AWS

AWS 용어 정리

choko's avatar
choko
Jun 29, 2024
AWS 용어 정리
Contents
Region & AZ(Availability Zone : 가용영역)VPC (Virtual Private Cloud) & SubnetInternet GatewayRoute Table보안 그룹 & 네트워크 접근 제어목록S3(Simple Storage Service)
-공식문서
https://docs.aws.amazon.com/ko_kr/
 
 

Region & AZ(Availability Zone : 가용영역)

notion image
  • Region이란 AWS가 전세계에서 데이터 센터를 클러스터링하는 물리적 위치를 말한다.
  • AWS Region은 영역 내에서 격리되고 물리적으로 분리된 여러 개의 가용영역(AZ)으로 구성된다. 각 Region에서는 최소 2개 이상의 가용 영역(AZ)을 제공한다.
  • 가용 영역이란 리전의 중복 전력, 네트워킹 및 연결이 제공되는 하나 이상의 개별 데이터 센터를 뜻한다. 가용영역 활용 시 단일 데이터 센터를 사용하는 것보다 더 높은 가용성과 내결함성을 갖춘 서비스 운영이 가능하다.
 

VPC (Virtual Private Cloud) & Subnet

VPC

  • 기존에 IDC 센터에서 사용자만을 위한 네트워크망을 제공해준 것처럼 AWS에서 제공한다.
  • VPC 특징
    • VPC는 라우터를 제공한다. 라우터를 통해 VPC 네트워크에서 트래픽 제어가 가능하다.
    • 인터넷게이트웨이(IGW)를 붙일 수 있다.
    • 생성 시 주소 범위를 CIDR(Classless Inter-Domain Routing) 블록 형태(ex. 10.0.0.0/16)로 지정할 수 있다.
 
 

subnet

  • 사용자는 VPC 구축 후 Public, Private 서브넷을 자유롭게 생성 할 수 있다.
    • 서브넷 생성 시 VPC에서 지정한 CIDR 블록범위 내 IP 주소를 지정해야되며, 인터넷 연결 여부에 따라 Public / Private 서브넷으로 구분된다.
notion image
  • 각 서브넷에서는 AWS 리소스를 보호하기 위해 보안 그룹(Security Group) 및 네트워크 액세스 제어 목록(NACL)을 포함한 다중 보안 계층을 사용할 수 있다.
  • 서브넷 인스턴스에서 인터넷에 연결하기 위해선 IGW(Internet Gateway)를 연결해야된다.
인터넷에 액세스 할 수 있는 Public Subnet
인터넷에 액세스 할 수 있는 Public Subnet
  • Public subnet
    • Public용 Routing Table의 인터넷 게이트웨이(igw)를 참조, igw 통해 외부에서 접근 가능
  • Private subnet
    • Private용 Routing Table에 인터넷 게이트웨이(igw) 항목이 없기 때문에 통신 x
    • 출발지가 Private subnet의 EC2가 인터넷상의 통신을 하고자 한다면 NAT Gateway를 통해야 함.
 

Internet Gateway

notion image
  • 인터넷 게이트웨이는 VPC와 인터넷 간에 통신할 수 있게 해줌으로써, 수평 확장되고 가용성이 높은 VPC 구성 요소이다.
    • 인터넷 트래픽을 VPC 라우팅 테이블 제공
    • 퍼블릭 IP 주소가 할당된 인스턴스에 대해 NAT(네트워크 주소 변환)을 수행
  • 인터넷 액세스 활성화를 위한 고려 사항
    • 인터넷 게이트웨이를 생성해 VPC에 연결.
    • Public Subnet 인스턴스에 IP 주소가 있는지 확인.
    • NACL, Security Group에서 인*아웃바운드 정책 확인.
 
 

Route Table

notion image
  • 라우트 테이블은 Subnet 또는 Gateway의 네트워크 트래픽이 전송되는 위치를 결정하는 규칙 세트이다
    • 즉, 라우트 테이블을 사용해 네트워크 트래픽이 전달되는 위치를 제어한다.
  • 각 서브넷에 라우트 테이블을 지정함으로써 네트워크 안에서 트래픽이 발생할 때 최적의 목적지를 선택 할 수 있도록 한다.
 
 
 
 

보안 그룹 & 네트워크 접근 제어목록

notion image
  • 보안 그룹(Security Group)은 가상 방화벽의 기능을 수행하며 인스턴스에 인바운드 및 아운바운드 트래픽을 제어한다.
  • 네트워크 접근 제어목록(NACL)은 Subnet에 대한 방화벽 역할로써 인바운드 트래픽과 아웃바운드 트래픽을 각각 제어해야 된다.
보안 그룹과 NACL 모두 인바운드와 아웃바운드 트래픽을 제어하지만, 몇가지 차이점이 존재한다.
Security Group
NACL
인스턴스 레벨에서 운영.
서브넷 레벨에서 운영
허용 규칙만 지원
허용 및 거부 규칙 지원
상태 저장: 규칙에 관계없이 반환 트래픽이 자동으로 허용
상태 비저장: 반환 트래픽이 규칙에 의해 명시적으로 허용되어야 함.
트래픽 허용 여부에 대한 규칙 순서 존재 X
트래픽 허용 여부에 대한 규칙 순서 존재 O 번호가 가장 낮은 규칙부터 순서대로 처리
인스턴스 시작 시 누군가 보안 그룹을 지정하거나, 나중에 보안 그룹을 인스턴스와 연결하는 경우에만 인스턴스에 적용됨
연결된 서브넷 안에 존재하는 모든 인스턴스에 자동 적용
 
 

S3(Simple Storage Service)

notion image
  • AWS에서 제공하는 파일 서버로써, 트래픽 증가로 인한 장비 증설 작업 기능을 대행한다.
  • 또한, 파일에 대한 접근 권한을 지정 할 수 있어서 서비스를 호스팅 용도로 사용하는 것을 방지 할 수 있다.
  • 주요 용어
    • 객체(Objects) - AWS S3에 저장된 데이터
    • 버킷(Buckets) - 객체가 파일이면, 버킷은 객체들을 그룹핑한 최상위 디렉토리이다. 버킷 단위로 지역을 정할 수 있고, 일괄적인 접속 및 접근 제한 정책을 적용 할 수 있다.
    • 키(Keys) - 버킷 내 객체 고유 식별자를 뜻하며, 보통 “디렉토리 + 파일명"로 명명됨
      •  
       
Share article

More articles

See more posts

AWS - ECR

June 29, 2024
AWS - ECR

AWS - EC2

June 29, 2024
AWS - EC2

Kubernetes - Pod

June 29, 2024
Kubernetes - Pod

Kubernetes - Daemonset

June 29, 2024
Kubernetes - Daemonset

Tom의 TIL 정리방

RSS·Powered by Inblog