가상 데이터 센터 만들기 VPC 기본 및 연결 옵션- AWS Summit Seoul 2017
2 likes1,644 views
가상 데이터 센터 만들기 VPC 기본 및 연결 옵션- AWS Summit Seoul 2017
- 1. © 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 양승도, 솔루션즈 아키텍트 아마존웹서비스 코리아 가상 데이터 센터 만들기 VPC 기본 및 연결 옵션
- 2. EC2 Instance
- 4. 본 강연에서 다룰 내용 • VPC 개념에 익숙해지기 • 기본 VPC 설정 살펴보기 • 요구에 맞게 가상 네트워크를 설정할 수 있는 방법 알아보기
- 5. 연습 : 인터넷에 연결된 VPC 설정
- 6. 인터넷에 연결된 VPC 만들기 : 단계별 IP 주소 범위 선택 가용 영역(AZ)별 서브넷 설정 인터넷으로 향하는 경로(route) 만들기 VPC 로/부터의 트래픽 설정
- 7. IP 주소 범위 선택
- 8. CIDR notation review CIDR range example: 172.31.0.0/16 1010 1100 0001 1111 0000 0000 0000 0000
- 9. VPC의 IP 주소 범위 선택 172.31.0.0/16 Recommended: RFC1918 range Recommended: /16 (64K addresses)
- 10. RFC 1918 10.0.0.0 - 10.255.255.255 (10/8 prefix) 172.16.0.0 - 172.31.255.255 (172.16/12 prefix) 192.168.0.0 - 192.168.255.255 (192.168/16 prefix)
- 11. 서브넷
- 12. VPC 서브넷 및 가용 영역 172.31.0.0/16 Availability Zone Availability Zone VPC subnet VPC subnet 172.31.0.0/24 172.31.2.0/24 ap-northeast-2a ap-northeast-2c
- 13. VPC 서브넷 권고사항 • /16 VPC (64K addresses) • /24 subnets (251 addresses) • One subnet per Availability Zone
- 14. 인터넷 경로
- 15. Routing in your VPC • Route table 은 패킷이 이동하는 규칙을 포함 • VPC 에 기본 route table이 존재 • … 하지만 서브넷에 다른 route table 을 할당할 수 있음
- 16. 내 VPC로 향하는 트래픽은 내 VPC 내에 머물러야 함
- 17. Internet Gateway 인터넷에 연결하려면 여기로 패킷을 보냄
- 18. VPC로 향하지 않는 모든것: 인터넷으로 보내기
- 19. VPC의 네트워크 보안: Network ACLs / Security Groups
- 20. Network ACLs: Stateless firewalls 해석: 모든 트래픽 허용 서브넷 단위로 적용 가능
- 21. “MyWebServers” Security Group “MyBackends” Security Group Allow only “MyWebServers” Security groups: 애플리케이션 구조
- 22. Security groups example: web servers 해석: 이 그룹의 호스트는 인터넷에서 포트 80 (HTTP)으로 연결 가능
- 23. Security groups example: backends 해석: MyWebServers Security Group에 속한 인스턴스만 이 Security Group에 연결 가능
- 24. 체크 포인트: Security Groups • 최소 권한 원칙(Principle of Least Privilege) 준수 • VPC 는 egress/ingress 에 대한 Security Group 생성 가능
- 25. VPC의 연결 옵션
- 26. 인터넷 연결을 넘어… 인터넷 액세스 제한 회사 네트워크에 연결 다른 VPC와 연결
- 27. 인터넷 액세스 제한: 서브넷 별로 다른 라우팅
- 28. 서브넷 별로 각기 다른 라우팅 VPC subnet VPC subnet Has route to Internet Has no route to Internet
- 29. NAT gateway: 아웃바운드 전용 인터넷 허용 VPC subnet VPC subnet 0.0.0.0/0 0.0.0.0/0 Public IP: 54.161.0.39 NAT gateway
- 30. VPC 간 연결: VPC peering
- 31. VPC peering 사용 예: 공유 서비스 VPC 공통/핵심 서비스 • 인증/디렉토리 • 모니터링 • 로깅 • 원격 관리 • 스캐닝
- 32. Security groups across peered VPCs VPC Peering 172.31.0.0/16 10.55.0.0/16 Orange Security Group Blue Security Group ALLOW
- 33. Establish a VPC peering: 요청 시작 172.31.0.0/16 10.55.0.0/16 Step 1 피어링 요청 시작
- 34. Establish a VPC peering: 요청 수락 172.31.0.0/16 10.55.0.0/16 Step 1 피어링 요청 시작 Step 2 피어링 요청 수락
