【SRE/AWS】자꾸 보는 VPC

VPC

AWS 내에 구축할 수 있는 사설 네트워크 환경을 의미합니다.

아래는 주로 참고로 한 기사입니다.
AWS VPC 정보(초보자용) | cloudpack.media
AWS의 네트워크 구축 노트 - Qiita
AWS 여명기 모범 사례를 다시 읽어 클라우드에 대한 아키텍처 대 원칙을 재확인 | Developers.IO

전체도

전체 VPC 구축 절차

VPC 생성

서브넷 생성

루트 테이블 만들기

인터넷 게이트웨이 생성 (여기 쓰지 않음 ...)

네트워크 ACL 설정

보안 그룹 설정

VPC 만들기

CIDR 블록

테넌시

AWS 글머리 기호 지식 - Qiita

VPC 만들기 화면

CIDR 블록

CIDR 표기

IP 주소 뒤에 슬래시 기호 (/)를 쓰고 뒤에 네트워크 부분의 비트 수를 설명합니다.
IP 주소의 기초 지식 - Qiita 보다 인용

예: 192.168.0.0/20

서브넷 표기는 192.168.0.0/255.255.240.0과 같습니다.

그럼 어떻게 이 CIDR을 결정할까 하는 이야기가 됩니다만, 여러가지 조사해 보면 아래와 같은 프라이빗 IP로부터 선택하는 것이 추천되고 있습니다.

10.0.0.0 - 10.255.255.255 (10.0.0.0/8)
172.16.0.0 - 172.31.255.255 (172.16.0.0/12)
192.168.0.0 - 192.168.255.255 (192.168.0.0/16)
Amazon VPC IP 주소 설계 레시피 | Developers.IO 보다 인용

그럼 만약 172.16.0.0을 선택했다고 해서, 제3과 제4 옥텟은 어떻게 결정할까.
아래를 참고로 하면, 제3과 제4 양쪽 모두 0.0으로 선택하고 있습니다.
그리고 블록 사이즈는 16~28 중에서 선택합니다.
AWS CIDR은 어떻게 입력해야 하나요? - Qiita 참고

이 블록 사이즈는 수치에 의해 무엇이 다른가 하면(자), 이용 가능한 IP수가 정해져 있습니다.
아래 참고.

/28 11ip
/27 27ip
/26 59ip
/25 123ip
/24 251ip
/23 507ip
/22 1019ip
/21 2043ip
/20 4091ip
/19 8187ip
/18 16379ip
/17 32763ip
/16 65531ip
Amazon VPC IP 주소 설계 레시피 | Developers.IO 보다 인용

아래 계산 도구를 사용하여 네트워크 범위를 계산할 수 있습니다.
네트워크 계산 도구 / CIDR 계산 도구 | Softel labs

또 주의하는 것은, VPN이나 ​​DirectConnect를 이용할 경우, 서브넷과 온프레미스로 CIDR의 중복은 허용되지 않는 것입니다.
아래와 같이 사내만으로 사용하는 어플리케이션을 구축할 때에 주의해야 합니다.


Amazon Web Service 마스터 코스 VPC편 | Udemy 보다 인용

서브넷

서브넷 생성 화면

IPv4 CIDR 블록은 VPC 네트워크 범위 내에서 서브넷에 할당하는 블록을 할당합니다.
예를 들어, VPC의 네트워크 범위가 192.168.0.0/16이면 192.168.0.0/24 등으로 설정합니다.

서브넷 생성 후

서브넷을 만들고 만든 서브넷을 선택하면 아래와 같은 화면을 확인할 수 있습니다.

루트 테이블

위에서 만든 서브넷을 선택하고 라우팅 테이블을 선택하면 현재 설정을 확인할 수 있습니다.
여기에서 설정을 추가할 수 있습니다.

보안 그룹

방화벽 기능을 수행합니다.
기본적으로는, 허가하는 통신을 늘려 가고, 그 이외의 통신은 디폴트로 블록 되게 되어 있습니다.

교통

인바운드 트래픽

인터넷에서 액세스
80, 443, ssh 등

아웃바운드 트래픽

AWS 나가는 액세스
초기 설정은 모두 허용됩니다.

네트워크 ACL (액세스 목록)

서브넷 레벨에서 액세스를 제한하려는 경우에 사용합니다.
따라서 보안 그룹보다 범위가 커집니다.

네트워크 ACL 인바운드 편집

규칙은 숫자가 작은 것이 우선합니다.

프라이빗 서브넷

퍼블릭 서브넷

Apache, nginx 등으로 설정합니다.

프라이빗 서브넷

Rails, Django 등의 웹 애플리케이션으로 설정합니다.