networking 2 computing on aws
aws global 인프라
region: 데이터센터를 클러스터링 하는 물리적 위치
availability zone[az] 가용영역, aws리전에 중복전력, 여러 개의 데이터 센터로 구성되어 있다.
aws region 설계 /디자인
region은 고가용성, 높은 확장성 및 높은 내결함성을 위해 복수개의 가용영역[az]으로 구성됩니다.
application과 data는 실시간으로 서로 다른 az로 실시간 복제 및 배포되어 고가용성 및 내결함성을 유지합니다.
aws vpc
amazon virtual private cloud 개요;
사용자가 정의한, 논리적으로 격리 된 가상의 프라이빗 네트워크 환경
가상 네트워크 제어 기능
- ip 주소 범위, 서브네팅[잘게 나누기], 라우팅[서로 소통], 보안그룹[이 라우팅을 지나갈 수 있는지 검사] 등// 검사필요
cidr 블록으로 vpc 크기를 지정하여 생성
- /16 ~ /28 [가]지 지원 ---> 숫자가 작아질수록 서버가 커짐
/ 16: 65,536n개의 주소
직접 vpc 만들어서 구성하는 것을 추천한다.
그럼 어떻게 구성할까
1. vpc 네트워크 ip대역 정의
2. 가용 영역[az] 별 서브넷 지정
3. 라우팅 테이블 생성 및 연결
4. 트래픽 접근 제어[보안그룹]
--- 간단한 구성만으로도 aws의 확장 가능한 인프라를 기존 데이터센터 환경과 유사하게 사용
vpc 서브넷
용도에 다른 분리
여러 가용영역 배포
- 고가용성 확보
라우팅 테이블 - 로컬 통신
vpc 생성 - 기본 라우팅 테이블
vpc 대역 내 라우팅
게이트웨이 등 외부와의 연결은 서브넷 라우팅 테이블을 만들어 연결 후 사용
라우팅 테이블 - 인터넷 통신
-인터넷 게이트웨이 구성해야 함
퍼블릭 서브넷과 프라이빗 서브넷
- 퍼블릭: 외부와 소통, 인터넷 게이트웨이와 연결되어 있음
- 프라이빗: 내부 소통
프라이빗 서브넷의 인터넷 통신
프라이빗 라우팅 테이블 - nat gateway - 퍼블릭 라우팅 테이블 - 인터넷 게이트웨이 - 인터넷
--------------------------------------------------------------------------------------------------------------------------
액세스 제어
vpc 액세스 제어
보안그룹
inbound로 허용된 트래픽의 outbound는 자동 허용
다른 보안그룹을 참조하여 source로 지정 가능
inbound로 어떤 protocol을 사용할 것인지 [tcp, udp]
운영환경을 위한 vpc 디자인
- 원하는 수준의 가용성을 달성하기 위한 중복 구성[최소 2 플러스, 가용영역]
- 적절한 크기의 vpc대역 확보 및 주소범위 중복 고려
- 여분의 ip대역 확보[가용영역 추가, 서브넷 분리 등]
- 모든 리전 동일 대역을 스는 default vpc보다는 custom vpc 활용[중복대역 방지]
- 보안성을 위해 인터넷 통신을 의도하지 않은 환경은 프라이빗 서브넷으로 분리
- 프라이빗 서브넷 아웃바운드 통신용 nat게이트웨이 활용
- nacl과 보안그룹으로 vpc 내 자원 액세스 제어
------------------------------------------------------------------------------------------
amazon ec2
ec2는 가상 서버다.
ami
- 인스턴스 시작에 필요한 정보 제공
- 동일한 구성으로 한 ami애서 여러 인스턴스 시작
인스턴스[데이터 날아갈 수 있음] 말고 ebs에 저장하는 것이 좋다.
hands-on lab