AWS 배포자동화 구축 _ 1. 네트워크 환경 구성

 

AWS를 이용해서 배포자동화 환경을 구축하면서 다양한 네트워크 지식을 채워나갈 수 있는 좋은 기회였다. 

구축했던 과정을 다시 한번 정리하면서 공부한 내용을 보충해나가고자 한다.

 

우선 어떤 식으로 구성할지 아키텍처를 짜야하는데,

아직 AWS에 대한 이해가 완벽하지 않아서 다른분의 아키텍처를 보고 따라하는 식으로 해보았다. 

( 버디님께 감사 인사를 드립니다 _ _ )

AWS 배포자동화 실제로 구축하기 - 아키텍처

 

 

계정을 처음 만들었을 때 하나의 리전에서 만들어지는 리소스들은 다음과 같다. 

- 1 VPC
- n Subnet : n은 사용할 수 있는 AZ의 개수
- 1 Route Table
- 1 Network ACL
- 1 Security Group
- 1 Internet Gateway
- 1 DHCP options set

그래서 이 7개의 리소스를 각각 만들어주는 과정을 거치면 된다 ! 

 

 

1. VPC 

우선 VPC는 프라이빗 클라우드를 만드는데 가장 기본이 되는 리소스 !
이름이랑 IPv4 CIDR 블록을 필수적으로 가집니다.

여기서 CIDR 블록이란 IP의 범위를 지정하는 방식을 의미합니다. IP주소와 슬래시 뒤에 따라오는 서브넷마스크 숫자로 구성되어 있습니다. 예를 들어, 192.168.0.0/24는 IP주소에서 24번째 비트까지 네트워크 ID로 사용하겠다는 의미입니다. 이 네트워크의 서브넷 마스크는 255.255.255.0입니다. 이것은 24비트로 표현되는 서브넷 마스크로, 네트워크 주소 부분은 24비트가 1로 채워지고, 호스트 주소 부분은 0으로 채워집니다. 이러한 경우, 호스트 주소 부분의 0과 255는 네트워크 주소와 브로드캐스트 주소로 사용되므로 사용 가능한 IP 주소 범위는 192.168.0.1부터 192.168.0.254까지입니다. 따라서 이 네트워크에서는 총 254개의 호스트를 사용할 수 있습니다. 

클라우드에서 생성하는 자원들은 기본적으로 특정 네트워크 위에서 생성되며 이에 접근하기 위한 프라이빗 IP를 가집니다. 이 리소스들은 특정한 VPC 위에서 만들어지고, VPC의 CIDR 범위 안에서 적절한 IP를 할당 받게 됩니다. 할당 가능한 IP가 없으면 더 이상 리소스를 만들 수 없기 때문에 적절한 크기의 VPC를 만들어야 합니다 ! 하나의 최대 크기는 16이기 때문에 2^(32-16) = 65536개의 IP를 사용할 수 있습니다. 

사설망 대역을 사용하는 것을 권장 : 
10.0.0.0/8 , 172.16.0.0/12 , 192.168.0.0/16

 

2. Subnet 생성

- Subnet은 실제로 리소스가 생성되는 물리적인 공간인 Available Zone과 연결됩니다.

- VPC 안에서 실제로 리소스가 생성될 수 있는 네트워크.

- 1개의 VPC는 n개의 서브넷을 가질 수 있음. 최대 크기는 VPC의 크기와 같다. 

- 일반적으로 사용할 수 있는 AZ를 고려해서 적절한 크기의 서브넷들을 AZ 수 만큼 생성해서 사용. 

- n개의 AZ 만큼 서브넷을 만들어 리소스를 분산하면 재해 대응 측면에서도 유리함 !

- 서브넷의 넷마스크 범위는 16에서 28을 사용할 수 있다. 

- 2개 이상의 AZ를 사용하는 것이 일반적. 기본 VPC에서는 AZ 개수만큼 넷마스크 20의 서브넷들을 자동적으로 생성.

---

현재 서울 리전에는 총 4개의 AZ가 있음. 최소 2개 이상의 AZ 사용을 권장하므로 2개 사용.

 

여기서 a,b를 사용할 것이고, 각 AZ에 public subnet 1개, private subnet 1개를 배치할 것이다. 

- 인터넷을 통해 외부와 통신하기 위해 public subnet에 EC2를 배치

- private 하게 관리해야하는 RDS는 private subnet에 배치

 

 

Public Subnet

💡 인터넷에 대한 Inbound / Outbound 액세스를 지원하도록 인터넷 게이트웨이에 대한 라우팅 테이블 항목을 포함하고 있는 서브넷 !

Private Subnet

💡 인터넷 게이트웨이에 대한 라우팅 테이블 항목이 없고, 퍼블릭 인터넷에서 직접 액세스할수 없는 서브넷

• 일반적으로 인터넷과의 통신이 필요한 경우에, 제한된 outbound 퍼블릭 인터넷 엑세스를 지원하기 위해 NAT(Network Address Translation) 게이트웨이 사용.
• 라우팅 테이블에 인터넷 게이트웨이로 향하는 경로가 없다면 프라이빗 서브넷.

 

 

위처럼 앞서 만들어준 VPC를 선택하고 4개의 서브넷을 만들어준다 ! 

