[AWS 네트워크 입문] 4장 인터넷 연결

인터넷 연결에 대해 이해하고 올바른 서비스 선택하기 

AWS 인터넷 연결

인터넷 연결을 위한 4가지 조건

1) 인터넷 게이트웨이

2) 네트워크 라우팅 테이블 정보(외부와 네트워크 통신을 위한)

3) 공인 IP

4) 보안 그룹과 네트워크 ACL

 

NAT 동작

IP 를 변환하는 것을 NAT라고 부르며, IP와 포트 번호를 동시에 변화하는 것을 PAT라고 부릅니다. 

 

인터넷 연결을 위한 3가지 방안 비교

특징	인터넷 게이트웨이	NAT 디바이스	Proxy 인스턴스
동작	Layer3 계층 동작	Layer 4 계층 동작	Layer 7 계층 동작
주소 변환	프라이빗 IP를 퍼블릭 IP 혹은 탄력적 IP로 1:1 주소로 변환	IP 주소와 포트 번호 변환	IP 주소와 포트 번호 변환(TCP 신규 연결)
특징	1개의 프라이빗 IP마다 1개의 공인 IP 매칭	여러 개의 프라이빗 IP가 1개의 공인 IP 사용 가능	어플리케이션 수준 제어(통제) 가능

 

인터넷 게이트웨이

VPC와 인터넷 간에 통신할 수 있게 해줍니다. 

제약사항

-하나의 VPC에는 한 개의 인터넷 게이트웨이만 사용할 수 있습니다. VPC와 인터넷 게이트웨이의 최대 할당량은 동일하게 적용됩니다. 

-리전 당  VPC의 기본 할당량은 5개이며, 그 이상 필요 시 AWS 케이스 오픈을 통해 요청하여 리전 당 최대 100개까지 증가할 수 있습니다. 

 

NAT 디바이스 (NAT 인스턴스 & NAT 게이트웨이)

NAT 인스턴스와 NAT 게이트웨이를 통칭하여 NAT 디바이스라고 말합니다. 기본적으로 내부에서 외부 인터넷 통신만 가능하며, 인터넷 게이트웨이와는 다르게 외부 인터넷에서 내부 AWS 구간으로 직접 통신은 불가능합니다.

 

NAT 게이트웨이와 NAT 인스턴스의 비교

소규모의 트래픽만 발생하고 서비스 중요도가 낮은 경우 저렴한 비용의 NAT 인스턴스로 구성을 권장합니다. 그 이외의 경우에는 더 나은 가용성과 향상된 대역폭을 제공하면서도 관리 작업은 간소화하는 관리형 NAT 서비스인 NAT 게이트웨이 사용을 권장합니다. [책에 부록된 표 참조하기]

 

NAT 인스턴스를 통한 외부 접속( NAT 게이트웨이의 외부 접속 동작과 비슷)

NAT 인스턴스는 IP masquerading 기능을 통ㄹ하여 내부 인스턴스의 IP와 포트를 NAT 인스턴스의 IP와 포트로 변환됩니다.

다수의 인스턴스가 외부 인터넷으로 접속 시 NAT 인스턴스에 연결된 탄력적 IP를 사용합니다. 결과 적으로 다수의 인스턴스의 출발지 IP 가 1개의 탄력적 IP를 공유하여 사용하기 때문에 포트 번호 정보를 기준으로 하여 내부 인스턴스의 트래픽을 구별할 수 있습니다. 이러한 동작을 PAT라고 합니다.

<실습>

프라이빗 서브넷에 라우팅 정보 추가와 소스/대상 확인 비활성화 두 단계에 걸쳐 수행합니다. 

Proxy 인스턴스

Proxy는 일종의 대리자로 클라이언트와 서버 중간에 통신을 대신 처리해주는 역할을 합니다.