- 35. Establish a VPC peering: 경로 생성 172.31.0.0/16 10.55.0.0/16Step 1 피어링 요청 시작 Step 2 피어링 요청 수락 Step 3 경로 생성 해석: 피어링 된 VPC로 향하는 트래픽은 피어링 연결로…
- 36. 회사 네트워크에 연결: Virtual Private Network(VPN) & Direct Connect(DX)
- 37. 온 프레미스 네트워크를 VPC로 확장 VPN Direct Connect
- 38. AWS VPN basics Customer Gateway Virtual Gateway Two IPSec tunnels 192.168.0.0/16 172.31.0.0/16 192.168/16 Your networking device
- 39. VPN and AWS Direct Connect • 두가지 모두 온 프레미스 네트워크와 VPC 사이의 보안 연결을 지원 • VPC은 인터넷을 통한 IPSec 터널 • DirectConnect 은 전용선 • 높은 가용성을 위해서: 두가지 모두 사용
- 40. VPC 및 다른 AWS 서비스
- 41. VPC 및 다른 AWS 서비스 VPC 내에 존재하는 AWS 서비스 VPC Endpoints for Amazon S3 DNS in-VPC with Amazon Route 53 VPC Flow Logs 를 이용한 VPC 트래픽 로깅
- 42. VPC내의 AWS 서비스
- 43. 예: Amazon RDS database in your VPC Reachable via DNS Name: mydb-cluster-1 ….us-west-2.rds.amazonaws.com
- 44. 예: AWS Lambda function in your VPC
- 45. Best practices for in-VPC AWS services • 많은 AWS 서비스는 VPC내 실행을 지원 • 최소 권한 네트워크 액세스를 위해 Security Groups 사용 • 높은 가용성을 위해 여러 가용 영역(AZ)을 사용. • Multi-AZ RDS deployments • Use a zonal mount point for EFS access
- 46. VPC Endpoints for Amazon S3
- 47. S3 and your VPC S3 Bucket 애플리케이션 데이터
- 48. VPC endpoints for S3 S3 Bucket
- 49. VPC endpoints for S3 S3 Bucket VPCE로 S3 트래픽 전달
- 50. IAM policy for VPC endpoints S3 Bucket IAM Policy at VPC Endpoint: 특정 S3 Bucket 액세스만 허용 IAM Policy at S3 Bucket: VPC Endpoint 를 통한 액세스만 허용
- 51. DNS in a VPC
- 52. VPC DNS options Amazon DNS server 사용 EC2 instances 에 자동으로 DNS 호스트네임 할당
- 53. Amazon Route 53 private hosted zones Private Hosted Zone example.demohostedzone.org à 172.31.0.99
- 54. VPC Flow Logs: VPC traffic metadata CloudWatch Logs
- 55. VPC Flow Logs § Security Groups 규칙의 영향에 대한 가시성 § 네트워크 연결 문제 해결 § 트래픽 분석 가능
- 56. VPC Flow Logs: setup VPC traffic metadata captured in CloudWatch Logs
- 57. VPC Flow Logs data in CloudWatch Logs Who’s this? # dig +short -x 109.236.86.32 internetpolice.co. REJECT UDP Port 53 = DNS
- 58. VPC: your private network in AWS
- 59. The VPC network
- 61. VPC connectivity
- 62. 본 강연이 끝난 후… § 13:40 ~ 14:20 @Track5 § 김용우, 솔루션즈 아키텍트 § AWS 기반 고급 하이브리드 IT 디자인 VPN에서 Direct Connect 까지의 다양한 클라우드 연결 옵션들 § AWS VPC로 IT 인프라구조 확장하기 http://d0.awsstatic.com/International/ko_KR/whitepapers/Extend your IT infrastructure with Amaon VPC.pdf § Creating Your Virtual Data Center: VPC Fundamentals and Connectivity Options (NET201) | AWS re:Invent 2016 https://www.slideshare.net/AmazonWebServices/aws-reinvent-2016-creating-your-virtual-data-center-vpc-fundamentals-and-connectivity-options-net201
- 63. Thank you! 함께 해주셔서 감사합니다!
- 64. https://www.awssummit.kr AWS Summit 모바일 앱을 통해 지금 세션 평가에 참여하시면, 행사 후 기념품을 드립니다. #AWSSummitKR 해시태그로 소셜 미디어에 여러분의 행사 소감을 올려주세요. 발표 자료 및 녹화 동영상은 AWS Korea 공식 소셜 채널로 공유될 예정입니다. 여러분의 피드백을 기다립니다!