https://youtu.be/tkP5u_SrF-8

애쉬의 AWS 살짝 알은체 하기

• 애쉬의 AWS 살짝 알은체 하기
  • 클라우드 컴퓨팅
  • AWS - EC2
  • AWS - 리전(Region)
  • 가용영역(Availability Zone) = 데이터센터
  • VPC - Virtual Private Cloud
  • Subnet
  • VPC - 내부 구성요소
  • VPC, Subnet 네트워크 분리방법
  • ACL, 보안 그룹
  • NAT(Network Address Translation) NAT Gateway

클라우드 컴퓨팅

• 클라우드 컴퓨팅이란?
  • 인터넷을 통해 연결된 원격 컴퓨터를 활용하는 기술
• 왜 개인 PC 가 있는데 클라우드 컴퓨팅을 이용할까?
  • 언제, 어디서나 성능이 좋은 컴퓨터를 이용할 수 있다.
  • 사용한 만큼만 비용을 지불하면 된다.
  • 몇분만에 전세계에 서비를 배포할 수 있다.

AWS - EC2

• Amazon Elastic Compute Cloud (EC2)
  • Compute, Cloud C가 두개기 때문에 EC2라고 부른다.
• 안전하고 크기 조정(Elastic)이 가능한 컴퓨팅 파워를 Amazon 클라우드에서 제공하는 웹서비스
• EC2는 컴퓨터 한 대를 빌려준다고 생각하면 쉽다.

AWS - 리전(Region)

• AWS가 전 세계의 각 데이터센터를 클러스터링 하는 (묶음) 물리적 위치
• 

가용영역(Availability Zone) = 데이터센터

• 
• 각 리전 안에 최소 2개 이상의 데이터센터
  • 한국에는 4개
• 정전, 낙뢰, 태풍, 지진 등과 같은 천재지변에서 데이터를 보호
• 
  • AWS에서도 서울 리전을 클릭하면 가용영역 4개가 표시된다.

VPC - Virtual Private Cloud

• 
• 논리적으로 격리된 사용자 전용 가상 네트워크
• 복수의 AZ(데이터센터)에 걸친 상태로 생성가능
• 물리적으로는 다른 곳에 위치하지만 논리적으로 같은 네트워크

Subnet

• 
• VPC 영역 안에서 망을 더 쪼개는 행위
• 단일 AZ에 위치

VPC - 내부 구성요소

• 
  • VPC는 인터넷 게이트웨이에 연결이 되어야만 외부 인터넷과 통신을 할 수 있다.
  • 라우터(Router)는 라우터 테이블 해당하는 주소를 보고 인터넷 트래픽을 맞는 방향에 전송해준다.
  • NACL(Network Access Control List) 인터넷 트래픽이 서브넷에 접근하기 전에 허용한 트래픽인지 거부한 트래픽인지 확인한다.
  • 인스턴스에 접근하는 트래픽이 허용한 트래픽인지 확인하는 절차를 가지는 게 보안그룹(Security Group) 이다.
• 

VPC, Subnet 네트워크 분리방법

• IP
  • 
  • IP 는 8bit 4개의 그룹으로 이루어져있다, 8bit이기 때문에 256개이고 0부터 표현하면 255까지
  • AWS에서는 VPC나 서브넷을 생성할 때 CIDR 블록 형태로 IP 공간을 분리해준다.
    • CIDR 블록 형태는 /와 숫자가 붙는 형태이다.
    • 
    • /24라면 앞에서부터 24비트의 IP공간을 고정하고 남은 256개의 IP를 할당 한다는 뜻이다.(0과 255는 사용 못하므로 254개)

ACL, 보안 그룹

• 
  • 아웃바운드 트래픽은 인스턴스에서 외부로 나가는 트래픽이다.
  • 인바운트 트래픽은 외부에서 인스턴스로 들어오는 트래픽이다.
  • 보안그룹은 아웃바운드 규칙은 포트번호 전체에 대해서 0.0.0.0/0 모든 IP를 뜻하는데 그래서 인스턴스 내부에서 스타벅스(222.123.123.123) 트래픽이 나갈 수는 있지만 인바운드 규칙을 보면 22번 포트에 대해 IP가 123.123.123.0/24로 제한되어있다. 그래서 선릉캠, 잠실캠 에서만 접근 가능하고 스타벅스는 IP가 다르기 때문에 외북에서 22번 포트로 접근할 수 없다.

NAT(Network Address Translation) NAT Gateway

• VPC에는 프라이빗 서브넷과 퍼블릭 서브넷이 존재할 수 있는데 프라이빗 서브넷은 외부 인터넷과 단절되어 있다. 그래서 보안을 위해서 보통 데이터베이스 서버로 사용하는데 데이터베이스 서버로 사용 하고 싶어도 여러 설치 파일들이 필요할 수 있다. 설치 파일들은 인터넷을 통해 다운 받을 수 있는데 인터넷이 연결되어 있지 않기 때문에 다운을 받을 수 없다. 이때 필요한 기술이 NAT Gateway 이다.
• NAT Gateway는 퍼프릭 서브넷의 인스턴스 안에 설치한다. 그리고 이것을 프라이빗 서브넷의 인스턴스와 연결한다. 그래서 프라이빗 서브넷에서 apt-get mysql install(외부 인터넷 자원 요청)을 하면 NAT Gateway로 연결되고 NAT Gateway에서는 프라이빗 서브넷 Source IP를 자신의 Source IP로 바꾼다. 그래서 인터넷에 자신의 Source IP로 설치 요청을 전송하고 인터넷에서는 Source IP가 NAT Gateway이기 때문에 NAT Gateway에게 설치 파일을 전송한다. NAT Gateway에서는 라우트 테이블로 프라이빗 서브넷 IP 주소를 가지고 있기 때문에 외부에 자신의 IP를 공개하지 않더라도 설치파일을 받을 수 있게 되는 것이다.