공부노트/클라우드

[AWS] OpenSwan Site to Site VPN

기본적으로 Amazon VPC로 시작하는 인스턴스는 자체(원격) 네트워크와 통신할 수 없습니다. AWS Site-to-Site VPN(Site-to-Site VPN) 연결을 생성하고 연결을 통해 트래픽을 전달하도록 라우팅을 구성하여 VPC에서 원격 네트워크에 대한 액세스를 활성화할 수 있습니다. Site-to-Site VPN 연결은 AWS 측의 가상 프라이빗 게이트웨이 또는 Transit Gateway와 원격(온프레미스) 측의 고객 게이트웨이(VPN 디바이스를 나타냄) 사이에 두 개의 VPN 터널을 제공 가상 프라이빗 게이트웨이는 Site-to-Site VPN 연결의 Amazon 측에 있는 VPN 집선기입니다. 가상 프라이빗 게이트웨이를 생성하여 Site-to-Site VPN 연결을 생성할 VPC에 연결..

[AWS] Transit Gateway

Transit Gateway는 가상 사설 클라우드(VPC)와 온프레미스 네트워크를 상호 연결하는 데 사용할 수 있는 네트워크 전송 허브입니다. 클라우드 인프라가 전 세계적으로 확장됨에 따라 리전 간 피어링은AWS 글로벌 인프라를 사용하여 Transit Gateway를 함께 연결합니다. 데이터는 자동으로 암호화되며 퍼블릭 인터넷을 통해 전송되지 않습니다. 참고 https://docs.aws.amazon.com/ko_kr/vpc/latest/tgw/what-is-transit-gateway.html

[AWS] VPC Peering

VPC 피어링 연결은 프라이빗 IPv4 주소 또는 IPv6 주소를 사용하여 두 VPC 간에 트래픽을 라우팅할 수 있도록 하기 위한 두 VPC 사이의 네트워킹 연결입니다. 동일한 네트워크에 속하는 경우와 같이 VPC의 인스턴스가 서로 통신할 수 있습니다. 리전 간 VPC 피어링 연결 가능 다른 AWS 계정 VPC 간 연결 가능 Private IP 를 통해서 서로 통신 가능. 트래픽은 AWS 백본에서만 유지되기 때문에 퍼블릭 인터넷을 통과하지 않음. 취약점 공격과 DDoS 공격 같은 위협이 감소함. 리전 간 리소스를 공유하거나 지리적 중복성을 피해 데이터를 복제 할 수 있는 간단하고 비용 효율적인 방법 참고 https://docs.aws.amazon.com/ko_kr/vpc/latest/peering/wha..

[AWS] Load Balancer

클라이언트에서 대상으로까지의 트래픽을 자동으로 분산하여 부하를 나눕니다. 대상을 상태를 지속 체크하여 정상인 대상으로만 트래픽을 라우팅합니다. 수신 트래픽 변화에 따라 로드 밸런서가 자동으로 조정됩니다. 로드밸런서 구성 리스너는 연결 요청을 확인하는 프로세스로, 로드밸런서는 한 개 이상의 리스너를 구성할 수 있습니다. 클라이언트와 로드 밸런서 간의 연결을 위한 '프로토콜 및 포트 번호'로 구성됩니다. 리스너에 규칙을 추가할 수 있습니다. 규칙에 따라 다른 대상에 라우팅되도록 합니다. 규칙은 우선 순위, 하나 이상의 작업, 하나 이상의 조건으로 구성할 수 있습니다. TargetGroup. 여러 대상 그룹을 구성할 수도 있어서, 리스너에 있는 규칙에 따라 특정 TargetGroup에 라우팅할 수도 있습니다...

[AWS] VPC Endpoint

Virtual Private Cloud 내에 Private Network 망을 구성하고 EC2 등 몇가지 서비스를 VPC 내에 구성할 수 있습니다. 하지만 S3, EC2 API Endpoint 등 VPC에 속하지 않는 서비스들이 있습니다. 문제는 VPC 내에 있는 서비스와 VPC 외부 서비스 간 통신을 하려면 외부망(공인망)을 이용해야 합니다. 공인망을 사용하면 서비스 간 내부 민감한 정보의 트래픽이 외부에 노출되어 보안에 취약하고, 외부망 통신 트래픽 비용이 발생합니다. 그래서 VPC 내부 서비스에서 VPC 외부 서비스로 공인망 대신 내부망으로 접근할 수 있게 해주는 VPC 엔드포인트로 문제를 해결할 수 있습니다. VPC 엔드포인트 VPC 엔드포인트를 통해 인터넷 게이트웨이, NAT 디바이스, VPN ..

[AWS] Bastion, NAT Instance, NAT Gateway

내부 사설망에서 외부로 안전하게 통신하기 위해 Bastion, NAT Instance, NAT Gateway 를 사용한다. Bastion Host 배스천 호스트(Bastion Host)란 침입 차단 소프트웨어가 설치되어 내부와 외부 네트워크 사이에서 일종의 게이트 역할을 수행하는 호스트 [란] Bastion host 란? 배스천 호스트(Bastion Host)란 침입 차단 소프트웨어가 설치되어 내부와 외부 네트워크 사이에서 일종의 게이트 역할을 수행하는 호스트 배스천 호스트는 내부 네트웍과 외부 네트웍 사이에 위치 velog.io NAT Gatway NAT 게이트웨이는 NAT(네트워크 주소 변환) 서비스. 프라이빗 서브넷의 인스턴스가 VPC 외부의 서비스에 연결할 수 있지만 외부 서비스에서 이러한 인스턴..

[AWS] 네트워크

Amazone VPC 정의 Virtual Private Cloud 사용자의 AWS 계정 전용 가상 네트워크. 다른 가상 네트워크와 논리적으로 분리됨. AWS 리소스를 VPC에서 실행 요금 VPC 사용 추가 요금은 없음. NAT 게이트웨이, Reachability Analyzer, 트래픽 미러링 같은 일부 VPC 구성 요소에 따라 요금이 부과됨. 기초 VPC 를 생성할 땐, IPv4 주소 범위를 CIDR(Classless Inter-Domain Routing) 블록 형태로 지정 필요 VPC의 CIDR블록의 사용이유와 설정방법 포스팅 추천. CIDR 이란 클래스 없는 도메인 간 라우팅 기법으로 1993년 도입되기 시작한 최신의 IP주소 할당 방법입니다. 인터넷의 네트워크 주소(A,B,C 클래스)가 아닌, 도..