Network(1) - VPC (Subnet, NACL, NAT Gateway)

모든 자료는 온라인으로 제공되는 Naver Cloud의 공인교육과정을 참고하였으며,
Naver Cloud Professional 자격증을 준비하시는 분들께 조금이나마 도움이 될까하여 정리해두었던 내용을 공유합니다.
2023년에 작성된 내용이며, VPC Platform 기반의 강의 내용을 정리한 것이니 참고 바랍니다.

 

 

---

 

VPC (Virtual Private Cloud)

• 클라우드상 논리적으로 격리된 고객 전용 네트워크 공간
• (계정 당 최대 3개의 VPC 생성 가능)
• IP 주소 범위
  • 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16 중에서 선택(*RFC1918)
    • 10.0.0.0~10.255.255.255
    • 172.16.0.0~172.31.255.255
    • 192.168.0.0~192.168.255.255
  • 최소 /28 에서 최대 /16까지 Netmask 생성 가능
  • subnet을 이용하여 VPC안에서 Segment 생성 관리
• Peering
  • 서로 다른 VPC 간 연결을 위해 사설통신이 가능하도록 네트워크 구성을 하는 기능
  • 내 VPC 간 연결 뿐만 아니라 다른 계정과의 VPC 연결도 가능
    • 타계정 VPC 연결시 로그인 ID, VPC ID, VPC 명 입력 필요.
    • 단방향 설정이기 때문에 내 계정에서 연결하고 상대방에서도 연결해야 함.

 

 

 

Subnet

• 사용할 VPC 대역을 지정한 후 그 대역 안에서 용도별로 segment를 나누는 기능
• Subnet 속성
  • 사용할 대역 지정 (VPC 대역 내에서 지정해야함. VPC당 최대 200개 가능)
  • 어느 Zone에 배치 시킬지 지정 (동일한 Zone 내에 여러 Subnet 생성 가능)
  • 인터넷과 연결되는 Public subnet 폐쇄적인 Private subnet으로 구분
    • Public Subnet
      서버만 위치시킬 수 있으며 서버에 공인 IP를 부여할 수 있다.
      Public IP 부여는 Public subnet 내에 있는 서버만 가능.
    • Private Subnet
      서버 혹은 로드밸런서를 위치시킬 수 있다.

 

 

 

NACL (Network ACL)

ACG vs NACL

ACG (Access Control Group)	NACL (Network ACL)
서버 NIC 단위로 적용	Subnet 단위로 적용
Allow 규칙에 한하여 지원	Allow, Deny 규칙 모두 지원
Stateful : Response 트래픽 자동 허용	Stateless : Response 트래픽에 대한 Allow 규칙이 추가적으로 필요
모든 규칙을 확인하여 판단	우선순위에 따라 규칙을 반영

 

 

 

NAT Gateway

Private Subnet에서 외부로의 통신이 필요한 경우 외부 접속을 제공

• Private Subnet 은 Internet Gateway가 없기 때문에 , Default 외부 통신 불가
• Private Subnet에서 외부로의 통신이 필요한 경우 NAT Gateway가 외부 접속을 제공
• 비공인 IP를 공인 IP로 변환해 인터넷 Outbound 통신 가능
• 내부 리소스와 공인 IP가 1:1로 매핑되는 구조가 아니므로 외부 네트워크에서 내부 리소스로 직접 연결은 불가
• NAT Gateway를 연결하고, Route Table을 수정하여 외부로의 접속은 가능하도록 설정할 수 있음.
• 즉, Private Subnet이 NAT Gateway를 바라보도록 Route Table을 직접 수정해야함.
• 각 Zone마다 1개씩 생성 가능