 

서브넷 이름	가용 영역	CIDR
public-subnet-2a	ap-northeast-2a	172.20.0.0/20
public-subnet-2b	ap-northeast-2b	172.20.16.0/20
private-subnet-2a	ap-northeast-2a	172.20.32.0/20
private-subnet-2b	ap-northeast-2b	172.20.48.0/20

 

궁금했던 점 : Public 과 Private를 나누는 이유 ?

• 격리된 네트워크는 subnet 관리가 가능하며, 관리자는 인터넷에 노출될 public subnet과 그렇지 않은 private subnet을 나눌 수 있다. => 웹 서버등은 public subnet에 두고, 외부로부터 격리가 필요한 데이터베이스, WAS등은 private subnet에 두는 등의 자유로운 구성이 가능하다.

 

• 라우터를 만들고 설정 할 수 있다. 라우터를 이용해서 패킷의 경로를 재 조정할 수 있다. public subnet에 NAT를 만들고 private subnet의 패킷을 NAT를 경유하게 해서 인터넷 접근이 가능하게 하는 등의 구성이 가능하다.

 

 

 

 

3. Route Table

- VPC, 인터넷 연결 내 Subnet 간에 패킷이 전달되는 방법을 정의.

- 목적지를 두고, 들어온 호출에 대해 어디로 보낼지를 결정하는 table

- VPC 내에는 서브넷이 있고, 각 서브넷은 각기 다른 네트워크 대역대를 갖고 있음.

- 한 서브넷이 다른 서브넷으로 가기 위해서는 라우팅이 필요함.

- 하나의 라우트 테이블은 VPC에 속한 다수의 서브넷에서 사용할 수 있음.

 

** 자동 생성되는 라우트 테이블에는 한 가지 룰이 정의되어 있음. 

- VPC의 CIDR 블럭을 목적지로 하는 경우 타깃이 local인 규칙입니다. 예를 들어 172.31.0.0/16 일때 이 네트워크 안에서 목적지가 172.31.0.0/16 범위에 있는 리소스를 찾는다면 VPC 내부에서 찾는다. 

 

이렇게 2개의 route table을 생성해주자. private-rt 는 기본으로 생성된  table의 이름을 바꾼 것이다.

그리고 private-rt에는 private subnet을, public-rt에는 public subnet을 각 2개씩 연결해준다 !

 

상세 -> 서브넷 연결

 

 

4. Internet Gateway 생성

- VPC와 인터넷을 연결하는 가상 라우터

- 라우팅 테이블에 인터넷 게이트웨이를 향하는 적절한 규칙을 추가해주면 특정 서브넷이 인터넷과 연결됨.

- but, 인터넷을 사용하고자하는 리소스는 퍼블릭 IP를 가지고 있어야함.

- 이번에는 public subnet에 EC2를 둘 것이기 때문에, 인터넷게이트웨이를 public subnet과 연결하면된다. 

 

생성한 인터넷 게이트웨이를 클릭하고 작업에서 VPC 연결을 선택한다. 

 

이제 인터넷 게이트웨이를 public subnet과 연결해준다.

라우팅 테이블 콘솔로 이동해서 public-rt의 라우팅을 편집해준다.

 

 

5. Security Group 생성

- Security Group, 즉 보안그룹은 AWS 리소스에 대한 인바운드 및 아웃바운드 트래픽을 제어하는 가상 방화벽 !

- 보안 그룹은 서브넷 수준이 아니라, 인스턴스 수준에서 작동하여 VPC에 있는 서브넷의 각 인스턴스에 서로 다른 보안 그룹을 할당할 수 있음 !! 

- 네트워크 ACL 과의 차이 : 네트워크 ACL 또한 인바운드 및 아웃바운드 트래픽을 제어하는 가상 방화벽이고, 다수의 서브넷에서 재사용할 수 있다. 보안그룹은 인스턴스의 앞단에서 트래픽을 제어하는 가상 방화멱인 반면, 네트워크 ACL은 서브넷 앞단에서 트래픽을 제어하는 역할을 합니다. 따라서 네트워크 ACL의 규칙을 통과하더라도 보안그룹의 규칙을 통과하지 못하면 인스턴스와는 통신 할 수 없음 !! 

 

 

1번째 보안 그룹 : ELB 보안그룹

- 이후에 생성할 ELB는 외부로부터 들어오는 트래픽에 대해 분산 또는 장애 상황에서의 분리환경을 구성하여 대응하기 위해 사용하는 AWS 리소스.

- ELB는 외부 인터넷 게이트웨이로부터 들어오는 http와 https 요청을 받아야 하므로, 80과 443의 port를 열어둘 것.

 

2번째 보안 그룹 : ECS-EC2 보안그룹

- ECS로 부터 도커라이즈한 이미지 파일을 EC2에 배포.

- ECS는 타겟 ELB를 타고 들어오기 때문에, EC2에서는 보안그룹으로 ELB만 지정해 놓으면 된다.

- 추가적으로 운영 상 EC2 서버에 들어가 작업할 수 있기 때문에 SSH 접근을 위해 22번 포트를 열어둔다.

 

 

 

이렇게 하면 네트워크 구축은 완료 !