AWS VPC 구축하기

VPC (Virtual Private Cloud)

독립적인 가상의 네트워크 공간으로 사용자의 설정에 따라 자유롭게 구성할 수 있는 Space

서브넷 생성, 라우팅 테이블, 인터넷 게이트웨이 등을 구성하여 사용자가 원하는 대로 네트워크 환경을 구성 및 제어

사용가능 사설 IP 대역 (RFC 1918)

• 10.0.0.0 ~ 10.255.255.255
• 172.16.0.0 ~ 172.32.255.255
• 192.168.0.0 ~ 192.168.255.255

서브넷

서브넷은 VPC안에 더 많은 네트워크 망을 구성하기 위해 더 잘게 나누는 것이다. 

라우트란?

네트워크 요청이 발생하면 데이터는 라우터로 향하게 되고 라우팅 테이블이라는 이정표를 따라 이동하며 요청이 처리된다.
VPC에는 기본 Route Table이 존재하지만 서브넷마다 별도의 Route Table을 설정할 수 있으며 여러 서브넷과 연결하는 것이 가능하다.

 

Internet Gateway

VPC에서 생성된 리소스들이 외부 인터넷과 연결되기 위한 Gateway
라우팅 테이블에 인터넷 게이트웨이로 향하는 규칙을 추가해주면 특정 서브넷이 인터넷과 연결된다.

Network ACL / Security Group

Network ACL은 서브넷 앞단에서 outbound(보내고), inbound(받는) 트래픽을 제어하는 가상 방화벽
하나의 Network ACL은 여러 서브넷에서 재사용할 수 있다.

Security Group은 인스턴스의 앞단에서 트래픽을 제어하는 가상 방화벽

Network ACL이 더 앞단에 있으므로 이 영역을 통과하더라도 Security Group의 규칙을 통과하지 못하면 막히게 된다.

 

Multi AZ(Availability Zone)란?

하나 이상의 Availability Zone에 유사한 리소스를 동시에 배치하는 기능
AZ는 물리적 공간으로 분리되어 있기 때문에 이중화 구성하여 하나의 AZ에 장애가 발생하더라도 서비스에 문제가 없다.

하나는 Active 상태이고 다른 것은 Stand By 상태를 가진다. Active 상태인 것이 장애가 발생하면 Stand By 상태였던 것 중 하나가 Active 상태가 된다.

 

NAT Gateway (Network Address Translation)

Private Subnet이 인터넷과 통신하기 위한 아웃바운드 인스턴스

Private Subnet은 Internet Gateway가 없어서 외부 인터넷과 연결되지 않는다.
하지만 예를 들어 Private Subnet 내부의 CentOS 에서 apt update를 해야하는 상황처럼 외부로 아웃바운드 요청을 보내야 하는 상황이 있다.

따라서 인바운드는 차단하더라도 아웃바운드 트래픽을 허용할 필요가 있어 NAT Gateway를 사용한다.

하지만 AWS NAT Gateway는 비용이 비싸서 간단한 것에서는 EC2를 이용한 NAT instance로 대체할 수 있다.

 

---

구축 실습

 

서브넷을 설정하고나면 라우팅 테이블이 하나 생기는데 거기서
External용 Router에 Public Subnet을 체크하여 등록하고
Internal용 Router에 Private Subnet을 체크하여 등록한다. 

 

Internet Gateway 등록

외부 인터넷과 통신하기 위해서는 결국 Internet Gateway가 있어야 한다.

아까 등록한 VPC를 새로 생성한 Internet Gateway에 연결한다.

 

External Roturer 라우팅 수정

아까 생성한 인터넷 게이트웨이를 외부 라우터의 라우팅에 추가해준다.

---

NAT Gateway 대신 NAT instance 설정

Private Subnet에 있는 자원이 외부로 통신을 할 수 있게 해주는 NAT instance 역할을 해준다.

그리고 여기서는 NAT instance에 또 다른 역할이 있다.
Bastion Host의 역할도 하는데 원래는 NAT instance와 Bation Host를 분리하지만 여기서는 비용 문제로 하나로 합쳤다.

Bastion Host는 내부와 외부 네트워크 사이에서 게이트 역할을 하는 Host이고 외부에서 접근 가능하도록 Public IP를 부여해야 한다.

외부에서 Private Subnet 22번 포트로 다른 외부인은 접근하면 안되지만 나는 어쩔 수 없이 접근해야 하는 경우 NAT instance에서 연결해준다. 따라서 NAT instance가 한번 필터링해주는 보안 역할을 해준다고 볼 수 있다.

EC2에서 AMI 선택에서 NAT를 입력하여 커뮤니티쪽에서 가장 윗쪽것을 선택해준다.

 

다음 네트워크 설정에서 네트워크에서는 생성한 VPC를 선택하고 서브넷에서는 public-subnet을 선택한다.

키 페어를 생성하고 인스턴스를 시작한다.

 

탄력적 IP 설정

NAT instance에 고정 IP를 할당하기 위해 해당 인스턴스에 고정 IP를 부여해준다.

 

인바운드 규칙 SSH 접속 내 IP만 할 수 있도록 변경

---

Internal Router Routing 편집

나는 지금 NAT Gateway가 비용이 비싸서 NAT instance로 대체하였으니 instance를 선택해준다.

 

---

NAT 인스턴스에 접속 (ec2-user로 접속)

먼저 접속하기 전에 다운받았던 pem 키 파일의 권한을 변경해줘야 한다.

chmod 600 ex-key.pem
ssh -i mission-key.pem ec2-user@{IP주소}

 

 

ec2-user는 보안상의 이유로 사용 금지

새로운 계정을 생성한다.

이번에는 패스워드로만 SSH 접속할 수 있도록 설정하고자 한다.

계정을 1인당 1개로 사용하는 이유가 책임의 소재나 원인을 파악하기 위해서라고 한다.

sudo -i
useradd khsadmin
passwd khsadmin
cat /etc/passwd //생성된 계정 확인

vi /etc/sudoers.d/cloud-init //ec2-user와 동일한 권한 부여
admin ALL=(ALL) NOPASSWD:ALL //파일 저장

vi /etc/ssh/sshd_config // 루트로 계정 변경
-> PasswordAuthentication yes로 변경

service sshd restart //sshd 데몬 재시작