
• 1개의 DHCP Option Set은 여러개의 VPC에 연결할 수 있지만, 1개의 VPC는 1개의 DHCP Option Set만 연결할 수 있습니다.
• DHCP Option Set는 생성 후 수정할 수 없습니다. VPC의 DHCP Option을 업데이트하려면 새로운 DHCP Option Set를 생성하고 VPC와 연결해야 합니다.
• DHCP Option Set를 변경하는 경우에 인스턴스를 재시작할 필요는 없지만 DHCP 갱신 시간에 따라 몇시간이 걸릴 수 있습니다.
  이 경우 인스턴스의 OS에서 수동 갱신하여 DHCP Option을 즉시 적용할 수 있습니다.

MTU와 Jumbo Frame

• MTU란 Network를 통해 전달할 수 있는 패킷의 최대 크기로 대부분의 인터넷에서 지원하는 MTU는 1500바이트입니다.
• MTU가 커지면 더 적은 수의 패킷으로 동일한 양의 데이터를 전송할 수 있어서 처리량이 증가하고 낮은 PPS의 호스트에서도 더 많은 양의 데이터를 보낼 수 있습니다.
• Jumbo Frame은 일반적인 MTU 크기를 넘어서는 1501~9000바이트 범위의 프레임을 의미합니다.
• AWS에서는 1500 바이트가 넘는 Jubmo Frame을 지원합니다.
• 네트워크 경로상의 모든 장비가 Jumbo Frame을 지원해야 Jumbo Frame을 사용할 수 있습니다.
  네트워크 경로상에 Jumbo Frame을 지원하지 않는 장비가 있다면 Jumbo Frame은 단편화되어 트래픽이 느려질 수 있습니다.
• Path MTU란 출발지에서 목적지까지의 네트워크 경로에서 지원되는 최대 패킷 사이즈입니다.
• PMTUD(Path MTU Discovery)란 Path MTU를 찾는 과정으로 불필요한 패킷 단편화를 방지하고 패킷 손실이 발생하지 않도록 하는 과정입니다.