AWS VPC(Virtual Private Cloud)
논리적으로 격리된 가상 네트워크
- 물리적으로 서버가 따로 있는 건 아니지만, 네트워크 주소(IP), 라우팅, 접근 규칙 관점에서는 완전히 분리된 전용 네트워크
- IP 대역(CIDR), 서브넷 구조, 라우팅 방식 등을 사용자가 직접 설계
- 즉, AWS 안에 내가 직접 만든 가상 사설 네트워크를 하나 갖는 것
- 이 VPC는 하나의 리전 안에서, 각 가용 영역(Availability Zone, AZ)마다 하나의 서브넷을 가지고 있다.
- 각 서브넷 안에는 EC2 인스턴스들이 실행되고 있다. 그리고 VPC 내부 리소스들과 인터넷 간의 통신을 가능하게 하기 위해 Internet Gateway가 연결되어 있다.
Subnet
서브넷은 VPC 내부에서 사용되는 IP 주소 범위의 논리적 구획 VPC가 “네트워크 전체 공간”이라면, 서브넷은 그 안의 실제 리소스 배치 단위
- 서브넷 = CIDR 블록 (예: 10.0.1.0/24)
- 이 범위 안에서만 IP가 할당됨
- VPC CIDR의 부분 집합
- 예: VPC가
10.0.0.0/16이면, 서브넷은10.0.1.0/24,10.0.2.0/24같은 형태
- 예: VPC가
- EC2 인스턴스와 같은 AWS 리소스는 반드시 특정 서브넷에 소속되어 생성된다.
- 어느 서브넷에 두느냐가 곧 보안 + 가용성 + 접근성 결정
Subnet basics (서브넷 기본 개념)
각 서브넷은 하나의 AZ 안에 완전히 포함되어야 하며, 여러 AZ에 걸쳐 구성될 수 없다.
- 즉, 서브넷 ↔ AZ는 1:1 종속 관계
- 이 제약은 물리적 장애 격리를 위한 설계 원칙
- AWS 리소스를 서로 다른 AZ에 분산 배치하면, 특정 AZ에 장애가 발생하더라도 애플리케이션 전체 장애를 방지할 수 있다.
Subnet IP address range (서브넷 IP 주소 범위)
서브넷을 생성할 때는, VPC의 IP 구성 방식(
IPv4 only,Dual stack,IPv6 only)에 따라 서브넷의 IP 주소 체계를 지정해야 한다.
IPv4 only
- IPv4 CIDR 블록만을 가지며 IPv6 CIDR 블록은 포함하지 않는다.
- 이 서브넷에 속한 리소스는 IPv4 프로토콜을 통해서만 통신할 수 있다.
Dual stack
- 듀얼 스택 서브넷은 IPv4와 IPv6 CIDR 블록을 모두 가진다.
- 이를 위해서는 VPC 자체도 IPv4와 IPv6 CIDR 블록을 모두 보유해야 한다.
- 듀얼 스택 서브넷의 리소스는 IPv4와 IPv6 양쪽 모두로 통신할 수 있다.
IPv6 only
- IPv6 전용 서브넷은 IPv6 CIDR 블록만을 가지며 IPv4 CIDR 블록은 포함하지 않는다.
- 이를 위해 VPC는 반드시 IPv6 CIDR 블록을 가지고 있어야 한다.
- 해당 서브넷의 리소스는 IPv6을 통해서만 통신한다.
- IPv6 전용 서브넷의 리소스에는
169.254.0.0/16범위의 IPv4 링크 로컬 주소가 자동으로 할당된다.- 이 주소들은 VPC 내부에서만 제공되는 서비스와의 통신에 사용된다.
Subnet types (서브넷 유형)
서브넷의 유형은 라우팅 테이블 설정 방식에 의해 결정된다.
Public subnet
- Internet Gateway로 향하는 직접적인 라우트가 설정된 서브넷이다.
- 이 서브넷의 리소스는 공인 인터넷에 직접 접근할 수 있다.
- 일반적으로 ALB, Bastion Host, NAT Gateway 등 위치
Private subnet
- Internet Gateway로 직접 연결되는 라우트를 가지지 않는다.
- 퍼블릭 인터넷 접근이 필요할 경우 NAT 장치를 통해야 한다.
VPN-only subnet
- Virtual Private Gateway를 통해 Site-to-Site VPN 연결로 향하는 라우트를 가진다.
- Internet Gateway로의 라우트는 존재하지 않는다.
Isolated subnet
- VPC 외부로 나가는 어떤 라우트도 가지지 않는다.
- 이 서브넷의 리소스는 동일 VPC 내 리소스와만 통신할 수 있다.
EVS subnet
- Amazon EVS를 사용해 생성되는 특수한 서브넷이다.