AWS_VPC(Virtual Private Cloud) III

10. VGW(Virtual GateWay)

 : AWS VPC와 다른 네트워크 사이에 가상 사설망(VPN) 구축을 원할때 사용되는 서비스. 이 서비스는 On-Premise 환경의 VPN과 다르게 게이트웨이 장비(ex>라우터, 서버)를 통해 제공되는 것이 아니라 VGW라는 가상의 게이트웨이 장비를 생성하여 사용해야 한다. 

 - 단점 : 연결의 연속성이 보장되지 않는다. 실제 공인망을 통해 연결되기 때문에 네트워크 성능에 따라 성능이 바뀐다.

 - 장점 : 실제 물리적인 VPN만큼의 보안성 제공

11. DX(AWS Direct Connect)

 : VGW가 VPN 연결을 위한 최고의 수단이 아니기 때문에 DX를 사용하기도 한다. 이 서비스는 1 또는 10Gbps의 전용(인터넷과 분리된) 물리적인 사설 네트워크 연결을 제공한다. 또한 데이터 전송 비용이 VPN보다 더 적다. 단, DX의 경우 고정된 사용 기간 동안 계약하는 것이기 때문에 지속적인 필요성이 아니라면 오히려 손해를 볼수도 있다.

 1) 사용 사례

 - 하이브리드 클라우드 아키텍쳐 : On-Premise와 클라우드 서버를 동시 운영하는 형태

 - 지속적인 대용량 데이터 세트 전송 : 정해진 기간동안 지속적으로 VPN을 사용해야 하는 경우

 - 네트워크 성능 예측 가능성 

 - 보안 및 규정 준수  

 

*DX 역시 VGW와 같이 100% 가용성을 보장해주지 못하기 때문에 서로를 상호 보완적인 형태의 아키텍쳐를 구성한다. 기본적으로 VGW와 DX를 사용하다가 성능이 저하되면 VPN을 통해 연결하는 형태가 될 수도 있다.

12. VPC Peering

 : VPC간에 분리된 워크로드를 직접 연결해야 될 경우, 서로 다른 환경에서 사용되는 서버들이 공유해야 되는 서비스를 따로 격리 해놨을때 사용한다. 

 - 예제1) 다중 VPC가 하나의 보안시스템과 연결된 경우. 보안시스템이 포함된 VPC에서 모든 트래픽을 검사하고 알맞은 서버가 존재하는 VPC에게 패킷을 전달한다. 

 - 예제2) 특정 서버만 다른 VPC에 몰아넣고, 다른 서버들이 특정 서버만 있는 VPC에 요청하는 경우.

 - 서로 다른 리전도 연결 가능

 - 서로 다른 AWS 계정 간에 연결 가능

 - 기존에 서로 다른 VPC간 IP 공간은 중복되도 상관 없지만, VPC Peering으로 연결될 경우 중복될 수 없다.

 - VPC간 연결되어 있다고 하더라도 한 다리 건너서(전이적) 연결은 불가능하다.

 - AWS가 관리하는 장비이기 때문에 고가용성이 보장, 단일 장애 지점이 없으며 대역폭 병목 현상이 없다.

 - 트래픽은 항상 AWS 글로벌 백본에서 유지가 된다. 

13. Transit Gateway

 : 서로 다른 VPC간 연결을 중계해주는 라우터 장비. 허브 역할을 해주는 가상의 라우터 장비이며 라우팅 정책에 따라 트래픽을 관리할 수도 있다.

 - 모든 VPC의 ENI는 Transit Gateway에게 정보를 보내고, 그 정보를 토대로 라우팅 테이블이 구성

 - VPN연결 하나로 관리하며 연결하고, 서로 다른 VPC간 직접 연결은 불가능하게 만들 수도 있다.

14. VPC Endpoint

 1) 개념

 : 인스턴스의 어떤 프로그램(어플리케이션)이 AWS 서비스와 연결될 때, 인터넷 게이트웨이를 나가지 않고 AWS BackBorn망으로 직접 통신하게 해주는 서비스. 다른 VPC에 있는 특정 서비스가 동일한 서브넷에서 공존하는듯한 효과를 낼 수 있다.

 

3) VPC endpoint 정책

엔드포인트를 만들거나 수정 시 엔드포인트에 연결하는 IAM 리소스 정책입니다. 엔드포인트를 만들 때 정책을 추가하지 않으면 서비스에 대한 모든 액세스를 허용하는 기본 정책이 추가(기본적으로 블랙리스트)됩니다. 서비스가 엔드포인트 정책을 지원하지 않는 경우, 엔드포인트는 그 서비스에 대한 모든 액세스를 허용합니다. 엔드포인트 정책은 IAM 사용자 정책 또는 서비스별 정책(예: S3 버킷 정책)을 무시하거나 교체하지 않습니다. 이는 엔드포인트에서 지정된 서비스로의 액세스를 제어하기 위한 별도의 정책입니다.

하나의 엔드포인트에 둘 이상의 정책을 연결할 수 없습니다. 그러나 언제든 정책을 수정할 수 있습니다. 정책을 수정할 경우, 변경 사항이 적용되기까지 몇 분 정도 걸릴 수 있습니다. 정책 작성에 대한 자세한 내용은 IAM 사용 설명서의 IAM 정책 개요를 참조하세요.

 -https://docs.aws.amazon.com/ko_kr/vpc/latest/privatelink/vpc-endpoints-access.html#vpc-endpoint-policies

3) 종류

 i. Gateway Endpoint : S3, DynamoDB와 연결되는 정책. 따로 무엇이 생성된다기보다 Subnet의 라우팅 테이블에 목록이 추가된다. 그렇기 때문에 수정 불가. 트래픽은 해당 라우팅테이블을 보고 VPC Endpoint를 통해 S3 혹은 Dynamo DB로 접근

 

 ii. Interface Endpoint : 서브넷에 ENI를 생성해 사설 IP를 부여. 이 ENI가 없다면 공인IP가 강제되고 그 공인IP를 통해 외부 인터넷을 경유하여 EC2 API, AWS System Manager, KMS등에 접근하게 된다. 하지만 Interface Endpoint가 있다면 인터넷을 경유하지 않고, 공인IP도 없이 곧바로 서비스들에 접근한다.

 

 *KMS(Key Management Service) : 어플리케이션이 암호, 복호화를 할때, 사용되는 키를 관리해주는 서비스. 암호화용 키를 복호화하는 Master Key를 AWS가 안전하게 관리해준다. 복호화하고싶다면 어플리케이션이 암호화된 키를 KMS에게 요청하고 복호화하고, 복호화된 키를 통해 복호화하여 데이터확인.